EU-Whistleblowing-Richtlinie - Alles, was Sie jetzt wissen müssen

Am 16. Dezember 2019 ist die EU-Richtlinie zum Schutz von Hinweisgebern in Kraft getreten. Wir zeigen Ihnen, wie Sie die Richtlinie in Ihrem Unternehmen schnell und einfach umsetzen können.

In diesem White Paper erfahren Sie:

EU Whistleblowing Richtlinie White Paper Cover German | integrityline.com

Jetzt White Paper herunterladen!

Registrieren Sie sich jetzt für unseren Compliance News Service und erhalten Sie relevante Neuigkeiten aus Compliance, Whistleblowing und Wirtschaftsethik. Nach der erfolgreichen Registrierung für den Compliance News Service erhalten Sie den Link zum White Paper via E-Mail. Sie können sich von den News jederzeit abmelden.

Die EU-Whistleblowing-Richtlinie im Überblick

Hinweisgeber sind für den Erhalt einer offenen und transparenten Gesellschaft besonders wichtig, da sie den Mut aufbringen, mit ihren Meldungen Missstände aufzudecken. Damit sie zukünftig besser vor negativen Konsequenzen und Repressalien, wie beispielsweise einer Kündigung, Versetzung, Degradierung oder Einschüchterung, geschützt sind, ist am 16. Dezember 2019 die EU-Direktive 2019/1937 zum Schutz von Hinweisgebern des EU-Parlaments in Kraft getretenvon der auch Schweizer Unternehmen betroffen sein können mit Niederlassungen in der EU.

Ziel der EU-Whistleblowing-Richtlinie ist es,

Wer ist von der Richtlinie betroffen?​

icon-company

Kleine und grosse Unternehmen ab 50 Mitarbeitern, Einrichtungen des öffentlichen Sektors, Behörden sowie Gemeinden ab 10.000 Einwohnern müssen EU-weit künftig sichere interne Meldekanäle für Hinweisgeber bereitstellen. Für die Unternehmen ab 250 Mitarbeitern gilt diese Pflicht bereits Ende 2021, für Unternehmen zwischen 50 und 250 Mitarbeitern gibt es eine Übergangsfrist von weiteren zwei Jahren.

Personen sollen Meldungen entweder online über eine Whistleblower Software, schriftlich über einen Briefkasten oder über den Postweg abgeben können und/oder mündlich per Whistleblower-Hotline oder ein AnrufbeantwortersystemGeschützt werden nicht nur Mitarbeiter, die Missstände melden, sondern auch Bewerber, ehemalige Mitarbeiter, Unterstützer des Hinweisgebers oder Journalisten.

Whistleblowing Report 2021 Ausgestalten Icon | integrityline.com
icon-topic

Der Hinweisgeberschutz bezieht sich auf das Melden von Missständen mit Bezug auf EU-Recht, wie etwa Steuerbetrug, Geldwäsche oder Delikte im Zusammenhang mit öffentlichen Aufträgen, Produkt- und Verkehrssicherheit, Umweltschutz, öffentlicher Gesundheit sowie Verbraucher- und Datenschutz. 

Die EU ermuntert die nationalen Gesetzgeber jedoch, diesen Anwendungsbereich im nationalen Gesetz zu erweitern.

Mit diesen Schutzmassnahmen will die EU sicherstellen, dass Hinweisgeber keine negativen Konsequenzen fürchten müssen:

Hinweisgeber sollen die Möglichkeit erhalten, Meldungen entweder schriftlich über ein Online-System, einen Briefkasten oder per Postweg abzugeben und/oder mündlich per Telefonhotline oder Anrufbeantwortersystem. Auf Verlangen des Hinweisgebers soll auch ein persönliches Treffen ermöglicht werden. Bei allen Meldewegen muss die Vertraulichkeit des Whistleblowers geschützt sein.

Alle personenbezogenen Daten, sowohl die des Hinweisgebers als auch etwaiger beschuldigter Personen, dürfen nur DSGVO-konform verarbeitet werden.

Innerhalb des Unternehmens soll die „am besten geeignete“ Person zum Erhalt und Nachverfolgen der Meldungen bestimmt werden. Laut EU könnten das sein:

Compliance OfficerPersonalleiter, Legal Counsel/Unternehmensjurist, Chief Financial Officer (CFO)/Finanzdirektor, Mitglied des Vorstands oder der Geschäftsführung

Unternehmen können die Bearbeitung von Hinweisen auch auslagern, beispielsweise an einen Ombudsmann.

Innerhalb von sieben Tagen muss das Unternehmen dem Hinweisgeber bestätigen, dass seine Meldung eingegangen ist. Innerhalb von drei Monaten muss der Hinweisgeber über ergriffene Maßnahmen, den Stand der internen Ermittlung und deren Ergebnis informiert werden.

Unternehmen müssen ihren Mitarbeitern Informationen über den unternehmensinternen Meldeprozess und über alternative Meldewege an die zuständigen Behörden bereitstellen. Diese Informationen müssen leicht verständlich und zugänglich sein, nicht nur für Mitarbeiter, sondern auch für Zulieferer, Dienstleister und Geschäftspartner.

Alle eingegangenen Meldungen müssen sicher aufbewahrt werden, damit sie gegebenenfalls als Beweismaterial verwendbar sind.

Unternehmen zwischen 50 und 250 Mitarbeitern können für Erhalt und Ermittlung von Hinweisen auf „gemeinsame Ressourcen“ (also einen gemeinsamen Hinweisgeberkanal) zurückgreifen, vorausgesetzt alle beschriebenen Pflichten werden eingehalten.

In der EU-Richtlinie sind auch Sanktionen vorgesehen. So müssen Unternehmen, die das Melden von Missständen behindern oder zu behindern versuchen, mit Strafen rechnen. Gleiches gilt, wenn Unternehmen die Identität des Hinweisgebers nicht vertraulich behandeln. Ebenso sollen Vergeltungsmaßnahmen gegen Whistleblower geahndet werden. Wie hoch diese Sanktionen ausfallen werden, ist Sache der nationalen Gesetzgeber.

Alle Informationen zur Richtlinie inklusive Checkliste finden Sie in unserem White Paper!

Die EU nimmt auch den öffentlichen Sektor in die Pflicht

  • Nicht nur kleine und grosse Unternehmen, sondern auch juristische Personen des öffentlichen Sektors, inklusive aller Einrichtungen, die sich im Besitz oder in der Kontrolle dieser Stellen sind, sind von der Richtlinie betroffen. Konkret bedeutet dies, dass alle Städte, Gemeinden und Kommunen ab 10.000 Einwohnern innerhalb der Europäischen Union das deutsche Hinweisgebergesetz umsetzen müssen.

Gerade im öffentlichen Sektor spielen Hinweisgeber eine bedeutende Rolle, denn mit Hilfe ihrer Meldungen lassen sich Delikte wie Korruption und Bestechung aufdecken, wie beispielsweise der Bestechung von Rathausmitarbeitern, Politikern oder Polizisten. 

Daher ist der Schutz von Beschäftigten und Bürgern, die Hinweise zur Klärung von Missständen abgeben, besonders wichtig, um das Gemeinwohl und den öffentlichen Frieden zu erhalten. Seit einigen Jahren wird zudem vermehrt auf Transparenz und Rechenschaftspflichten im öffentlichen Sektor geachtet. Der Schutz von Hinweisgebern ist wesentlich, um das öffentliche Interesse zu wahren und eine Kultur der öffentlichen Verantwortung und Integrität zu fördern.

Ein elektronisches Hinweisgebersystem kann somit auch im öffentlichen Sektor für mehr Transparenz sorgen und bei der Korruptionsprävention unterstützen.

Was muss ich bei der Umsetzung beachten?

Vertraulichkeit ist das A und O

Bei allen Meldekanälen muss die Vertraulichkeit der Identität des Whistleblowers gewahrt sein, damit dieser keinerlei Repressalien zu befürchten hat.

Interne oder externe Meldekanäle?

Falls keine internen Meldekanäle implementiert werden, haben Hinweisgeber laut EU-Richtlinie die Möglichkeit, eine externe Meldung an die zuständigen Behörden weiterzugeben – mit unkalkulierbaren Risiken für die betroffenen Organisationen.

Was passiert mit den Hinweisen?

Da alle Meldungen von Verstössen dokumentiert und Folgemassnahmen ergriffen werden müssen, sollte jede Meldung abrufbar und für Compliance-Beauftragte leicht zu bearbeiten sein.

Frühzeitige Umsetzung

Die Implementierung kann je nach Grösse und Komplexität der Organisationsstruktur einige Wochen bis Monate in Anspruch nehmen, auch in kleinen Unternehmen.

Nächste Schritte und Tipps

Die EU-Mitgliedsstaaten haben bis Dezember 2021 Zeit, die Direktive in nationales Recht umzusetzen. Zunächst müssen dann Unternehmen mit mehr als 250 Mitarbeitern ihren Pflichten nachkommen – zwei Jahre später auch die Unternehmen mit 50-250 Mitarbeitern. Unternehmen und Behörden sollten die Frist nicht auszureizen und frühzeitig aktiv zu werden.

Der Whistleblowing Report 2021 zeigt, dass einige deutsche Unternehmen bereits proaktiv Meldekanäle eingerichtet haben und darüber wertvolle Meldungen erhalten. So können diese Risiken frühzeitig identifizieren und Probleme ausräumen, bevor sich daraus ernsthafte Konsequenzen für den Unternehmenserfolg ergeben.

Setzen Sie ein internes Hinweisgebersystem mit entsprechenden Prozessen auf

Von höchster Bedeutung für Unternehmen ist die Wahlfreiheit für Hinweisgeber. Findet der Whistleblower intern keine geeigneten Meldekanäle vor, wird er sich direkt an die zuständige Aufsicht oder gar die Öffentlichkeit wenden – für Unternehmen immer die schlechtere Option. Geeignete interne Hinweisgebersysteme (auch unter dem Begriff Whistleblowing-System bekannt) sind deshalb unabdingbar. 

Diese sollten ständig verfügbar sein, eine Option auf Anonymität bieten, in den relevanten Sprachen angeboten werden, mit verständlichen Erklärtexten ausgestattet sein und von einer guten internen Kommunikationsstrategie begleitet werden.

FAQs:

Aus vielerlei Gründen eignet sich ein elektronisches Online-System sowohl für kleine und grosse Unternehmen als auch öffentliche Einrichtungen am besten, sofern es die folgenden Kriterien erfüllt:

– jede Meldung sollte abrufbar und für Compliance-Beauftragte leicht zu bearbeiten sein.

– alle Meldungen von Verstössen und unethischem Verhalten können dokumentiert sowie Folgemassnahmen ergriffen werden.

– die Bedienung des Hinweisgebersystems sollte intuitiv und einfach sein.

– Sicherheit des 100%igen Schutzes der Identität des Hinweisgebers; insbesondere für kleine und grosse Unternehmen sowie Institutionen des öffentlichen Sektors ist ein nachweislich sichererer Schutz empfehlenswert.

– Weder Dritte noch die Anbieter sollten Zugriff auf sensiblen Daten haben.

– Aus datenschutzrechtlichen Gründen sollten sich die Server-Hinweisgebersystem-Anbieter in Deutschland befinden.

– Internationale bzw. globale Unternehmen sollten auf eine orts- und zeitunabhängige Hinweisabgabe achten.

Eine frühzeitige Implementierung wird empfohlen, da die Implementierung je nach Größe und Komplexität der Organisationsstruktur einige Wochen bis Monate in Anspruch nehmen kann.

  • Der Hinweisgeber sollte innerhalb eines angemessenen Zeitrahmens über die geplanten bzw. ergriffenen Folgemaßnahmen und die Gründe für deren Wahl informiert werden.

Die Folgemaßnahmen könnten beispielsweise:

  • – §„den Verweis auf andere Kanäle oder Verfahren bei Meldungen, die ausschließlich die individuellen Rechte des Hinweisgebers betreffen,
  • – § den Abschluss des Verfahrens aufgrund mangelnder Beweise oder anderer Gründe,
  • – § die Einleitung interner Nachforschungen, eventuell unter Angabe der Ergebnisse und möglicher Maßnahmen zur Behebung des Problems oder

– § die Befassung einer zuständigen Behörde zwecks weiterer Untersuchung umfassen, soweit diese Informationen die internen Nachforschungen oder die Untersuchung nicht berühren und die Rechte der von der Meldung betroffenen Person nicht beeinträchtigen.“

Der Hinweisgeber sollte über die Fortschritte und Ergebnisse der Untersuchung im Verlauf informiert werden.

Bei der Umsetzung des internen Meldekanals sollte darauf geachtet werden, dass die für die Bearbeitung der Meldungen zuständigen Mitarbeiter speziell geschult und auch mit den geltenden Datenschutzvorschriften vertraut sind, damit sie die Meldungen effizient bearbeiten und die Kommunikation mit dem Hinweisgeber sowie geeignete Folgemaßnahmen einleiten können.

Laut der Richtlinie sollte es nicht möglich sein, sich auf die rechtlichen oder vertraglichen Pflichten des Einzelnen, beispielsweise Loyalitätsklauseln in Verträgen oder Vertraulichkeits- oder Geheimhaltungsvereinbarungen, stützen zu dürfen, um:

– § die Möglichkeit einer Meldung auszuschließen,
– § Hinweisgebern den Schutz zu versagen oder
– § sie für die Meldung von Informationen über Verstöße oder eine Offenlegung mit Sanktionen zu belegen, 

wenn die Weitergabe der Informationen, die unter diese Klauseln und Vereinbarungen fallen, notwendig ist, um den Verstoß aufzudecken.

Wenn diese Bedingungen erfüllt sind, sollten Hinweisgeber weder zivil-, straf- oder verwaltungsrechtlich noch hinsichtlich ihrer Beschäftigung haftbar gemacht werden können.

Laut der Whistleblower-Richtlinie sollten „Die Hinweisgeber (…) auch dann nicht haftbar gemacht werden können, wenn die Erlangung der betreffenden Informationen oder Dokumente oder der Zugriff darauf ein Problem im Hinblick auf die zivil- oder verwaltungsrechtliche oder beschäftigungsbezogene Haftung aufwirft. Dies wäre beispielsweise der Fall, wenn die Hinweisgeber die Informationen erlangt haben, indem sie auf E-Mails eines Mitarbeiters oder auf Dateien, die sie im Rahmen ihrer Arbeit normalerweise nicht nutzen, zugegriffen haben, oder indem sie die Räumlichkeiten der Organisation fotografiert oder Räume betreten haben, zu denen sie normalerweise keinen Zugang haben.
 
Wenn die Hinweisgeber eine Straftat — etwa Hausfriedensbruch oder Hacking — begangen haben, um die betreffenden Informationen oder Dokumente zu erlangen oder sich Zugang zu ihnen zu verschaffen, so sollten sie unbeschadet des gemäß Artikel 21 Absatz 7 dieser Richtlinie gewährten Schutzes weiterhin nach Maßgabe der anwendbaren nationalen Rechtsvorschriften strafrechtlich verantwortlich gemacht werden.“
Meldungen gegen Verstöße des EU-Rechts betreffen Bereiche wie z. B. öffentliches Auftragswesen, Finanzdienstleistungen, Geldwäsche, Produkt- und Verkehrssicherheit, nukleare Sicherheit, öffentliche Gesundheit, Umweltschutz sowie Verbraucher- und Datenschutz.