Handlungsbedarf für Unternehmen ab 50 Mitarbeitern

I.

Übersicht über die enthaltenen Regelungen

Im Dezember 2019 trat die am 23. Oktober 2019 verabschiedete Richtlinie (EU) 2019/1938 des europäischen Parlaments und des Rates zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden in Kraft. Die Erwägungen, die den europäischen Gesetzgeber zur Verabschiedung der Richtlinie bewegten und zunächst über 110 Randnummern hinweg dargelegt werden, münden in Art. 1 der Richtlinie, der die bessere Durchsetzung des Unionsrechts und der Unionspolitik zum Kernziel des Gesetzes erklärt.

Im Wesentlichen soll zu diesem Zweck durch die jeweilige nationale Umsetzung der Richtlinie ein hohes Schutzniveau für Personen geschaffen werden, die Verstöße gegen das Unionsrecht melden. Die Umsetzung durch die Mitgliedsstaaten muss dabei spätestens bis zum 17. Dezember 2021 – hinsichtlich juristischer Personen mit einer Arbeitnehmerzahl von 50 bis 249 dagegen erst bis zum 17. Dezember 2023 – erfolgt sein.

1. Anwendungsbereich

Von diesem Schutz sind all diejenigen Personen umfasst, die in beruflichem Kontext Informationen über Verstöße gegen bestimmte, im Anhang der Richtlinie im Einzelnen aufgeführte Rechtsakte der Union erlangen.

Dabei handelt es sich im Einzelnen um eine Auswahl verschiedener Rechtsakte in den Bereichen:

• Öffentliches Auftragswesen
• Finanzdienstleistungen
• Produktsicherheit
• Verkehrssicherheit
• Umweltschutz
• Strahlenschutz und Kerntechnologie
• Lebens- und Futtermittel sowie Tierschutz
• Öffentliche Gesundheit
• Verbraucherschutz
• Datenschutz

Es wird darüber hinaus ausdrücklich klargestellt, dass der sachliche Anwendungsbereich im Rahmen der mitgliedsstaatlichen Umsetzung auch auf weitergehende Rechtsakte erstreckt werden kann.

Nicht vom Schutz der Richtlinie erfasst sind freilich diejenigen Konstellationen, die die breite Allgemeinheit mit dem Begriff des Whistleblowing zuvorderst assoziiert. Art. 3 stellt klar, dass der Schutz nationaler Sicherheitsinteressen jenem der Whistleblower vorgeht. Insbesondere wer Informationen über Unionsrechtsverstöße mittels einer Straftat erlangt, wird nicht geschützt.

2. Meldekonzept

Die Richtlinie sieht für die Aufdeckung betriebsinterner EU-Rechtsverstöße ein dreistufiges Meldesystem vor.

a) Interne Kanäle

Nach Art. 7 vorrangig soll eine Meldung durch den Whistleblower über interne Kanäle erfolgen, deren Einrichtung durch die jeweils arbeitgebende juristische Person des öffentlichen oder privaten Rechts zu gewährleisten ist.

Von der Einrichtungspflicht betroffen sind im Grundsatz sämtliche Unternehmen mit mindestens 50 Arbeitnehmern. Für diesen Schwellenwert gibt es indes einige Ausnahmen in den Bereichen der Finanzdienstleistung, der Verkehrssicherheit und des Umweltschutzes. Außerdem sind die nationalen Mitgliedsstaaten – soweit sie dies für erforderlich halten – befugt,  Unternehmen mit weniger als 50 Arbeitnehmern im Sinne der Richtlinie zu verpflichten.

Hinsichtlich der Einrichtung interner Meldekanäle werden den betroffenen Betrieben in Art. 9 bestimmte Mindeststandards abverlangt. So ist stets ein vertraulicher Umgang mit den Daten des Hinweisgebers durch die zu benennenden verantwortlichen Personen zu gewährleisten. Außerdem muss der Eingang einer Meldung über Verstöße gegen das Unionsrecht stets innerhalt von sieben Tagen bestätigt sowie innerhalb von drei Monaten eine Rückmeldung über den aktuellen Stand der Dinge erteilt werden.

Unternehmen mit einer Arbeitnehmeranzahl zwischen 50 und 249 ist es gestattet, im Wege der Ressourcenteilung gemeinsame interne Meldekanäle zu nutzen. Konkretisiert wird diese Möglichkeit indes nicht.

b) Externe Kanäle

Auf einer zweiten Stufe haben die Mitgliedsstaaten nach Art. 10 jeweils Behörden zu benennen, die befugt sind, Meldungen iSd Richtlinie entgegenzunehmen. An die öffentliche Hand werden dabei hinsichtlich der Ausgestaltung der Meldekanäle weitestgehend dieselben Anforderungen gestellt, wie sie bereits den juristischen Personen des Privatrechts gegenüber formuliert werden.

Unklar bleibt, in welchem Maße eine Meldung über externe Kanäle bloß subsidiär gegenüber einer internen Meldung erfolgen soll. Art. 7 verlangt von den Mitgliedsstaaten, sich für eine vorrangige Nutzung der internen Kanäle einzusetzen, soweit von einem wirksamen internen Vorgehen gegen den Verstoß ausgegangen werden kann. Dagegen eröffnet Art. 10 für den Hinweisgeber den Weg, direkt über die externen Kanäle vorzugehen.

Es ist wohl davon auszugehen, dass diese Möglichkeit für den Fall vorgesehen ist, dass eine interne Meldung ex ante keinen Erfolg verspricht. Gleichwohl wird ein Hinweisgeber durch die Ausgestaltung der Richtlinie nicht daran gehindert, sich auf direktem Wege an die zuständigen Behörden zu richten.

c) Öffentlichkeit

Demgegenüber unterfällt ein Hinweisgeber gemäß Art. 15 bei einer Veröffentlichung betriebsinterner EU-Rechtsverstöße gegenüber der Allgemeinheit nur dann dem Schutz der Richtlinie, wenn er sich zuvor erfolglos der internen oder externen Meldekanäle bedient hat oder eine Notsituation vorliegt, in der irreparable – bedauerlicherweise nicht näher definierte – Schäden drohen. Zumindest insoweit lässt sich ein abgestuftes Meldekonzept des europäischen Gesetzgebers erkennen.

3. Schutzmaßnahmen

Schließlich sieht die Richtlinie eine Reihe von Schutzmaßnahmen zugunsten jener Whistleblower vor, die sich an deren Vorgaben halten. Konkret handelt es sich dabei im Ergebnis um ein umfassendes Verbot der Verhängung arbeitsrechtlicher Repressalien jeglicher Art durch den Arbeitgeber. Wer dieses Verbot umgeht oder gleich gegen es verstößt ist nach Maßgabe der nationalen Richtlinienumsetzung zu sanktionieren.

II.

Bedeutung für Unternehmen

1. Anpassung der betrieblichen Compliance

Soweit Unternehmen von den Regelungen der Whistleblower-Richtlinie betroffen sind, haben sie die geforderten Meldekanäle für Hinweisgeber zu errichten. Dabei sollten auch die bis Ende 2023 verschonten Betriebe, die sich unterhalb der 250-Mitarbeiter-Grenzen befinden, die Einrichtung der Meldekanäle möglichst frühzeitig vorantreiben.

Angesichts des weitreichenden – wenn auch nach Auffassung einiger Autoren nicht ausreichenden – Schutzes zugunsten der Hinweisgeber durch die Richtlinie, könnte das Whistleblowing in mittelständischen und großen Unternehmen erhöhte Aufmerksamkeit erhalten. Soweit innerhalb einer juristischen Person ein ausreichender Grund für ein ausgewogenes Compliance-Management entgegen der allgemeinen Dynamik bislang nicht gefunden wurde, dürfte in der Whistleblower-Richtlinie ein solcher Grund nunmehr ausgemacht werden.

Die einfachste Möglichkeit der Aufdeckung von Verstößen gegen EU-Recht besteht zweifellos darin, derlei Verstöße durch das Bestehen hoher Compliance-Standards präventiv zu minimieren. Dies gilt umso mehr, als der zunächst diskutierte Vorrang der Nutzung interner Meldekanäle keinen faktischen Niederschlag in der Richtlinie gefunden zu haben scheint. Hierdurch drohen medienwirksame Imageschäden oder jedenfalls ein negativer Auftritt auf dem Radar der zuständigen Behörden, der zu empfindlichen finanziellen Schäden eines Unternehmens führen kann.

2. Einrichtung interner Meldekanäle

Die vornehmliche Pflicht juristischer Personen ab 50 Arbeitnehmern ist nach der Whistleblower-Richtlinie die Einrichtung interner Meldekanäle. Diese müssen die vertrauliche Behandlung der Identität eines Hinweisgebers sowie dritter Personen, die in einer Meldung erwähnt werden garantieren. Für das einzelne Unternehmen stellt sich nun die Frage, wie ein solcher Meldekanal konkret ausgestaltet werden sollte.

Nach Art. 9 der RL müssen die Meldekanäle eine Meldung in schriftlicher, mündlicher oder persönlicher Form ermöglichen. Jegliche übermittelte Information bedarf der Dokumentation in schriftlicher Form oder durch die Erstellung einer Tonaufzeichnung in dauerhafter und abrufbarer Form, wobei unbefugten Mitarbeitern der Zugriff darauf verwehrt bleiben muss. Gleichzeitig ist jedoch die erforderliche Vertraulichkeit zu garantieren. Es stellt sich insbesondere bei der Nutzung einer E-Mail-Adresse oder eines Telefonanschlusses mit Speicherung einer Nachricht auf einer Voice-Box o.ä. die Problematik, dass bei beiden Ausgestaltungen der Zugriff Dritter (jedenfalls der IT-Verantwortlichen) auf die Meldungen des Hinweisgebers kaum ausgeschlossen werden kann. Im Übrigen wird dem telefonischen Hinweisgeber die Möglichkeit verwehrt, anonym zu bleiben, da der Eingang einer ohne Angabe der eigenen Telefonnummer eingehenden Nachricht auf der Voice-Box nicht – wie durch Art. 9 vorgesehen – bestätigt werden kann.

Möglich ist des Weiteren die Einsetzung einer externen Ombudsperson, die permament erreichbar ist und alle unternehmensrelevanten Sprachen beherrscht.

Schließlich kommt die Einrichtung eines verschlüsselten digitalen Kommunikationssystems für Hinweisgeber in Betracht, das entweder intern entwickelt oder extern eingekauft werden muss.

3. Bemühen um Vorgehen auf internem Wege

Wie bereits aufgezeigt, ist ein wirklicher Vorrang interner Meldungen durch einen Hinweisgeber in der Richtlinie nicht vorgesehen. Soweit auf direktem Wege die externen Kanäle angesteuert werden, wird der Schutz des Whistleblowers nicht beschränkt. Es ist also Sache des Unternehmers, den Hinweisgeber zur vorrangigen Nutzung der internen Verfolgungsmöglichkeit zu bewegen, möchte man die Einschaltung der Behörden oder gar der Medien vermeiden. Hierzu ist die Überzeugung des Hinweisgebers von der Wahrung seiner Anonymität durch den Arbeitgeber unerlässlich.

Eine Studie der HTW Chur zeigte, dass bei den Unternehmen, die anonyme Meldungen ermöglichen, 58 % der Erstmeldungen in anonymer Form eingingen. Wie die Ergebnisse der Studie darüber hinaus verdeutlichen, schützen webbasierte Hinweisgebersysteme die Anonymität deutlich zuverlässiger als andere Meldekanäle.

Soweit die Möglichkeit geschaffen wurde, dass ein Hinweisgeber unter Wahrung seiner Anonymität einen internen Meldekanal nutzen kann, sollte dies den Arbeitnehmern in ausreichender Form kommuniziert und diese um interne Behandlung gebeten werden.

Jörg Schröder

Rechtsanwalt

Fachanwalt für Handels- und Gesellschaftsrecht

Fachanwalt für Steuerrecht