Die EU-Whistleblower-Richtlinie (Hinweisgeberrichtlinie)

Die Vertraulichkeit kann nur bei Beauftragung eines Dienstleisters optimal gewährleistet werden.

03.01.2022

Bereits im Jahr 2019 wurde eine Richtline zum Schutz von Whistleblowern bzw. Hinweisgebern verabschiedet. Gemeint ist die „Richtlinie (EU) 2019/1937 des europäischen Parlaments und des Rates vom 23. Oktober 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“.

Sie haben noch nie etwas davon gehört? Naja, das ist bei EU-Richtlinien ja durchaus häufiger der Fall. Hintergrund ist, dass eine Richtlinie nicht direkt in den Mitgliedstaaten Gesetzescharakter entfaltet. Vielmehr müssen alle Mitgliedstaaten diese Richtlinie erst in ein nationales Gesetz überführen. Hierzu haben die nationalen Gesetzgeber dann in der Regel ein bis zwei Jahre Zeit, während der sie ein Gesetz verabschieden müssen, mit dem die Richtlinie umgesetzt wird. Die breite Öffentlichkeit nimmt häufig von solchen Richtlinien erst dann Kenntnis, wenn das entsprechende Gesetz verabschiedet wird oder es sich zumindest in der Abstimmung befindet. In diesem Fall war der 17.12.2021 der Zeitpunkt, bis zu dem das entsprechende Gesetz hätte verabschiedet werden müssen. Achtung, der Konjunktiv ist hier wichtig, denn…

Haben wir denn nun ein Gesetz?

Nein. Der Gesetzgeber (die „alte Bundesregierung, große Koalition) hatte bereits recht früh einen entsprechenden Entwurf in das Gesetzgebungsverfahren eingebracht. Eine Einigung kam jedoch damals nicht zustande. Mit dem Regierungswechsel, der – wenn auch sehr kurz – vor dem von der Richtlinie gesetzten Termin lag, hatte das Gesetz zum Hinweisgeberschutz für die neue Bundesregierung nicht die oberste Priorität, um es vorsichtig auszudrücken. Tatsache ist: Die Richtlinie existiert und Deutschland ist demnach nach wie vor verpflichtet ein entsprechendes Gesetz zu verabschieden. Passiert das nicht kurzfristig, droht ein europäisches Vertragsverletzungsverfahren. Genaues kann zum weiteren Verfahren derzeit noch nicht gesagt werden. Es ist aber davon auszugehen, dass in Kürze ein entsprechendes Gesetz verabschiedet werden wird.

Welches Ziel wird mit der Richtlinie verfolgt?

Hinweisgeber, also Personen, die Missstände im Unternehmen oder einer Behörde aufdecken, genossen in der Vergangenheit so gut wie keinen Schutz. Der Dank für einen entsprechenden Hinweis kam häufig postwendend – und zwar in Form einer Kündigung oder zumindest in Form anderer unangenehmer Konsequenzen. Teilweise gaben die Gerichte den Unternehmen in solchen Fällen sogar Recht. Argument war häufig, dass die Mitarbeiter*innen die Treuepflicht verletzt hätten. Vielleicht wäre es ja doch verhältnismäßiger gewesen, sich mit dem Hinweis noch einmal an den direkten Vorgesetzten zu wenden, als gleich einer Zeitung zu sprechen… – so die häufige Argumentation. Nun ist klar geregelt, dass alle – die Richtlinie spricht hier von „jede Form von“ – Repressalien unzulässig sind. Geregelt ist dies in Art. 19 der Richtlinie. Und damit niemand auf die Idee kommt, darüber zu streiten, ob beispielsweise das Ausbleiben einer Beförderung schon eine Repressalie darstellt, werden bestimmte mögliche Repressalien in der Richtlinie sogar ausdrücklich genannt.

Hierbei handelt es sich um

a) Suspendierung, Kündigung oder vergleichbare Maßnahmen;
b) Herabstufung oder Versagung einer Beförderung;
c) Aufgabenverlagerung, Änderung des Arbeitsortes, Gehaltsminderung, Änderung der Arbeitszeit;
d) Versagung der Teilnahme an Weiterbildungsmaßnahmen;
e) negative Leistungsbeurteilung oder Ausstellung eines schlechten Arbeitszeugnisses;
f) Disziplinarmaßnahme, Rüge oder sonstige Sanktion einschließlich finanzieller Sanktionen;
g) Nötigung, Einschüchterung, Mobbing oder Ausgrenzung;
h) Diskriminierung, benachteiligende oder ungleiche Behandlung;
i) Nichtumwandlung eines befristeten Arbeitsvertrags in einen unbefristeten Arbeitsvertrag in Fällen, in denen der Arbeitnehmer zu Recht erwarten durfte, einen unbefristeten Arbeitsvertrag angeboten zu bekommen;
j) Nichtverlängerung oder vorzeitige Beendigung eines befristeten Arbeitsvertrags;
k) Schädigung (einschließlich Rufschädigung), insbesondere in den sozialen Medien, oder Herbeiführung finanzieller Verluste (einschließlich Auftrags- oder Einnahmeverluste);
l) Erfassung des Hinweisgebers auf einer „schwarzen Liste“ auf Basis einer informellen oder formellen sektor- oder branchenspezifischen Vereinbarung mit der Folge, dass der Hinweisgeber sektor- oder branchenweit keine Beschäftigung mehr findet;
m) vorzeitige Kündigung oder Aufhebung eines Vertrags über Waren oder Dienstleistungen;
n) Entzug einer Lizenz oder einer Genehmigung;
o) psychiatrische oder ärztliche Überweisungen.

Manche „Repressalien“, die hier genannt werden, sind durchaus bemerkenswert. Natürlich stehen wir hinter der Idee, Hinweisgeber besser zu schützen. Aber, dass die „Nichtverlängerung eines befristeten Arbeitsvertrags“ nun schon eine Repressalie sein soll, wundert uns doch etwas und scheint uns etwas „über das Ziel hinausgeschossen“. Schließlich werden befristete Arbeitsverträge genau zu dem Zweck geschlossen, diese bei fehlendem Arbeitsaufkommen ohne weitere Begründung nicht verlängern zu müssen. Und nun muss sich ein Arbeitgeber stets Gedanken machen, ob das Auslaufenlassen eines befristeten Vertrages nicht als eine mögliche Repressalie aufgefasst werden könnte und muss sich jeweils eine gute Begründung für die Nichtverlängerung eines befristeten Vertrages überlegen oder im Zweifel den/die Arbeitnehmer*in übernehmen, um nicht Gefahr zu laufen, gegen die gesetzliche Vorgabe zu verstoßen.

Wer und was ist eigentlich geschützt?

Zunächst einmal ist festzuhalten, dass nicht die Hinweisgeber jeder Aufdeckung jedes beliebigen Missstandes geschützt werden sollen. Vielmehr geht es nur um bestimmte Verstöße gegen Unionsrecht. Die entsprechenden Rechtsakte der Union (also Verordnungen und Richtlinien) die darunter fallen sind im Anhang zur Richtlinie aufgelistet. Die wichtigsten betroffenen Bereiche, die insbesondere in Unternehmen am häufigsten betroffen sein werden sind:

  • Finanzdienstleistungen, Finanzprodukte und Finanzmärkte sowie Verhinderung von Geldwäsche und Terrorismusfinanzierung,
  • Produktsicherheit und -konformität,
  • Umweltschutz,
  • Verbraucherschutz,
  • Schutz der Privatsphäre und personenbezogener Daten sowie Sicherheit von Netz- und Informationssystemen,
  • wettbewerbsrechtliche Regelungen.

Darüber hinaus ist festgelegt, dass die Richtlinie für Hinweisgeber gilt, „die im privaten oder im öffentlichen Sektor tätig sind und im beruflichen Kontext Informationen über Verstöße erlangt haben“. Das bedeutet, dass nicht nur Beschäftigte des betroffenen Unternehmens selbst, sondern auch Selbständige oder Personen, die für einen Auftragnehmer oder Lieferanten tätig sind, geschützt sind. Entscheidend für den Geltungsbereich der Richtlinie ist der berufliche Kontext.

Und wie sollen die Hinweise erfolgen?

Grundsätzlich definiert die Richtlinie drei Arten, wie Hinweise erfolgen können.

Interne Meldekanäle

Zunächst hat jedes Unternehmen mit mehr als 50 Beschäftigten einen internen Meldekanal einzurichten, über den Hinweise gegeben werden können. Diese internen Meldekanäle sind so einzurichten, dass Meldungen auf verschiedenen Wegen (fernmündlich, schriftlich und auf Ersuchen des Hinweisgebers persönlich) gemacht werden können. Als Meldungsempfänger können sowohl interne Personen benannt als auch externe Stellen beauftragt werden. Darüber hinaus muss der Meldeweg so gestaltet werden, dass die die Vertraulichkeit der Identität des Hinweisgebers sowie Dritter, die in der Meldung erwähnt werden, gewahrt bleibt.

Das klingt zunächst recht harmlos, ist in der Praxis aber, gerade bei internen Meldestellen, nicht einfach umzusetzen. Das interne Telefonat (Übermittlung der Durchwahl) oder die Verwendung von E-Mail scheiden dadurch vermutlich aus. Darüber hinaus ist die Problematik zu beachten, dass sich ein Hinweis ja auch gegen die Person richten kann, die mit der Bearbeitung der Hinweise betraut ist. Es sind also mindestens zwei Ansprechpartner im Unternehmen zu benennen, die auf jeweils individuellen Kommunikationskanälen zu erreichen sind und die nicht gegenseitig auf gemeldete Hinweise an die jeweils andere Person zugreifen können. Nur so ist gewährleistet, dass die Vertraulichkeit auch dann gewahrt bleibt, wenn sich Hinweise gegen eine Person richten, die für die Annahme der Hinweise zuständig ist. Da „normale“ Kommunikationskanäle wie E-Mail ausscheiden (siehe oben), ist aus technischer Sicht ein Hinweisgebersystem einzurichten, das eine anonyme Hinweiserteilung erlaubt und gleichzeitig eine weitere Kommunikation mit dem Hinweisgeber über den Sachverhalt ermöglicht.

Wir empfehlen zu diesem Zweck den Einsatz von externen Dienstleistungsunternehmen. Zur Bereitstellung eines richtlinienkonformen Hinweisgebersystems haben wir als bITs GmbH, gemeinsam mit unserem Kooperationspartner, der Mauß Datenschutz GmbH, ein Dienstleistungspaket entwickelt, das unsere Kunden, bei der Erfüllung der im Zusammenhang mit der Richtlinie anfallenden Anfragen unterstützt und aus technischer Sicht ein Hinweisgebersystem bereitstellt, das eine anonyme Kommunikation mit den Hinweisgebern ermöglicht. Diese Plattform stellen wir als Cloud-Lösung bereit. Bitte setzen Sie sich bei Interesse mit uns in Verbindung. Gerne erläutern wir Ihnen die Details unserer Dienstleistung in einem persönlichen Gespräch.

Externe Meldekanäle

Für Unternehmen und auch Behörden hört die Verpflichtung nach Einrichtung des zuvor beschriebenen internen Meldekanals auf. Bei den externen Meldekanälen handelt es sich um ein ähnliches Kommunikationssystem, wie bei den internen Meldekanälen auch. Der Unterschied ist, dass diese Meldekanäle nicht durch das Unternehmen oder die Behörde selbst, sondern durch die Mitgliedstaaten, in unserem Fall also durch den deutschen Staat, bereitgestellt werden müssen.

Ob ein Hinweisgeber den internen oder den externen Meldekanal wählt, bleibt diesem selbst überlassen. Es gibt hier keine Reihenfolge, die einzuhalten wäre. Für die Unternehmen oder Behörden ist es jedoch keinesfalls egal, ob ein Hinweis extern oder intern erfolgt. Vielmehr wird man ein großes Interesse daran haben, Missstände möglichst geräuschlos und intern abzustellen als durch externe Intervention. Und genau hier wird es wieder interessant, die internen Meldekanäle durch einen Dienstleister betreiben zu lassen. Denn je seriöser ein Unternehmen den internen Kanal gestaltet und je mehr ein Hinweisgeber darauf vertrauen kann, dass eine Meldung vertraulich und mit der gebotenen Ernsthaftigkeit bearbeitet wird, desto eher wird er davon absehen, die Meldung extern vorzunehmen.

Die Beauftragung eines externen Dienstleisters, beispielsweise der bITs GmbH, zum Betrieb des Hinweisgebersystems schafft also Vertrauen und verringert die Gefahr der Verwendung externer Meldekanäle.

Offenlegung

Der dritte mögliche Meldeweg ist die Offenlegung des Missstands. Zu der Art der Offenlegung finden sich in der Richtlinie keine Festlegungen. Denkbar sind Informationen an die Presse oder Veröffentlichungen im Internet. Bei derartigen Offenlegungen werden Unternehmen oder Behörden regelmäßig an den Pranger gestellt. Gesellschaftliche oder wirtschaftliche Nachteile sind denkbar und wahrscheinlich. In vielen Fällen werden auch Geschäftsgeheimnisse betroffen sein. Daher ist festgelegt, dass eine der folgenden Bedingungen erfüllt sein muss, bevor eine Offenlegung erfolgen darf:

  • Es wurde zunächst intern und extern oder auf direktem Weg extern gemäß Meldung erstattet, aber zu der Meldung wurden innerhalb des durch die Richtlinie gesetzten Zeitrahmens von drei Monaten keine geeigneten Maßnahmen ergriffen,
  • der Hinweisgeber hat hinreichenden Grund zu der Annahme, dass
    – der Verstoß eine unmittelbare oder offenkundige Gefährdung des öffentlichen Interesses darstellen kann, so z. B. in einer Notsituation oder bei Gefahr eines irreversiblen Schadens; oder
    – im Fall einer externen Meldung Repressalien zu befürchten sind oder aufgrund der besonderen Umstände des Falls geringe Aussichten bestehen, dass wirksam gegen den Verstoß vorgegangen wird, beispielsweise weil Beweismittel unterdrückt oder vernichtet werden könnten oder wenn zwischen einer Behörde und dem Urheber des Verstoßes Absprachen bestehen könnten oder die Behörde an dem Verstoß beteiligt sein könnte.

Und was ist jetzt zu tun?

Wir empfehlen, das Thema zeitnah anzugehen. Eine gesetzliche Regelung wird zeitnah kommen. Aber bereits jetzt sind die Rahmenbedingungen zum Hinweisgeberschutz durch die Richtlinie klar definiert. Und wir empfehlen auch, das Hinweisgebersystem extern zu beauftragen und nicht intern selbst zu implementieren. Es ist wichtig, Vertrauen zu schaffen, damit möglichst das interne Hinweisgebersystem genutzt wird und nicht alternativ Missstände extern gemeldet werden oder gar offengelegt werden. Dies ist am besten zu erreichen, wenn ein vertrauenswürdiger Dienstleister das System betreibt.

Möchten Sie die Umsetzung der EU Hinweisgeberrichtlinie angehen? Sprechen Sie uns an. Wir beraten Sie dabei und liefern Ihnen alles, was Sie zur Umsetzung benötigen! Gerne können wir alle Details unserer Dienstleistung in einem persönlichen Gespräch erörtern.