Mit der neuen EU Whistleblower Richtlinie will Brüssel den Hinweisgeberschutz erstmals EU-weit regeln und harmonisieren. Das erklärte Ziel ist ein besserer Schutz für Whistleblower. Wer auf Verstöße gegen Unionsrecht und unethisches Verhalten in einem oder durch ein Unternehmen hinweist, soll keine Sanktionen befürchten müssen. Damit dies gelingt, müssen Unternehmen geeignete Strukturen schaffen und die Anonymität der Hinweisgeber wahren. Wir schildern, was dies für die Unternehmen bedeutet und wie sich die Herausforderungen meistern lassen.
Das Wichtigste in Kürze
- Die EU Whistleblower Richtlinie schützt Personen, die Rechtsverstöße von Unternehmen bzw. in Unternehmen melden und aufdecken.
- Unternehmen müssen dafür geeignete Meldekanäle einrichten und Maßnahmen zum Schutz der Hinweisgeber gegen Sanktionen und Repressalien ergreifen.
- Die EU Richtlinie gilt für alle Unternehmen und öffentlichen Körperschaften mit mehr als 49 Mitarbeitenden.
- Offiziell in Kraft getreten ist die Richtlinie Ende 2021. In Deutschland ist die Umsetzung in nationale Gesetzgebung noch nicht erfolgt.
- Die EU hat daher ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet.
- Mit dem Inkrafttreten eines deutschen Hinweisgeberschutzgesetzes ist in Kürze zu rechnen.
In diesem Beitrag
- Was ist die EU Whistleblower Richtlinie, ab wann gilt sie?
- Was soll die neue Hinweisgeberrichtlinie bewirken?
- Welche Anforderungen stellt die neuen Whistleblower Richtlinie an Unternehmen?
- Warum sieht die Richtlinie parallel auch externe Meldekanäle vor und was bedeutet dies für Unternehmen?
- Welche Unternehmen müssen die EU Hinweisgeberrichtlinie erfüllen?
- Welche Verstöße sollen gemeldet werden?
- Wie gelingt die Umsetzung, welche internen Meldekanäle erfüllen die Anforderungen der EU Richtlinie?
- Fazit: Was sollten Unternehmen nun tun?
Was ist die EU Whistleblower Richtlinie, ab wann gilt sie?
EU Richtlinien sind, anders als EU Verordnungen, nicht unmittelbar rechtswirksam. Um dies zu werden müssen sie von den EU Mitgliedstaaten zuerst in nationales Recht umgesetzt werden. EU-Richtlinien setzen für die Durchführung dieser Rechtsakte in der Regel eine verbindliche Frist. Innerhalb dieser Frist müssen alle Mitgliedstaaten die Vorgaben der Richtlinien in ihrer nationalen Gesetzgebung verankert haben. So ist es auch bei der Whistleblower Richtlinie (EU) 2019/1937.
Das Europäische Parlament und der Europäische Rat haben die Whistleblower Richtlinie (WB-RL) am 23. Oktober 2019 in Kraft gesetzt. Die Frist zur Umsetzung der Richtlinie ist am 17. Dezember 2021 abgelaufen. Deutschland und etliche weitere Staaten haben es bis dato nicht geschafft, ein entsprechendes Gesetz zu verabschieden. Daraufhin hat die Europäische Kommission im Januar 2022 die Umsetzung angemahnt und Vertragsverletzungsverfahren eingeleitet.
Der Entwurf für ein nationales Hinweisgeberschutzgesetz (HinSchG) liegt vor. Mit dem Inkrafttreten ist zeitnah zu rechnen. Bis dahin werden sich Gerichte in Streitfällen an der EU Richtlinie orientieren. Damit gelten die Vorgaben praktisch schon heute. Unternehmen, die noch kein geeignetes Whistleblowing-System etabliert haben, sollten daher dringend handeln.
Was soll die neue Hinweisgeberrichtlinie bewirken?
Mit der EU-Direktive zum Schutz von Hinweisgebern erkennt der europäische Gesetzgeber die tragende Rolle von Whistleblowern für den Erhalt einer fairen und transparenten Gesellschaft an – ebenso wie die Tatsache, dass Hinweisgeber in Unternehmen aufgrund ihres Engagements oftmals Repressalien ausgesetzt sind. Explizit formuliert ist dies gleich in Absatz 1 der Einleitung zur EU Whistleblower Richtlinie.
EU Whistleblower Richtlinie, Einleitung, Absatz 1
„Personen, die für eine öffentliche oder private Organisation arbeiten oder im Rahmen ihrer beruflichen Tätigkeiten mit einer solchen Organisation in Kontakt stehen, nehmen eine in diesem Zusammenhang auftretende Gefährdung oder Schädigung des öffentlichen Interesses häufig als Erste wahr. Indem sie Verstöße gegen das Unionsrecht melden, die das öffentliche Interesse beeinträchtigen, handeln diese Personen als Hinweisgeber und tragen entscheidend dazu bei, solche Verstöße aufzudecken und zu unterbinden. Allerdings schrecken potenzielle Hinweisgeber aus Angst vor Repressalien häufig davor zurück, ihre Bedenken oder ihren Verdacht zu melden. In diesem Zusammenhang wird sowohl auf Unionsebene als auch auf internationaler Ebene zunehmend anerkannt, dass es eines ausgewogenen und effizienten Hinweisgeberschutzes bedarf.“
Die neue Richtlinie zielt darauf ab, Whistleblower europaweit wirksam gegen Repressalien zu schützen. Wer den Mut hat Missstände in Unternehmen aufzudecken, soll beruflich keine Degradierungen, Mobbing oder gar die Kündigung befürchten müssen. Zudem dürfen Whistleblower gemäß EU-Richtlinie künftig weder zivil- noch straf- oder verwaltungsrechtlich für das Offenlegen von Rechtsverstößen und Missständen belangt werden. Die Neuregelungen sollen dazu beitragen, dass Zuwiderhandlungen gegen geltendes EU-Recht verstärkt aufgedeckt werden. Damit dies gelingt, werden Unternehmen zum Aufbau sicherer und vertraulicher Meldesysteme verpflichtet.
Erfahren Sie mehr über die neue EU Whistleblower Richtlinie: In unserem Webinar "Whistleblowing 101" sprechen wir ausführlich darüber, wie Sie sich am besten vorbereiten.
Welche Anforderungen stellt die neuen Whistleblower Richtlinie an Unternehmen?
Die neue Hinweisgeberrichtlinie verpflichtet Unternehmen zur Einrichtung eines geeigneten internen Meldekanals. Um das primäre Schutzziel zu erreichen, sind folgende Voraussetzungen zu erfüllen:
- Das System muss die Vertraulichkeit der Identität des Hinweisgebers wahren.
- Der Meldekanal hat geschützt und sicher zu sein.
- Personenbezogene Daten sind DSGVO-konform zu verarbeiten.
- Die vorgeschriebenen Bearbeitungs- und Rückmeldefisten gegenüber dem Hinweisgeber müssen eingehalten werden (Eingangsbestätigung spätestens nach sieben Tagen).
- Unternehmen müssen alle Stakeholder über die Meldemöglichkeiten und den Meldeprozess informieren. Die Informationen müssen leicht zugänglich und verständlich aufbereitet sein.
Warum sieht die Richtlinie parallel auch externe Meldekanäle vor und was bedeutet dies für Unternehmen?
Da immer die Möglichkeit besteht, dass Unternehmen, Organisationen oder öffentliche Institutionen die Vorgaben zur Einrichtung interner Meldekanäle nicht oder nur in unzureichender Form erfüllen, sieht die EU Richtlinie zusätzlich externe Meldekanäle vor. Diese sind von den Mitgliedsstaaten einzurichten und mit angemessenen Ressourcen zu versehen. Angesiedelt sein könnten externe Meldekanäle beispielsweise bei der Staatsanwaltschaft oder der Polizei.
Gut zu wissen: Die EU Whistleblower Richtlinie räumt internen Meldekanälen in Artikel 7 Absatz 2 explizit den Vorrang vor externen Kanälen ein, sofern „intern wirksam gegen den Verstoß vorgegangen werden kann und der Hinweisgeber keine Repressalien fürchtet“. Es ist daher im Interesse der Unternehmen, ein im Sinne des Gesetzgebers möglichst gut funktionierendes Hinweisgebersystem zu installieren. Andernfalls laufen sie Gefahr, dass Verstöße sofort extern bekanntgemacht und von offiziellen Stellen verfolgt werden. Mit entsprechend hohen Risiken für die eigene Reputation und das Image des Unternehmens.
Welche Unternehmen müssen die EU Hinweisgeberrichtlinie erfüllen?
Für Unternehmen, die 250 und mehr Beschäftigte haben, gilt die neue EU Richtlinie seit dem 17. Dezember 2021. Im Prinzip, denn der Deutsche Bundestag hat das bereits ausgearbeitete Hinweisgeberschutzgesetz bisher nicht verabschiedet und in Kraft gesetzt. Daher gibt es aktuell weder staatliche Kontrollen noch Sanktionen gegen Unternehmen, die keine Meldekanäle aufgebaut und die geforderten Maßnahmen zum Schutz von Hinweisgebern nicht umgesetzt haben. Im Fall der Fälle könnten Whistleblower ihre Rechte aber schon jetzt vor Gericht einklagen.
Eine längere Übergangsfrist gewährt die EU Whistleblower Richtlinie Unternehmen mit mehr als 50 und weniger als 250 Beschäftigten. Diese Betriebe haben für die Einführung von Meldekanälen und Maßnahmen zum Hinweisgeberschutz bis zum 17. Dezember 2023 Zeit. Darüber hinaus gilt die Richtlinie auch für Finanzdienstleister jeder Größenordnung sowie für Institutionen des öffentlichen Sektors und für Gemeinden mit mehr als 10.000 Bewohnern.
Welche Verstöße sollen gemeldet werden?
Im Fokus hat die EU Whistleblower Richtlinie in erster Linie das EU-Recht. Vor allem geht es um Verstöße in folgenden Bereichen und gegen folgende Vorschriften:
- Öffentliches Auftrags- und Vergabewesen
- Finanzdienstleistungen und Versicherungen
- Geldwäsche und Terrorismusfinanzierung
- Verbraucherschutz und Produktsicherheit
- Datenschutz
- Umweltschutz
- Wettbewerbs- und Beihilferecht
Den Mitgliedsstaaten steht es allerdings frei, in der nationalen Gesetzgebung über das EU-Recht hinauszugehen und auch Verstöße gegen nationales Recht einzubeziehen. So sieht das noch nicht verabschiedete deutsche Hinweisgeberschutzgesetz (HinSchG) einen generellen Schutz für Hinweisgeber vor, die erhebliches Fehlverhalten melden, dessen Aufdeckung von besonderem öffentlichem Interesse ist.
Wie gelingt die Umsetzung, welche internen Meldekanäle erfüllen die Anforderungen der EU Richtlinie?
Auf diese Frage gibt es nicht die eine richtige Antwort. Viele Wege können zum Erfolg führen. Zudem ist es möglich und zulässig, mehrere Meldekanäle parallel aufzubauen. Wichtig ist am Ende nur, dass die Identität des Hinweisgebers und womöglich genannter Dritter vertraulich bleibt. Dafür bedarf es einer zentralen und unabhängigen Ansprechperson, welche die Meldungen bearbeitet – dies kann zum Beispiel der externe Datenschutzbeauftragte sein. Zudem sollte das System rund um die Uhr verfügbar und gegen unbefugte Zugriffe geschützt sein sowie Dialogmöglichkeiten eröffnen: je nach Unternehmensstruktur mehrsprachig.
Meldekanäle wie der klassische Briefkasten oder ein E-Mail-Postfach kommen als Umsetzungslösung prinzipiell infrage, sind bei genauerer Betrachtung aber wenig geeignet. Beispiel Whistleblower Briefkasten: Wer hier etwas einwirft, könnte beobachtet werden. Die Meldung erreicht den Empfänger mit zeitlichem Verzug und Dialogmöglichkeiten sind nicht gegeben. Ähnlich sieht es bei einem E-Mail-Postfach aus. Auch hier ist die Anonymität der Meldenden gefährdet und ein sicherer Austausch von Informationen und Dokumenten nur bedingt umsetzbar. Externe Möglichkeiten wie ein von Dritten betriebenes Call-Center oder ein Ombudsmann als Ansprechpartner sind dagegen recht kostspielige und nicht in die unternehmenseigenen Strukturen eingebundene Alternativen.
DataGuard empfiehlt deshalb den Aufbau eines digitalen Hinweisgebersystems. Konkret arbeiten wir dafür mit unserem Partner EQS zusammen und installieren ein cloudbasiertes Whistleblowing-System namens Integrity Line. Die Vorteile dieser Lösung:
- 24/7 und weltweit verfügbar für die Aufnahme und Bearbeitung von Hinweisen
- Sichere Verschlüsselung
- Dialogfähige Kommunikation
- Spart Zeit und Geld
- 100 % EU-Richtlinien-konform
Fazit: Was sollten Unternehmen nun tun?
An einem internen Whistleblower System führt schon bald kein Weg mehr vorbei. Sofern noch nicht geschehen, sollten sich Unternehmen daher besser heute als morgen mit dem Thema beschäftigen und aktiv werden. Schon aus Eigeninteresse: Denn Hinweisgebersysteme sind ein sehr effektives Instrument, um Verstöße und Verdachtsfälle im Unternehmen frühzeitig zu erkennen. Dies ist die Voraussetzung, um Verstöße proaktiv aufdecken zu können und das Heft des Handelns in der Hand zu behalten. Kurz: Mit einem professionellen Hinweisgebersystem stärken Sie das Vertrauen aller Stakeholder in die Integrität und Handlungsfähigkeit Ihres Unternehmens.