BLOG -


Hinweisgeberschutzgesetz: Neue Whistleblower-Pflichten treffen mittelständische Unternehmen

  • Neues Gesetz setzt neue Pflichten für alle Unternehmen fest, sofern sie über 50 Mitarbeiter haben, wozu auch freie Mitarbeiter gehören.
  • Betroffene Unternehmen sollen spätestens ab Dezember 2021 ein eigenes Hinweisgebersystem für Mitarbeiter, Kunden, Lieferanten und sonstige Dritte einrichten, damit diese (vermeintliche) Missstände im Unternehmen anonym melden können.
  • Hinweisgeber (= „Whistleblower“) dürfen direkt die Behörden oder die Öffentlichkeit informieren, falls das Unternehmen keine eigenen anonymen Hinweisgebersysteme anbietet.
  • Betroffene Unternehmen müssen daher ein eigenes Hinweisgebersystem anbieten, um ihren neuen gesetzlichen Pflichten nachzukommen und zu verhindern, dass sich Hinweisgeber an Behörden oder die Öffentlichkeit wenden.
  • Neue Haftungsrisiken für die Geschäftsführung bei Passivität.
  • Das nationale Umsetzungsgesetz ist veröffentlicht und sieht keine Erleichterungen für die Unternehmen vor.

Was ist die EU-Hinweisgeberrichtlinie (= EU-Whistleblower-Richtlinie)?

Die Richtlinie setzt neue Compliance Pflichten fest. Konkret sollen Unternehmen Möglichkeiten für Mitarbeiter und Dritte schaffen, vermeintliche und tatsächliche Missstände anonym zu melden (= internes Hinweisgebersystem). So soll die Unternehmensführung Kenntnis von (vermeintlichen) Missständen erlangen und darauf reagieren können. Der nationale Gesetzgeber muss die Richtlinie umsetzen. Der entsprechende Referentenentwurf liegt nun vor und ist hier abrufbar: Link.

Wer ist betroffen?

Die EU-Hinweisgeberrichtlinie gilt für sämtliche Unternehmen ab 50 Mitarbeiter oder Unternehmen mit einem Umsatz ab EUR 10 Mio./ Jahr. Unternehmen aus dem Bereich der Finanzdienstleistungen müssen unabhängig von der Anzahl der Mitarbeiter interne Hinweisgebersysteme einrichten.

Des Weiteren entfaltet die EU-Hinweisgeberrichtlinie bereits heute weitgehenden Schutz für Mitarbeiter. Diese dürfen Missstände sowohl an das eigene Unternehmen als auch an externe Stellen (Behörden) melden, ohne arbeitsrechtliche Sanktionen fürchten zu müssen. Dies gilt vor allem dann, wenn kein internes Hinweisgebersystem zur Verfügung steht.

Welche Verstöße dürfen Mitarbeiter melden?

Mitarbeiter, Kunden, Lieferanten und sonstige Dritte dürfen – Stand heute – Verstöße gegen EU-Recht (z.B. Datenschutzrecht), Verstöße gegen nationales Recht (z.B. Arbeitszeitverstöße) sowie Verstöße gegen interne Regelwerke an das interne oder externe Hinweisgebersystem melden.

Auf was müssen sich betroffene Unternehmen einstellen?

Der Gesetzgeber hat das ausdrückliche Ziel, dass sich gerade mittelständische Unternehmen aktiver mit dem Thema Compliance auseinandersetzen und erste Maßnahmen ergreifen. Um diese Ziele durchzusetzen und den Druck zu erhöhen, sollen Behörden nun eigene, so genannte externe Hinweisgebersysteme bereitstellen. So sollen Behörden Kenntnis von Missständen innerhalb der Unternehmen erlangen. Auch dürfen Mitarbeiter Missstände direkt an die Öffentlichkeit geben, falls Unternehmen oder Behörden ihren Hinweisen nicht nachgehen. Insgesamt müssen sich Unternehmen also auf einen „schärferen Wind“ des Gesetzgebers einstellen, der sich insbesondere auf Missstände und Regelverstöße innerhalb der Privatwirtschaft konzentriert.

Gibt es neue Haftungsrisiken?

Ja. Compliance Verstöße führen oft zu einer persönlichen Haftung der Beteiligten. Compliance Verstöße können auch zur persönlichen Haftung der (unbeteiligten) Geschäftsführer führen, wenn diese keine Vorsorgemaßnahmen getroffen haben, wie zum Beispiel die Einrichtung eines internen Hinweisgebersystems. Der Verstoß gegen die neue Verpflichtung, ein solches internes Hinweisgebersystem einzuführen, erhöht die Haftungsrisiken zusätzlich.

Wie sind Meldungen aus datenschutzrechtlicher Sicht zu behandeln?

Die Whistleblower-Richtlinie gibt vor, dass die Datenverarbeitung nicht gegen die Datenschutzgrundverordnung verstoßen darf. Dies macht die Etablierung von Hinweisgebersystemen in der Praxis nicht einfacher. Die Whistleblower-Richtlinie schützt schließlich den einzelnen Hinweisgeber, während die DSGVO neben dem Hinweisgeber auch den Beschuldigten schützt. Hier kann es also zu Kollisionen kommen.

Müssen betroffene Unternehmen jetzt schon handeln bzw. das Hinweisgebersystem vorbereiten?

Unternehmen sollten mit Augenmaß reagieren. Konkret ist es ein guter Rat, mit einem Experten über die Ausgangslage im eigenen Unternehmen zu sprechen und mit einem „Sicherheitsabstand“ zum Inkrafttreten der neuen Regelungen zum 17. Dezember 2021, also im 2. oder 3. Quartal 2021, ein eigenes internes Hinweisgebersystem zu etablieren. Hier bietet sich die Beauftragung einer externen Compliance Vertrauensstelle an, die ein solches Hinweisgebersystem als externer Dienstleister (kostengünstig) zur Verfügung stellen kann. Damit enthaftet sich die Geschäftsführung und das Unternehmen erfüllt die neuen Pflichten.

Dr. Maximilian Degenhart

TAGS

Whistleblower Hinweisgebergesetz Referentenentwurf BMJV Compliance Hinweisgebersystem EU-Richtlinie neue Haftungsrisiken