EU-Whistleblower-Richtlinie – Anforderungen und Tipps zur Umsetzung
In den ersten drei Teilen unserer Whistleblowing-Basics-Reihe haben wir den Begriff Whistleblower und Whistleblowing-System besprochen, sowie die Besonderheiten des digitalen Whistleblowing-Systems beleuchtet. Dort haben wir den wichtigsten rechtlichen Impuls für Hinweisgeberschutz erwähnt: die EU-Whistleblower-Richtlinie. Doch was besagt die Richtlinie genau? Im Folgenden fassen wir die Anforderungen der Richtlinie in Kürze für Sie zusammen und zeigen Ihnen die nächsten Schritte für die Umsetzung in Ihrem Unternehmen.
Was schreibt die Whistleblower-Richtlinie für Unternehmen vor?
Die EU-Whistleblowing-Richtlinie verpflichtet Unternehmen zur Einführung eines Whistleblowing-Systems. Dieser interne Meldekanal dient der Entgegennahme von Informationen über mögliche Missstände oder Gesetzesverstöße, die das Unternehmen betreffen. Auch wenn die Ermöglichung anonymer Meldungen nicht von der Richtlinie vorgeschrieben ist, handelt es sich jedoch um eine klare Umsetzungsempfehlung aus der Praxis. Umso erfreulicher ist es, dass das im Dezember 2022 vom Bundestag verabschiedete Hinweisgeberschutzgesetz den Unternehmen vorschreibt, ein Hinweisgebersystem einzuführen, das anonyme Meldungen ermöglicht. Die Anonymität des Whistleblowers ist dann auch während des ganzen Prozesses zu wahren. Entscheidet er sich, seine Identität preiszugeben, ist die vertrauliche Bearbeitung einzuhalten. Die Umsetzungsfrist für die Anonymität des unternehmensinternen Meldekanals läuft am 01.01.2025 ab.
Darüber hinaus schreibt die Whistleblowing-Richtlinie ein Verfahren für die Bearbeitung der Meldung sowie die Steuerung von Folgemaßnahmen vor. Auf den genauen Umgang mit einer Meldung und den Ablauf des Verfahrens werden wir in einem späteren Zeitpunkt eingehen, daher sei der Ablauf an dieser Stelle nur kurz zusammengefasst: Innerhalb von 7 Tagen ist der Verantwortliche (eine unparteiische Person in ihrem Unternehmen oder eine externe Person, die für die Bearbeitung von Hinweisen im Unternehmen verantwortlich ist) dazu verpflichtet, dem Whistleblower den Eingang seiner Meldung zu bestätigen. Die Richtlinie schreibt weiterhin vor, den Hinweisgeber nach spätestens drei Monaten über ergriffene Folgemaßnahmen zu informieren.
Wer wird von der Whistleblower-Richtlinie geschützt?
Die EU-Whistleblower-Richtlinie schützt alle natürlichen Personen, die Gesetzesverstöße oder sonstige Missstände melden wollen. Solche Personen werden Whistleblower oder Hinweisgeber genannt. Die Richtlinie schützt alle Hinweisgeber, die ihre Informationen oder Beobachtung im beruflichen Kontext erhalten haben und diese über den internen Meldekanal melden. Sollte das Unternehmen kein internes Whistleblowing-System anbieten, dürfte die meldende Person mit ihrer Meldung straffrei an die Öffentlichkeit gehen. Mehr Details zum Begriff des Whistleblowers finden Sie im ersten Teil unserer Whistleblowing-Basics Reihe „Was ist ein Whistleblower?“.
Welche Unternehmen sind von den Vorschriften der EU-Whistleblowing-Richtlinie betroffen?
Welche Umsetzungsfristen gibt es für Kommunen und Unternehmen? Der öffentliche Sektor ist unmittelbar betroffen: Alle Kommunen, Behörden und öffentlichen Organisationen sind zu internen Whistleblowing-Systemen verpflichtet, die die Anforderungen der Richtlinie erfüllen müssen. Wichtig: Das gilt ebenso für Kommunen < 10.000 Einwohner und staatliche Stellen, die weniger als 50 Mitarbeiter haben.
Für private Unternehmen besteht Handlungsbedarf ab einer Größe von 50 Mitarbeitern. Für die kleineren, zwischen 50 und 249 Mitarbeitern, ist eine verlängerte Umsetzungsfrist bis 2023 vorgesehen.
Wann kommt das deutsche Gesetz zur Whistleblowing-Richtlinie und was bedeutet dies für Unternehmen?
Die Umsetzungsfrist in nationales Gesetz hat der deutsche Gesetzgeber verschlafen. Doch, dass das Hinweisgeberschutzgesetz kommen wird, stand außer Frage. Im Juli 2022 wurde ein konkreter Gesetzesentwurf von der Bundesregierung veröffentlicht, über welchen im September im Bundestag und Bundesrat beraten wurde. Zuletzt wurde der Entwurf bei einer öffentlichen Anhörung im Rechtsausschuss im Oktober diskutiert. Im Dezember wurde das HinSchG schließlich durch den Bundestag verabschiedet. Die 3-monatige Umsetzungsfrist für deutsche Unternehmen (mit über 249 Mitarbeitenden) beginnt mit Verabschiedung des Gesetzes durch den Bundesrat Anfang 2023.
Für private Unternehmen ist durch die Gültigkeit der Richtlinie und dem mangelnden nationalen Gesetz in der Zwischenzeit eine gefährliche Grauzone entstanden. Beispielsweise besteht die Gefahr, dass Arbeitsgerichte Generalklauseln im Ernstfall richtlinienkonform oder -orientiert auslegen. Jedes Unternehmen ist daher gut beraten, sich mit der Umsetzung dieser neuen Compliance-Vorgabe zu beschäftigen:
- Erfüllen bestehende Systeme in Ihrem Unternehmen die Anforderungen der Whistleblower-Richtlinie?
- Welches System kommt für Ihr Unternehmen in Frage, wenn Sie bisher noch keines haben?
Es lohnt sich, jetzt zu handeln, denn die EU-Kommission sieht explizit Strafen für Organisationen vor, die kein Whistleblowing-System einführen. Einen Überblick zum aktuellen Stand der Umsetzung finden Sie in unserem Beitrag „Aktuelles zum Hinweisgeberschutzgesetz“. Wenn Sie mehr über das Thema Whistleblowing erfahren wollen, schauen Sie gerne auf unserer Know-how Seite vorbei.
Überblick: Welche Anforderungen müssen Sie bei der Umsetzung der EU-Whistleblower-Richtlinie beachten?
Die von der EU-Whistleblower-Richtlinie erfassten juristischen Personen (Unternehmen mit mehr als 50 Mitarbeitern) sind verpflichtet, interne Meldekanäle einzurichten. Unternehmen mit bis zu 249 Mitarbeitern haben eine verlängerte Umsetzungsfrist bis 2023.
Die Meldekanäle Ihres Unternehmens müssen dabei folgende Anforderungen erfüllen:
- Die Meldung eines Vorfalls muss schriftlich oder mündlich möglich sein. Auf Wunsch des Hinweisgebers soll ein persönlicher Austausch stattfinden können.
- Melden können alle Personen, die im Rahmen ihrer beruflichen Tätigkeit mit Ihrem Unternehmen in Kontakt stehen, d.h. sowohl Ihre eigenen Mitarbeiter als auch Ihre externen Geschäftspartner und deren Mitarbeiter.
- Die potentiellen Hinweisgeber müssen klare und leicht zugängliche Informationen über die Meldemöglichkeiten und die weiteren Abläufe erhalten. Dies kann z.B. auf Ihrer Unternehmenswebsite erfolgen.
- Die Bearbeitung der Hinweise in den dafür eingerichteten Meldekanälen muss die Anonymität des Hinweisgebers wahren und darf keinen Zugriff unbefugter Dritter auf die Meldungen zulassen.
- Alle rechtlichen Bedingungen des Datenschutzes bzw. der DSGVO sind unbedingt einzuhalten. Dies gilt für die personenbezogenen Daten aller Beteiligten, also den Hinweisgeber, die vom Hinweis betroffenen Personen und auch etwaige Beobachter.
- Sofern ein Betriebsrat vorhanden ist, hat eine Abstimmung über die Einrichtung des Hinweisgebersystems zu erfolgen.
- Die Meldekanäle können intern betrieben werden. Ebenso können diese von einem Dritten bereitgestellt werden.
Wie muss das Unternehmen nach der Meldung eines Hinweises reagieren?
Sie als Unternehmer legen das Verfahren für die Bearbeitung der Meldungen und das Ergreifen von Folgemaßnahmen fest. Dabei müssen Sie folgende Aspekte beachten:
- Zunächst müssen Sie unparteiische Personen auswählen und benennen, die etwaige Meldungen bearbeiten und mit dem Hinweisgeber kommunizieren. Geeignet dafür sind z.B. der Leiter Compliance, Leiter Personal, Leiter Finanzen oder Leiter Audit. Ebenso kommen der Leiter der Rechtsabteilung oder der Datenschutzbeauftragte in Frage. Die Aufgaben können auch an einen externen Experten, z.B. an einen Anwalt übergeben werden.
- Dieser Bearbeiter muss alle eingehenden Meldungen entgegennehmen. Es dürfen keine Meldungen seitens des Unternehmens aktiv verzögert oder ignoriert werden.
- Dem Hinweisgeber ist innerhalb von sieben Tagen der Eingang der Meldung zu bestätigen.
- Es sind Folgemaßnahmen zu ergreifen, insbesondere eine Prüfung der Stichhaltigkeit des Hinweises und die Veranlassung von Nachforschungen.
- Spätestens nach drei Monaten ist der Hinweisgeber über die ergriffenen Folgemaßnahmen zu informieren.
- Alle eingehenden Meldungen und die eingeleiteten Maßnahmen sind DSGVO-konform zu dokumentieren.
Mögliche Meldekanäle für Hinweisgeber: Wie unterscheiden sich die verschiedenen Optionen?
Für die Einrichtung von Meldekanälen bieten sich für Ihr Unternehmen unterschiedliche Optionen an. Die Vor- und Nachteile der verschiedenen Lösungen lassen sich wie folgt zusammenfassen:
-
Möglichkeit 1: Briefkasten
Diese Option hat den Vorteil, dass sie besonders schnell umsetzbar ist und kaum Implementierungsaufwand besteht. Ein klarer Nachteil dieser Variante ist allerdings, dass die Kommunikation nur in eine Richtung verläuft. Whistleblower können über den Briefkasten zwar Verstöße melden, aber der zuständige Bearbeiter hat keine Möglichkeit, mit dem Hinweisgeber in Kontakt zu treten oder entsprechende Rückfragen für Folgemaßnahmen zu stellen. -
Möglichkeit 2: E-Mail-Postfach
Ebenfalls leicht umsetzbar, jedoch sind die Anonymität und der Datenschutz hier stark unter die Lupe zu nehmen. Besondere Vorsicht gilt bei E-Mail-Anbietern aus den USA bzw. generell bei Anbietern, die Daten außerhalb des EU-Rechtsraums verarbeiten. Es muss hier ebenfalls sichergestellt werden, dass nur der objektive Bearbeiter der Meldung Zugriff auf das E-Mail-Postfach hat (z. B. dürfen Administratoren des E-Mail-Servers keinen Zugriff darauf bekommen, selbst nicht mit Admin-Rechten). -
Möglichkeit 3: Eine Telefon-Hotline
Der größte Nachteil bei der Nutzung einer Hotline durch einen Hinweisgeber ist die Hemmschwelle für einen direkten Kontakt am Telefon. Dies ist statistisch nachgewiesen. Sie können den Zugang zur Hotline dadurch erleichtern, dass die telefonischen Meldungen von einer externen Ombudsperson entgegengenommen werden. -
Möglichkeit 4: Per Chat- oder Talk-Bot
Eine moderne Möglichkeit ist die Einführung eines Systems für geschriebene (Chat-Bot) oder gesprochene Nachrichten (Talk-Bot). Insbesondere zweiteres ermöglicht es, den Hinweis in Sprachform abzugeben. Das System wandelt die Sprachnachricht in Text um. Allerdings sind solche Lösungen technisch nicht einfach umzusetzen und benötigen sehr oft die Unterstützung von externen Dienstleistern. -
Möglichkeit 5: Externe Ombudsperson
Diese steht dem Hinweisgeber für Meldungen per Telefon oder Mail oder zum persönlichen Austausch zur Verfügung. Die Nutzung durch Hinweisgeber ist erfahrungsgemäß höher als bei einem definierten internen Ansprechpartner, insbesondere wenn die Ombudsperson ein zur Verschwiegenheit verpflichteter Rechtsanwalt ist. -
Möglichkeit 6: Online-Plattform
Die Königsklasse der Meldekanäle sind extra dafür bereitgestellte Online-Plattformen. Mit diesen können Anonymität, Datenschutz und Datensicherheit durch State-of-the-Art-Technologie hervorragend gewährleistet werden. Ein sicherer Dialog ist über eine integrierte Chat-Funktion, dem möglichen Upload von Dokumenten jederzeit von jedem Gerät mit Internetzugang möglich. Sie können solche Lösungen als Link direkt auf Ihrer Unternehmenswebsite einbetten. Aus diesen und noch vielen weiteren Gründen setzen Unternehmen zunehmend auf digitale Hinweisgeber-Lösungen
Nächste Schritte für die Umsetzung der Whistleblower-Richtlinie
Die EU-Whistleblower-Richtlinie verpflichtet Sie als Unternehmer zur Einführung von Meldekanälen für Whistleblower und zum Ergreifen konkreter Maßnahmen zur Verfolgung der eingehenden Hinweise.
Als geeignete Hinweisgebersysteme haben sich in der Praxis digitale Lösungen bewährt. Die professionelle, anonyme und effiziente Bearbeitung von Hinweisen sollte insbesondere bei mittelständischen Unternehmen an externe Dienstleister übertragen werden.
Sie konnten durch den Artikel Klarheit und Transparenz über die nächsten notwendigen Schritte bekommen? Sie möchten mehr über die schlanke und schnelle Möglichkeit eines digitalen Hinweisgebersystems zur Umsetzung der Whistleblowing-Richtlinie erfahren? Dann kontaktieren Sie gern einen unserer Experten für ein persönliches Gespräch.
FAQ – Whistleblower Richtlinie
Wie lange dauert die Implementierung eines Systems zur Umsetzung der Whistleblower Richtlinie?
Das Hinweisgebersystem von LegalTegrity ist speziell für Unternehmen im Mittelstand entwickelt worden. Das System ist sofort nach der Buchung verfügbar. Die technische Implementierung ist unkompliziert und nimmt nur weniger Minuten in Anspruch. Auch wenn das System ohne gesonderte Schulung intuitiv verständlich ist, stehen wir Ihnen selbstverständlich bei Fragen zur Seite. So kann das Whistleblower System unmittelbar verwendet werden.
Welches Meldesystem empfiehlt sich für Unternehmen?
Ein Hinweisgebersystem in Form einer Online-Plattform ist aus vielen Gründen von Vorteil. Die digitalen Lösungen setzen neue Standards in Bezug auf Anonymität, Interaktivität und Benutzerfreundlichkeit.
Sind Verschwiegenheitsklauseln trotz Whistleblower Richtlinie wirksam?
Die unternehmensinternen Richtlinien dürfen den Mitarbeitenden nicht untersagen, Vorgänge zu melden, den Whistleblowern den Schutz zu versagen oder Ihre Identität nicht geheim zu halten. In diesem Fall steht die Whistleblower Richtlinie über den Klauseln des Unternehmens.
Worauf sollte bei der Auswahl des Meldesystems geachtet werden?
Ein Meldesystem zur Umsetzung der Whistleblower Richtlinie in Unternehmen ist im Optimalfall flexibel an das Unternehmen anpassbar. In der Softwarelösung von LegalTegrity stehen den Hinweisgebenden verschiedene Kommunikationskanäle zur Verfügung. Darüber hinaus bieten wir verschiedene Varianten, angepasst an die Unternehmensgröße an. Außerdem muss eine richtlinienkonforme Aufnahme, Bearbeitung und Speicherung der Hinweise gewährleistet sein.
(Die verwendete männliche Form bezieht sich auf alle Personen, gleich welchen Geschlechts.)