Neue EU-Verordnung tritt in Kraft

Whistleblowing Richtlinie


Hinweisgebende (engl., „whistleblowers“) in der Europäischen Union (EU) werden durch die neue Whistleblower-Richtlinie nun einheitlich geschützt. Die einzelnen Mitgliedsstaaten haben bis zum 17. Dezember 2021 Zeit, die europäischen Vorschriften in ihr jeweiliges nationales Recht umzusetzen. Die EU-Kommission hat die Mitgliedsstaaten dazu ermutigt, die Anwendungsbereiche bei der Umsetzung der Richtlinie auszudehnen, um dadurch einen umfassenderen Rechtsrahmen auf nationaler Ebene gewährleisten zu können.1 In der Richtlinie enthalten sind Vorschriften für die Bekämpfung von Geldwäsche, dem Datenschutz, dem Schutz der finanziellen Interessen der EU, der Lebensmittel- und Produktsicherheit sowie Vorschriften für die Bereiche der öffentlichen Gesundheit, dem Umweltschutz und der nuklearen Sicherheit.2 Hintergrund der neuen Whistleblower-Richtlinie waren die uneinheitlichen Regelungen für den Schutz der Hinweisgebenden innerhalb der EU-Länder. 

Hinweisgebende & Hinweisgebersystem 

Der Begriff des „Whistleblowers“ (Hinweisgebender) kommt aus dem anglo-amerikanischen-Sprachraum und etablierte sich erstmalig um die Jahrtausendwende in Deutschland, als erste Großunternehmen, wie Siemens oder die Deutsche Bahn ein Hinweisgebersystem implementiert hatten.3 Laut dem Richtlinienvorschlag der Kommission von 2019 ist ein Hinweisgeber eine Person, die Informationen über Verstöße gegen das EU-Recht meldet oder offenlegt, die ihr im Rahmen ihrer beruflichen Tätigkeiten zur Kenntnis gelangt sind. Somit ist die Richtlinie auf Arbeitnehmer ebenso anwendbar wie auf Selbständige, Freiberufler, Berater, Auftragnehmer, Lieferanten, ehrenamtlich Tätige, unbezahlte Praktikanten und Stellenbewerber.4 Der Begriff des Hinweisgebersystems wird definiert als die Gesamtheit derartiger, in einer bestimmten Organisation geltenden Regelungen sowie die für ihrer Umsetzung vorhandene Infrastruktur. Entscheidet sich ein Wirtschaftsunternehmen für die Implementierung eines solchen Hinweisgebersystems, werden die entsprechenden Vorschriften meist in einem unternehmensinternen Verhaltenskodex sowie einer gesonderten Richtlinie platziert.5 

Im deutschen Recht gibt es keine eindeutigen gesetzlichen Regelungen in Bezug auf Hinweisgebende und Hinweisgebersysteme. Allerdings muss laut den Vorschriften des Aktiengesetztes (AktG) und dem Gesetz über Ordnungswidrigkeiten (OWiG) von den Verantwortlichen im Unternehmen sichergestellt sein, das rechtskonform gehandelt wird. Wie dies geschieht, steht im eigenen Ermessen des jeweiligen Unternehmens.6 

Die EU-Whistleblower-Richtlinie 

Am 16.12.2019 wurde die neue EU-Whistleblower-Richtlinie beschlossen. Diese muss nun seitens der einzelnen europäischen Mitgliedsstaaten bis zum 17. Dezember 2021 in nationales Recht umgesetzt werden.7 Grundsätzlich schreibt die EU-Richtlinie vor, dass bis Dezember 2021 Unternehmen mit mehr als 250 Mitarbeitenden ein solches Hinweisgebersystem implementieren müssen. Unternehmen mit 50 bis 249 Beschäftigten müssen laut EU-Richtlinie die Vorgaben erst bis zum 17. Dezember 2023 erfüllen. Offen bleibt jedoch, ob bei der Umsetzung in nationales Recht, der deutsche Gesetzgeber diese Möglichkeit für Unternehmen ab 50 Mitarbeitenden nutzt oder auch um zwei Jahre in die Zukunft verschiebt.8  


Vier grundsätzliche Definitionen laut EU-Richtlinie
Die interne Meldung wird so definiert, dass eine Übermittlung von Verstößen innerhalb einer juristischen Person des öffentlichen oder privaten Rechts vorliegt. Verstöße sind Handlungen, welche gegen das geltende europäische Unionsrecht verstoßen. Der sachliche Schutz kann von den einzelnen Mitgliedsstaaten bei ihrer nationalen Umsetzung erweitert werden.9 Der Hinweisgebende sollte innerhalb eines angemessenen Zeitrahmens über die geplanten oder ergriffenen Folgemaßnahmen und die Gründe für die Wahl der Folgemaßnahmen informiert werden.10 Ein angemessener Zeitrahmen zur Unterrichtung des Hinweisgebenden sollte drei Monate nicht überschreiten.11 Bei der Umsetzung der EU-Richtlinie in das jeweilige nationale Recht bis zum Dezember 2021 werden die einzelnen Staaten aufgefordert, Unternehmen zu sanktionierten, welche Meldungen von Hinweisgebenden behindern, Repressalien gegen gutgläubige Hinweisgebende ergreifen, mutwillige Gerichtsverfahren anstreben oder die Vertraulichkeit verletzen.12 


Einführung der EU-Richtlinie in deutsches Recht - Der Referentenentwurf
Der jüngst vorgelegte Referentenentwurf des Bundesministeriums der Justiz und für Verbraucherschutz (HinSchG-E) ist ein erster Schritt zur Umsetzung der EU-Richtlinie in nationales Recht.13 In einem Interview mit dem Handelsblatt vom 19.01.2021 sagte Justizministerin Lambrecht: „Die EU-Richtlinie ermöglicht es uns, Whistleblower erstmals umfassend vor beruflichen Nachteilen zu schützen. Würde ich die Richtlinie lediglich bezogen auf Verstöße gegen EU-Recht umsetzen, wie vom Koalitionspartner gefordert, dann wäre geschützt, wer ein Datenleck meldet, aber nicht geschützt, wer Schmiergeldzahlungen aufdeckt. Im Fall Tönnies, wo sich mehr als 2000 Menschen mit Corona angesteckt haben, wurde einer Mitarbeiterin eines Subunternehmens gekündigt, nachdem sie Verstöße gegen die Infektionsschutz-Verordnung öffentlich gemacht hatte. Das ist deutsches Recht und wäre von einer Minimal-Umsetzung nicht erfasst. Das darf es nicht geben. Wir brauchen ein wirksames Gesetz.“14 Das Whistleblower Netzwerk, welches ein überparteilicher und gemeinnütziger Verein ist und sich für die Verbesserung des rechtlichen Schutzes und das gesellschaftliche Ansehen von Whistleblowern in Deutschland einsetzt, argumentiert zur Umsetzung der EU-Richtlinie in nationales, deutsches Recht wie folgt: „Die EU beschränkt sich aufgrund ihrer Gesetzgebungskompetenzen notgedrungen auf den Schutz von Whistleblower*innen im Bereich unionsrechtlicher Vorschriften. Würde man mit einem deutschen Gesetz nicht über die EU-Vorgaben hinausgehen, bedeutete das konkret: Wenn es in einem Unternehmen sowohl zu geringfügigen Datenschutzverletzungen als auch zu Nötigungen oder gar sexuellen Übergriffen kommt, so wären Beschäftigte bei einer Meldung der Datenschutzverletzungen durch das Gesetz geschützt, nicht hingegen bei einem Hinweis auf den Machtmissbrauch, da hier „nur“ deutsches Strafrecht betroffen ist.“15 Die Verhandlungen über den Referentenentwurf sind vorerst auf Eis gelegt und es stehen weitere Gespräche an. Bis zum 17. Dezember 2021 wird es aber eine entsprechende Entscheidung hierzu geben müssen.

Datenschutz und Whistleblowing 

Sobald die EU-Richtlinie in deutsches Recht umgesetzt wird, muss die Verarbeitung der durch das Hinweisgebersystem erhaltenen personenbezogenen Daten, nach den Vorschriften der Datenschutzgrundverordnung (DSGVO) richten.16 Da die Meldung von Missständen ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt, bedarf es einer Datenschutz-Folgenabschätzung.17 Die DSK, die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, haben eine Orientierungshilfe für Whistleblowing-Hotlines erstellt. Diese zeigt den datenschutzrechtlichen Rahmen und Regelungsmöglichkeiten zu Whistleblowing-Hotlines auf zur Erreichung von klaren Regelungen im Unternehmen im Umgang mit Whistleblowing-Systemen.18 Nach Artikel 14 DSGVO, dürfen Unternehmen Daten nicht erheben, ohne dabei die Betroffenen über die Datenverarbeitung und dem Umfang in Kenntnis zu setzen.19 So sind Unternehmen dazu verpflichtet, Beschuldigte über den Eingang einer Whistleblowing Meldung zu informieren. Daraus ergibt sich aber ein Problem. Denn bei einer strikten Auslegung der DSGVO erfährt der Beschuldigte der Meldung den Namen des Hinweisgebenden. Das könnte zu einer Abschreckung für zukünftige Meldende führen. Eine praktische Lösung für dieses Problem wäre, dass Unternehmen Hinweisgebersysteme implementieren, welche die Möglichkeit zur anonymen Meldung anbieten. Der Beschuldigte wird dann nur informiert, dass eine anonyme Meldung eingegangen ist. Derjenige, der anonym den Hinweis abgegeben hat, bleibt somit geschützt.20  

Einsatz des Hinweisgebersystems bei KMU

Zum Repertoire einer guten Unternehmensführung zählt unter anderem ein effizientes Hinweisgebersystem. Leider fehlt dieses bei mittelständischen Unternehmen aufgrund von Kostenersparnissen. In der Praxis zeigt sich, dass bestehende Hinweisgebersysteme unzureichend ausgestaltet, nur eingeschränkt erreichbar oder bei vielen Mitarbeitern gar nicht bekannt sind.21 


Fazit: Vorteile eines Hinweisgebersystems für Unternehmen 

Die Einführung eines Hinweisgebersystems unterstützt das Unternehmen dabei, interne Missstände aufzudecken und geeignete Maßnahmen zu ergreifen, um das Risiko eines möglichen Reputationsschadens zu verhindern.22 Ebenso dient eine effiziente Implementierung, Prozesse zu optimieren, das heißt also, Unternehmen können Schwachstellen und Fehler identifizieren und beseitigen, um finanzielle Schäden, wie Strafzahlungen, Gerichtskosten oder Betrugsfälle zu vermeiden. Auch baut solch ein System zusätzlich Vertrauen bei Mitarbeitenden und weiteren (intern und externen) Stakeholdern auf und die Integrität des Unternehmens wird gestärkt.23 Dabei ist der Schutz von Hinweisgebenden nötig, um Wettbewerbsverzerrungen abzubauen, Geschäftskosten zu verringern und die Anreize für Investitionen zu erhöhen. Vergangene Skandale von Wirecard bis zur VW-Abgasmanipulation zeigt auch in Deutschland den Bedarf für mutige Whistleblower sowie auch Hinweisgebersysteme in Unternehmen.24

Literaturverzeichnis:  

Dzida/Granetzny (2020): Die neue EU-Whistleblowing-Richtlinie und ihre Auswirkungen auf Unternehmen; NZA 2020, 1202.  

Egger (2018): Hinweisgebersysteme und Informationsschutz, CCZ 2018, 126.  

Kumpan (2020) in: Schwarz/Zimmer, Kapitalmarktrechts-Kommentar, 5. Auflage, 2020: BörsG § 3b Meldung von Verstößen 

Marzluf, Frank/Fiedler, Sina (2020): Deloitte Halo – ein umfassendes Hinweisgebersystem; www2.deloitte.com 

Schemmel/Ruhmannseder/Witzigmann (2012): Hinweisgebersysteme, 1. Auflage, 2012, 2. Hinweisgebersystem 

Schulz/Block (2020): Wirksames Compliance-Management – Anreize und Orientierungshilfen zur Vermeidung von (Verbands-)Sanktionen; CCZ 2020.  

 

Quellen:  

https://ec.europa.eu/germany/news/whistleblower20191216_de 

https://ec.europa.eu/germany/news/whistleblower20191216_de 

https://www.datenschutzkonferenz-online.de/media/oh/20181114_oh_whistleblowing_hotlines.pdf 

https://www.datenschutzkonferenz-online.de/media/oh/20181114_oh_whistleblowing_hotlines.pdf 

https://www.pwc.de/de/managementberatung/risk/hinweisgebersysteme-so-verwandeln-sie-die-pflicht-in-einen wettbewerbsvorteil.html#:~:text=Finanzielle%20Sch%C3%A4den%20vermeiden%3A%20Mit%20einem,Presse%20und%20sozialen%20Medien%20vermeiden.

https://www.bmjv.de/SharedDocs/Interviews/DE/2021/Print/0120_Handelsblatt.html 

https://www.whistleblower-net.de/online-magazin/2021/04/29/pressemitteilung-verbaende-kritisieren-scheitern-von-whistleblowing-gesetz/ 

 





Geschrieben von:
Simon Engelbrecht, Member of the Compliance Consulting Competence Circle

Tebogo R. Mazibuko, Director of International Business, Legal and Compliance

Share article
It's everyones business - Digitale Ethik
Impressum & Datenschutz