Hinweisgebersysteme und die EU-Whistleblower-Richtlinie

Laut aktuellen Statistiken haben bislang wenige Mitarbeiter im europäischen Raum anonyme Hinweise zu Compliance-Verstößen gegeben. Mit Blick auf den Entwurf für ein Hinweisgeberschutzgesetz zur Umsetzung der EU-Whistleblower-Richtlinie müssen Unternehmen dennoch tätig werden.

Navex Global erhebt Daten zu Whistleblowing in Europa

Aktuelle Statistiken von Navex Global ( 2020 Regional Whistleblowing Hotline Benchmark Webinar for Europe & APAC) zeigen, dass bereits 2019 im Mittel lediglich fünf von 1000 Mitarbeitern im europäischen Raum einen anonymen Hinweis abgegeben haben. Die Zahl der eingegangenen Hinweise ist also relativ gering, jedoch liegt deren Glaubhaftigkeit zwischen 40 und 50 %. Mit der EU-Whistleblower-Richtlinie ergeben sich für viele deutsche Unternehmen neue Anforderungen, die mit verschiedenen Lösungen erfüllt werden können. Eine interne Telefonnummer o.Ä. genügt den Anforderungen offensichtlich nicht, sodass ein Blick über die Unternehmensgrenzen hinaus ratsam ist.

Inhalte der EU-Whistleblower-Richtlinie

Gemäß der EU-Whistleblower-Richtlinie, die zum 16.12.2019 beschlossen wurde und bis zum 17.12.2021 national umgesetzt werden muss, werden Unternehmen mit mehr als 50 Mitarbeitern (Nationalstaaten können die Schwelle jedoch auf bis zu 250 Mitarbeiter anheben) sowie Behörden und Kommunen mit mehr als 10.000 Einwohnern dazu verpflichtet, Kanäle einzurichten, über die Verstöße gegen nationales und EU-Recht gemeldet werden können. Grundlegendes Ziel der Richtlinie ist es, die Aufdeckung und Unterbindung von Verstößen zu forcieren, gleichzeitig jedoch auch den Hinweisgeber („Whistleblower“) sowie gegebenenfalls Dritte/Vermittler, die bei der Meldung unterstützen, besser zu schützen, sodass für diese keine negativen zivil-, straf- oder verwaltungsrechtlichen oder internen Konsequenzen als Folge der Meldung zu befürchten sind. 

Im Wesentlichen lässt sich das Meldeverfahren in drei Stufen unterteilen:

  1. Interne Meldung.
  2. Meldung an die zuständige Behörde.
  3. Meldung an die Öffentlichkeit.

Der Hinweisgeber ist nicht zur Einhaltung dieser Hierarchie verpflichtet, jedoch wird empfohlen, zunächst die internen Kanäle der Organisation zu nutzen, bevor auf die Kanäle der externen Behörde oder gar die öffentlichen Medien zurückgegriffen wird.

Mögliche Meldekanäle gemäß EU-Whistleblower-RL

Gemäß Artikel 9 der „Richtlinie (EU) 2019/1937 des europäischen Parlaments und des Rates zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“, müssen die Meldekanäle eine Meldung in schriftlicher, mündlicher oder persönlicher (physische Zusammenkunft) Form ermöglichen. Jegliche übermittelte Information bedarf der Dokumentation in schriftlicher Form oder durch die Erstellung einer Tonaufzeichnung in dauerhafter und abrufbarer Form, jedoch muss nicht befugten Mitarbeitern der Zugriff darauf verwehrt bleiben.

Nebst diesen Anforderungen muss die stete Vertraulichkeit der Identität des Meldenden gewährleistet werden und eine Eingangsbestätigung des Hinweises nach spätestens sieben Tagen erteilt werden.

Die Richtlinie schlägt im Wesentlichen drei Varianten der Umsetzung vor:

  1. Einrichtung einer telefonischen, für den Anrufer kostenlosen Hotline: 

    Da die Meldung zu jeder Zeit möglich sein muss, muss bei einer persönlichen Hotline sichergestellt werden, dass diese permanent besetzt ist und sich keine sprachlichen Barrieren ergeben. Die Ombudsperson, die den Anruf in diesem Fall entgegennimmt, ist zur Wahrheit verpflichtet, muss laut Bundesverfassungsgericht (Beschluss v. 27.6.2018, 2 BvR 1405/17) jedoch kein Anwalt sein. Alternativ besteht die Möglichkeit einer automatischen Voicebox, auf der die Meldung aufgenommen und für eine angemessene Dauer aufbewahrt werden kann.

  2. Persönliche/Physische Zusammenkunft:

    Wünscht der Hinweisgeber eine persönliche physische Zusammenkunft mit einem Ansprechpartner, muss dies ermöglicht werden. Da der Hinweisempfänger jedoch den Meldenden in der Regel nicht persönlich kennt, dürfte sich diese Hinweisübermittlung in der Praxis erwartungsgemäß schwierig gestalten.

  3. Einrichtung eines IT-gestützten Hinweisgebersystems:

    Die Einrichtung eines IT-gestützten Hinweisgebersystems ermöglicht eine anonyme, verschlüsselte Kommunikation zwischen Hinweisgeber und Fallbearbeiter, die zu jeder Tages- und Nachtzeit stattfinden kann. Wenn die IP-Adresse des Meldenden bei einem derartigen System nicht gespeichert wird, ist dessen Identifizierung nicht möglich.

Interne und kostenneutrale Lösungen für Meldekanäle können gegen EU-Whistleblower-Richtlinie verstoßen

Intuitiv wird wohl seitens der Organisationen zunächst eine interne und kostenneutrale Lösung angestrebt. Werden die genannten Meldekanäle jedoch vor dem Hintergrund der Anforderungen der Richtlinie betrachtet, stößt man auf Divergenzen: Mag die Einrichtung einer internen E-Mail-Adresse oder Telefonnummer für die anonyme Meldung von Hinweisen vielleicht noch umsetzbar sein, so kann nicht garantiert werden, dass der IT-Verantwortliche der Organisation mit seinen administrativen Rechten nicht in das System eingreifen kann. Dies widerspricht jedoch dem Gebot der Richtlinie, dass nicht befugte Mitarbeiter keinen Zugriff auf das System bzw. die übermittelten Meldungen haben dürfen.

Demzufolge verbleibt an dieser Stelle vorgeblich lediglich die Einrichtung einer für den Anrufer kostenlosen externen Nummer (wie z. B. das „freecall 0800 Smart“-Angebot der Telekom), wobei der Anruf entweder auf einer Voicebox aufgenommen oder von einer Ombudsperson entgegengenommen wird.

Doch auch hier lässt sich eine Unvereinbarkeit mit den Forderungen der Richtlinie feststellen: Spricht der anonyme Hinweisgeber seine Meldung auf eine Voicebox, so kann diesem keine Eingangsbestätigung des Hinweises erteilt werden.

Faktisch verbleiben also lediglich zwei Optionen: Die Einrichtung eines IT-gestützten Systems oder die Entgegennahme des Hinweises durch eine Ombudsperson. Der unter Umständen dennoch abträgliche Faktor hinsichtlich der Ombudsperson: Die Kosten. Eine permanent per Telefon erreichbare Ombudsperson, die alle für die Organisation relevanten Sprachen bedienen kann und sogar noch verschiedene Zeitzonen abdeckt, kann durchaus nicht unerhebliche Kosten verursachen.

CompCor Whistleblowing

Die Wahl der richtigen Kanäle ist natürlich abhängig von der Organisation, gemäß einer Erhebung nutzte die Mehrheit der Mitarbeiter von Organisationen mit europäischem Hauptsitz jedoch ein IT-gestütztes Hinweisgebersystem bei ihrer Meldung (vgl. Newman, Whistleblowing neu definiert – Auslegung der EU Richtlinie zum Schutz von Hinweisgebern, S. 13).

Meldungen gemäß EU-Whistleblower-RL und das Thema Datenschutz

Da die Meldung von Missständen ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt, bedarf es einer Datenschutz-Folgenabschätzung. Informationen hierzu enthält die „ Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines: Firmeninterne Warnsysteme und Beschäftigtendatenschutz“ (S. 12) Gemäß Art. 17 RL (EU) 2019/1937 hat die „Verarbeitung personenbezogener Daten einschließlich des Austauschs oder der Übermittlung personenbezogener Daten durch die zuständigen Behörden“ im Einklang mit der EU-DSGVO stattzufinden.

Nach Auffassung der deutschen Datenschutzbehörden ist die Einrichtung und Nutzung firmeninterner Meldekanäle „unter besonderer Berücksichtigung des von dem Unternehmen verfolgten Zwecks und der Einrichtungsmodalitäten datenschutzgerecht“ möglich.

IT-gestütztes Hinweisgebersystem: Entwicklung interner oder Einkauf externer Lösung?

Vor dem Hintergrund der bereits genannten Statistiken und der daraus resultierenden Vermutung, dass mit Inkrafttreten der neuen Richtlinie kein „Sturm von Hinweisen“ einsetzen wird, stellt sich die strategische Frage, ob bei der Wahl eines IT-gestützten Hinweisgebersystems eine interne Lösung entwickelt oder auf einen externen Anbieter zurückgegriffen wird.

Die Kosten für die Entwicklung einer internen Lösung, die allen Anforderungen – denen der Richtlinie, aber auch denen der DS-GVO – gerecht wird, sind nicht unerheblich, sodass die Inanspruchnahme eines externen Anbieters naheliegt.

Eine Marktbetrachtung zeigt, dass es bereits einige Adressen gibt, die entsprechende Services anbieten. Der „Knackpunkt“ wird daher vielmehr sein, zu welchem Zeitpunkt das Unternehmen sich für eine Lösung und/oder einen Anbieter sowie die Einführung des Systems entscheidet.

Nationale Umsetzung - Referentenentwurf in der Abstimmung

Das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) hat nun Ende 2020 einen Entwurf für ein Hinweisgeberschutzgesetz erarbeitet und die Ressortabstimmung eingeleitet. Die aktuellen Pressemeldungen deuten darauf hin, dass es innerhalb der Koalitionsparteien hierzu noch Diskussionsbedarf gibt. Dieses kommende Hinweisgeberschutzgesetz setzt die Regelungen der EU-Whistleblower-Richtlinie in deutsches Recht um, insofern wird zu den Inhalten auf die obigen Ausführungen verwiesen. Die nationale Umsetzung muss bis spätestens 17.12.2021 erfolgen.

Der Gesetzentwurf untersagt Repressalien und jedwede Vergeltungsmaßnahmen gegenüber Hinweisgebern. In diesem Zusammenhang wird auch eine Regelung über eine Beweislastumkehr bei Kündigungen eingeführt. Arbeitgeber müssen demnach künftig nachweisen, dass Kündigungen nicht im Zusammenhang mit der Aufdeckung von Missständen stehen.

Darüber hinaus sieht der Entwurf die Schaffung eines unternehmens- bzw. behördeninternen Meldeweges sowie eines externen Meldeweges bei einer unabhängigen Stelle vor. Hinweisgeber, die diese Meldekanäle nicht nutzen, sondern sich unmittelbar an die Öffentlichkeit wenden, werden nur in besonderen Ausnahmefällen durch die neuen Regelungen geschützt. Ein Schutz für Hinweisgeber besteht allerdings nicht, wenn es sich um eine vorsätzliche oder grob fahrlässige Weitergabe unrichtiger Informationen handelt.

Ausweitung auf Verstöße gegen deutsches Recht

Da die EU-Whistleblower-Richtlinie einen Hinweisgeber nur dann schützen kann, wenn dieser Verstöße gegen EU-Recht meldet, soll das deutsche Hinweisgeberschutzgesetz dies ausweiten und auch weitere Verstöße gegen deutsches Recht umfassen. Dieser Punkt ist einer der noch politisch diskutierten Bereiche, sodass deshalb die finale Gesetzesfassung abzuwarten bleibt.

Ebenfalls ist noch offen, ob der deutsche Gesetzgeber die in der EU-Whistleblower-Richtlinie enthaltene Möglichkeit umsetzt, die Verpflichtung zur Einführung eines internen Meldekanals für juristische Personen mit einer Mitarbeiteranzahl zwischen 50 und 249 um zwei Jahre zu verzögern. Grundsätzlich ist deshalb festzuhalten, dass die Verpflichtung für Unternehmen mit mehr als 250 Mitarbeitern auf jeden Fall ab Dezember 2021 in Kraft treten wird.

Fazit 

Das deutsche Hinweisgeberschutzgesetz wird kommen. Die wesentlichen Anforderungen an Unternehmen und Behörden können der EU-Whistleblower-Richtlinie bereits entnommen werden. Bereiten Sie sich deshalb frühzeitig auf die Umsetzung vor. Bitte bedenken Sie, dass eine Vielzahl von Unternehmen und Behörden betroffen sein werden und die Nachfrage nach IT-gestützten Hinweisgebersystemen auf einem überschaubaren Anbietermarkt Ende des Jahres sprunghaft ansteigen könnte.