Now loading.
Please wait.

menu

 DEUTSCH | ENGLISH | 中文 

Sie sind hier: Aktuelles / Mandanteninformationen  / detail

Mandanteninformation

Auswirkungen der neuen Whistleblower-Richtlinie

Mandanteninformation - 


Bereits jetzt verfügen zahlreiche Unternehmen über interne Melde-Kanäle für Whistleblower. Für eine Vielzahl juristischer Personen des privaten und des öffentlichen Sektors sollen die Einrichtung eines Whistleblower-Meldekanals für Verstöße gegen bestimmte Gebiete des Unionsrechts und die Ergreifung von Maßnahmen zum Schutz der Hinweisgeber künftig verpflichtend werden. Im Dezember 2019 ist die EU-Richtlinie zum Schutz von Personen in Kraft getreten, die Verstöße gegen das Unionsrecht melden (EU-RL 2019/1937; "Whistleblower-RL"; im Folgenden "WBRL"). Den Mitgliedsstaaten bleibt nun bis zum 17. Dezember 2021 Zeit, die Vorgaben in nationales Recht umzusetzen. Ein Gesetzesentwurf liegt noch nicht vor. Er wird im Herbst 2020 erwartet. Die betroffenen Unternehmen sollten frühzeitig beginnen, sich auf die neue Gesetzeslage vorzubereiten.

1. Sachlicher Anwendungsbereich der Richtlinie

Mit Umsetzung der WBRL schaffen die Mitgliedsstaaten europaweit einen Schutz für Hinweisgeber. Die Richtlinie gibt den Mitgliedsstaaten allerdings keinen generellen Schutz von Hinweisgebern auf, sondern beschränkt sich auf den Schutz bei Hinweisen auf Verstöße gegen in der Richtlinie katalogmäßig aufgelistete Vorschriften des Unionsrechts, vor allem in den Bereichen öffentliches Auftragswesen, Finanzdienstleistungen, Verhinderung von Geldwäsche und Terrorismusfinanzierung, Verbraucherschutz, Umweltschutz, Produktsicher­heit und Verstöße gegen die finanziellen Interessen der EU (etwa durch Korruption zulasten der EU) oder gegen europäisches Wettbewerbs- und Beihilferecht. Hinweise auf Verstöße gegen nationales Recht der Mitgliedsstaaten werden durch die Richtlinie nicht geschützt. Der europäische Gesetzgeber hat Regelungskompetenz nur zum Schutz von Hinweisgebern, die die Verletzung von europäischem Recht melden wollen.

Nach Presseinformationen hat das SPD-ge­führte Bundesministerium für Justiz und Verbraucherschutz das Ziel, einen einheitlichen und über den Schutz der Richtlinie hinausgehenden Hinweisgeberschutz zu schaffen, während das CDU-geführte Bundesministerium für Wirtschaft und Energie offenbar präferiert, sich auf die Umsetzung der Richtlinie zu beschränken, also keinen allgemeinen Hinweisgeberschutz einzuführen. Ein auf das europäische Recht beschränkter Hinweisgeberschutz würde auf der engen Linie liegen, die der deutsche Gesetzgeber auch beim Hinweisgeberschutz nach § 5 Nr. 2 des Geschäftsgeheimnisgesetzes verfolgt hat. Der Hinweisgeber müsste, um den gesetzlichen Schutz in Anspruch nehmen zu können, im Einzelfall prüfen, ob der Rechtsverstoß, den er melden will, zu den katalogmäßig aufgeführten Rechtsakten der EU gehört.

Den Gesellschaften ist unbenommen, für das eigene Unternehmen einen weitergehenden oder allgemeinen Hinweisgeberschutz einzurichten (so die Empfehlung in Ziffer A.2 des Deutschen Corporate Governance Kodex für börsennotierte Gesellschaften). Dies kann sich auch empfehlen, etwa wenn die Konzerngesellschaften in einigen Mitgliedsstaaten aufgrund einer anderen Umsetzung der Richtlinie ohnehin einen allgemeinen Hinweisgeberschutz einführen müssen. Einen begründeten Hinweis auf einen Verstoß gegen nationales Recht könnte das Unternehmen zudem ohnedies nicht mit dem Argument unbearbeitet lassen, dass kein Verstoß gegen europäisches Recht gerügt wird.

2. Persönlicher Anwendungsbereich der Richtlinie

Die WBRL gilt für alle Hinweisgeber, die im privaten oder öffentlichen Sektor tätig sind und im beruflichen Kontext Informationen über Verstöße gegen die Katalogrechtsakte der EU erlangen. In erster Linie sollen Arbeitnehmer geschützt werden, wenn sie Hinweise auf Rechtsverstöße geben. Schutz genießen aber z.B. auch Aktionäre, Organmitglieder, Berater oder Beschäftigte eines Lieferanten. Schließlich weitet die Richtlinie den Schutz auf die dem Hinweisgeber nahestehenden Personen aus.

Schutz genießt der Hinweisgeber schon, aber auch nur dann, wenn er hinreichenden Grund zur Annahme hat, dass die gemeldete Information über einen Verstoß der Wahrheit entspricht. Das soll missbräuchlicher Nutzung von Meldekanälen vorbeugen.

3. Pflicht zur Errichtung interner Meldekanäle

Hinweisgebersysteme sind bei börsennotierten Aktiengesellschaften bereits heute verbreitet. Ihre Einrichtung wird mit Umsetzung der Richtlinie in deutsches Recht zur gesetzlichen Pflicht. Künftig müssen alle juristischen Personen des privaten und des öffentlichen Sektors, die mindestens 50 Arbeitnehmer beschäftigen, Kanäle und Verfahren für interne Meldungen und Folgemaßnahmen einrichten. Unabhängig von der Größe müssen zudem Unternehmen bestimmter Branchen (insbesondere in den Branchen Finanzdienstleistungen, Verkehrssicherheit oder Umweltschutz) interne Meldekanäle einrichten.

Adressaten der Richtlinie sind „juristische Personen des privaten und öffentlichen Sektors“. Das führt zu der Frage, ob im Konzern ein einheitlicher Meldekanal für alle Konzernunternehmen eingerichtet werden kann oder jede Konzerngesellschaft über einen eigenen Meldekanal verfügen muss. Die Richtlinie lässt ausdrücklich zu, dass Unternehmen mit 50 bis 249 Arbeitnehmern gemeinsame Meldekanäle einrichten. Eine Konzernregelung fehlt aber. Im Ergebnis dürfte dennoch keinem Zweifel unterliegen, dass der deutsche Gesetzgeber in einem Konzern die Möglichkeit eröffnen könnte, ein konzerneinheitliches Hinweisgebersystem für alle Konzernunternehmen einzurichten, jedenfalls wenn die Konzernobergesellschaft ihren Sitz in der EU hat und das konzernweite Hinweisgebersystem den Anforderungen des deutschen Rechts genügt.

4. Ausgestaltung der internen Meldekanäle

Interne Meldekanäle können nach der WBRL sowohl innerhalb des Unternehmens von einer hierzu beauftragten Person oder Abteilung oder extern durch Dritte bereitgestellt werden. Damit entspricht die WBRL einer bereits heute verbreiteten Praxis, Whistleblower-Hotlines auf Anwaltskanzleien, Wirtschaftsprüfungsgesellschaften oder sonstige Vertrauenspersonen auszulagern. Die Person oder Abteilung, die die Meldung entgegennimmt, muss hinreichend unabhängig und frei von Interessenkonflikten sein. Die WBRL erkennt an, dass die Kosten-Nutzen-Relation zumeist nur bei größeren Unternehmen für eine Auslagerung spricht und weist in ihrer Begründung darauf hin, dass diese Aufgabe in kleineren Unternehmen durch einen Mitarbeiter in Doppelfunktion erfüllt werden könne, der direkt an die Unternehmensleitung berichte, wie etwa ein Leiter der Compliance-, der Personal- oder der Auditabteilung oder ein Datenschutzbeauftragter oder alternativ der Finanzvorstand selbst.

Die Unternehmen sollen selbst festlegen können, welche Art von Meldekanälen sie einrichten. Die Meldekanäle müssen dem Hinweisgeber die Möglichkeit geben, die Informationen entweder mündlich ("Whistleblower-Hotline"), schriftlich ("Beschwerde-Briefkasten") oder in beiden Formen zu übermitteln. Auf Wunsch des Hinweisgebers muss auch ein persönliches Treffen des Hinweisgebers mit der zuständigen Stelle im Unternehmen möglich sein.

Die Unternehmen sollen Informationen über die Meldekanäle in einer klaren und leicht zugänglichen Weise für ihre Arbeitnehmer und soweit möglich auch für Personen, die beruflich mit ihnen in Kontakt geraten, bereitstellen. Dies kann zum Beispiel durch Aushang an einer sichtbaren Stelle im Unternehmen, auf der Unternehmenswebsite oder in Ethik- oder Integritätskursen und Schulungen geschehen. Aus Sicht des Unternehmens ist es ratsam, die erforderlichen Zuständigkeiten, Strukturen und Prozesse klar und eindeutig festzulegen und in einer unternehmensweit zugänglichen Whistleblower-Richtlinie zu dokumentieren.

Ein zentrales Anliegen der WBRL ist die Wahrung der Vertraulichkeit der Identität des Hinweisgebers. Die Unternehmen müssen ihre Meldekanäle so sicher konzipieren, einrichten und betreiben, dass die Identität des Hinweisgebers und Dritter, die in der Meldung genannt werden, geschützt wird. Dies bedeutet aber nicht, dass zwingend anonyme Hinweise zulässig sein müssen. Die WBRL überlasst es den Mitgliedsstaaten, festzulegen, ob die Unternehmen auch solche Hinweise annehmen müssen. Zudem muss gewährleistet sein, dass nur befugte Mitarbeiter Zugriff auf die Meldekanäle haben. Die eingehenden Meldungen sind im Einklang mit den Vertraulichkeitspflichten zu dokumentieren.

Einem Hinweisgeber ist grundsätzlich innerhalb von sieben Tagen der Eingang seines Hinweises zu bestätigen. Der Eingang eines Hinweises löst im Unternehmen die üblichen Compliance-Pflichten aus: Auf eine Meldung hin sind Folgemaßnahmen zur Untersuchung der Stichhaltigkeit des Vorwurfs und ggf. zum Vorgehen gegen einen Gesetzes- oder sonstigen Regelverstoß zu ergreifen. Dafür müssen die Unternehmen eine unparteiische Person oder Abteilung bestimmen, wobei es sich auch um die Person oder Abteilung handeln kann, die für die Entgegennahme und Eingangsbestätigung der Meldung an den Hinweisgeber zuständig ist. In einem ersten Schritt ist eine Vor- oder Plausibilitätsprüfung durchzuführen. Rein mündliche Hinweise von anonym bleibenden Hinweisgebern sind dabei besonders intensiv zu plausibilisieren. Herauszufiltern sind insbesondere Fälle des bloßen „Anschwärzens“, Bagatellfälle und Sachverhalte, die sich unschwer aufklären lassen, etwa durch Nachfrage bei der Personalabteilung. Erhärtet sich der Verdacht im Rahmen der Vorprüfung, ist ggf. eine interne Untersuchung durchzuführen. Jedenfalls empfehlenswert ist eine umfassende Dokumentation der unternommenen Untersuchungsmaßnahmen, um erforderlichenfalls vor Gericht nachweisen zu können, dass jeder Information angemessen nachgegangen wurde.

Innerhalb eines angemessenen zeitlichen Rahmens, der den Zeitraum von drei Monaten nicht überschreiten darf, muss das Unternehmen dem Hinweisgeber eine Rückmeldung über die ergriffenen Folgemaßnahmen erteilen. Die Frist beginnt mit der Eingangsbestätigung der Meldung. Ist eine solche nicht ergangen, beginnt sie sieben Tage nach Eingang der Meldung. Zudem müssen dem Hinweisgeber klare und leicht zugängliche Informationen über die Verfahren für externe Meldungen an die zuständigen Behörden und ggf. an Organe, Einrichtungen oder sonstige Stellen der EU erteilt werden.

5. Externer Meldekanal

Neu wird in der EU sein, dass die Mitgliedsstaaten zusätzlich einen externen behördlichen Meldekanal schaffen müssen. Jeder Mitgliedsstaat muss Hinweisgebern die Möglichkeit geben, den externen Meldekanal unmittelbar, also ohne vorherige Meldung über den internen Meldekanal zu nutzen. Aber auch bei vorheriger Meldung über den internen Meldekanal muss noch die externe Meldung möglich bleiben. Der europäische Gesetzgeber hält die Mitgliedsstaaten allerdings an, Anreize zur vorrangigen Nutzung des internen Meldekanals in Betracht ziehen.

Der externe Meldekanal wird die Stellung von Hinweisgebern in der EU deutlich verändern. Unternehmen müssen befürchten, dass Hinweisgeber, die sich nicht ernst genommen fühlen, gleich oder zusätzlich den externen Meldekanal nutzen und damit den Arbeitsaufwand für die Erledigung des Hinweises erhöhen. Zudem löst die Nutzung des externen Meldekanals Pflichten der zuständigen Behörde aus: Sie muss die Stichhaltigkeit der in der Meldung erhobenen Behauptungen prüfen und, wenn sie gegeben ist, entscheiden, welche weiteren Nachforschungen, Ermittlungen, Strafverfolgungsmaßnahmen und Maßnahmen zur (Wieder-)Einziehung von Mitteln sie ergreift. Die Behörde hat Informationspflichten gegenüber dem Hinweisgeber und muss den gemeldeten Hinweis ggf. an die zuständigen Behörden, also etwa Steuer- oder Strafverfolgungsbehörden weitergeben.

Schwierige Fragen werden sich stellen, wenn über den externen Meldekanal Verstöße gegen Vorschriften gemeldet werden, die gar nicht in den Anwendungsbereich der auf das europäische Recht konzentrierten Richtlinie fallen: Kann sich die deutsche Meldestelle dann darauf beschränken, eine Bearbeitung gegen einen klar erkennbaren Verstoß gegen – beispielsweise – steuerrechtliche Vorschriften abzulehnen, oder wird sie die deutschen Steuerbehörden unterrichten müssen?

6. Verhältnis zu Datenschutzbestimmungen

Die Verarbeitung sämtlicher Daten, sowohl solcher, die den Hinweisgeber betreffen, als auch solcher, die etwaige beschuldigte Personen betreffen, hat in Einklang mit den geltenden Vorschriften zum Datenschutz, insbesondere der Datenschutzgrundverordnung ("DSGVO"), zu erfolgen. Die DSGVO begründet insbesondere die Verpflichtung, ein Löschkonzept zu erarbeiten und anzuwenden. Hierbei muss das Spannungsverhältnis zwischen den Vorgaben der WBRL und der DSGVO einerseits und dem Interesse der Unternehmen an einer möglichst langfristigen Archivierung der Vorgänge, um die Erfüllung von Compliance-Pflichten nachweisen zu können, austariert werden.

Das Spannungsverhältnis zwischen Hinweisgeberschutz und Datenschutz tritt besonders deutlich zutage, wenn man die neuen Regeln zur Unterrichtung des Hinweisgebers in das Blickfeld nimmt. Insbesondere wenn sich der Verstoß nicht als begründet erweist oder der Sachverhalt das Persönlichkeitsrecht der durch den Hinweisgeber beschuldigten Person stark berührt, wird besondere Zurückhaltung geboten sein, bei der Unterrichtung des Hinweisgebers von personenbezogenen Daten der beschuldigten Personen Gebrauch zu machen.

7. Verbot von Repressalien

Ein Grundanliegen der WBRL besteht darin, Hinweisgeber zu incentivieren, Anhaltspunkte für Rechtsverstöße aufzudecken und dadurch größere Schäden für Unternehmen und Allgemeinheit zu verhindern. Aktuell schrecken potentielle Hinweisgeber aus Angst vor Nachteilen häufig davor zurück, ihre Bedenken oder ihren Verdacht mitzuteilen. Daher gibt die Richtlinie vor, dass Hinweisgeber, aber auch weitere Personen wie Mittler, Kollegen oder Verwandte eines Hinweisgebers, vor Repressalien zu schützen sind. Dies gilt für alle Unternehmen unabhängig von ihrer Größe. Unter den Begriff der Repressalie fällt eine Reihe verschiedener Maßnahmen, die die geschützte Person aufgrund der Meldung ereilen können. Unter anderem sind Disziplinarmaßnahmen, Kündigungen, die Versagung von Beförderungen oder Aufgabenverlagerungen aufgrund einer Meldung unzulässig. Das Unternehmen trifft in gerichtlichen oder behördlichen Verfahren, die die Benachteiligung eines Hinweisgebers zum Gegenstand haben, die Beweislast, dass die Verhängung einer solchen Maßnahme keine Repressalie für eine Meldung oder Offenlegung war, wenn dies vom Hinweisgeber geltend gemacht wird. Diese Beweislastumkehr könnte einen faktischen Kündigungsschutz für Whistleblower zur Folge haben.

8. Sanktionen und Schadensersatz

Die WBRL sieht außerdem vor, dass die Mitgliedsstaaten wirksame Sanktionen festlegen müssen, unter anderem gegen natürliche und juristische Personen, die Meldungen behindern, Repressalien ergreifen oder gegen die Pflicht verstoßen, die Vertraulichkeit der Identität zu wahren. Darüber hinaus soll Hinweisgebern, die Repressalien ausgesetzt worden sind, ein Anspruch auf Schadensersatz zustehen.

9. Handlungsbedarf der Unternehmen

Die WBRL muss zwar erst noch durch den deutschen Gesetzgeber umgesetzt werden. Drei Punkte sollten in Unternehmen schon jetzt berücksichtigt werden:

  • In grenzüberschreitenden Unternehmensgruppen ist darauf zu achten, dass die Umsetzung der WBRL in den jeweiligen Ländern zu unterschiedlichen Zeitpunkten erfolgen kann. Jedenfalls wenn ein konzerneinheitliches Hinweisgebersystem eingerichtet werden soll, bedarf es schon jetzt einer Abstimmung auf die Umsetzungen in den einzelnen Mitgliedsstaaten.
  • Unternehmen, die über kein Hinweis­gebersystem verfügen, sollten spätestens im Spätsommer die Vorbereitungen aufnehmen.
  • Die Richtlinie zeigt, welchen Stellenwert das europäische Recht dem Datenschutz im Zusammenhang mit Hinweisgebersystemen beimisst. Es kann sich empfehlen, auch bestehende Hinweisgebersysteme unter dem Aspekt des Datenschutzes zu überprüfen.

 

Diese Mandanteninformation beinhaltet lediglich eine unverbindliche Übersicht über das in ihr adressierte Themengebiet. Sie ersetzt keine rechtliche Beratung. Als Ansprechpartner zu dieser Mandanten­information und zu Ihrer Beratung stehen gerne zur Verfügung:

Christian Gehling
Dr. Nicolas Ott
Dr. Cäcilie Lüneborg

DATEIEN:
20-07-07_SZA_Mandanteninformation_Whistleblower-Richtlinie.pdf 140 KB