In den vergangenen Jahren haben Whistleblower immer wieder für Schlagzeilen gesorgt. Jüngst erregte sicherlich der Wirecard-Skandal am meisten Aufmerksamkeit und ist daher momentan das wahrscheinlich prominenteste Beispiel für Whistleblowing. Die öffentliche Diskussion in Zusammenhang mit dem Umgang mit Whistleblowern wird lauter und 2019 wurde mit dem Inkrafttreten der EU-Whistleblower-Richtlinie ein wichtiger rechtlicher Impuls für den Schutz von Whistleblowern gesetzt. Was ist ein “Whistleblower” und wie wird er im Rahmen dieser neuen EU-Richtlinie genauer definiert?
Was ist ein Whistleblower?
Bekannte Fälle von Whistleblowern sind beispielsweise Julian Assange oder Edward Snowden, aber was ist ein Whistleblower überhaupt? Ein Whistleblowerkann auf Deutsch übersetzt auch als Hinweisgeber bezeichnet werden.
Ein Whistleblower ist erst einmal „nur“ eine natürliche Person, die Informationen über Missstände in Unternehmen oder öffentlichen Institutionen meldet. Diese Informationen muss die Person im Zusammenhang ihrer Arbeitstätigkeit erlangt haben. Inhaltlich gibt es dabei keinen Maßstab – es kann sich um Informationen über Missstände von erheblicher Tragweite handeln, wie beispielsweise Straftaten oder allgemeine Gefahren für Mitarbeitende oder das gesamte Unternehmen. Genauso können es aber auch weniger einschneidende Vorfälle, wie Ethikverstöße oder Verstöße gegen interne Richtlinien, sein.
Diese Definition orientiert sich bewusst an der EU-Whistleblowing-Richtlinie, da diese vorschreibt, wer geschützt werden soll, wenn er Hinweise über ein Whistleblowing-System meldet. Die EU-Richtlinie ist maßgebend für die nationale Umsetzung in allen EU-Mitgliedsstaaten (in Deutschland: Hinweisgeberschutzgesetz).
Wer kann ein Whistleblower sein?
Zu den oben genannten natürlichen Personen, die von der EU-Whistleblowing-Richtlinie geschützt werden, zählen alle Beschäftigten eines Unternehmens: also nicht nur aktuelle Vollzeit- bzw. Teilzeitkräfte, sondern auch Auszubildende, ehemalige und zukünftige Beschäftigte.
Demnach bilden die Mitarbeitenden die größte Gruppe an potenziellen Whistleblowern. Auch Mitglieder der Geschäftsführung oder andere Personen in leitenden Positionen sowie Mitglieder des Aufsichtsrates und Anteilseigner sind gemäß der EU-Whistleblowing-Richtlinie als Whistleblower geschützt. Außerhalb des Unternehmens können Kunden, Auftragnehmer und Lieferanten ebenfalls Whistleblower sein.
Zusammenfassend schließt die EU-Richtlinie alle Personengruppen ein, die mit Ihrem Unternehmen in Verbindung stehen und dadurch an Informationen über Missstände gelangen können.
Was ist die Whistleblower-Richtlinie?
Die EU hat im Oktober 2019 erstmals eine Whistleblower-Richtlinie erlassen, die für fast alle Unternehmen der EU gilt. Die Whistleblower-Richtlinie musste bis spätestens Ende 2021 in nationale Gesetzgebung in Form eines Hinweisgeberschutzgesetzes umgesetzt werden. Für Unternehmen entstehen dadurch neue Herausforderungen. Erfahren Sie in diesem Beitrag, ob Ihr Unternehmen unter die Richtlinie fällt. Lesen Sie, welche Anforderungen ein internes Meldesystem in Ihrem Unternehmen erfüllen muss und wie Sie sich dadurch davor schützen können, dass Hinweisgeber ungestraft Unternehmensgeheimnisse an die Öffentlichkeit tragen.
In der EU war der Schutz von Whistleblowern bisher nicht einheitlich geregelt. Das führt zu Ungleichbehandlungen und Rechtsunsicherheit. Um einen fairen Wettbewerb und einen gut funktionierenden Binnenmarkt innerhalb der EU zu ermöglichen, sollen mit der Umsetzung der EU-Whistleblower-Richtlinie in allen EU-Staaten einheitliche Standards eingeführt werden.
Welche Themen fallen unter die EU-Whistleblower-Richtlinie?
Für alle EU Staaten gilt, dass jeder Whistleblower Schutz genießen soll, der Verstöße gegen EU-Vorschriften meldet:
- Öffentliches Auftragswesen, Wettbewerbsvorschriften
- Geldwäsche, Korruption, Steuerhinterziehung, Terrorismusfinanzierung
- Datenschutz, Sicherheit von Netz- und Informationssystemen
- Lebensmittel- und Futtermittelsicherheit, Tiergesundheit und Tierschutz
- Produktsicherheit, Verkehrssicherheit
- Umweltschutz und nukleare Sicherheit
- Öffentliche Gesundheit und Verbraucherschutz
Die EU-Staaten müssen die Whistleblower-Richtlinie nun in nationales Recht umsetzen. Der EU-Standard darf dabei jedoch nicht unterschritten werden. Staaten dürfen strenger sein und zusätzliche nationale Anwendungsbereiche ergänzen. Wie sieht es in Deutschland aus? Im Vergleich zu anderen EU-Staaten schneidet Deutschland beim rechtlichen Schutz von Whistleblowern bisher schlecht ab. In der Vergangenheit erfolgte die Umsetzung von EU-Richtlinien immer termingerecht, mit deutscher Gründlichkeit.
Die Umsetzungsfrist der EU-Whistleblower-Richtlinie ist Ende 2021 abgelaufen. Bislang hat die Deutsche Bundesregierung noch kein Hinweisgeberschutzgesetz verabschiedet. Der erste Referentenentwurf für das Hinweisgeberschutzgesetz in Deutschland wurde 2021 abgelehnt. Danach war klar, dass das Gesetz vor der Bundestagswahl nicht mehr verabschiedet würde. Nach der Bundestagswahl wurde dann im April 2022 ein neuer Entwurf vorgelegt und an die Ministerien zur Abstimmung verschickt. Bis Mitte Mai hatte die Fachöffentlichkeit Zeit, hierzu Stellung zu nehmen. Aufgrund der großen Zahl an Stellungnahmen, die dem Bundesjustizministerium dann zur Auswertung vorlagen, gibt es aktuell noch keine neuen Erkenntnisse zum neuen Referentenentwurf.
Wie müssen Unternehmen in der EU in Zukunft mit Whistleblowern umgehen?
Betroffene Unternehmen sollten sich auf die Umsetzung des Deutschen Hinweisgeberschutzgesetzes vorbereiten und die in der Richtlinie geforderten Standards erfüllen.
Bevor Sie sich nun fragen, wie die Umsetzung der EU-Whistleblower-Richtlinie im Unternehmen aussieht, erfahren Sie im Folgenden, ob Ihr Unternehmen betroffen ist und welche Anforderungen von der EU-Whistleblower-Richtlinie vorgegeben werden.
Ist Ihr Unternehmen betroffen?
Betroffen sind:
- alle Unternehmen mit mehr als 50 Mitarbeitern unabhängig davon, ob diese in Teilzeit oder in Vollzeit arbeiten
- unabhängig von der Mitarbeiterzahl alle Unternehmen mit einem Jahresumsatz von mehr als 10 Mio. EUR
- unabhängig von der Mitarbeiterzahl alle Unternehmen, die unter das Geldwäsche-Gesetz fallen
Betroffen sind auch alle Behörden, staatlichen und regionalen Verwaltungen sowie Gemeinden mit mehr als 10 000 Einwohnern. Unternehmen mit bis zu 249 Mitarbeitern haben voraussichtlich eine verlängerte Umsetzungsfrist bis 2023.
Erwartungen an Unternehmen
Die Erwartungen an die Meldesysteme in Unternehmen sind in der EU-Whistleblower-Richtlinie sehr ausführlich festgelegt. Das Wichtigste für Sie in Kürze:
- Meldungen müssen schriftlich und mündlich erfolgen können.
- Die Kanäle müssen die Vertraulichkeit der Identität des Hinweisgebers gewährleisten.
- Eine Kommunikation mit dem Whistleblower muss möglich sein, ohne, dass dieser seine Identität preisgibt.
- Eine externe oder interne unparteiische Person muss mit dem Eingang und Bearbeitung von Meldungen beauftragt werden.
- Diese Person sollte in ihrer Funktion unabhängig sein, um Interessenskonflikte auszuschließen.
- Es muss gewährleistet sein, dass nicht befugte Mitarbeiter keinen Zugriff auf die Hinweise haben.
Unternehmen müssen die eingehenden Hinweise wie folgt bearbeiten:
- Der Whistleblower muss innerhalb einer Woche eine Eingangsbestätigung erhalten.
- Der Whistleblower muss innerhalb von 3 Monaten über geplante oder ergriffene Maßnahmen zu der Meldung und die Gründe für diese Folgemaßnahmen informiert werden.
- Dauert die Untersuchung länger, muss der Whistleblower darüber informiert werden, bis wann er welche weiteren Rückmeldungen erwarten kann.
- Alle Hinweise müssen DSGVO-konform dokumentiert werden und jederzeit abrufbar sein.
in 5 Minuten kennenlernen
Bevor Sie einen Live Demo Termin bei LegalTegrity buchen, können Sie unsere Software in nur 5 Minuten kennenlernen. Fordern Sie unser Demo-Video an, um einen Überblick aller wichtigen Funktionen und Gestaltungsmöglichkeiten des Systems zu erhalten. Sie erhalten das Demo-Video per Mail.
Unsere Tipps zur Installation eines Meldekanals für Whistleblower
Benennen Sie mindestens zwei Ansprechpartner, die von Mitarbeitern als neutral und vertrauenswürdig wahrgenommen werden, damit die Zuständigkeit im Vertretungsfall transparent geregelt ist. Benennen Sie zusätzlich einen externen Ansprechpartner. Sollten die internen Verantwortlichen dann unerwartet ausfallen, kann die Funktionalität des Meldekanals bewahrt werden.
Es gibt viele unterschiedliche Meldekanäle für Whistleblower. Entscheiden Sie sich für solche, die für Sie automatisiert die Einhaltung der Fristen überwachen.
Wie soll ein Whistleblower vorgehen können?
Nach der neuen EU-Whistleblower-Richtlinie sollte ein Whistleblower zuerst über den internen Meldekanal seinen Arbeitgeber über den beobachteten Gesetzesverstoß informieren. Hier gilt es genau hinzuschauen. Ein Whistleblower kann sich direkt an die zuständigen Behörden und die Öffentlichkeit wenden, wenn:
- es im Unternehmen keinen internen Meldekanal gibt, der die Identität des Whistleblowers zuverlässig schützt und Anonymität gewährleistet.
- der Whistleblower auf seine Meldung hin keine angemessene Rückmeldung innerhalb von drei bzw. 6 Monaten erhalten hat.
- der Whistleblower nicht beim Unternehmen als Mitarbeiter angestellt ist und die internen Meldekanäle nur durch Mitarbeiter genutzt werden können.
- der beobachtete Verstoß dringenden Handlungsbedarf wegen drohender Gefahr für Gesundheit, Umwelt oder Sicherheit erfordert oder in den Bereich von Geldwäsche und Terrorismusbekämpfung fällt.
Tipp:
- Bieten Sie Ihren Mitarbeitern Meldekanäle, die diese Kriterien erfüllen.
- Kommunizieren Sie Ihren Mitarbeitern, dass Ihnen wichtig ist, zu erfahren, wenn im Unternehmen etwas schiefläuft und dass Sie es auch anonym erfahren möchten.
Somit können Sie sicherstellen, dass die Informationen zuerst bei Ihnen landen und Sie erforderliche Maßnahmen ergreifen können.
In welcher Verbindung müssen die geschützten Whistleblower mit dem Unternehmen stehen?
Als schützenswerter Whistleblower gilt nach der EU-Hinweisgeber-Richtlinie jeder, der im beruflichen Kontext Informationen über Gesetzesverstöße erlangt hat:
- Arbeitnehmer, auch wenn sie bereits ausgeschieden sind
- Mitglieder in Verwaltungs-, Leitungs- oder Aufsichtsorganen
- Auftragnehmer und die von Ihnen beschäftigten Arbeitnehmer
Der Schutz besteht nur, wenn ein Whistleblower davon ausgehen konnte, dass die Informationen der Wahrheit entsprechen und unter den Geltungsbereich der Richtlinie fallen.
Tipp:
Sie als Unternehmer sollten vor diesem Hintergrund überlegen, ob Sie Ihre Meldekanäle nicht auch für Lieferanten öffnen. Auf diese Weise sorgen Sie für einen ganzheitlichen Schutz von Personen, die mit dem Unternehmen in Verbindung stehen.
- Öffnen Sie Ihre Meldekanäle z.B. für Lieferanten.
- Informieren Sie Ihre Mitarbeiter darüber, was sie melden sollten. Am besten eindeutig und positiv formuliert.
- Sollten Sie auch nichtakademische Mitarbeiter beschäftigen, sollten diese Informationen einfach für alle verständlich formuliert sein.
Was ist mit Personengruppen, die nicht in der Whistleblower-Richtlinie genannt werden?
Reflexartig flackert häufig die Angst vor Missbrauch auf. Was passiert, wenn Mitbewerber Ihr Unternehmen boykottieren wollen? Wenn sonstige Personen vielleicht Informationen veröffentlichen möchten, die Ihrem Unternehmen schaden können? Diese Personengruppen sind vom Schutz durch die Richtlinie nicht erfasst. Und das wichtigste: es gibt keinen statistischen Beleg dafür, dass sich durch die Einführung eines Hinweisgebersystems falsche Meldungen häufen oder eine Welle des „Anschwärzens“ im Unternehmen droht.
Welche Maßnahmen darf man als Unternehmen gegen Whistleblower ergreifen?
Zugegeben, geht ein Mitarbeiter direkt an die Behörden oder an Öffentlichkeit, ist die menschliche Enttäuschung groß. Warum hat er nichts gesagt? Loyalitätsbruch, Vertrauensmissbrauch, Verrat … Droht dann noch ein Skandal, ist der Ruf nach Rache und Vergeltung groß. Die EU-Whistleblower-Richtlinie hat hier vorgebeugt. Der Katalog der verbotenen Repressalien ist sehr umfassend und liest sich wie das „Who is Who“ der zwischenmenschlichen Folterinstrumente. Auf den Punkt gebracht:
Whistleblower sind vor allen direkten und indirekten Repressalien zu schützen! Das beinhaltet auch den Schutz von Dritten, die in engem Kontakt mit dem Whistleblower stehen.
Achtung:
- Vertraulichkeits-Vereinbarungen oder Klauseln in Verträgen, die diesen Schutz umgehen sollen, sind nichtig.
- Im Zweifel werden Sie als Unternehmen selbst bei verdeckten Maßnahmen gegen den Whistleblower den Kürzeren ziehen und durch zusätzliche Strafen sanktioniert.
Weshalb es sich lohnt, auf ein Whistleblowing System zurückzugreifen
Die EU-Whistleblower-Richtlinie stellt einen umfassenden Schutz für Whistleblower dar. Auf den ersten Blick sind Unternehmen dadurch benachteiligt und tragen ein hohes Risiko der Offenlegung von Unternehmensgeheimnissen. Auf den zweiten Blick liegt in der EU-Whistleblower-Richtlinie eine große Chance für Unternehmen. Mitarbeiter, Lieferanten und Organe sehen als erste, wenn etwas im Unternehmen schiefläuft. In der Regel sind es Einzelpersonen, die mit ihrem Handeln dem Unternehmen schaden. Sie als Unternehmer erfahren nur dann davon, wenn dieses Verhalten ohne persönliches Risiko intern gemeldet werden kann. Als Unternehmer können Sie dazu beitragen, dass dies auch passiert.
Benennen Sie externe oder interne Vertrauenspersonen, an die sich Mitarbeiter auch persönlich wenden können, wenn sie Hinweise vertraulich, aber nicht anonym abgeben möchten. Richten Sie zusätzlich ein Whistleblower-System ein, das Hinweisgebern Anonymität garantiert. Diese sollten leicht zugänglich und unabhängig vom Bildungsniveau sehr einfach zu bedienen sein. Sprechen Sie positiv über das Thema Whistleblowing und die große Bedeutung für den langfristigen Erfolg Ihres Unternehmens. Erklären Sie interne Meldekanäle für alle Mitarbeiter verständlich und transparent.
Sie möchten mehr über die schlanke und schnelle Möglichkeit eines digitalen Whistleblowing-Systems zur Umsetzung der EU-Whistleblowing-Richtlinie erfahren? Dann kontaktieren Sie gern einen unserer Experten für ein persönliches Gespräch und einen Termin für eine Software-Demo.
(Die verwendete männliche Form bezieht sich auf alle Personen, gleich welchen Geschlechts.)