Was ist die rechtliche Grundlage?
Die Richtlinie zum Schutz von Whistleblowern (Richtlinie…zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden) deckt viele Bereiche des EU-Rechts ab. Das gilt z.B. für die Bekämpfung von Geldwäsche, den Datenschutz, den Schutz der finanziellen Interessen der Union, die Lebensmittel- und Produktsicherheit als auch für die Bereiche öffentliche Gesundheit, Umweltschutz und nukleare Sicherheit.
Vergleiche: EU-Richtlinie 2019/1937
Welche Frist gibt es?
Ab dem 17. Dezember 2021 sollen sich Whistleblower auf sichere Kanäle zur Informationsweitergabe sowohl innerhalb von Unternehmen als auch gegenüber den Behörden verlassen können. Darüber hinaus sollen sie wirksam vor Entlassung, Belästigung oder anderen Formen von Vergeltungsmaßnahmen geschützt sein.
Wer ist von der EU Whistlblower Richtlinie betroffen?
- Unternehmen mit mindestens 50 Personen
- Städte und Gemeinden ab 10.000 Einwohnern
Es gibt verschiedene Möglichkeiten einen Hinweisgeber-Kanal bereit zu stellen. Hierzu zählen:
- Ombudsperson, z. B. externe Kanzlei
- IT-gestütztes anonymes Hinweisgebersystem
- Telefon-Hotline
Ein Hinweisgebersystem bietet die Chance auf Sachverhalte aufmerksam zu werden, bevor diese an die Öffentlichkeit oder Ermittlungenbehörden kommuniziert werden. Zudem hat ein anonymes Hinweisgebersystem folgenden Vorteile:
- Erfüllung der gesetzlichen Vorgaben
- Anonymitätswahrung der meldenen Person
- Uneingeschränkte Zugang
- Datenschutzkonformität gewährleisten
- Erleichterung der Abgabe von Hinweisen und Schutz der hinweisgebenden Person
Die EU-Whistleblowing Richtlinie (2019/1937) zum Schutz von Hinweisgebern deckt viele Bereiche des EU-Rechts ab. Zu nennen sind hier u.a. die
- Bekämpfung von Geldwäsche
- Umweltschutz
- Öffentliche Auftragsvergabe
- Datenschutz
- Schutz der finanziellen Interessen der Union
- Lebensmittel- und Produktsicherheit
- öffentliche Gesundheit
- nukleare Sicherheit
- Verbraucherschutz
- Antidiskriminierungsgesetz
Diese Unterstützung und der Schutz soll auch Vermittlern sowie Dritten zugutekommen, sodass weder Hinweisgeber noch Vermittler/Dritte eine negativen zivil-, straf- oder verwaltungsrechtlichen oder internen Konsequenzen als Folge der Meldung zu befürchten haben.
Das von der EU beabsichtigte Meldeverfahren lässt sich in drei Stufen einteilen:
- Interne Meldung (Stufe 1)
- Meldung an die zuständige Behörde (Stufe 2)
- Meldung an die Öffentlichkeit (Stufe 3)
Die Empfehlung seitens der EU zunächst die internen Kanäle zu nutzen existiert aber. Der Hinweisgeber sollte, natürlich in Abwägung der Schwere des Verstoßes, zunächst eine interne Meldung abgeben. Hierzu stellt die Richtlinie den Schutz und die Unterstützung sicher.
Weitere Beispiele, zu welchen die Meldung erleichtert werden soll:
- Belästigung am Arbeitsplatz (#metoo)
- Korruption
- Sicherheit im Arbeitsumfeld
- Kartellrecht
- Verkehrssicherheit
- Sicherheit von Netzwerk- & Informationssystemen
Das Europäische Parlament und der Rat der Europäischen Union haben am 23. Okt. 2019 die EU-Whistleblowing- Richtlinie (2019/1937) geschaffen und mit dem EU-Amtsblatt vom 26. November 2019 veröffentlicht.
Diese Whistleblowing Richtlinie muss bis zum 17. Dezember 2021 im nationalen Recht der Mitgliedsstaaten verankert und dann von den Staaten umgesetzt werden.
Ab dem 17. Dezember 2021 sollen sich Whistleblower (sogenannte Hinweisgeber) auf einen sicheren Kanal zur Informationsweitergabe verlassen können.
Der sichere Meldekanal für Hinweisgeber soll dazu dienen, dass Whistleblower in der Lage sind sowohl innerhalb eines Unternehmens als auch mit Behörden jeglicher Art, zu kommunizieren.
Ebenso können Hinweisgeber aber auch aus dem Umfeld von Lieferanten, Mandanten, Patienten, Kunden, Bürgern oder Gästen kommen („Jedermann“).
Wer ist verpflichtet ein Hinweisgebersystem vorzuhalten?
Alle Unternehmen (juristische Personen), die mehr als 50 Mitarbeiter haben, sind von der Whistleblowing Richtlinie betroffen und müssen ein Hinweisgebersystem etablieren.
Die EU behält sich aber vor, dass nach einer geeigneten Risikobewertung, die der Art der Tätigkeiten der juristischen Personen und dem von ihnen ausgehenden Risiko – insbesondere für die Umwelt und die öffentliche Gesundheit – Rechnung trägt, können die Mitgliedstaaten juristische Personen des privaten Sektors mit weniger als 50 Arbeitnehmern verpflichten, interne Meldekanäle und -verfahren einzurichten.
Dies sollte bei der Überlegung der Einrichtung eines solchen Systems unbedingt berücksichtigt werden.
Ebenso sind alle Gemeinden mit mehr als 10.000 gemeldeten Einwohner dazu verpflichtet diesen einzurichten.
Auch hier sieht die Richtlinie eine Sonderregelung vor. Es kann im nationalen Recht vorgesehen werden, dass interne Meldekanäle entsprechend dem nationalen Recht von Gemeinden gemeinsam oder von gemeinsamen Behördendiensten betrieben werden, sofern die geteilten internen Meldekanäle von den einschlägigen externen Meldekanälen getrennt und gegenüber diesen autonom sind.
Des Weiteren müssen jegliche Unternehmen der Finanzdienstleistungsbranche ein Hinweisgebersystem etablieren.
Was sind die Anforderungen an ein Hinweisgebersystem?
Nach Artikel 9 der „Richtlinie (EU) 2019/1937 des europäischen Parlaments und des Rates zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“, müssen die Meldekanäle eine Meldung in schriftlicher, mündlicher oder persönlicher (physische Zusammenkunft) Form ermöglichen.
Jegliche übermittelte Information bedarf der Dokumentation in schriftlicher Form oder durch die Erstellung einer Tonaufzeichnung in dauerhafter und abrufbarer Form, jedoch muss nicht befugten Mitarbeitern der Zugriff darauf verwehrt bleiben.
Neben diesen Anforderungen muss die stete Vertraulichkeit der Identität des Meldenden gewährleistet werden und eine Eingangsbestätigung des Hinweises nach spätestens sieben Tagen an diesen erteilt werden.
Die Richtlinie gibt aber des Weiteren eine Frist vor, in denen nicht zutreffende Meldungen (Denunziantentum) gelöscht werden müssen. Diese müssen immer sofort, nachdem diese als falsch bestätigt wurden, aus dem System entfernt werden.
Welches Hinweisgebersystem passt zu meinem Unternehmen?
1. Einrichtung einer telefonischen, kostenlosen Hotline
Da die Meldung zu jeder Zeit möglich sein muss, muss bei einer persönlichen Hotline sichergestellt werden, dass diese permanent besetzt ist und sich keine sprachlichen Barrieren ergeben.
Die Ombudsperson, die den Anruf in diesem Fall entgegennimmt, ist zur Wahrheit verpflichtet, muss laut Bundesverfassungsgericht (Beschluss v. 27.6.2018, 2 BvR 1405/17) jedoch kein Anwalt sein.
Alternativ besteht die Möglichkeit einer automatischen Voicebox, auf der die Meldung aufgenommen und für eine angemessene Dauer aufbewahrt werden kann.
Achtung: In dem Fall der Tonaufnahme auf einer Voicebox ist auf die Vertraulichkeit und die Integrität des Hinweisgebers zu achten.
Die Aufnahme kann aufgrund der Stimme und deren eventueller Identifikation einen direkten Zusammenhang zum Hinweisgeber herstellen.
Ebenso ist zu beachten, dass man die Telefonnummer aufzeichnen müsste, um dem Hinweisgeber die nach der Richtlinie geforderte Eingangsbestätigung zukommen lassen zu können. Dies widerspricht jedoch der Vertraulichkeit der Identität des Hinweisgebers.
Hieraus folgt, dass die telefonische Übermittlung von Hinweisen keine geeignete Variante für Unternehmen darstellt, außer diese beauftragen eine Ombudsperson, welche eine 24/7/365 Verfügbarkeit der Hotline zur Verfügung stellt.
2. Persönliche/Physische Zusammenkunft
Wünscht der Hinweisgeber eine persönliche physische Zusammenkunft mit einem Ansprechpartner, muss dies ermöglicht werden. Da der Hinweisempfänger jedoch den Meldenden in der Regel nicht persönlich kennt, dürfte sich diese Hinweisübermittlung in der Praxis erwartungsgemäß schwierig gestalten.
Auch in diesem Fall verbleibt zunächst nur die Zusammenarbeit mit einer Ombudsperson. Hingegen zur Voicebox, sollte diese allerdings zur Verfügung gestellt werden.
Aber, es besteht hier ebenso die Möglichkeit einen Mitarbeiter des Unternehmens mit Rechten und Pflichten auszustatten, die diesem die Möglichkeit eines persönlichen Kontakts ermöglichen.
Hieraus folgt, dass ein persönlicher Kontakt zum Hinweisgeber möglich, aber in der Regel schwer umzusetzen ist.
3. Einrichtung eines IT-gestützten Hinweisgebersystems
Die Einrichtung eines IT-gestützten Hinweisgebersystems ermöglicht eine anonyme, verschlüsselte Kommunikation zwischen Hinweisgeber und Fallbearbeiter, die zu jeder Tages- und Nachtzeit stattfinden kann.
Wenn die IP-Adresse des Meldenden bei einem derartigen System nicht gespeichert wird, ist dessen Identifizierung nicht möglich.
Eine Betrachtung der Cookie-Richtlinien sollte ebenso nicht außer Acht gelassen werden. Hier sind Systeme vorhanden, welche nur für die Dauer des Besuchs der externen Seite Cookies speichert und diese selbständig wieder löscht.
Ein IT gestütztes Hinweisgebersystem erfüllt ebenso die Möglichkeit dem Hinweisgeber eine Empfangsbestätigung in dem in der Richtlinie genannten Zeitfenster zukommen zu lassen.
Die Empfangsbestätigung kann zum Beispiel auch automatisiert erfolgen, damit hier die Konformität zur Richtlinie gewährt wird.
Achtung: Neben der Erfüllung der datenschutzrechtlich relevanten Aspekte (DS-GVO), achten Sie bitte bei jeglichen Systemen auf die Konformität des Systems und der Rechenzentren mit der ISO/IEC 27001.
Weitere Sicherheitsrelevante Tests bzw. Zertifikate (z. B. Hacking- und Penetrationstests) erhöhen die Sicherheit des Systems und damit Ihre.
Manche Systeme geben Ihnen weitere Möglichkeiten auch intern sicher und anonym zu kommunizieren. Bitte stellen Sie sicher, dass auch hier Überlegungen in die Einführung einfließen sollten.
Hieraus folgt, dass eine IT gestützte Lösung und die Einführung eines solchen Hinweisgebersystems die beste Möglichkeit darstellt, um der Whistleblowing Richtlinie zu entsprechen.
Warum soll ich Whistleblowing ermöglichen?
Der Schutz von Whistleblowern war bisher uneinheitlich geregelt. Dies soll sich durch die EU-Whistleblowing-Richtlinie, 2019/1937 ändern.
Der Schutz von Hinweisgebern in der EU war laut Kommission bis dato nur uneinheitlich geregelt. Die meisten EU-Länder gewährten nur teilweisen Schutz in bestimmten Wirtschaftszweigen oder für gewisse Kategorien von Arbeitnehmern.
Die Kommission ermutigt die einzelnen Mitgliedstaaten, die Anwendungsbereiche bei der Umsetzung der Richtlinie auszudehnen. Damit solle ein umfassender und kohärenter Rechtsrahmen auf nationaler Ebene gewährleistet werden.
Aktuelle Statistiken zeigen, dass bereits 2019 im Mittel lediglich fünf von 1000 Mitarbeitern im europäischen Raum einen anonymen Hinweis abgegeben haben.
Die Zahl der eingegangenen Hinweise ist also relativ gering, jedoch liegt deren Glaubhaftigkeit zwischen
40 und 50 %.
Mit der EU-Whistleblower-Richtlinie ergeben sich für viele deutsche Unternehmen neue Anforderungen, die mit verschiedenen Lösungen erfüllt werden können. Eine interne Telefonnummer o.Ä. genügt den Anforderungen offensichtlich nicht, sodass ein Blick über die Unternehmensgrenzen hinaus ratsam ist.
Des Weiteren ist davon auszugehen, dass mit der Richtlinie auch die Öffentlichkeit mehr zu dem Thema „Hinweisgeben“ in Kontakt kommt, was das Interesse und die Nutzung solcher Systeme weiter voranbringen wird.