EU-Richtlinie
Das EU-Parlament hat am 16.04.2019 die „Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ (2018/0106 COD), auch kurz als „Whistleblower-Richtlinie“ bezeichnet, beschlossen. Sie muss nun noch von den EU-Ministern verabschiedet werden. Die Whistleblower-Richtlinie soll einen EU-weiten Mindeststandard zum Schutz von Informanten festlegen, die EU-Rechtsverstöße zum Beispiel in den Bereichen öffentliches Auftragswesen, Finanzdienstleistungen, Geldwäsche, Produkt- und Verkehrssicherheit sowie Verbraucher- und Datenschutz melden.
© Adobe StockDie Richtlinie gewährt diesen Schutz nicht unmittelbar, sondern sie muss durch die nationalen Gesetzgeber in nationales Recht umgesetzt werden. Für die Umsetzung haben die jeweiligen Länder zwei Jahre Zeit, sodass mit einer nationalen Gesetzgebung bis Mitte 2021 zu rechnen ist. Aktuell liegt noch kein entsprechender Gesetzesentwurf vor. Dementsprechend kann noch keine Aussage über die deutsche Umsetzung getroffen werden. Da Hinweissysteme als Rückkanal von Compliance-Systemen zur Meldung von Beobachtungen jedoch bereits breitflächig implementiert wurden bzw. aktuell implementiert werden, kann es dennoch bereits sinnvoll sein, einen Blick auf die EU-Richtlinie und die von ihr vorgegebenen Mindeststandards für interne Meldewege zu werfen.
Zentraler Inhalt der Richtlinie
Kernpunkt der Richtlinie sind drei mögliche Meldewege für potenzielle EU-Rechtsverstöße und die Verpflichtung für Unternehmen (interne Meldung) und Behörden (externe Meldung) entsprechende Meldekanäle einzurichten. Dabei sollen eingehende Hinweise durch geeignete Folgemaßnahmen, z.B. mittels interner Sonderuntersuchung, die die Stichhaltigkeit des Hinweises prüfen und gegebenenfalls den Verstoß abstellen, bearbeitet und die Hinweisgeber über die Folgemaßnahmen unterrichtet werden. Ein Hinweisgeber kann sich dabei frei zwischen dem internen und externen Hinweisgebersystem entscheiden oder beide Systeme nutzen. Wenn nach einem solchen Hinweis keine Maßnahmen ergriffen werden, ist die Veröffentlichung des Hinweises, als dritter Meldeweg, gestattet. Für die Folgemaßnahmen sieht die Richtlinie in der Regel eine Frist von drei Monaten vor, die bis zu sechs Monate ausgedehnt werden kann. Eine direkte Veröffentlichung des Hinweises ist nur dann vorgesehen, wenn der gemeldete Verstoß eine unmittelbare oder offenkundige Gefährdung des öffentlichen Interesses darstellen kann, z.B. bei Gefahr von irreversiblen Schäden, wenn für den Hinweisgeber Repressalien zu befürchten sind oder nur geringe Aussichten besehen, dass wirksam gegen den Verstoß vorgegangen wird, weil z. B. die Vernichtung von Beweismitteln droht oder die entgegennehmende Behörde selbst an dem Verstoß beteiligt ist.
Die Verpflichtung, ein Meldesystem einzuführen, gilt nach der Richtlinie für Unternehmen ab einer Mindestgröße von 50 Beschäftigten oder einem Jahresumsatz von mehr als 10 Mio. Euro sowie Unternehmen aus dem Finanzdienstleistungsbereich und für Unternehmen, die für Geldwäsche- oder Terrorismusfinanzierungstätigkeiten anfällig sind. Für Unternehmen mit weniger als 250 Beschäftigten besteht die Möglichkeit sich die Ressourcen, also das Personal und/oder die Infrastruktur, die für die Hinweisentgegennahme und die Untersuchung der Meldungen notwendig sind, zu teilen.
Die Richtlinie bezieht sich auf Verstöße gegen EU-Recht, kann aber von den Mitgliedstaaten auch auf nationales Recht ausgedehnt werden. Für Unternehmen ist es sinnvoll das Hinweissystem auch für interne Regel- oder Ethikverstöße, zum Beispiel gegen den betriebsinternen Verhaltenskodex, anzuwenden.
Das interne Meldesystem ist so zu organisieren, dass die Identität des Hinweisgebers geschützt und alle eingegangenen Meldungen dokumentiert werden. Es sollen dabei schriftliche Meldungen (elektronisch oder auf Papier) oder mündliche Übermittlung per Telefon sowie die Meldung im Rahmen eines persönlichen Treffens möglich sein.
Ferner sollen Schutzmaßnahmen vorgesehen werden, die Entlassungen, Degradierungen, Einschüchterungen oder ähnliche Angriffe gegen die Hinweisgeber verhindern. Um dies zu garantieren ist zum Beispiel eine Beweislastumkehr zugunsten des Hinweisgebers vorgesehen. Neben dem Hinweisgeber sind auch Unterstützer des Hinweisgebers, wie zum Beispiel Mittelsmänner, Kollegen oder Verwandte zu schützen. Dieser Schutz greift allerdings nur ein, wenn der Hinweisgeber den vorgeschrieben Meldeweg eingehalten hat. Kein Schutz wird gewährt, wenn der Hinweisgeber Stellen im Unternehmen, die nicht Meldestelle sind, den Verstoß gemeldet hat. Um einen Missbrauch zu vermeiden, wird dieser Schutz ebenfalls nicht gewährt, wenn der Hinweisgeber bei der Meldung keinen hinreichenden Grund zu der Annahme hat, dass der von ihm gemeldete Sachverhalt der Wahrheit entspricht. Zudem sind den Hinweisgebern umfassende und unabhängige Informationen über Berichtswege, alternative Verfahren sowie weitere Hilfestellungen zur Verfügung zu stellen.
Dem deutschen Gesetzgeber obliegt nun die Ausgestaltung dieses Meldesystems und die Festlegung der den Arbeitgeber treffenden Sanktionen, wenn dieser gegen die Pflicht zum Schutz der Identität des Whistleblowers verstößt oder keine geeigneten Folgemaßnahmen nach Meldung eines potenziellen EU-Rechtsverstoßes einleitet. Diese Sanktionen haben „angemessen und abschreckend“ zu sein. Dies bestimmt sich, nach dem Verhältnismäßigkeitsgrundsatz des jeweiligen Landes.
Aktuelle Situation
Aktuell sind die Hinweisgebersysteme sehr heterogen ausgeprägt und erstrecken sich von einer Person/Stelle als Ansprechpartner (zum Beispiel Compliance Officer, Korruptionsbeauftragter oder Ombudsmann), bzw. externe Ombudsmänner (zum Beispiel externe Rechtsanwälte) über elektronische oder analoge Briefkästen mit entsprechenden Softwarelösungen, bis hin zu Hinweisgebersystemen „as a Service“ von externen Dienstleistern. Diese Systeme werden dann wahlweise nur für die eigenen Mitarbeiter und/oder für externe Personen, also zum Beispiel Lieferanten und Kunden, bereitgestellt.
Für Hinweise an die Öffentlichkeit stehen in Deutschland mehrere Wege offen. Von unterschiedlichen Verlagen und Vereinigungen werden zum Beispiel bereits Hinweisgebersysteme im Darknet betrieben, die eine anonyme Übergabe von Informationen mit umfangreichen Datenbeständen erlauben. Um dies Nutzen zu können, müssen zunächst jedoch einige technische Hürden überwunden werden, wie beispielsweise die Installation eines speziellen Web-Browsers und einer entsprechenden Einstellung, womit diese Systeme wahrscheinlich nicht den Anforderungen an eine freie Zugänglichkeit entsprechen.
Neben der Whistleblower-Richtlinie hat die Funktion des Whistleblowers erstmals in dem neuen Gesetz zum Schutz von Geschäftsgeheimnissen, das am 26.04.2019 in Kraft trat, Einzug in ein deutsches Gesetz gefunden. Danach dürfen Geschäftsgeheimnisse unter bestimmten Bedingungen, zum Beispiel bei Gesetzesverstößen, veröffentlich werden: Eine Regelung, die Gerichten künftig hilft Whistleblowing besser zu bewerten.
Fazit
Es ist schon jetzt abzusehen, dass einige der bereits existierenden Hinweisgebersysteme den neuen Anforderungen nicht entsprechen und künftig angepasst werden müssen.
Unternehmen, die bereits über ein funktionierendes Hinweisgebersystem verfügen, sollten mit ihrer Anpassung auf die Umsetzung der Richtlinie durch die nationalen Gesetzgeber warten. Unternehmen, die noch kein Hinweisgebersystem implementiert haben, sollten die Mindeststandards bei der Einführung eines entsprechenden Systems schon jetzt in ihrer Planung und Auswahl mitberücksichtigen.
Aufgrund der zentralen Bedeutung eines internen Kommunikationskanals zur Meldung von Straftaten und Ethikverstößen, empfehlen wir die Einführung von Hinweisgebersysteme nicht aufgrund der aktuell noch offenen Rechtslage zu verzögern.
Da externe Personen nicht verpflichtet werden auf die internen Meldekanäle eines Unternehmens zurückzugreifen sollten die Meldekanäle für externe möglichst einfach erreichbar sein, damit diese genutzt werden und Reputationsschäden möglichst vermieden werden können. Zudem sollten sich Unternehmen entsprechende interne anonyme Meldesysteme vorbehalten, damit nicht ausschließlich öffentliche Hinweisgebersysteme zur Verfügung stehen und potentielle Hinweisgeber aufgrund mangelnder Verfügbarkeit auf diese zurückgreifen.
