Bis wann muss die EU-Hinweisgeber Richtlinie umgesetzt werden?
Die EU-Whistleblower-Richtlinie (EU-Hinweisgeber Richtlinie) wurde zum 16.12.2019 beschlossen und hätte bis spätestens bis zum 17.12.2021 in deutsches Recht umgesetzt werden. Das Bundeskabinett hat am 27.7.2022 einen Regierungsentwurf beschlossen und damit das Gesetzgebungsverfahren für das Hinweisgeberschutzgesetz (HinSchG) eingeleitet. Das deutsche Hinweisgeberschutzgesetz gilt seit dem 2. Juli 2023 verbindlich für alle Unternehmen und öffentlichen Einrichtungen ab 50 Mitarbeitenden. Diese sind zur Einrichtung eines internen Meldekanals (z. B. eines Hinweisgebersystems) verpflichtet.
EU-Hinweisgeber Richtlinie und EU Whistleblower Richtlinie
Das grundlegende Ziel der EU-Whistleblower Richtlinie ist es, die Aufdeckung und Unterbindung von Rechtsverstößen zu forcieren. Gleichzeitig sollen aber die Hinweisgeber („Whistleblower“) sowie gegebenenfalls Dritte / Vermittler, die bei der Meldung unterstützen, besser geschützt werden. Es soll vermieden werden, dass diese Personen negative zivil-, straf- oder verwaltungsrechtliche Konsequenzen im Nachgang zu einer Meldung befürchten müssen.
Was ist eine EU-Richtlinie?
EU-Verordnungen (wie die Datenschutz-Grundverordnung oder DSGVO) sind verbindliche Rechtsakte, die alle EU-Mitgliedsstaaten umsetzen müssen. Sie treten zu einem festgelegten Datum in allen Mitgliedsstaaten in Kraft. Eine Richtlinie hingegen gibt vor, was die einzelnen Mitgliedstaaten in der Gesetzgebung erreichen müssen, doch die Staaten können frei entscheiden, wie sie die Richtlinie innerhalb von zwei Jahren in nationales Recht umsetzen. Folglich wird es in der EU zweifellos gesetzliche Unterschiede geben.
Pflichten für Unternehmen aus der EU-Hinweisgeber Richtlinie
Jedes Unternehmen ab 50 Beschäftigten muss künftig besondere interne Meldekanäle einrichten, über die ein Hinweisgeber mögliche Verstöße melden kann. Die Vertraulichkeit der Meldung muss dabei geschützt sein, bezüglich aller in der Meldung enthaltenen Daten müssen die Anforderung der DSGVO beachtet werden.
Pflichten für Behörden, öffentliche Verwaltung und Non-Profit-Sektor aus der EU-Hinweisgeber Richtlinie
Die Pflicht zur Einrichtung von Meldekanälen trifft auch die öffentliche Hand. Alle juristischen Personen des öffentlichen Rechts sind betroffen (Körperschaften und Anstalten des öffentlichen Recht, öffentlich-rechtliche Stiftungen), einschließlich privatrechtlicher Gesellschaften im Eigentum der öffentlichen Hand (z.B. städtische Betriebsgesellschaften). Auch die Gemeinden sind verpflichtet. Die EU erlaubt, Gemeinden mit weniger als 10.000 Einwohnern herauszunehmen. Der Gesetzesentwurf sieht das für Deutschland so vor.
Interne und externe Meldestellen gleichgestellt
Jeder Hinweisgeber genießt den vollen Hinweisgeberschutz (z.B. Schutz vor arbeitsrechtlichen Maßnahmen im Zusammenhang mit der Meldung) egal, ob er zunächst einen internen Meldeweg gesucht hat und dann eine externe Behörde informiert hat oder sich direkt an die Behörde gewandt hat. Lediglich eine Meldung an die ungeschützte Öffentlichkeit, z.B. Einschaltung der Presse, ist nur dann gerechtfertigt, wenn zuvor Versuche über eine interne Meldung und Behördenmeldung keine angemessenen Reaktionen gezeigt haben. Die Gleichrangigkeit von interner und externer Meldung bedeutet für Unternehmen die Gefahr, dass der Hinweisgeber sich direkt an zuständige Behörden wendet, zumal viele Behörden bereits digitale Hinweisgeberportale mit optimalem Identitätsschutz bereithalten.
Wählt der Hinweisgeber den Erstkontakt über die Behörde, besteht für das Unternehmen keine Möglichkeit, sich intern um eine Aufklärung des Sachverhaltes zu bemühen und bei Bedarf Folgemaßnahmen einzuleiten. Durch ein qualitativ hochwertiges, für den Hinweisgeber leicht zugängliches und absolut vertrauliches Hinweisgebersystem fördern Unternehmen die Kommunikationskultur im Unternehmen. Der Hinweisgeber wählt den externen Kanal erfahrungsgemäß als letzten Ausweg aus seinem Dilemma, weil er intern keine Lösung findet, die seinen Bedürfnissen gerecht wird.