Hinweisgebersysteme und die EU-Whistleblower-Richtlinie

Laut aktuellen Statistiken haben nur wenige Mitarbeiter im europäischen Raum anonyme Hinweise zu Compliance-Verstößen gegeben. Mit Blick auf die EU-Whistleblower-Richtlinie müssen deutsche Unternehmen dennoch tätig werden.

Navex Global erhebt Daten zu Whistleblowing in Europa

Aktuelle Statistiken von Navex Global (2020 Regional Whistleblowing Hotline Benchmark Webinar for Europe & APAC ) zeigen, dass bereits 2019 im Mittel lediglich fünf von 1000 Mitarbeitern im europäischen Raum einen anonymen Hinweis abgegeben haben. Die Zahl der eingegangenen Hinweise ist also relativ gering, jedoch liegt deren Glaubhaftigkeit zwischen 40 und 50 %. Mit der EU-Whistleblower-Richtlinie ergeben sich für viele deutsche Unternehmen neue Anforderungen, die mit verschiedenen Lösungen erfüllt werden können. Eine interne Telefonnummer o.Ä. genügt den Anforderungen offensichtlich nicht, sodass ein Blick über die Unternehmensgrenzen hinaus ratsam ist.

Inhalte der EU-Whistleblower-Richtlinie

Gemäß der EU-Whistleblower-Richtlinie, die zum 16.12.2019 beschlossen wurde und bis zum 17.12.2021 national umgesetzt werden muss, werden Unternehmen mit mehr als 50 Mitarbeitern (Nationalstaaten können die Schwelle jedoch auf bis zu 250 Mitarbeiter anheben) sowie Behörden und Kommunen mit mehr als 10.000 Einwohnern dazu verpflichtet, Kanäle einzurichten, über die Verstöße gegen nationales und EU-Recht gemeldet werden können. Grundlegendes Ziel der Richtlinie ist es, die Aufdeckung und Unterbindung von Verstößen zu forcieren, gleichzeitig jedoch auch den Hinweisgeber („Whistleblower“) sowie gegebenenfalls Dritte/Vermittler, die bei der Meldung unterstützen, besser zu schützen, sodass für diese keine negativen zivil-, straf- oder verwaltungsrechtlichen oder internen Konsequenzen als Folge der Meldung zu befürchten sind. 

Im Wesentlichen lässt sich das Meldeverfahren in drei Stufen unterteilen:

  1. Interne Meldung.
  2. Meldung an die zuständige Behörde.
  3. Meldung an die Öffentlichkeit.

Der Hinweisgeber ist nicht zur Einhaltung dieser Hierarchie verpflichtet, jedoch wird empfohlen, zunächst die internen Kanäle der Organisation zu nutzen, bevor auf die Kanäle der externen Behörde oder gar die öffentlichen Medien zurückgegriffen wird.

Mögliche Meldekanäle gemäß EU-Whistleblower-RL

Gemäß Artikel 9 der „Richtlinie (EU) 2019/1937 des europäischen Parlaments und des Rates zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“, müssen die Meldekanäle eine Meldung in schriftlicher, mündlicher oder persönlicher (physische Zusammenkunft) Form ermöglichen. Jegliche übermittelte Information bedarf der Dokumentation in schriftlicher Form oder durch die Erstellung einer Tonaufzeichnung in dauerhafter und abrufbarer Form, jedoch muss nicht befugten Mitarbeitern der Zugriff darauf verwehrt bleiben.

Nebst diesen Anforderungen muss die stete Vertraulichkeit der Identität des Meldenden gewährleistet werden und eine Eingangsbestätigung des Hinweises nach spätestens sieben Tagen erteilt werden.

Die Richtlinie schlägt im Wesentlichen drei Varianten der Umsetzung vor:

  1. Einrichtung einer telefonischen, für den Anrufer kostenlosen Hotline: 

    Da die Meldung zu jeder Zeit möglich sein muss, muss bei einer persönlichen Hotline sichergestellt werden, dass diese permanent besetzt ist und sich keine sprachlichen Barrieren ergeben. Die Ombudsperson, die den Anruf in diesem Fall entgegennimmt, ist zur Wahrheit verpflichtet, muss laut Bundesverfassungsgericht (Beschluss v. 27.6.2018, 2 BvR 1405/17) jedoch kein Anwalt sein. Alternativ besteht die Möglichkeit einer automatischen Voicebox, auf der die Meldung aufgenommen und für eine angemessene Dauer aufbewahrt werden kann.

  2. Persönliche/Physische Zusammenkunft:

    Wünscht der Hinweisgeber eine persönliche physische Zusammenkunft mit einem Ansprechpartner, muss dies ermöglicht werden. Da der Hinweisempfänger jedoch den Meldenden in der Regel nicht persönlich kennt, dürfte sich diese Hinweisübermittlung in der Praxis erwartungsgemäß schwierig gestalten.

  3. Einrichtung eines IT-gestützten Hinweisgebersystems:

    Die Einrichtung eines IT-gestützten Hinweisgebersystems ermöglicht eine anonyme, verschlüsselte Kommunikation zwischen Hinweisgeber und Fallbearbeiter, die zu jeder Tages- und Nachtzeit stattfinden kann. Wenn die IP-Adresse des Meldenden bei einem derartigen System nicht gespeichert wird, ist dessen Identifizierung nicht möglich.

Interne und kostenneutrale Lösungen für Meldekanäle können gegen EU-Whistleblower-Richtlinie verstoßen

Intuitiv wird wohl seitens der Organisationen zunächst eine interne und kostenneutrale Lösung angestrebt. Werden die genannten Meldekanäle jedoch vor dem Hintergrund der Anforderungen der Richtlinie betrachtet, stößt man auf Divergenzen: Mag die Einrichtung einer internen E-Mail-Adresse oder Telefonnummer für die anonyme Meldung von Hinweisen vielleicht noch umsetzbar sein, so kann nicht garantiert werden, dass der IT-Verantwortliche der Organisation mit seinen administrativen Rechten nicht in das System eingreifen kann. Dies widerspricht jedoch dem Gebot der Richtlinie, dass nicht befugte Mitarbeiter keinen Zugriff auf das System bzw. die übermittelten Meldungen haben dürfen.

Demzufolge verbleibt an dieser Stelle vorgeblich lediglich die Einrichtung einer für den Anrufer kostenlosen externen Nummer (wie z. B. das „freecall 0800 Smart“-Angebot der Telekom), wobei der Anruf entweder auf einer Voicebox aufgenommen oder von einer Ombudsperson entgegengenommen wird.

Doch auch hier lässt sich eine Unvereinbarkeit mit den Forderungen der Richtlinie feststellen: Spricht der anonyme Hinweisgeber seine Meldung auf eine Voicebox, so kann diesem keine Eingangsbestätigung des Hinweises erteilt werden.

Faktisch verbleiben also lediglich zwei Optionen: Die Einrichtung eines IT-gestützten Systems oder die Entgegennahme des Hinweises durch eine Ombudsperson. Der unter Umständen dennoch abträgliche Faktor hinsichtlich der Ombudsperson: Die Kosten. Eine permanent per Telefon erreichbare Ombudsperson, die alle für die Organisation relevanten Sprachen bedienen kann und sogar noch verschiedene Zeitzonen abdeckt, kann durchaus nicht unerhebliche Kosten verursachen.

CompCor Whistleblowing

Die Wahl der richtigen Kanäle ist natürlich abhängig von der Organisation, gemäß einer Erhebung nutzte die Mehrheit der Mitarbeiter von Organisationen mit europäischem Hauptsitz jedoch ein IT-gestütztes Hinweisgebersystem bei ihrer Meldung (vgl. Newman, Whistleblowing neu definiert – Auslegung der EU Richtlinie zum Schutz von Hinweisgebern, S. 13).

Meldungen gemäß EU-Whistleblower-RL und das Thema Datenschutz

Da die Meldung von Missständen ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt, bedarf es einer Datenschutz-Folgenabschätzung. Informationen hierzu enthält die „ Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines: Firmeninterne Warnsysteme und Beschäftigtendatenschutz“ (S. 12) Gemäß Art. 17 RL (EU) 2019/1937 hat die „Verarbeitung personenbezogener Daten einschließlich des Austauschs oder der Übermittlung personenbezogener Daten durch die zuständigen Behörden“ im Einklang mit der EU-DSGVO stattzufinden.

Nach Auffassung der deutschen Datenschutzbehörden ist die Einrichtung und Nutzung firmeninterner Meldekanäle „unter besonderer Berücksichtigung des von dem Unternehmen verfolgten Zwecks und der Einrichtungsmodalitäten datenschutzgerecht“ möglich.

IT-gestütztes Hinweisgebersystem: Entwicklung interner oder Einkauf einer externen Lösung?

Vor diesem Hintergrund sowie den bereits genannten Statistiken und der daraus resultierenden Vermutung, dass mit Inkrafttreten der neuen Richtlinie kein „Sturm von Hinweisen“ einsetzen wird, stellt sich die strategische Frage, ob bei der Wahl eines IT-gestützten Hinweisgebersystems eine interne Lösung entwickelt oder auf einen externen Anbieter zurückgegriffen wird.

Die Kosten für die Entwicklung einer internen Lösung, die allen Anforderungen – denen der Richtlinie, aber auch denen der DS-GVO – gerecht wird, sind nicht unerheblich, sodass die Inanspruchnahme eines externen Anbieters naheliegt.

Eine Marktbetrachtung zeigt, dass es bereits einige Adressen gibt, die entsprechende Services anbieten. Der „Knackpunkt“ wird daher vielmehr sein, zu welchem Zeitpunkt das Unternehmen sich für eine Lösung und/oder einen Anbieter sowie die Einführung des Systems entscheidet.