Die EU-Richtlinie zum Hinweisgeberschutz und deren Umsetzung in nationales Recht: Was kommt auf Unternehmen zu?

Die EU-Richtlinie: Die Richtlinie steht im Kontext eines Paradigmenwechsels der Rechtsdurchsetzungspolitik – in Europa und auch in Deutschland. Ziel der Richtline ist – das ist in ihrem Art. 1 beschrieben – die „Bessere Durchsetzung des Unionsrechts und der Unionspolitik in bestimmten Bereichen durch Festlegung gemeinsamer Mindeststandards, die ein hohes Schutzniveau für Personen sicherstellen, die Verstöße gegen das Unionsrecht melden“. Die Durchsetzung europäischen Rechts soll mit diesen Vorgaben präventiv vom Staat auf die Rechtsträger als eigene Angelegenheit übertragen werden. Durch die konkrete Vorgabe, Meldekanäle und ein Case Management zu implementieren und aufrecht zu erhalten

Stand des Gesetzgebungsverfahrens: Die Richtlinie wurde im so genannten Triolog-Verfahren erlassen und trat am 16.12.2019 in Kraft mit einer Umsetzungsfrist von zwei Jahren.

• Umsetzungsstand in der EU: 19 von 27 EU-Mitgliedsstatten haben mit der Umsetzung bereits begonnen. Teilweise ist man schon weiter wie in Deutschland, insb. in den nordischen Ländern.

• Referentenentwurf: In Deutschland sind, das Justiz- und das Arbeitsministerium arbeitsteilig mit dem Entwurf des Referentenentwurfes beschäftigt. Aufgrund der Komplexität und des Neulandes des Hinweisgeberschutzes ist bisher aber noch kein für die Öffentlichkeit freigegebener Entwurf verfügbar. Es ist das Ziel, den Zeitrahmen zur Umsetzung bis Ende 2021 (17.12.2021) einzuhalten. Aufgrund der vielfältigen Herausforderungen der Umsetzung kann zwar noch kein genaues Datum für einen offiziellen Referentenentwurf gegeben werden. Das BMAS und das BMJV sind hier in Abstimmung mit der Bundesregierung. Seit einiger Zeit kursiert aber der „Entwurf eines Gesetzes für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ (Hinweisgeberschutzgesetz). Vorbehaltlich etwaiger Änderungen zeigt der vorliegende Entwurf, wohin die Reise für deutsche Unternehmen gehen kann.

Kernanforderungen: Von den Kernanforderungen der EU-Whistleblowing-Richtlinie und deren avisierte Umsetzung im deutschen Recht seien ein paar Punkte herausgegriffen:

• Alle Unternehmen so genannte Beschäftigungsgeber, gleich welcher Rechtsform oder Branche und auch die öffentliche Verwaltung, Gerichte und Gemeineden, so genannten Dienststellen, werden künftig zur Einrichtung eines Hinweisgebersystems verpflichtet sein. Das schon ab 50 Mitarbeitern. Der Gesetzgeber in Deutschland dehnt es für bestimmte Unternehmen im Anwendungsbereich des WPHG, BörsG, KWG, und VAG weiter aus. Im öffentlichen Sektor soll z.B. bei Gemeinden das Landesrecht Regelungen treffen.

• Der Anwendungsbereich der Richtlinie umfasst Hinweisgeber im privaten und im öffentlichen Sektor. Dies bedeutet für den öffentlichen Sektor alle Mitarbeiter, die im beruflichen Kontext Informationen erhalten: Beamte, Öffentliche Bedienstete. Im privaten Sektor gilt dies entsprechend. Wichtig: Es ist ein weiter Anwendungsbereich – auch Mitarbeiter eines Geschäftspartners des Unternehmens müssen die Möglichkeit zur Meldung haben.

• Hinsichtlich der umfassten Meldungen war zu erwarten, dass nicht nur Verstöße gegen EU-Recht, sondern auch Verstöße gegen nationales Recht in den Anwendungsbereich des Hinweisgeberschutzgesetzes fallen. Diese in der Politik nicht unumstrittene Vorgabe bedeutet, dass die Meldekanäle für alle straf- oder bußgeldbewehrten Verstöße offenstehen müssen und nicht nur EU-Rechtsverstöße erfassen dürfen.

• Eine EU-Vorgabe besteht zum Umgang mit anonymen Hinweisen Eine Pflicht Meldekanäle für anonyme Hinweise zu öffnen ist für Deutschland nicht vorgesehen. Ausdrücklich wird nur klargestellt, dass externe Meldestellen anonymen Hinweisen nicht nachgehen müssen. Diese Aussage findet sich zwar nicht für interne Meldestellen. Jedenfalls ist der anonyme Hinweisgeber geschützt, wenn seine Identität zutage tritt.

• In Bezug auf den Umgang mit gemeldeten Fällen gibt es präzise EU-Vorgaben mit Rückmeldungs- und Dokumentationspflichten, die entsprechend national umgesetzt werden.

• Schließlich werden Pflichten zum Schutz des Hinweisgebers auferlegt, deren Erfüllung im Zweifel nachgewiesen werden muss. Die Beweislastumkehr zu Lasten der so genannten Beschäftigungsgeber und Dienststellen ist im Referentenentwurf entsprechend vorgesehen.

• Keinen Whistleblower-Schutz gibt es aber grundsätzlich, wenn der Hinweisgeber besonders geschützte Informationen meldet. Keinen Schutz gibt es auch, wenn der Hinweisgeber direkt an die Öffentlichkeit geht, so genannte Offenlegung. Er ist nur dann geschützt, wenn er zuvor erfolglos eine externe Meldung gegenüber einer staatlich einzurichtenden Externen Meldestelle (Bundesdatenschutzbeauftragte, die BaFin und ggf. Landesbehörden) erstattet hat. Keinen Whistleblower-Schutz gibt es schließlich, wenn der Hinweisgeber vorsätzlich oder grob fahrlässig unrichtige Informationen meldet. Dann ist er sogar zum Ersatz des entstandenen Schadens verpflichtet.

Umsetzungsfrist und Auswirkungen auf den Markt: Die Umsetzungsfrist der EU-Richtlinie in nationales Recht endet im Dezember 2021. Für Unternehmen bis zu 249 Mitarbeitern sollen die Anforderungen aber nicht schon dieses Jahr, sondern erst 2023 in Kraft treten. Gut wäre, wenn klargestellt würde, ob sich die Mitarbeiterzahl nach Köpfen oder nach Full Time Equivalents berechnet. Die neue Rechtslage hat jedenfalls kurz- und mittelfristig Auswirkungen auf sehr viele Unternehmen.

• Nach unserer Einschätzung haben in der EU wohl 50.000 Unternehmen mehr als 250 Mitarbeiter, in Deutschland allein dürften es 17.000 Unternehmen sein. Hier greifen die Pflichten ab Ende dieses Jahres. Wenn nur die Hälfte davon Anpassungen vornehmen müssen, z.B. ein digitales System einzuführen, dann sind das kurz- und mittelfristig EU-weit mehr als 25.000 Unternehmen.

• Für kleinere Unternehmen kommt die Verpflichtung später. Nach unserer Einschätzung haben in der EU ca. 250.000 Unternehmen mehr als 50 Mitarbeiter (für Deutschland sind es wohl ca. 65.000). Wenn nur ein Viertel davon eine nachhaltige Umsetzung beabsichtigen, z.B. ein digitales System einzuführen, dann sind das langfristig mehr als 15.000 Unternehmen.

• Nach unserer Einschätzung werden die Anforderungen des zukünftigen Hinweisgeberschutzgesetzes auch weltweit prägende Wirkung Das DOJ fordert Hinweisgebersysteme als Hallmark eines Compliance-Management-Systems über den FCPA auch extraterritorial. Die EU und der deutsche Gesetzgeber geben präzise Vorgaben zur Ausgestaltung des Hinweisgebersystems. Wenn ein Unternehmen international ein gruppenweites System einführt, sollten in Ländern außerhalb der EU unternehmensintern keine geringeren Compliance-Anforderungen als für die europäischen Gesellschaften gelten können.

Beschäftigungsgeber und Dienststellen sind gut beraten, die Zeit bis zum Inkrafttreten der verpflichtenden Regelungen zu nutzen, bestehende Hinweisgebersysteme an die zukünftigen Anforderungen anzupassen oder adäquate Hinweisgebersysteme einzuführen. Untern den verschiedenen Whistleblowing-Kanälen wird sich nach unserer Einschätzung jedenfalls in Europa eine IT-basierte Lösung durchsetzen. Denn bei Einrichtung und Betrieb von Hinweisgebersystemen sind neben obigen Vorgaben hinaus auch noch weitere rechtliche Anforderungen zu beachten. Insbesondere Datenschutz, den es geht im Kern um den Umgang mit personenbezogenen Daten: Hier gibt es einen Orientierungsleitfaden der Landesdatenschutzbehörden. Darüber hinaus sind bei Implementierung und Regelbetrieb vor allem die betriebliche Mitbestimmung, das Gesellschafsrecht und ggf. lokale Bestimmungen zu beachten.

Mit der EQS Group hat KPMG Law einen starken Allianz-Partner an seiner Seite – einer von den fünf relevantesten IT-Solution-Anbieter auf dem europäischen Markt, mit weltweiter Reichweite. Damit meinen wir, Beschäftigungsgeber und Dienststellen gut gerüstet mit einer ganzheitlichen Compliance-Lösung, den weltweit verfügbaren KPMG Integrity Service, bei Implementierung und Regelbetrieb unterstützen zu können.