Zu erwartende Umsetzungsmodalitäten der EU-Whistleblower-RL durch die Ampelkoalition
Erweiterung des Schutzes der Hinweisgeber auch auf gemeldete Verstöße gegen nationales Recht
Die Koalitionspartner, SPD, Grüne und FDP, haben sich im Koalitionsvertrag darauf verständigt die EU-Whistleblower-RL „rechtsicher und praktikabel“ umzusetzen. Dabei soll der Schutz der Hinweisgeber vor rechtlichen Nachteilen sowohl bei Meldungen von EU-Rechtsverstößen als auch von erheblichen Verstößen gegen Vorschriften oder sonstigem erheblichen Fehlverhalten, dessen Aufdeckung im besonderen öffentlichen Interesse liegt, gegeben sein. Damit würde der Schutz auf nationales Recht ausgeweitet werden. Über diesen Punkt hat sich die Große Koalition 2019 nicht einigen können, sodass ein die EU-Whistleblower-RL umsetzendes Gesetz, das Hinweisgeberschutzgesetz (HinSchG), bisher noch nicht verabschiedet wurde.
Beratungs- und finanzielle Unterstützungsangebote für die Hinweisgeber
Ferner sieht der Koalitionsvertrag eine Verbesserung der Durchsetzbarkeit von Ansprüchen der Hinweisgeber wegen etwaiger Repressalien, denen sie sich wegen einer Meldung ausgesetzt sehen könnten, vor. Dafür sollen Beratungs- und finanzielle Unterstützungsangebote geprüft werden. Dieser Punkt trägt der gegen den Gesetzesentwurf zum HinSchG geäußerten Kritik Rechnung, dass Hinweisgeber im Falle von erfolgten Repressalien bei der Durchsetzung ihrer Rechte auf sich allein gestellt wären. Die genaue Ausgestaltung dieser angekündigten Durchsetzungshilfe ist jedoch nicht näher im Koalitionsvertrag umschrieben.
Unternehmen sollten hier jedoch nicht nur ein Risiko des Aufdeckens von Verstößen durch Whistleblower sehen. Mit Einrichtung eines funktionierenden Meldesystems bietet sich den Unternehmen eine Chance Missstände im eigenen Unternehmen aufzudecken, bevor diese zu einem höheren Schaden (finanzieller oder immaterieller Natur, wie Rufschädigung) führen können.
Unmittelbare Anwendung der EU-Whistleblower-RL
Richtlinien können ausnahmsweise unmittelbar anwendbar sein, wenn sie von dem jeweiligen Mitgliedsstaat nicht oder nicht ordnungsgemäß umgesetzt wurden und die Bestimmungen der Richtlinie unbedingt und hinreichend genau sind. Im gegebenen Fall fehlt es an einer Umsetzung der EU-Whistleblower-RL zum Stichtag am 17.12.2021, sodass die Voraussetzungen für eine unmittelbare Anwendung dieser vorliegen.
EU-Whistleblower-RL
Mit der EU-Whistleblower-RL sollen Hinweisgeber, die auf Missstände mit EU-Rechtsbezug aufmerksam machen, vor negativen zivil-, straf-, verwaltungsrechtlichen oder auch internen Konsequenzen, wie beispielsweise Kündigungen, geschützt werden. Aufgedeckt werden sollen u.a.:
- Verstöße gegen den Datenschutz
- Steuerbetrug
- Geldwäsche
- Umweltschutzvergehen
- Vergehen gegen den Verbraucherschutz
Zu beachten gilt, dass ein europarechtlicher Bezug vorliegen muss. „Nur“ nationale Tatbestände finden nach der EU-Whistleblower-RL keine direkte Beachtung. Dem nationalen Gesetzgeber steht es jedoch frei, den Anwendungsbereich im Zuge der Richtlinienumsetzung zu erweitern. Ein entsprechendes Gesetzt wird zwar vom deutschen Gesetzgeber erwartet, bis zur Verabschiedung gilt jedoch der Anwendungsbereich der EU-Whistleblower-RL.
Die Pflicht gem. der Richtlinie sichere interne Meldekanäle für Hinweisgeber bereitzustellen trifft:
- Unternehmen und Einrichtungen des öffentlichen Sektors
ab 50 Mitarbeitern
- Behörden und Gemeinden ab 10.000 Einwohnern
Für Unternehmen mit 50 bis 249 Mitarbeitern gilt eine Übergangsfrist von zwei Jahren bis zum 17.12.2023 um entsprechende Meldekanäle einzurichten. Unternehmen ab 250 Mitarbeitern trifft diese Pflicht bereits seit dem 17.12.2021 (Art. 26 EU 2019/1937 RL).
Die internen Meldekanäle müssen gem. Art. 9 EU 2019/1937 RL eine Meldung in schriftlicher und/oder mündlicher Form (wobei diese eine Meldung in persönlicher Form auf ausdrücklichen Wunsch des Hinweisgebers hin miteinschließt), ermöglichen.
Die interne Meldestelle muss dem Hinweisgeber innerhalb von sieben Tagen den Eingang der Meldung bestätigen.
Der Hinweisgeber ist innerhalb von drei Monaten über ergriffene Maßnahmen als Folge der Meldung zu informieren.
Ferner hat eine Dokumentation der Meldung zu erfolgen, die einen späteren Zugriff auf diese gewährleistet ohne, dass unbefugte Zugriff darauf erlangen. Dabei gilt es zu beachten, dass alle personenbezogenen Daten nur im Einklang mit der DS-GVO verarbeitet werden dürfen. Die Rechtmäßigkeit der Verarbeitung ergibt sich aus Art.6 Abs. 1 lit. c) DS-GVO i.V.m. der EU-Whistleblower-RL.
Die Meldung von Missständen birgt ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen. Sowohl die Daten der Hinweisgebenden Person, aber auch von im Hinweis genannten Personen sind besonders schützenswert. Die eines Vergehens oder Verstoßes beschuldigte Person darf nicht an den Pranger gestellt werden können, dadurch, dass die Daten an unbefugte Dritte gelangen. Auch der Hinweisgeber läuft Gefahr Nachteile zu erleiden, wenn er als Hinweisgeber allgemein bekannt wird. Die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) gem. Art. 35 DS-GVO ist vor der Errichtung etwaiger Meldekanäle aus den genannten Gründen unbedingt notwendig.
Hinweise für Unternehmen bei der Einführung interner Meldekanäle
Bei der Umsetzung der EU-Whistleblower-RL im eigenen Unternehmen gilt es die Vorgaben der EU-Whistleblower-RL zu beachten:
- Die internen Meldewege sollen für mögliche Hinweisgeber leicht zugänglich sein. Insbesondere müssen die Mitarbeiter, aber auch ausgeschiedene Mitarbeiter, sowie Dritte über die Möglichkeiten Hinweise zu Missständen geben zu können hinreichend informiert werden. Es sollte keine Bindung an nur eingeschränkte Meldezeiten bestehen.
- Die Vertraulichkeit der Identität des Hinweisgebers als auch Dritter, die in der Meldung erwähnt werden muss gewahrt bleiben – Kein Zugriff unbefugter Mitarbeiter auf die Meldung.
- Innerhalb von sieben Tagen nach Eingang der Meldung ist an den Hinweisgeber eine Bestätigung des Eingangs der Meldung zu richten.
- Eine unparteiische Person oder Abteilung ist zu benennen, welche für die Folgemaßnahmen zu den Meldungen zuständig ist.
- Ausführung ordnungsgemäßer Folgemaßnahmen – Reaktion auf den gemeldeten Sachverhalt durch Aufklärung und bei Bestätigung eines Missstandes Ergreifen notwendiger Maßnahmen zur Beseitigung dieses.
- Erneute Rückmeldung an den Hinweisgeber nach max. drei Monaten. Der Fristbeginn ist bei erfolgter Eingangsbestätigung ab der Bestätigung. Bei der unterbliebenen Eingangsbestätigung sieben Tage nach Eingang der Meldung.
- Einrichtung von einem oder mehreren Meldekanälen in schriftlicher und/oder mündlicher Form unter Wahrung aller zuvor genannter Punkte.
Schriftlicher Meldekanal
In Anbetracht der Anforderungen ist zu sagen, dass ein schlichter Hinweisbriefkasten im Rahmen einer DSFA regelmäßig als ungeeigneter schriftlicher Meldekanal ausscheiden wird.
Auch eine interne E-Mail-Adresse ist wegen des nicht zu verhindernden Zugriffs der internen IT-Administration als ungeeignet anzusehen.
Eine datenschutzkonforme Einführung eines “schriftlichen” IT basierten Hinweisgebersystems (Whistleblowing-System) wird durch die Nutzung unserer Whistleblowingpakete erleichtert. Das Paket enthält Vorlagen zur Einführung eines Whistleblowingsystems in Unternehmen unter Berücksichtigung der datenschutzrechtlichen Anforderungen als Umsetzungshilfe. Es ist derzeit auf den Einsatz des Hinweisgebersystems auf Basis der FTAPI Plattform ausgelegt, kann aber bei Bedarf z.B. auch an die Nutzung des Tools von EQS angepasst werden.
Mündlicher Meldekanal
Eine Möglichkeit für einen mündlichen Meldekanal bietet eine telefonische, für den Hinweisgeber kostenlose Hotline. Eine dauerhafte, rund um die Uhr besetzte Leitung ist dabei erforderlich. Ebenso das Ausräumen sprachlicher Barrieren. Diese Möglichkeit könnte auf lange Sicht gesehen jedoch zu einem nicht unerheblichen finanziellen Aufwand wegen der dauerhaften Besetzung der Leitung führen.