Verwendete Dienste und Cookies

Unsere Website nutzt Cookies, um Ihre Nutzungserfahrung zu verbessern. Einige Cookies sind essentiell für das Funktionieren und Managen der Seite, während andere für anonyme Statistiken oder personalisierte Inhalte verwendet werden. Bitte beachten Sie, dass bei eingeschränkter Cookie-Nutzung bestimmte Webseitenfunktionen beeinträchtigt sein können.

Weitere Informationen: Impressum, Datenschutz

Notwendige Cookies helfen dabei, eine Webseite nutzbar zu machen, indem sie Grundfunktionen wie Seitennavigation und Zugriff auf sichere Bereiche der Webseite ermöglichen oder z.B. Ihre Cookie-Einstellungen speichern. Die Webseite kann ohne diese Cookies nicht richtig funktionieren. Diese Kategorie kann nicht deaktiviert werden.
  • Name:
    ukie_a_cookie_consent_manager
  • Domain:
    blomstein.com
  • Zweck:
    Speichert die Cookie-Einstellungen der Website-Besucher.
  • Name:
    blomstein_session
  • Domain:
    blomstein.com
  • Zweck:
    Der Session-Cookie ist für das grundlegende Funktionieren der Website unerlässlich. Er ermöglicht es den Nutzern, durch die Website zu navigieren und ihre grundlegenden Funktionen zu nutzen.
  • Name:
    XSRF-TOKEN
  • Domain:
    blomstein.com
  • Zweck:
    Dieser Cookie dient der Sicherheit und hilft, Cross-Site Request Forgery (CSRF)-Angriffe zu verhindern. Er ist technisch notwendig.
Diese Cookies sammeln Informationen darüber, wie Sie eine Website nutzen, z. B. welche Seiten Sie besucht und auf welche Links Sie geklickt haben.
  • Name:
    _ga
  • Domain:
    blomstein.com
  • Zweck:
    Das Google Analytics Cookie _ga wird verwendet, um Benutzer zu unterscheiden, indem es eine eindeutige Identifikationsnummer für jeden Besucher vergibt. Diese Nummer wird bei jedem Seitenaufruf an Google Analytics gesendet, um Nutzer-, Sitzungs- und Kampagnendaten zu sammeln und die Nutzung der Website statistisch auszuwerten. Das Cookie hilft Website-Betreibern zu verstehen, wie Besucher mit der Website interagieren, indem es Informationen anonym sammelt und Berichte generiert.
  • Name:
    _ga_*
  • Domain:
    blomstein.com
  • Zweck:
    Das Cookie _ga_[container_id], spezifisch für Google Analytics 4 (GA4), dient der Unterscheidung von Website-Besuchern durch Zuweisung einer einzigartigen ID für jede Sitzung und jeden Nutzer. Es ermöglicht die Sammlung und Analyse von Daten über das Nutzerverhalten auf der Website in anonymisierter Form. Dies umfasst das Tracking von Seitenaufrufen, Interaktionen und dem Weg, den Nutzer auf der Website zurücklegen, um Website-Betreibern tiefere Einblicke in die Nutzung ihrer Seite zu geben und die Benutzererfahrung zu verbessern.
  • Name:
    _gid
  • Domain:
    blomstein.com
  • Zweck:
    Das Cookie _gid ist ein von Google Analytics gesetztes Cookie, das dazu dient, Benutzer zu unterscheiden. Es weist jedem Besucher der Website eine einzigartige Identifikationsnummer zu, die bei jedem Seitenaufruf an Google Analytics gesendet wird. Dies ermöglicht es, das Nutzerverhalten auf der Website über einen Zeitraum von 24 Stunden zu verfolgen und zu analysieren.
  • Name:
    _gat_gtag_UA_77241503_1
  • Domain:
    blomstein.com
  • Zweck:
    Das Cookie _gat_gtag_UA_77241503_1 ist Teil von Google Analytics und Google Tag Manager und wird verwendet, um die Anfragerate zu drosseln, d.h., es begrenzt die Datensammlung auf Websites mit hohem Verkehrsaufkommen. Dieses Cookie ist mit einer spezifischen Google Analytics-Property-ID (in diesem Fall UA-77241503-1) verknüpft, was bedeutet, dass es für die Leistungsüberwachung und -steuerung der Datenerfassung für diese spezielle Website-Property eingesetzt wird.

„Wie man in den Wald hineinruft…“ – Was kommt durch die EU-Whistleblower-Richtlinie auf Unternehmen zu?

17.12.2021

Heute, am 17. Dezember 2021 läuft die Frist zur Umsetzung der EU-Whistleblower-Richtlinie aus. Bisher haben nur Schweden und Dänemark das Regelwerk in nationale Bestimmungen umgesetzt; Portugal gelingt zwar noch eine rechtzeitige Abstimmung im Parlament, das portugiesische Umsetzungsgesetz tritt jedoch erst Mitte 2022 in Kraft. Deutschland dagegen droht ein Vertragsverletzungsverfahren, weil sich die Koalitionspartner der letzten Legislatur auf einen ersten Referentenentwurf des Bundesjustizministeriums in Gestalt des sog. Hinweisgeberschutz-Gesetz (HinSchG) nicht verständigen konnten. Allerdings greift der jüngst veröffentlichte Koalitionsvertrag das Thema wieder auf, so dass nun wieder etwas Bewegung in die Sache zu kommen scheint. Die Richtlinie, die unionsweit einen einheitlichen Rechtsrahmen zum Schutz von Whistleblowern schafft, soll demnach „rechtssicher und praktikabel“ umgesetzt werden. Whistleblower werden „nicht nur bei der Meldung von Verstößen gegen EU-Recht vor rechtlichen Nachteilen geschützt sein, sondern auch bei Meldung von erheblichen Verstößen gegen Vorschriften oder sonstigem erheblichen Fehlverhalten, dessen Aufdeckung im besonderen öffentlichen Interesse liegt.“

Unternehmen werden dadurch vor neue Herausforderungen im Compliance-Bereich gestellt. Betroffene Betriebe sollten deshalb nicht auf die Umsetzung der Richtlinie durch den deutschen Gesetzgeber warten, sondern bereits jetzt geeignete Maßnahmen treffen und ihre Compliance-Systeme anpassen, um Haftungsrisiken zu vermeiden. Schließlich können sich Beschäftigte – bis zur Umsetzung – direkt auf die Richtlinie berufen, die, soweit bestimmte Pflichten klar definiert sind, unmittelbar anwendbar ist. Außerdem muss das nationale Recht im Licht der Whistleblower-Richtlinie ausgelegt werden.

Dieser Beitrag gibt einen Überblick, was Unternehmen beachten müssen:

  • Wer ist betroffen und bis wann müssen die neuen Regeln umgesetzt sein?

  • Was genau ist zu tun?

  • Wer und was ist geschützt?

  • Was droht bei Verstößen?

  • Wie geht es weiter?

Nicht nur große Unternehmen betroffen

Den Regelungen unterliegen sämtliche Unternehmen des privaten und öffentlichen Sektors mit mindestens 50 Mitarbeitern. Unternehmen im Finanzsektor sind unabhängig von der Zahl ihrer Mitarbeiter verpflichtet, ein internes Hinweisgebersystem einzuführen.

Die Fristen für einzelne Unternehmen gestalten sich dabei unterschiedlich. Unternehmen ab 250 Mitarbeitern sollten bereits jetzt – d.h. schon vor Umsetzung der Richtlinie in deutsches Recht – wesentliche Parameter der Richtlinie erfüllen. Kleineren Unternehmen wird etwas mehr Zeit gewährt: Für Betriebe mit 50 bis 249 Beschäftigten besteht eine Schonfrist bis zum 17. Dezember 2023, um die geforderte Meldeinfrastruktur einzurichten. Den Unternehmen steht es frei, für die Implementierung auf interne Organisationsstrukturen zurückzugreifen oder unabhängige Dritte, wie beispielsweise Kanzleien, als Meldestelle einzuschalten.

Einrichtung einer Meldeinfrastruktur – Interne und externe Meldekanäle für Hinweisgeber

Durch die Whistleblower-Richtlinie werden Unternehmen verpflichtet, ein internes Meldesystem einzurichten. Dies soll Hinweisgebern einen geschützten Kommunikationskanal für Informationen über EU-Rechtsverstöße bieten. Es muss Whistleblowern ermöglicht werden, Rechtsverstöße namentlich oder anonym, mündlich oder auch schriftlich unter Wahrung der Vertraulichkeit der Identität des Hinweisgebers und von in der Meldung genannten Dritten einzureichen.

An die Ausgestaltung des Meldesystems sowie eines nachfolgenden Nachforschungsverfahrens werden konkrete Anforderungen gestellt:

Der Eingang einer Meldung ist gegenüber dem Whistleblower binnen sieben Tagen zu bestätigen. Die Meldung löst die Pflicht zur Durchführung eines internen Ermittlungsverfahrens aus, das in angemessener Zeit abzuschließen ist. Spätestens nach drei Monaten muss eine Rückmeldung über den Stand des Verfahrens erfolgen. Um das Verfahren möglichst transparent zu gestalten, bestehen weitreichende Dokumentationspflichten. Interne Meldesysteme müssen nicht zwingend durch jedes Unternehmen neu geschaffen werden. Auch eine entsprechende Anpassung und Erweiterung bereits etablierter bereichspezifischer Informationsregime (beispielsweise nach den Vorgaben des Geldwäschegesetzes) ist möglich.

Der Hinweisgeber kann sich aber ebenso an externe Meldestellen wenden. Die Mitgliedstaaten werden durch die Whistleblower-Richtlinie verpflichtet, auch über Behörden Informationen über Verstöße entgegenzunehmen und zu verarbeiten. Der deutsche Referentenentwurf sieht vor, dass spezialisierte zentrale Meldestellen auf Bundes- und wahlweise auf Landesebene geschaffen werden. Für Verstöße in der Finanzbranche soll die Bafin zuständige externe Meldestelle werden. Welche Rolle anderen Stellen (z.B. der Beschwerdestelle der Datenschutzbehörde) zukommt, bleibt abzuwarten. Für Kartellverstöße dürfte die Hinweisgeberhotline des Bundeskartellamts als externe Meldestelle jedenfalls in Betracht zu ziehen sein.

Weiter Schutzbereich für Whistleblower

Die Richtlinie soll alle Personen schützen, die aufgrund ihrer Tätigkeit besonderes Wissen über Unternehmensinterna und mögliche EU-Rechtsverletzungen haben. Der Kreis der geschützten Personen ist weit gefasst: Neben Arbeitnehmern des privaten oder öffentlichen Sektors werden beispielsweise auch Selbstständige, Subunternehmer oder Lieferanten geschützt.

In sachlicher Hinsicht erfasst die Richtlinie Meldungen einer Bandbreite von Verstößen gegen europäische Vorschriften, u.a. im Kartell- und Vergaberecht, im Umwelt- und Verbraucherschutz, in der Finanzbranche sowie im Datenschutzrecht.

Der Schutz der Richtlinie wird ausgelöst, wenn der Whistleblower von dem entsprechenden Meldesystemen Gebrauch gemacht hat und davon ausgehen durfte, dass die gemeldeten Informationen zutreffend sind und einen Verstoß der benannten EU-Rechtsakte betreffen. Geschützt wird der Whistleblower im Wesentlichen vor ungerechtfertigten Nachteilen aufgrund seiner Meldung sowie vor einer potenziellen Haftung wegen Vertraulichkeits- und Geheimhaltungspflichtverletzungen. Erfährt der Whistleblower im unmittelbaren zeitlichen Zusammenhang zu seinem Hinweis Repressalien, wie z.B. Gehaltskürzungen oder Mobbing durch seinen Arbeitgeber, muss Letzterer beweisen, dass die arbeitsrechtliche Maßnahme nicht auf der Offenlegung von Hinweisen über Rechtsverstöße beruht. Die Beweislast wird insoweit also zu Gunsten der Whistleblower umgekehrt.

Drohende Bußgelder

Die fehlende Einrichtung eines internen Meldesystems ist bislang sanktionslos. Unternehmen sollten die erforderlichen internen Strukturen trotzdem aus ureigenstem Interesse schaffen, weil sie nur dadurch verhindern können, dass sich Hinweisgeber direkt an externe Meldestellen oder die Öffentlichkeit wenden. Vor allem Reputationsschäden können somit vermieden werden.

Mit Umsetzung der Richtlinie in deutsches Recht dürften künftig Bußgelder verhängt werden, wenn der Whistleblowing-Prozess behindert oder Repressalien gegenüber gutgläubigen Hinweisgebern ergriffen werden. Bereits der Referentenentwurf des HinSchG definierte derartige Maßnahmen als Ordnungswidrigkeit, die mit bis 100.000 Euro Bußgeld geahndet werden kann.

Umsetzung durch Ampelkoalition erwartet

Es ist zu erwarten, dass die Ampelkoalition bald einen Entwurf veröffentlichen wird, wonach neben EU-Rechtsverstößen auch Verstöße gegen nationales Recht gemeldet werden können, dessen Aufdeckung im besonderen öffentlichen Interesse liegt. Bislang gibt es nur vereinzelt solche (bereichsspezifischen) Schutzvorschriften zu Gunsten von Hinweisgebern.

Für die Unternehmen bringt die Whistleblower-Richtlinie einen nicht zu unterschätzenden Umsetzungsaufwand und auch neue bürokratische Lasten mit sich. Allerdings ist zu hoffen, dass effiziente Hinweisgebersysteme das Vertrauen in die internen Compliance Strukturen erhöhen. Bis das HinSchG tatsächlich verabschiedet wird, besteht noch viel Diskussions- und Anpassungsbedarf. Gleichwohl zahlt es sich aus, sich schon jetzt mit den neuen Anforderungen vertraut zu machen und die erforderlichen Meldekanäle zumindest schon einmal anzulegen, selbst wenn sie möglicherweise erst später aktiv geschaltet werden.

BLOMSTEIN wird die weiteren Entwicklungen genau beobachten und darüber informieren. Wenn Sie Fragen zu den potenziellen Auswirkungen der Vorhaben auf Ihr Unternehmen oder Ihre Branche haben, stehen Ihnen
Dr. Anna Huttenlauch und Marie-Luise Heuer jederzeit gern zur Verfügung.

zurück zur Übersicht