EU-Hinweisgeber Richtlinie

Bis wann muss die EU-Hinweisgeber Richtlinie umgesetzt werden?

Die EU-Whistleblower-Richtlinie (EU-Hinweisgeber Richtlinie) wurde zum 16.12.2019 beschlossen und muss spätestens bis zum 17.12.2021 in deutsches Recht umgesetzt werden.

Das grundlegende Ziel der EU-Whistleblower-Richtlinie ist es, die Aufdeckung und Unterbindung von Rechtsverstößen zu forcieren. Gleichzeitig sollen aber die Hinweisgeber („Whistleblower“) sowie gegebenenfalls Dritte / Vermittler, die bei der Meldung unterstützen, besser geschützt werden. Es soll vermieden werden, dass diese Personen negative zivil-, straf- oder verwaltungsrechtliche Konsequenzen im Nachgang zu einer Meldung befürchten müssen.

Was ist eine EU-Richtlinie?

EU-Verordnungen (wie die Datenschutz-Grundverordnung oder DSGVO) sind verbindliche Rechtsakte, die alle EU-Mitgliedsstaaten umsetzen müssen. Sie treten zu einem festgelegten Datum in allen Mitgliedsstaaten in Kraft. Eine Richtlinie hingegen gibt vor, was die einzelnen Mitgliedstaaten in der Gesetzgebung erreichen müssen, doch die Staaten können frei entscheiden, wie sie die Richtlinie innerhalb von zwei Jahren in nationales Recht umsetzen. Folglich wird es in der EU zweifellos gesetzliche Unterschiede geben.

Schon jetzt ist klar, dass die Regelungen der Richtlinie als Mindeststandard umgesetzt werden müssen, über das nationale Gesetz können noch mehr Pflichten kommen, keinesfalls aber weniger. Unternehmen und Behörden sollten daher unbedingt die verbleibende Zeit für die Einführung eines richtlinienkonformen Meldekanals nutzen. Sollte die Umsetzungsfrist ablaufen, ohne dass ein entsprechendes Gesetz in Deutschland vorliegt, werden sich die Hinweisgeber bezüglich ihrer Schutzrechte direkt auf die EU-Richtlinie berufen.

Pflichten für Unternehmen

Jedes Unternehmen ab 50 Beschäftigten muss künftig besondere interne Meldekanäle einrichten, über die ein Hinweisgeber mögliche Verstöße melden kann. Die Vertraulichkeit der Meldung muss dabei geschützt sein, bezüglich aller in der Meldung enthaltenen Daten müssen die Anforderung der DSGVO beachtet werden.

Pflichten für Behörden, öffentliche Verwaltung und Non-Profit-Sektor

Die Pflicht zur Einrichtung von Meldekanälen trifft auch die öffentliche Hand. Alle juristischen Personen des öffentlichen Rechts sind betroffen (Körperschaften und Anstalten des öffentlichen Recht, öffentlich-rechtliche Stiftungen), einschließlich privatrechtlicher Gesellschaften im Eigentum der öffentlichen Hand (z.B. städtische Betriebsgesellschaften). Auch die Gemeinden sind verpflichtet. Die EU erlaubt, Gemeinden mit weniger als 10.000 Einwohnern herauszunehmen. Der Gesetzesentwurf sieht das für Deutschland so vor.

Interne und externe Meldestellen gleichgestellt

Jeder Hinweisgeber genießt den vollen Hinweisgeberschutz (z.B. Schutz vor arbeitsrechtlichen Maßnahmen im Zusammenhang mit der Meldung) egal, ob er zunächst einen internen Meldeweg gesucht hat und dann eine externe Behörde informiert hat oder sich direkt an die Behörde gewandt hat. Lediglich eine Meldung an die ungeschützte Öffentlichkeit, z.B. Einschaltung der Presse, ist nur dann gerechtfertigt, wenn zuvor Versuche über eine interne Meldung und Behördenmeldung keine angemessenen Reaktionen gezeigt haben. Die Gleichrangigkeit von interner und externer Meldung bedeutet für Unternehmen die Gefahr, dass der Hinweisgeber sich direkt an zuständige Behörden wendet, zumal viele Behörden bereits digitale Hinweisgeberportale mit optimalem Identitätsschutz bereithalten.

Wählt der Hinweisgeber den Erstkontakt über die Behörde, besteht für das Unternehmen keine Möglichkeit, sich intern um eine Aufklärung des Sachverhaltes zu bemühen und bei Bedarf Folgemaßnahmen einzuleiten. Durch ein qualitativ hochwertiges, für den Hinweisgeber leicht zugängliches und absolut vertrauliches Hinweisgebersystem fördern Unternehmen die Kommunikationskultur im Unternehmen. Der Hinweisgeber wählt den externen Kanal erfahrungsgemäß als letzten Ausweg aus seinem Dilemma, weil er intern keine Lösung findet, die seinen Bedürfnissen gerecht wird.