Nicht nur, aber vor allem aufgrund der am 17. Dezember 2021 ablaufenden Umsetzungsfrist für die EU-Whistleblower-Richtlinie (Richtlinie (EU) 2019/1937 vom 23. Oktober 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden) spielen die Fragen des „Ob“ und „Wie“ der Einführung von Whistleblowing-Systemen für Unternehmen derzeit eine große Rolle. Diese Diskussion macht vor keiner Branche halt, auch nicht vor Tech-Unternehmen. Die Anfragen, die uns in diesem Zusammenhang erreichen, gleichen sich: Wann kommt das deutsche Umsetzungsgesetz zur EU-Whistleblower-Richtlinie? Sind wir bereits aufgrund der EU-Richtlinie unmittelbar zur Einführung eines Whistleblowing-Systems verpflichtet? Können wir ein zentrales Whistleblowing-System für den gesamten Konzern implementieren? Hierauf gilt es, Antworten zu geben.

1. Was regelt die EU-Whistleblower-Richtlinie?

Aus Sicht des europäischen Gesetzgebers sind Meldungen und Offenlegungen von Hinweisgebern ein wirksames Instrument zur Aufdeckung von Rechtsverstößen. Es wird jedoch unterstellt, dass potenzielle Hinweisgeber bisher aus Angst vor Repressalien mitunter davor zurückschrecken, ihren Verdacht zu melden. Die EU-Whistleblower-Richtlinie setzt daher einen unionsweit einheitlichen Mindeststandard zum Schutz von Hinweisgebern, um ihnen in Zukunft die Hemmung vor einer Meldung oder Offenlegung zu nehmen. Geschützt werden dabei nicht nur Arbeitnehmer, sondern auch Dritte, die irgendeinen betrieblichen Bezug haben, wie z.B. Freelancer oder Lieferanten. Aber nicht jedes (privatwirtschaftliche) Unternehmen fällt in den Anwendungsbereich der Richtlinie, sondern nur solche, die mehr als 250 Mitarbeiter haben. Ab Ende 2023 sinkt die Schwelle auf 50 Mitarbeiter. Mittelgroße Unternehmen haben also etwas mehr Zeit. Entscheidend dabei ist jede Gesellschaft für sich und nicht der Konzern.

Inhaltlich sieht die Richtlinie vor, dass es zukünftig ein dreigliedriges Meldesystem geben soll, das aus einem (unternehmens-)internen Meldekanal, einem externen Meldekanal (die zuständige Behörde) und der Möglichkeit einer Offenlegung gegenüber der Allgemeinheit besteht. Sofern dieses dreigliedrige Meldesystem existiert, darf der Whistleblower nur dann an die Öffentlichkeit gehen, wenn die beiden anderen Meldewege ausgeschöpft sind. Offen lässt die EU-Richtlinie allerdings, ob sich der Hinweisgeber immer an die interne Meldestelle wenden muss oder ob er auch gleich den Weg zur externen Meldestelle gehen kann. Der nationale Gesetzgeber ist insoweit frei dies im Umsetzungsgesetz zu normieren. Andere wichtige Regelungen der EU-Richtlinie sind das Rückkopplungsgebot und das Vertraulichkeitsgebot, die es im Umsetzungsgesetz zu beachten gilt, wenn es denn dann in Deutschland kommt.

2. Wo bleibt das deutsche Umsetzungsgesetz?

Da die EU-Richtlinie im Grundsatz nicht unmittelbar Anwendung findet, hatte der deutsche Gesetzgeber zwei Jahre lang Zeit, ein nationales Umsetzungsgesetz zu beschließen. Diese Frist läuft bis zum 17. Dezember 2021. Noch gibt es allerdings in Deutschland kein solches Gesetz. Der letzte Referentenentwurf ist auf Grund der folgenden zwei Streitpunkte gescheitert: Zum einen sollte das deutsche Gesetz den Whistleblower nicht nur bei der Meldung von Verstößen gegen Unionsrecht schützen, sondern über die Vorgabe der Richtlinie hinaus auch bei Meldungen von Verstößen gegen nationales Recht. Zum anderen sah der Entwurf des Umsetzungsgesetzes vor, dass Hinweisgeber nicht erst eine interne Meldung machen müssen, sondern sich gleich an die externe Meldestelle (vorgesehen war die Bundesanstalt für Finanzdienstleistungsaufsicht) wenden können. Zu beiden Punkten konnte in der großen Koalition keine Einigung gefunden werden.

Nun ist die neue Bundesregierung aufgerufen, die EU-Richtlinie schnellstmöglich umzusetzen. In ihrem Koalitionsvertrag schreibt sie dazu: „Wir setzen die EU-Whistleblower-Richtlinie rechtssicher und praktikabel um. Whistleblowerinnen und Whistleblower müssen nicht nur bei der Meldung von Verstößen gegen EU-Recht vor rechtlichen Nachteilen geschützt sein, sondern auch von erheblichen Verstößen gegen Vorschriften oder sonstigem erheblichen Fehlverhalten, dessen Aufdeckung im besonderen öffentlichen Interesse liegt.“

3. Füße stillhalten oder proaktives Handeln?

Was aber bedeutet das nun für Unternehmen? Können sie oder sollten sie sogar abwarten bis es einen neuen Gesetzesentwurf oder ein Gesetz gibt? Die klare Antwort lautet: Nein. Denn unabhängig von dem Umsetzungsgesetz gibt es gute Gründe ein Whistleblowing-System jetzt schon einzuführen:

• Das Whistleblowing-System als Teil des Compliance Management Systems
  Zum einen, und das wird in der Diskussion oft vergessen, ist das Whistleblowing-System Teil eines effizienten Compliance Management Systems. Wenn man sich das „Haus des Compliance Management Systems“ einmal bildlich vorstellt, welches auf den drei Säulen Prevent, Detect, Respond fußt, so ist das Whistleblowing-System eine der wichtigsten Maßnahmen der zweiten Säule (Detect) und dort fest verankert. Daher wird auch bereits jetzt schon in jeder Compliance Due Diligence in einer M&A-Transaktion standardisiert nach dem Bestehen eines solchen Systems gefragt. Der Käufer muss wissen, welche Maßnahmen es bereits gibt und wo Nachbesserungsbedarf post-closing besteht. Denn wer es mit seinem Compliance Management System ernst meint, sollte ab einer gewissen Unternehmensgröße über ein Whistleblowing-System verfügen, über das alle compliance-relevanten Sachverhalte gemeldet werden können. Die Ausgestaltung dieses Whistleblowing-Systems ist dann auch völlig unabhängig von der EU-Richtlinie oder dem entsprechenden Umsetzungsgesetz. Das Whistleblowing-System muss vielmehr dem allgemeinen Compliance-Standard entsprechend. Daher kann sich für Unternehmen überhaupt nicht die Frage stellen, ob nur bestimmte Verstöße über das Whistleblowing-System gemeldet werden dürfen. Denn ansonsten bliebe es dem einzelnen Arbeitnehmer überlassen, zu bewerten, ob eine von ihm bemerkte Verfehlung im Unternehmen tatsächlich einen qualifizierten Gesetzesverstoß im Sinne der EU-Richtlinie darstellt, oder ob es sich stattdessen um einen Verstoß aus einem anderen Rechtsgebiet handelt, das in der EU-Richtlinie nicht explizit erwähnt wird, bzw. ob die Verfehlung lediglich ein unethisches Verhalten unterhalb der Schwelle zum Gesetzesverstoß darstellt. Dies birgt eine große Gefahr, dass ein Arbeitnehmer lieber gar keine Meldung macht, weil er nicht genau weiß, ob das zu meldende Verhalten tatsächlich ein Gesetzesverstoß ist und damit hätte gemeldet werden dürfen. Diese Unsicherheit könnte Arbeitnehmer eher von einer Meldung abschrecken.
  
  Whistleblowing-Systeme sind also bereits heute best practice. So sieht der in 2021 aktualisierte Standard ISO 37002:2021 „Whistleblowing management systems — Guidelines“ Richtlinien für ein effektives Hinweisgebersystem vor. Ebenfalls die im November 2021 vom Bundeskartellamt veröffentlichten praktischen Hinweise zur vorzeitigen Löschung aus dem Wettbewerbsregister wegen Selbstreinigung sehen ein Whistleblower-System als einen „wichtigen Faktor für die Bewertung effektiver Compliance“ an. Nicht zuletzt auch das bereits verabschiedete und am 1. Januar 2023 in Kraft tretende Lieferkettensorgfaltspflichtengesetz führt in § 8 ein Hinweisgebersystem unter der Überschrift „Beschwerdeverfahren“ ein.
• Rechtliche Regelungen
  Der andere Grund schon jetzt ein Whistleblowing-System einzuführen ist, dass ein Umsetzungsgesetz in jedem Fall kommen wird. Die Frage ist nur wann. Solange es dieses aber nicht gibt, wird sehr heiß die unmittelbare Anwendbarkeit der EU-Richtlinie diskutiert, was immer dann möglich ist, wenn ein Land eine Richtlinie nicht umsetzt. Diese unmittelbare Anwendbarkeit ist allerdings an bestimmte Voraussetzungen geknüpft. Insoweit besteht derzeit Uneinigkeit, ob diese Voraussetzungen erfüllt sind. Allerdings birgt diese aktuelle Situation das Risiko, dass sich ein Whistleblower auf die unmittelbare Anwendbarkeit im Streitfall beruft und ihm recht gegeben wird. Um dies zu verhindern, sollten die Unternehmen jetzt handeln.

4. Was ist also zu tun?

Wie eigentlich immer bei Compliance-Maßnahmen gibt es auch bei der Implementierung eines Whistleblowing-Systems drei Phasen: Die Vorbereitungs-, die Implementierungs- und die Kontrollphase. In der Vorbereitungsphase sind die grundlegenden Voraussetzungen für die Implementierung zu schaffen. Das bedeutet, dass das Management von der Einführung überzeugt sein muss und dass die Art des Whistleblowing-Systems, insbesondere auch der Anbieter der technischen Lösung, ausgesucht wird. Daneben, on top, ist die Durchführung einer ersten Risikoanalyse ratsam. Das ist zwar kein Muss, aber sehr sinnvoll, um die Risiken in einem Unternehmen besser zu ermitteln. Hieraus kann sich eine erste Idee ergeben, wo der Schuh besonders drückt und wen man mit welcher Fachkenntnis am besten hinter das Whistleblowing-System setzt. Anschließend folgt die Implementierungsphase. Hier sind insbesondere die gesellschaftsrechtlichen, arbeitsrechtlichen und datenschutzrechtlichen Anforderungen, die an die Einführung eines Whistleblowing-Systems gestellt werden, zu beachten. Aber auch nach der Implementierung ist die Arbeit nicht getan, denn jede Compliance-Maßnahme muss stets auf ihre Wirksamkeit hin kontrolliert und ggf. angepasst werden.

5. Ein Konzern, ein Whistleblowing-System?

Konzerne beschäftigen sich momentan insbesondere mit der Frage, ob sie ein zentrales Whistleblowing-System einführen können, welches für alle Konzerngesellschaften gleichermaßen gilt. Dies erscheint zwar praktikabel, ist allerdings aus zwei Gründen schwierig. Zum einen gibt es eine neue Stellungnahme der EU-Kommission, die besagt, dass ein konzernweites Whistleblowing-System unzulässig ist. Nur mittelgroße Tochtergesellschaften (50 bis 249 Mitarbeiter) sollen ihre Ressourcen jedenfalls teilweise bündeln dürfen. Danach kann die Entgegennahme von Meldungen und die Durchführung von Untersuchungen für mehrere Legaleinheiten einer ausgewählten Konzerngesellschaft übertragen werden. Außerdem sollen mittelgroße Tochtergesellschaften profitieren können von den Kapazitäten der Muttergesellschaft für eine sich an die Meldung anschließende interne Untersuchung. Dies gelte jedoch nur unter der Voraussetzung, dass die separaten Meldekanäle der einzelnen Tochtergesellschaften bestehen bleiben, der Whistleblower über die Abgabe seines Hinweises an eine andere Konzerngesellschaft informiert wird und er damit einverstanden ist. Das heißt, es bedarf in jedem Fall weiterhin einer eigenen Meldestelle bei jeder Gesellschaft. Der zweite Grund, woran eine one size fits all-Lösung oft scheitert, ist: Es gibt zahlreiche unterschiedliche rechtliche Anforderungen in den einzelnen EU-Ländern, die die Richtlinie mit ihrem Gestaltungsspielraum nicht einheitlich umsetzen. Auch außerhalb der EU sind die rechtlichen Vorgaben in den einzelnen Jurisdiktionen sehr unterschiedlich ausgestaltet. Schließlich können auch kulturelle Unterschiede hier durchaus eine Rolle spielen.

Was ist Konzernen also zu raten, um dem logistischen Aufwand Herr zu werden? Sie sollten mit der Einführung eines Whistleblowing-Systems für eine Gesellschaft in einem Land anfangen. Häufig wird dies im Land der Konzernzentrale sein, möglich wäre aber auch das Land einer zentralen Tochtergesellschaft. Dieses Basis-Whistleblowing-System sollte dann in den anderen Jurisdiktionen des Konzerns jeweils durch lokale Rechtsanwälte geprüft und nur insoweit angepasst werden, als dies zwingend erforderlich ist. Die Koordination der lokalen Rechtsanwälte sollte dabei durch eine Kontaktperson erfolgen, die über den Status der verschiedenen Umsetzungen in den Gesellschaften und Ländern informiert ist. So lässt sich für Konzerne mit einem möglichst geringen Aufwand ein globales System implementieren, welches die zwingenden rechtlichen Erfordernisse in den verschiedenen Ländern einbezieht.

Lessons Learned: Die Einführung von Whistleblowing-Systemen sollte nicht auf die lange Bank geschoben werden. Auch wenn das deutsche Umsetzungsgesetz noch auf sich warten lässt, sollte bereits jetzt gehandelt werden. Ein Hinweisgebersystem ist bereits heute best practice und auch nach dem Lieferkettensorgfaltspflichtengesetz vorgesehen. Abwarten ist daher keine Option mehr.