Bereits Ende 2019 trat die europäische Richtlinie zum Hinweisgeberschutz (RL EU 2019/1937) in Kraft. Die Richtlinie will den einheitlichen Schutz von Hinweisgebern, in Europa garantieren, wenn diese Gesetzesverstöße melden wollen. Mit den Schutzmaßnahmen korrespondieren Pflichten für Unternehmen und die öffentliche Hand. Sie müssen interne Meldekanäle einrichten, die den Schutz der Identität des Hinweisgebers sicherstellen.
Die EU-Richtlinie muss in allen EU-Staaten in nationalen Gesetzen umgesetzt werden – spätestens bis zum 17.12.2021! Noch ist ein deutsches Hinweisgeberschutzgesetz zwar nicht final verabschiedet, im Koalitionsvertrag der neuen Regierung ist aber zu lesen, dass die Vorgaben aus Europa rechtssicher und praktikabel umgesetzt werden sollen. Die inhaltliche Einigkeit der Regierungskoalition und der Zeitdruck aus Europa legen nahe, dass das deutsche Hinweisgeberschutzgesetz nicht mehr lange auf sich warten lässt.
Schon jetzt ist klar, dass die EU-Vorgaben als Mindeststandard umgesetzt werden müssen. Über das deutsche Gesetz können noch mehr Pflichten kommen, keinesfalls aber weniger.
WAS IST KONKRET ZU TUN?
Jedes Unternehmen ab 50 Mitarbeitern muss künftig besondere interne Meldekanäle einrichten, über die ein Hinweisgeber mögliche Verstöße melden kann. Bei der Meldung muss die Vertraulichkeit der Identität des Hinweisgebers und derjenigen Personen, die vom Inhalt der Meldung betroffen sind, sichergestellt sein. Bezüglich aller in der Meldung enthaltenen Daten müssen die Anforderung der DSGVO beachtet werden.
Die Richtlinie macht auch Vorgaben zum Bearbeitungsprozess. Der Hinweisgeber muss spätestens nach 7 Tagen eine Bestätigung über den Eingang der Meldung erhalten und spätestens nach drei Monaten eine Rückmeldung über eingeleitete Schritte erhalten.
Die Person im Unternehmen, die die Aufgabe der Meldestelle übernimmt, muss unabhängig sein, d.h. sie darf zwar neben dieser Aufgabe weitere Aufgaben im Unternehmen wahrnehmen, ein Interessenkonflikt muss aber ausgeschlossen sein. Ein Spagat, der in der Praxis schwierig umsetzbar ist. Außerdem besteht die Pflicht, die beauftragte Person regelmäßig zu schulen.
INTERNE UND EXTERNE MELDUNG GLEICHGESTELLT
In Bezug auf den Schutz des Hinweisgebers unterscheidet die EU-Richtlinie nicht zwischen einer internen und einer externen Meldestelle. Jeder Hinweisgeber genießt den vollen Hinweisgeberschutz (z.B. Schutz vor arbeitsrechtlichen Maßnahmen im Zusammenhang mit der Meldung) egal, ob er zunächst einen internen Meldeweg gesucht hat und dann eine externe Behörde informiert hat oder sich direkt an die Behörde gewandt hat. Lediglich eine Meldung an die ungeschützte Öffentlichkeit, z.B. Einschaltung der Presse, ist nur dann gerechtfertigt, wenn zuvor Versuche über eine interne Meldung und Behördenmeldung keine angemessenen Reaktionen gezeigt haben.
Die Gleichrangigkeit von interner und externer Meldung bedeutet für Unternehmen die Gefahr, dass der Hinweisgeber sich direkt an zuständige Behörden wendet, zumal viele Behörden bereits digitale Hinweisgeberportale mit optimalem Identitätsschutz bereit halten (Anonymes Hinweisgebersystem der Landeskriminalämter, z.B. Berlin Niedersachsen).
Wählt der Hinweisgeber den Erstkontakt über die Behörde, besteht für das Unternehmen keine Möglichkeit, sich intern um eine Aufklärung des Sachverhaltes zu bemühen und bei Bedarf Folgemaßnahmen einzuleiten.
Durch ein qualitativ hochwertiges, für den Hinweisgeber leicht zugängliches und absolut vertrauliches Hinweisgebersystem fördern Unternehmen die Kommunikationskultur im Unternehmen. Der Hinweisgeber wählt den externen Kanal erfahrungsgemäß als letzten Ausweg aus seinem Dilemma, weil er intern keine Lösung findet, die seinen Bedürfnissen gerecht wird.
SIND SIE VORBEREITET?
Da die Anforderungen an die Unternehmen über die Richtlinie klar definiert sind, empfiehlt es sich, das Thema bereits heute auf die Agenda zu nehmen. Um eine Lösung zu finden, die Ihrem Unternehmen nutzt ist es wichtig zu analysieren, wie Sie die Anforderungen am praktikabelsten umsetzten können.
Auch die Creditreform Compliance Services GmbH hat sich für Sie auf den künftigen Pflichtenkatalog vorbereitet. Mit CrefoWhistle können wir Ihnen ein digitales Hinweisgebersystem anbieten, das die Anforderungen der Richtlinie erfüllt. Über einen sicheren Meldekanal mit anonymer Dialogfunktion stellen Sie Ihren Mitarbeitern schnell und unkompliziert ein hochwertiges Hinweisgebersystem bereit. Die Bearbeitungsprozesse können außerdem von unseren Compliance-Experten übernommen werden. Im Ergebnis bedeutet das für Sie, die Richtlinie erfüllen zu können, ohne dass Mehrarbeit in Ihrem Unternehmen anfällt.
Autorin: Stephanie Kappen, Rechtsanwältin, Bette Westenberger Brink, Rechtsanwälte Partnerschaftsgesellschaft mbB
