8. Dezember 2021
Inside ESG & Compliance – 5 von 12 Insights
Nicht nur, aber vor allem aufgrund der am 17. Dezember 2021 ablaufenden Umsetzungsfrist für die EU-Whistleblower-Richtlinie (Richtlinie (EU) 2019/1937 vom 23. Oktober 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden) spielen die Fragen des „Ob“ und „Wie“ der Einführung von Whistleblowing-Systemen für Unternehmen derzeit eine große Rolle. Diese Diskussion macht vor keiner Branche halt, auch nicht vor Tech-Unternehmen. Die Anfragen, die uns in diesem Zusammenhang erreichen, gleichen sich: Wann kommt das deutsche Umsetzungsgesetz zur EU-Whistleblower-Richtlinie? Sind wir bereits aufgrund der EU-Richtlinie unmittelbar zur Einführung eines Whistleblowing-Systems verpflichtet? Können wir ein zentrales Whistleblowing-System für den gesamten Konzern implementieren? Hierauf gilt es, Antworten zu geben.
Aus Sicht des europäischen Gesetzgebers sind Meldungen und Offenlegungen von Hinweisgebern ein wirksames Instrument zur Aufdeckung von Rechtsverstößen. Es wird jedoch unterstellt, dass potenzielle Hinweisgeber bisher aus Angst vor Repressalien mitunter davor zurückschrecken, ihren Verdacht zu melden. Die EU-Whistleblower-Richtlinie setzt daher einen unionsweit einheitlichen Mindeststandard zum Schutz von Hinweisgebern, um ihnen in Zukunft die Hemmung vor einer Meldung oder Offenlegung zu nehmen. Geschützt werden dabei nicht nur Arbeitnehmer, sondern auch Dritte, die irgendeinen betrieblichen Bezug haben, wie z.B. Freelancer oder Lieferanten. Aber nicht jedes (privatwirtschaftliche) Unternehmen fällt in den Anwendungsbereich der Richtlinie, sondern nur solche, die mehr als 250 Mitarbeiter haben. Ab Ende 2023 sinkt die Schwelle auf 50 Mitarbeiter. Mittelgroße Unternehmen haben also etwas mehr Zeit. Entscheidend dabei ist jede Gesellschaft für sich und nicht der Konzern.
Inhaltlich sieht die Richtlinie vor, dass es zukünftig ein dreigliedriges Meldesystem geben soll, das aus einem (unternehmens-)internen Meldekanal, einem externen Meldekanal (die zuständige Behörde) und der Möglichkeit einer Offenlegung gegenüber der Allgemeinheit besteht. Sofern dieses dreigliedrige Meldesystem existiert, darf der Whistleblower nur dann an die Öffentlichkeit gehen, wenn die beiden anderen Meldewege ausgeschöpft sind. Offen lässt die EU-Richtlinie allerdings, ob sich der Hinweisgeber immer an die interne Meldestelle wenden muss oder ob er auch gleich den Weg zur externen Meldestelle gehen kann. Der nationale Gesetzgeber ist insoweit frei dies im Umsetzungsgesetz zu normieren. Andere wichtige Regelungen der EU-Richtlinie sind das Rückkopplungsgebot und das Vertraulichkeitsgebot, die es im Umsetzungsgesetz zu beachten gilt, wenn es denn dann in Deutschland kommt.
Da die EU-Richtlinie im Grundsatz nicht unmittelbar Anwendung findet, hatte der deutsche Gesetzgeber zwei Jahre lang Zeit, ein nationales Umsetzungsgesetz zu beschließen. Diese Frist läuft bis zum 17. Dezember 2021. Noch gibt es allerdings in Deutschland kein solches Gesetz. Der letzte Referentenentwurf ist auf Grund der folgenden zwei Streitpunkte gescheitert: Zum einen sollte das deutsche Gesetz den Whistleblower nicht nur bei der Meldung von Verstößen gegen Unionsrecht schützen, sondern über die Vorgabe der Richtlinie hinaus auch bei Meldungen von Verstößen gegen nationales Recht. Zum anderen sah der Entwurf des Umsetzungsgesetzes vor, dass Hinweisgeber nicht erst eine interne Meldung machen müssen, sondern sich gleich an die externe Meldestelle (vorgesehen war die Bundesanstalt für Finanzdienstleistungsaufsicht) wenden können. Zu beiden Punkten konnte in der großen Koalition keine Einigung gefunden werden.
Nun ist die neue Bundesregierung aufgerufen, die EU-Richtlinie schnellstmöglich umzusetzen. In ihrem Koalitionsvertrag schreibt sie dazu: „Wir setzen die EU-Whistleblower-Richtlinie rechtssicher und praktikabel um. Whistleblowerinnen und Whistleblower müssen nicht nur bei der Meldung von Verstößen gegen EU-Recht vor rechtlichen Nachteilen geschützt sein, sondern auch von erheblichen Verstößen gegen Vorschriften oder sonstigem erheblichen Fehlverhalten, dessen Aufdeckung im besonderen öffentlichen Interesse liegt.“
Was aber bedeutet das nun für Unternehmen? Können sie oder sollten sie sogar abwarten bis es einen neuen Gesetzesentwurf oder ein Gesetz gibt? Die klare Antwort lautet: Nein. Denn unabhängig von dem Umsetzungsgesetz gibt es gute Gründe ein Whistleblowing-System jetzt schon einzuführen:
Wie eigentlich immer bei Compliance-Maßnahmen gibt es auch bei der Implementierung eines Whistleblowing-Systems drei Phasen: Die Vorbereitungs-, die Implementierungs- und die Kontrollphase. In der Vorbereitungsphase sind die grundlegenden Voraussetzungen für die Implementierung zu schaffen. Das bedeutet, dass das Management von der Einführung überzeugt sein muss und dass die Art des Whistleblowing-Systems, insbesondere auch der Anbieter der technischen Lösung, ausgesucht wird. Daneben, on top, ist die Durchführung einer ersten Risikoanalyse ratsam. Das ist zwar kein Muss, aber sehr sinnvoll, um die Risiken in einem Unternehmen besser zu ermitteln. Hieraus kann sich eine erste Idee ergeben, wo der Schuh besonders drückt und wen man mit welcher Fachkenntnis am besten hinter das Whistleblowing-System setzt. Anschließend folgt die Implementierungsphase. Hier sind insbesondere die gesellschaftsrechtlichen, arbeitsrechtlichen und datenschutzrechtlichen Anforderungen, die an die Einführung eines Whistleblowing-Systems gestellt werden, zu beachten. Aber auch nach der Implementierung ist die Arbeit nicht getan, denn jede Compliance-Maßnahme muss stets auf ihre Wirksamkeit hin kontrolliert und ggf. angepasst werden.
Konzerne beschäftigen sich momentan insbesondere mit der Frage, ob sie ein zentrales Whistleblowing-System einführen können, welches für alle Konzerngesellschaften gleichermaßen gilt. Dies erscheint zwar praktikabel, ist allerdings aus zwei Gründen schwierig. Zum einen gibt es eine neue Stellungnahme der EU-Kommission, die besagt, dass ein konzernweites Whistleblowing-System unzulässig ist. Nur mittelgroße Tochtergesellschaften (50 bis 249 Mitarbeiter) sollen ihre Ressourcen jedenfalls teilweise bündeln dürfen. Danach kann die Entgegennahme von Meldungen und die Durchführung von Untersuchungen für mehrere Legaleinheiten einer ausgewählten Konzerngesellschaft übertragen werden. Außerdem sollen mittelgroße Tochtergesellschaften profitieren können von den Kapazitäten der Muttergesellschaft für eine sich an die Meldung anschließende interne Untersuchung. Dies gelte jedoch nur unter der Voraussetzung, dass die separaten Meldekanäle der einzelnen Tochtergesellschaften bestehen bleiben, der Whistleblower über die Abgabe seines Hinweises an eine andere Konzerngesellschaft informiert wird und er damit einverstanden ist. Das heißt, es bedarf in jedem Fall weiterhin einer eigenen Meldestelle bei jeder Gesellschaft. Der zweite Grund, woran eine one size fits all-Lösung oft scheitert, ist: Es gibt zahlreiche unterschiedliche rechtliche Anforderungen in den einzelnen EU-Ländern, die die Richtlinie mit ihrem Gestaltungsspielraum nicht einheitlich umsetzen. Auch außerhalb der EU sind die rechtlichen Vorgaben in den einzelnen Jurisdiktionen sehr unterschiedlich ausgestaltet. Schließlich können auch kulturelle Unterschiede hier durchaus eine Rolle spielen.
Was ist Konzernen also zu raten, um dem logistischen Aufwand Herr zu werden? Sie sollten mit der Einführung eines Whistleblowing-Systems für eine Gesellschaft in einem Land anfangen. Häufig wird dies im Land der Konzernzentrale sein, möglich wäre aber auch das Land einer zentralen Tochtergesellschaft. Dieses Basis-Whistleblowing-System sollte dann in den anderen Jurisdiktionen des Konzerns jeweils durch lokale Rechtsanwälte geprüft und nur insoweit angepasst werden, als dies zwingend erforderlich ist. Die Koordination der lokalen Rechtsanwälte sollte dabei durch eine Kontaktperson erfolgen, die über den Status der verschiedenen Umsetzungen in den Gesellschaften und Ländern informiert ist. So lässt sich für Konzerne mit einem möglichst geringen Aufwand ein globales System implementieren, welches die zwingenden rechtlichen Erfordernisse in den verschiedenen Ländern einbezieht.
Lessons Learned: Die Einführung von Whistleblowing-Systemen sollte nicht auf die lange Bank geschoben werden. Auch wenn das deutsche Umsetzungsgesetz noch auf sich warten lässt, sollte bereits jetzt gehandelt werden. Ein Hinweisgebersystem ist bereits heute best practice und auch nach dem Lieferkettensorgfaltspflichtengesetz vorgesehen. Abwarten ist daher keine Option mehr.
1. July 2021
von mehreren Autoren
26. July 2021
von mehreren Autoren
23. September 2021
von mehreren Autoren
22. October 2021
von mehreren Autoren
8. December 2021
von mehreren Autoren
9. February 2022
von mehreren Autoren
8. March 2022
von mehreren Autoren
26. April 2022
von mehreren Autoren
27. September 2022
von mehreren Autoren
In the near future companies will increasingly have to prepare their own sustainability reports and publish them.
6. December 2022
von mehreren Autoren
Welche Abteilungen eines Unternehmens sollten die Verantwortung für das rasant an Bedeutung gewinnende Thema Nachhaltigkeit und ESG (Environmental, Social, Governance) erhalten?
20. December 2022
von mehreren Autoren
11. April 2024
Wichtigste Fragen aus Sicht der Compliance-, Rechts- und Personalabteilung
von mehreren Autoren
von Dr. Dirk Lorenz
von mehreren Autoren