- White Paper
EU-Whistleblowing-Richtlinie - Alles was Sie jetzt wissen müssen
Am 16. Dezember 2019 ist die EU-Richtlinie zum Schutz von Hinweisgebern in Kraft getreten. Wir zeigen Ihnen, wie Sie die Richtlinie in Ihrem Unternehmen schnell und einfach umsetzen können.
In diesem White Paper erhalten Sie:
- Einen Überblick über die Anforderungen der EU-Whistleblowing-Richtlinie
- Eine Checkliste zur EU-Whistleblowing-Richtlinie – So wählen Sie die richtige Lösung für Ihr Unternehmen aus
- Tipps, wie Sie mit EQS Integrity Line die Anforderungen und Pflichten der EU-Whistleblowing-Richtlinie effizient und fristgerecht erfüllen
Jetzt White Paper herunterladen!
Registrieren Sie sich jetzt für unseren Compliance News Service und erhalten Sie relevante Neuigkeiten aus Compliance, Whistleblowing und Wirtschaftsethik. Nach der erfolgreichen Registrierung für den Compliance News Service erhalten Sie den Link zum White Paper via E-Mail. Sie können sich von den News jederzeit abmelden.
Die EU-Whistleblowing-Richtlinie im Überblick
Hinweisgebende sind für den Erhalt einer offenen und transparenten Gesellschaft besonders wichtig, da sie den Mut aufbringen, mit ihren Meldungen Missstände aufzudecken. Damit sie zukünftig besser vor negativen Konsequenzen und Repressalien, wie beispielsweise einer Kündigung, Versetzung, Degradierung oder Einschüchterung, geschützt sind, ist am 16. Dezember 2019 die EU-Direktive 2019/1937 zum Schutz von Hinweisgebern des EU-Parlaments in Kraft getreten.
Ziel der EU-Whistleblowing-Richtlinie ist es,
- Verstöße aufzudecken und zu unterbinden,
- die Rechtsdurchsetzung zu verbessern, indem effektive, vertrauliche und sichere Meldekanäle eingerichtet und Hinweisgeber wirksam vor Repressalien geschützt werden,
- dass Hinweisgeber weder zivil-, straf- oder verwaltungsrechtlich noch in Bezug auf ihre Beschäftigung haftbar gemacht werden können.
Wie ist der Stand zur Umsetzung in nationales Recht in Deutschland?
Am 12. Mai 2023 wurde das deutsche Hinweisgeberschutzgesetz (HinSchG) vom Bundesrat verabschiedet. Es ist am 2. Juli 2023 in Kraft getreten.
Das neue Gesetz musste mehrere Anläufe nehmen: Ein bereits im Dezember 2022 vom Bundestag verabschiedeter Entwurf erhielt im Bundesrat Februar 2023 keine mehrheitliche Zustimmung. Daraufhin musste der Vermittlungsausschuss zusammenkommen. Dieser konnte sich Anfang Mai einigen, kurz darauf passierte das Gesetz schließlich Bundestag und Bundesrat.
Wer ist von der Richtlinie betroffen?
Kleine und große Unternehmen ab 50 Mitarbeitenden, Einrichtungen des öffentlichen Sektors, Behörden sowie Gemeinden ab 10.000 Einwohnerinnen und Einwohnern müssen EU-weit künftig sichere interne Meldekanäle für Hinweisgeber bereitstellen. Für Unternehmen ab 250 Mitarbeitenden gilt diese Pflicht eigentlich bereits ab Dezember 2021, für Unternehmen zwischen 50 und 249 Mitarbeitenden gilt eine Übergangsfrist von zwei Jahren.
Personen sollen Meldungen entweder online über eine Whistleblower Software, schriftlich über einen Briefkasten oder über den Postweg abgeben können und/oder mündlich per Whistleblower-Hotline oder ein Anrufbeantwortersystem. Geschützt werden nicht nur Mitarbeiter, die Missstände melden, sondern auch Bewerber, ehemalige Mitarbeiter, Unterstützer des Hinweisgebers oder Journalisten.
Der Hinweisgeberschutz bezieht sich auf das Melden von Missständen mit Bezug auf EU-Recht, wie etwa Steuerbetrug, Geldwäsche oder Delikte im Zusammenhang mit öffentlichen Aufträgen, Produkt- und Verkehrssicherheit, Umweltschutz, öffentlicher Gesundheit sowie Verbraucher- und Datenschutz.
Die EU ermuntert die nationalen Gesetzgeber jedoch, diesen Anwendungsbereich im nationalen Gesetz zu erweitern.
Mit diesen Schutzmaßnahmen will die EU sicherstellen, dass Hinweisgebende keine negativen Konsequenzen fürchten müssen:
Hinweisgebende sollen die Möglichkeit erhalten, Meldungen entweder schriftlich über ein Online-System, einen Briefkasten oder per Postweg abzugeben und/oder mündlich per Telefonhotline oder Anrufbeantwortersystem. Auf Verlangen des Hinweisgebenden soll auch ein persönliches Treffen ermöglicht werden. Bei allen Meldewegen muss die Vertraulichkeit des Whistleblowers geschützt sein.
Alle personenbezogenen Daten, sowohl die des Hinweisgebenden als auch etwaiger beschuldigter Personen, dürfen nur DSGVO-konform verarbeitet werden.
Innerhalb des Unternehmens soll die „am besten geeignete“ Person zum Erhalt und Nachverfolgen der Meldungen bestimmt werden. Laut EU könnten das sein:
Compliance Officer, Personalleiter, Legal Counsel/Unternehmensjurist, Chief Financial Officer (CFO)/Finanzdirektor, Mitglied des Vorstands oder der Geschäftsführung
Unternehmen können die Bearbeitung von Hinweisen auch auslagern, beispielsweise an eine Ombudsperson.
Innerhalb von sieben Tagen muss das Unternehmen der hinweisgebenden Person bestätigen, dass die Meldung eingegangen ist. Innerhalb von drei Monaten müssen Hinweisgebende über ergriffene Maßnahmen, den Stand der internen Ermittlung und deren Ergebnis informiert werden.
Unternehmen müssen ihren Mitarbeitenden Informationen über den unternehmensinternen Meldeprozess und über alternative Meldewege an die zuständigen Behörden bereitstellen. Diese Informationen müssen leicht verständlich und zugänglich sein, nicht nur für Mitarbeitende, sondern auch für Zulieferer, Dienstleister und Geschäftspartner.
Alle eingegangenen Meldungen müssen sicher aufbewahrt werden, damit sie gegebenenfalls als Beweismaterial verwendbar sind.
Unternehmen mit 50 bis 250 Mitarbeitende können für Erhalt und Ermittlung von Hinweisen auf „gemeinsame Ressourcen“ (also einen gemeinsamen Hinweisgeberkanal) zurückgreifen, vorausgesetzt alle beschriebenen Pflichten werden eingehalten.
In der EU-Richtlinie sind auch Sanktionen vorgesehen. So müssen Unternehmen, die das Melden von Missständen behindern oder zu behindern versuchen, mit Strafen rechnen. Gleiches gilt, wenn Unternehmen die Identität des Hinweisgebers nicht vertraulich behandeln. Ebenso sollen Vergeltungsmaßnahmen gegen Whistleblower geahndet werden. Wie hoch diese Sanktionen ausfallen werden, ist Sache der nationalen Gesetzgeber.
Alle Informationen zur Richtlinie inklusive Checkliste finden Sie in unserem White Paper.
Die EU nimmt auch den öffentlichen Sektor in die Pflicht
Nicht nur kleine und große Unternehmen, sondern auch juristische Personen des öffentlichen Sektors, einschließlich aller Einrichtungen, die sich im Besitz oder in der Kontrolle dieser Stellen sind, sind von der Richtlinie betroffen. Konkret bedeutet dies, dass alle Städte, Gemeinden und Kommunen ab 10.000 Einwohnerinnen und Einwohner innerhalb der Europäischen Union das deutsche Hinweisgebergesetz umsetzen müssen.
Gerade im öffentlichen Sektor spielen Hinweisgebende eine bedeutende Rolle, denn mit Hilfe ihrer Meldungen lassen sich Delikte wie Korruption und Bestechung aufdecken, wie beispielsweise der Bestechung von Rathausmitarbeitenden, Politikern oder Polizisten.
Daher ist der Schutz von Beschäftigten und Bürgerinnen und Bürgern, die Hinweise zur Klärung von Missständen abgeben, besonders wichtig, um das Gemeinwohl und den öffentlichen Frieden zu erhalten. Seit einigen Jahren wird zudem vermehrt auf Transparenz und Rechenschaftspflichten im öffentlichen Sektor geachtet. Der Schutz von Hinweisgebenden ist wesentlich, um das öffentliche Interesse zu wahren und eine Kultur der öffentlichen Verantwortung und Integrität zu fördern.
Ein elektronisches Hinweisgebersystem kann somit auch im öffentlichen Sektor für mehr Transparenz sorgen und bei der Korruptionsprävention unterstützen.
Was muss ich bei der Umsetzung beachten?
Vertraulichkeit ist das A und O
Bei allen Meldekanälen muss die Vertraulichkeit der Identität des Whistleblowers gewahrt sein, damit dieser keinerlei Repressalien zu befürchten hat.
Interne oder externe Meldekanäle?
Falls keine internen Meldekanäle implementiert werden, haben Hinweisgebende laut EU-Richtlinie die Möglichkeit, eine externe Meldung an die zuständigen Behörden weiterzugeben – mit unkalkulierbaren Risiken für die betroffenen Organisationen.
Was passiert mit den Hinweisen?
Da alle Meldungen von Verstößen dokumentiert und Folgemaßnahmen ergriffen werden müssen, sollte jede Meldung abrufbar und für Compliance-Beauftragte leicht zu bearbeiten sein.
Frühzeitige Umsetzung
Die Implementierung kann je nach Größe und Komplexität der Organisationsstruktur einige Wochen bis Monate in Anspruch nehmen, auch in kleinen Unternehmen.
Nächste Schritte und Tipps
Die EU-Mitgliedsstaaten hatten bis Dezember 2021 Zeit, die Direktive in nationales Recht umzusetzen. Deutschland hat im Mai 2023 das deutsche Hinweisgeberschutzgesetz verabschiedet, welches Juni 2023 in Kraft tritt. Zunächst müssen dann Unternehmen mit mehr als 250 Mitarbeitenden ihren Pflichten nachkommen – Dezember 2023 dann auch die Unternehmen mit 50-249 Mitarbeitenden. Unternehmen und Behörden sollten die Frist nicht ausreizen und frühzeitig aktiv werden.
Der Whistleblowing Report 2021 zeigt, dass einige deutsche Unternehmen bereits proaktiv Meldekanäle eingerichtet haben und darüber wertvolle Meldungen erhalten. So können diese Risiken frühzeitig identifizieren und Probleme ausräumen, bevor sich daraus ernsthafte Konsequenzen für den Unternehmenserfolg ergeben.
Setzen Sie ein internes Hinweisgebersystem mit entsprechenden Prozessen auf
Von höchster Bedeutung für Unternehmen ist die Wahlfreiheit für Hinweisgebende. Finden Whistleblower intern keine geeigneten Meldekanäle vor, werden sie sich direkt an die zuständige Aufsichtsbehörde oder gar an die Öffentlichkeit wenden – für Unternehmen immer die schlechtere Option. Geeignete interne Hinweisgebersysteme (auch unter dem Begriff Whistleblowing-System bekannt) sind deshalb unabdingbar.
Diese sollten ständig verfügbar sein, eine Option auf Anonymität bieten, in den relevanten Sprachen angeboten werden, mit verständlichen Erklärtexten ausgestattet sein und von einer guten internen Kommunikationsstrategie begleitet werden.
FAQs:
Aus vielerlei Gründen eignet sich ein elektronisches Online-System sowohl für kleine und große Unternehmen als auch öffentliche Einrichtungen am besten, sofern es die folgenden Kriterien erfüllt:
– jede Meldung sollte abrufbar und für Compliance-Beauftragte leicht zu bearbeiten sein.
– alle Meldungen von Verstößen und unethischem Verhalten können dokumentiert sowie Folgemaßnahmen ergriffen werden.
– die Bedienung des Hinweisgebersystems sollte intuitiv und einfach sein.
– Sicherheit des 100%igen Schutzes der Identität des Hinweisgebenden; insbesondere für kleine und große Unternehmen sowie Institutionen des öffentlichen Sektors ist ein nachweislich sichererer Schutz empfehlenswert.
– Weder Dritte noch die Anbieter sollten Zugriff auf sensiblen Daten haben.
– Aus datenschutzrechtlichen Gründen sollten sich die Server der Hinweisgebersystem-Anbieter in Deutschland befinden.
– Internationale bzw. globale Unternehmen sollten auf eine orts- und zeitunabhängige Hinweisabgabe achten.
Eine frühzeitige Implementierung wird empfohlen, da die Implementierung je nach Größe und Komplexität der Organisationsstruktur einige Wochen bis Monate in Anspruch nehmen kann.
Die Hinweisgebenden sollten innerhalb eines angemessenen Zeitrahmens über die geplanten bzw. ergriffenen Folgemaßnahmen und die Gründe für deren Wahl informiert werden.
Die Folgemaßnahmen könnten beispielsweise sein:
– §„den Verweis auf andere Kanäle oder Verfahren bei Meldungen, die ausschließlich die individuellen Rechte des Hinweisgebers betreffen,
– § den Abschluss des Verfahrens aufgrund mangelnder Beweise oder anderer Gründe,
– § die Einleitung interner Nachforschungen, eventuell unter Angabe der Ergebnisse und möglicher Maßnahmen zur Behebung des Problems oder
– § die Befassung einer zuständigen Behörde zwecks weiterer Untersuchung umfassen, soweit diese Informationen die internen Nachforschungen oder die Untersuchung nicht berühren und die Rechte der von der Meldung betroffenen Person nicht beeinträchtigen.“
Hinweisgebende sollten über die Fortschritte und Ergebnisse der Untersuchung im Verlauf informiert werden.
Bei der Umsetzung des internen Meldekanals sollte darauf geachtet werden, dass die für die Bearbeitung der Meldungen zuständigen Mitarbeitenden speziell geschult und auch mit den geltenden Datenschutzvorschriften vertraut sind, damit sie die Meldungen effizient bearbeiten und die Kommunikation mit den Hinweisgebenden sowie geeignete Folgemaßnahmen einleiten können.
Laut der Richtlinie sollte es nicht möglich sein, sich auf die rechtlichen oder vertraglichen Pflichten des Einzelnen, beispielsweise Loyalitätsklauseln in Verträgen oder Vertraulichkeits- oder Geheimhaltungsvereinbarungen, stützen zu dürfen, um:
– § die Möglichkeit einer Meldung auszuschließen,
– § Hinweisgebenden den Schutz zu versagen oder
– § sie für die Meldung von Informationen über Verstöße oder eine Offenlegung mit Sanktionen zu belegen,
wenn die Weitergabe der Informationen, die unter diese Klauseln und Vereinbarungen fallen, notwendig ist, um den Verstoß aufzudecken.
Wenn diese Bedingungen erfüllt sind, sollten Hinweisgebende weder zivil-, straf- oder verwaltungsrechtlich noch hinsichtlich ihrer Beschäftigung haftbar gemacht werden können.
Laut der Whistleblower-Richtlinie sollten „Die Hinweisgeber (…) auch dann nicht haftbar gemacht werden können, wenn die Erlangung der betreffenden Informationen oder Dokumente oder der Zugriff darauf ein Problem im Hinblick auf die zivil- oder verwaltungsrechtliche oder beschäftigungsbezogene Haftung aufwirft. Dies wäre beispielsweise der Fall, wenn die Hinweisgeber die Informationen erlangt haben, indem sie auf E-Mails eines Mitarbeiters oder auf Dateien, die sie im Rahmen ihrer Arbeit normalerweise nicht nutzen, zugegriffen haben, oder indem sie die Räumlichkeiten der Organisation fotografiert oder Räume betreten haben, zu denen sie normalerweise keinen Zugang haben.
Wenn die Hinweisgeber eine Straftat — etwa Hausfriedensbruch oder Hacking — begangen haben, um die betreffenden Informationen oder Dokumente zu erlangen oder sich Zugang zu ihnen zu verschaffen, so sollten sie unbeschadet des gemäß Artikel 21 Absatz 7 dieser Richtlinie gewährten Schutzes weiterhin nach Maßgabe der anwendbaren nationalen Rechtsvorschriften strafrechtlich verantwortlich gemacht werden.“
Meldungen gegen Verstöße des EU-Rechts betreffen Bereiche wie z. B. öffentliches Auftragswesen, Finanzdienstleistungen, Geldwäsche, Produkt- und Verkehrssicherheit, nukleare Sicherheit, öffentliche Gesundheit, Umweltschutz sowie Verbraucher- und Datenschutz.
Bei der nationalen Umsetzung ging der deutsche Gesetzgeber jedoch über die EU-Richtlinie hinaus und hat den Anwendungsbereich auf nationale Sachverhalte ausgeweitet, sofern es sich um strafbewehrte (Straftat) oder bußgeldbewehrte (Ordnungswidrigkeit) Vergehen, die Gesundheit/Leben gefährden, handelt.
Hinweisgeberschutzgesetz erfüllen in nur 3 Schritten
Sichern Sie sich jetzt Ihr Vorteilspaket und erfüllen Sie die gesetzlichen Anforderungen des HinSchG einfach und schnell!