Home
Intern
veröffentlicht am 10. Dezember 2019
Die effektive Möglichkeit, Hinweise auf Rechtsverstöße zu geben, wird schon lange als wichtiger Baustein einer funktionierenden Compliance angesehen. Im Jahr 2017 wurde ein entsprechender Passus in den Deutschen Corporate Governance Kodex aufgenommen. Mehr und mehr hat sich die Einsicht durchgesetzt, dass das Funktionieren eines Whistleblowings maßgeblich davon abhängt, welchen Schutz ein Whistleblower vor persönlichen Risiken hat. Diesen Schutz soll die „Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden” – die sogenannte Whistleblowing-Richtlinie – EU-weit einheitlich herstellen. Am 7.10.2019 hat der Rat der Europäischen Union die neuen Vorschriften nun verabschiedet. Die Mitgliedstaaten haben ab der Veröffentlichung der Richtlinie im Amtsblatt der EU 2 Jahre Zeit, die Richtlinie in das eigene nationale Recht umzusetzen.
„Demokratie braucht Whistleblower – und muss sie schützen”, so titelte die Süddeutsche Zeitung im Oktober 2019 einen Kommentar zu der vorliegenden Richtlinie. Beispiele für Menschen, die Probleme offenlegten und dafür einen hohen persönlichen Preis zahlen mussten, finden sich von der griechischen Mythologie bis in die Gegenwart. Edward Snowden dürfte derzeit das prominenteste Beispiel sein. Da die Offenlegung eines Rechtsverstoßes für den Arbeitgeber des Betreffenden meist mit negativen Konsequenzen verbunden ist, ist es naheliegend, dass potenzielle Whistleblower das Risiko fürchten, im Anschluss an die Offenlegung Repressalien seitens des Arbeitgebers ausgesetzt zu sein.
Nach der bisherigen Rechtslage bestand kein spezifischer Schutz von Hinweisgebern vor solchen Repressalien. Durch die neuen Vorschriften sollen Whistleblower künftig besser vor Entlassungen, Degradierungen und sonstigen Diskriminierungen geschützt und ihnen damit ein Anreiz gegeben werden, Gesetzesverstöße tatsächlich zu melden. In der Richtlinie ist zudem eine Liste mit unterstützenden Maßnahmen enthalten, zu denen Hinweisgeber Zugang haben müssen.
In den Anwendungsbereich der Whistleblower-Richtlinie fallen lediglich Meldungen von Verstößen gegen Unionsrecht in bestimmten Bereichen. Hierzu zählen unter anderem das öffentliche Auftragswesen, Finanzdienstleistungen, die Verhütung von Geldwäsche, Produkt- und Verkehrssicherheit, Umweltschutz, öffentliche Gesundheit sowie der Verbraucher- und Datenschutz. Der Schutz des Hinweisgebers ist daher auf bestimmte Sachgebiete begrenzt. Die Mitgliedsstaaten haben jedoch die Möglichkeit, im Rahmen der nationalen Umsetzung den Anwendungsbereich zu erweitern, beispielsweise auf Meldungen von Verstößen gegen nationales Recht.
Geschützt werden durch die Vorschriften neben Mitarbeitern auch Beamte, Freiwillige, Praktikanten, Bewerber, ehemalige Mitarbeiter, Unterstützer des Hinweisgebers sowie Journalisten.
Die Richtlinie bringt im Wesentlichen folgende Neuerungen:
Die Verpflichtung zur Einrichtung zuverlässig funktionierender interner Meldekanäle trifft grundsätzlich juristische Personen des privaten sowie des öffentlichen Sektors. Betroffen sind dabei private Unternehmen mit mehr als 50 Beschäftigten sowie Gemeinden mit mehr als 10.000 Einwohnern. Damit dürften – nachdem die Umsetzung in nationales Recht erfolgt sein wird – auch die meisten Organisationen in der Gesundheits- und Sozialwirtschaft von dieser Pflicht betroffen sein. Durch die Schaffung interner Kanäle soll für den Hinweisgeber die Möglichkeit geschaffen werden, zunächst intern Meldung zu erstatten, statt sich unmittelbar an Behörden oder die Öffentlichkeit zu wenden.
Im großen Streitpunkt – der Hierarchie der Meldesysteme – hat man sich nun für ein zweistufiges System entschieden. Auf der ersten Stufe haben die Hinweisgeber grundsätzlich ein Wahlrecht, ob sie sich zunächst an eine unternehmensinterne Stelle oder an externe Behörden wenden. Zwar wird ihnen empfohlen, zunächst die internen Meldekanäle zu verwenden, der Schutz kommt ihnen jedoch auch bei sofortiger Inanspruchnahme externer Stellen zu. Erst auf einer zweiten Stufe und nur in bestimmten Fällen ist dann eine Offenlegung gegenüber der Öffentlichkeit vorgesehen.
Meldungen können persönlich, schriftlich, über ein Online-System, telefonisch oder auch an einen Ombudsmann erfolgen. Die Einrichtung eines internen Meldesystems bedeutet nicht, dass dieses auch ausschließlich durch das Unternehmen selbst betrieben werden muss, hierfür kann vielmehr auch ein Dritter eingeschaltet werden. Das Meldesystem muss jedoch stets die Vertraulichkeit der Identität des Whistleblowers schützen. Zudem müssen Unternehmen leicht verständliche, transparente und zugängliche Informationen zum Meldeverfahren bereitstellen.
Innerhalb von 7 Tagen nach Eingang der Meldung muss dies gegenüber dem Hinweisgeber bestätigt werden. Die Unternehmen und Behörden müssen dann innerhalb von 3 Monaten auf die Meldung reagieren und den Whistleblower über den aktuellen Stand und die eingeleiteten Maßnahmen informieren. Für externe Kanäle kann diese Frist in ausreichend begründeten Fällen auf 6 Monate verlängert werden.
Nach der Richtlinie haben die Mitgliedsstaaten zudem „angemessene und abschreckende Sanktionen” festzulegen, u. a. für den Fall der Behinderung von Meldungen oder dem Verstoß gegen die Pflicht zur Wahrung der Identität von Hinweisgebern. Ebenso sind aber auch Sanktionen für Hinweisgeber vorgesehen, die wissentlich falsche Informationen gemeldet oder offengelegt haben.
Die Mitgliedsstaaten müssen die Richtlinie innerhalb von 2 Jahren in nationales Recht umgesetzt haben. Sie haben dabei auch die Möglichkeit, einen über den durch die EU-Richtlinie gewährleisteten Mindeststandard hinausgehenden Schutz für Whistleblower zu schaffen. So sollte insbesondere der Schutzbereich möglichst weit gefasst werden und auch Meldungen von Verstößen gegen nationales Recht umfassen.
Es empfiehlt sich vor diesem Hintergrund, den weiteren Prozess der nationalen Umsetzung aufmerksam zu beobachten und sich bereits frühzeitig um eine Umsetzung der neuen Pflichten zu kümmern. Als Möglichkeit für den Nachweis eines unternehmenseigenen Meldesystems kommen u. a. extern beauftragte Rechtsanwälte infrage. Sie dürften aufgrund ihrer berufsrechtlichen Schweigepflicht aus Sicht des Whistleblowers ein hohes Vertrauen genießen und werden ja auch heute schon häufig als Ombudsmann oder -frau im Rahmen von Compliance Management Systemen beauftragt.
Christoph Naucke
Betriebswirt (Berufsakademie), Zertifizierter Compliance Officer, Datenschutzbeauftragter DSB-TÜV, Prüfer für Interne Revisionssysteme (DIIR), Datenschutzauditor (TÜV), IT-Auditor IDW
Associate Partner
Anfrage senden
Nathalie Meyer
Rechtsanwältin
