EU Regulierung FAQ

Die Hinweisgeberschutzrichtlinie der EU 2019/1937 ist eine EU-Richtlinie, die durch Erarbeitung der EU-Kommission und Annahme des EU-Rats in 2019 in Kraft getreten ist. Sie dient dem Schutz von Hinweisgebern, die auf Missstände in Unternehmen hinweisen. Am 12. Mai 2023 hat der Bundesrat das Gesetz einstimmig angenommen, Mitte Juni 2023 tritt das Gesetz in Kraft. Nach Einführung des nationalen Gesetzes sind Unternehmen ab 50 Mitarbeitern verpflichtet in ihrer Betriebsorganisation entsprechende Abläufe einzurichten. Für Unternehmen ab 50 Mitarbeitenden gilt in Deutschland eine Umsetzungfrist bis 17. Dezember 2023. Für Unternehmen ab 50 Mitarbeitern wird eine Frist zur Umsetzung von 2 Jahren erwartet. Des Weiteren sind auch Körperschaften des öffentlichen Rechts verpflichtet, die Richtlinie organisatorisch zu implementieren. Ausgenommen hiervon sind Gemeinden mit unter 10.000 Einwohnern.
{% trans "Als Whistleblower gilt jede Person die als Insider an bestimmte Informationen über ein Unternehmen gelangt, welche darlegen oder darauf hinweisen, dass Vorgänge im Unternehmen gegen geltende Gesetze verstoßen und diese Verstöße aus Gewissensgründen offenlegen möchte. Neben Mitarbeitern des Unternehmens sind als Hinweisgeber auch externe Mitarbeiter, Bewerber oder Journalisten denkbar. Die Hinweisgeber sollen gegen jedwede Repressalien im Unternehmen, wie zum Beispiel einer Entlassung oder einer Versetzung in eine unbeliebte Position, geschützt werden, indem das Meldeverfahren von vornherein anonym verläuft.
Die EU hat eine Reihe von Rechtsverstößen zusammengestellt, die mindestens die Tatbestände erfassen, welche in jedem Fall durch die Richtlinie abgedeckt sein sollen. Darüber hinaus kann jeder Mitgliedsstaat weitere Tatbestände zu dieser Liste hinzufügen:
  • öffentliches Auftragswesen (z. B. Absprachen bei öffentlichen Ausschreibungen)
  • (Manipulation und Missbrauch von) Finanzdienstleistungen, Finanzprodukten und Finanzmärkten
  • (Verübung von) Geldwäsche und Terrorismusfinanzierung
  • (Verstöße gegen) Produktsicherheit und -konformität
  • (Verstoß gegen) Verkehrssicherheit
  • (Verstöße gegen) Umweltschutz, Strahlenschutz und kerntechnische Sicherheit
  • (Verstöße gegen) Lebensmittel- und Futtermittelsicherheit, Tiergesundheit und Tierschutz sowie öffentliche Gesundheit und Verbraucherschutz
  • (Missachtung des) Schutzes der Privatsphäre und personenbezogener Daten sowie Sicherheit von Netz- und Informationssystemen
  • Verstöße gegen die finanziellen Interessen der Union im Sinne von Artikel 325 AEUV sowie gemäß den genaueren Definitionen in einschlägigen Unionsmaßnahmen
  • Verstöße gegen die Binnenmarktvorschriften im Sinne von Artikel 26 Absatz 2 AEUV, einschließlich Verstöße gegen Vorschriften über Wettbewerb und staatliche Beihilfen, und gegen die Körperschaftsteuer-Vorschriften und -Regelungen gerichtete Verstöße, die darauf abzielen, sich einen steuerlichen Vorteil zu verschaffen, der dem Ziel oder dem Zweck des geltenden Körperschaftsteuerrechts zuwiderläuft.
Die EU-Whistleblower-Richtlinie verpflichtet die betroffenen Unternehmen, Vorrichtungen und Systeme in ihrem Betrieb zu implementieren, die interne und externe Meldewege für Hinweisgeber sicherstellen. Die Meldungen müssen hierbei so abzugeben sein, dass die Identität des Hinweisgebers nicht aufgedeckt wird und das Verfahren der nationalen Datenschutzgesetzgebung entspricht. In Deutschland ist dies die Datenschutzgrundverordnung (DSGVO). Geeignete Systeme können jedwede Art von Kanälen sein, die es dem Hinweisgeber ermöglichen, die Information einem/einer neutralen Ombudsmann/Ombudsfrau oder einer anderen im Unternehmen geeigneten Person, wie zum Beispiel einem Compliance-Beauftragten, mitzuteilen, ohne dass hierbei die Identität des Hinweisgebers offengelegt wird. Eine Offenlegung wäre gegeben, wenn für jedermann offen ersichtlich wäre, dass ein bestimmter Mitarbeiter die Meldung über einen Missstand abgegeben hat, oder dies entgegen den Bestimmungen der DSGVO leicht zu ermitteln wäre. Auch die Daten möglicher beschuldigter Personen müssen höchstvertraulich gemäß der nationalen Gesetzgebung des Datenschutzes behandelt werden. Verpflichtete Unternehmen zwischen 50 und 250 Mitarbeitern sind befugt, gemeinsame Hinweisgebersysteme zu implementieren. Unternehmen mit einer höheren Mitarbeiterzahl sind zur Einrichtung eines eigenen Systems verpflichtet.
Neben der internen Weitergabe von Informationen durch das Whistleblowing an die vorgesehene Ombudsstelle oder den internen Compliance-Verantwortlichen sieht die Richtlinie vor, dass auch die externe Weitergabe an zuständige Behörden ermöglicht werden soll. An dieser Stelle sind nicht die Unternehmen verpflichtet, die dafür notwendigen Meldekanäle zur Verfügung zu stellen, sondern die jeweiligen staatlichen Institutionen. Einrichtungen dieser Art gibt es bereits in Deutschland. Beispielsweise hat die BaFin ein Online-Tool für Hinweisgeber bereits seit einigen Jahren eingerichtet. Die Richtlinie sieht jedoch eine sogenannte Stufenlösung vor, nachdem die Mitgliedsstaaten sich dafür einsetzen, „dass die Nutzung interner Kanäle der externen Meldung in den Fällen bevorzugt wird, in denen intern wirksam gegen den Verstoß vorgegangen werden kann und der Hinweisgeber keine Repressalien befürchtet.“ Der Einsatz interner Kanäle wird somit, gemäß den allgemeinen Erwartungen, die wichtigste Rolle spielen. Die Möglichkeit der Informationseingabe soll gemäß der Richtlinie über drei technische Möglichkeiten erfolgen können: Zum einen telefonisch über eine kostenlose Hotline, zum anderen über physischen Einwurf eines Schreibens und natürlich über ein elektronisches Online-Tool. Neben der internen Weitergabe an Compliance-Verantwortliche oder Ombudsmänner, sowie der externen Weitergabe an Behörden, ist in der Richtlinie eine direkte Veröffentlichung der Missstände vorgesehen. In diesem Fall ist an eine weitere Vertraulichkeit des Whistleblowers, die Voraussetzung geknüpft, dass diesem keine anderen Möglichkeiten der Informationsweitergabe mehr offenstanden, zum Beispiel, weil eine Weiterbearbeitung auf internem oder externem Wege nicht gewährleistet werden konnte oder weil das Whistleblowing kurz vor der Entdeckung steht und der Hinweisgeber hierdurch in akute Gefahr gerät. In allen Fällen soll der Hinweisgeber bei Bedarf um ein vertrauliches persönliches Treffen mit einer Vertrauensperson bitten können, dem entsprechend nachzukommen ist.
Der Hinweisgeber muss gemäß der EU-Whistleblowing-Richtlinie innerhalb von sieben Tagen die Bestätigung der prüfenden Stelle erhalten, dass seine Meldung eingegangen ist. Nach spätestens weiteren drei Monaten hat eine Meldung an die meldende Person zu erfolgen inwieweit seine Hinweise bearbeitet wurden, welche Maßnahmen ergriffen wurden und welches Ergebnis hierzu vorliegt.
Unternehmen haben gemäß der Richtlinie die Pflicht, Ihre Mitarbeiter über die bestehende Gesetzgebung und über die Möglichkeit der Eingabe über interne und externe Meldewege aufzuklären. Dies kann beispielsweise über Rundschreiben, Rundmails oder regelmäßige Onlineschulungen erfolgen. Weitergehend soll eine Aufklärung gemäß der Richtlinie aber auch gegenüber externen Parteien, wie zum Beispiel Zulieferern, Beratern oder Kunden bestehen.
Unternehmen und Organisationen, die gegen die Richtlinie verstoßen, haben mit Sanktionen in Form von empfindlichen Strafzahlungen zu rechnen. Die Höhe der Strafzahlungen ist noch nicht bekannt, da eine Umsetzung in Deutschland noch nicht abgeschlossen ist. Denkbare Verstöße sind die Missachtung der Pflicht zur Implementierung des Hinweisgebersystems, die Behinderung von Meldungen an eine zuständige Stelle, die Nicht-Einhaltung der Vertraulichkeit betreffender Personen oder deren Einschüchterung sowie das Überschreiten von Fristen bei der Verarbeitung von eingegangenen Meldungen.
Die Richtlinie stellt betroffene Organisationen vor diverse Fragestellungen. Manche dieser Fragestellungen können erst abschließend beantwortet werden, wenn die nationale Gesetzgebung verabschiedet ist, oder sich eine gesamtheitlich akzeptierte Vorgehensweise am Markt der Umsetzungsideen etabliert hat. Die technische Umsetzung aller vorgesehenen Meldekanäle muss gewährleistet werden und die lückenlose und, aufgrund von Personalfluktuation, auch regelmäßige Aufklärung der Mitarbeiter hat zu erfolgen. Hier werden sich anhand der laufenden Praxis bestimmte Mindeststandards etablieren. Das Whistleblowing muss durch eine proaktiv geleitete Unternehmenskultur zu einem selbstverständlichen Bestandteil der allgemeinen Compliance, bis hinunter zum kleinsten Glied der Mitarbeiterkette werden. Whistleblowing muss als Möglichkeit der Unternehmensoptimierung wahrgenommen werden und darf nicht als eine Art Nestbeschmutzung gesehen werden. Es steht zu erwarten, dass elektronische Hinweisgebersysteme zu den ganz überwiegend wichtigsten Meldekanälen werden, so dass auf IT-Seite der betroffenen Unternehmen frühzeitig entsprechende Überlegungen und Maßnahmen angestrengt werden sollten.