EU-Whistleblower-Richtlinie: Viele Fragen bei Umsetzung offen

Die EU-Whistleblower-Richtlinie (EUWBR) trat am 16.12.2019 in Kraft und ist bis zum 17.12.2021 in deutsches Recht umzusetzen. Spätestens dann wird ein Hinweisgebersystem branchenübergreifend zum gesetzlichen Standardbaustein eines jeden Compliance-Management-Systems. Juristische Personen des Privatrechts und des öffentlichen Rechts werden dann – abhängig von Schwellenwerten – verpflichtet sein, ein Hinweisgebersystem nach bestimmten Vorgaben zu implementieren. Unternehmen, die bereits ein Hinweisgebersystem implementiert haben, müssen dieses mit den neuen Vorgaben harmonisieren. Gleichzeitig erhält der gutgläubige Hinweisgeber bei der Meldung von Verstößen im sachlichen Anwendungsbereich des Umsetzungsgesetzes umfänglichsten Schutz vor Diskriminierung und Vergeltungsmaßnahmen.

Der Unionsgesetzgeber kann ein Hinweisgebersystem nur für Verstöße gegen das Unionsrecht verbindlich vorgeben. Mit Blick auf Verstöße gegen nationales Recht weist er indessen ausdrücklich darauf hin, dass die Mitgliedstaaten entscheiden könnten, „den Anwendungsbereich der nationalen Bestimmungen auf andere Bereiche auszudehnen, um auf nationaler Ebene für einen umfassenden und kohärenten Rahmen für den Hinweisgeberschutz zu sorgen“. Die große Koalition ist sich in diesem Punkt uneins. Wirtschafts- und Justizministerium nehmen derzeit noch diametrale Standpunkte ein.

Wir halten die Einbeziehung von Verstößen gegen deutsches Recht für das praktisch bessere Ergebnis. Ein Hinweisgeber wird regelmäßig nicht in der Lage sein, zutreffend zu analysieren, ob der betreffende Sachverhalt (auch) einen Verstoß gegen Unionsrecht darstellt und er damit vom Hinweisgeberschutz profitiert. Nur ein solch klarer Schutz aber wird Hinweisgeber nachhaltig motivieren.

Andere EU-Mitgliedsstaaten werden dagegen – Stand heute – eine überschießende Umsetzung (sogenanntes „Gold-Plating“) der EUWBR eher nicht vornehmen. Dies gilt etwa für Österreich, wo die Regierung im Koalitionsvertrag eine Erweiterung auf nationales Recht nicht vorgesehen hat. Für EU-weit agierende Unternehmen bedeutet dies, dass ihre Hinweisgebersysteme und der Hinweisgeberschutz wohl einem gesetzlichen Flickenteppich gegenüberstehen werden. Bei länderübergreifenden Sachverhalten innerhalb eines Unternehmens dürfte dies beispielsweise dazu führen, dass ein Mitarbeiter (z.B. in Deutschland) bei Meldung eines Verstoßes gegen rein nationales Recht geschützt wäre, während ein Kollege (z.B. in Österreich) einen Verstoß gegen österreichisches Recht zwar melden könnte, aber hierbei keinen Hinweisgeberschutz genösse.

Für international agierende Unternehmen könnte die Lösung theoretisch in einem freiwilligen Hinweisgeberschutz liegen, der sich auch auf Hinweise zu Verstößen gegen nationales Recht erstreckt. Es liegt allerdings nicht in der Hand des einzelnen Unternehmens, hierfür ein gleich effektives Hinweisgebersystem zu implementieren. Denn den gesetzlichen Schutz vor Strafverfolgung oder zivilrechtlichen Schadenersatzansprüchen bei gutgläubigen Hinweisen, die sich im Nachhinein als gegenstandslos herausstellen, kann nur eine gesetzliche Regelung bieten.

Der angesprochene Flickenteppich zeigt sich ebenso deutlich bei einem Blick auf die externen Meldekanäle. Ausweislich der EUWBR benennen die Mitgliedstaaten zuständige Behörden, die befugt sind, Meldungen entgegenzunehmen. Allein der jeweilige nationale Gesetzgeber kann entscheiden, ob die Behörden auch für die Meldung von Verstößen gegen nationales Recht zuständig sind oder nicht. Zudem kann unterschiedlich geregelt werden, ob anonyme Hinweise angenommen und bearbeitet werden müssen.

Schließlich ist weitgehend unklar, unter welchen Voraussetzungen eine externe Meldung an die zuständige Behörde oder gar eine Veröffentlichung zulässig ist. Gemäß Art. 7 Abs. 2 der EUWBR setzen sich die Mitgliedsstaaten dafür ein, „dass die Meldung über interne Meldekanäle gegenüber der Meldung über externe Meldekanäle in den Fällen bevorzugt wird, in denen intern wirksam gegen den Verstoß vorgegangen werden kann und der Hinweisgeber keine Repressalien befürchtet.“ Auch innerhalb der deutschen Politik besteht noch Uneinigkeit, wann sich ein Hinweisgeber direkt an die Öffentlichkeit wenden können soll.

So birgt bereits die Umsetzung der Richtlinie noch viel Arbeit für Politik und Wirtschaft. Unternehmen sehen sich dabei zusätzlich mit folgenden Fragen konfrontiert:

Wie rüstet sich das Unternehmen für interne Untersuchungen, die durch Hinweise ausgelöst werden können? Neben „Dawn Raid Preparedness“ sollte – auch mit Blick auf das kommende Verbandssanktionengesetz – „Investigation Preparedness“ bestehen. Wie stellt das Unternehmen praktisch sicher, dass Hinweise ernst genommen und Whistleblower nicht gemobbt oder diskriminiert werden? Wie geht man mit einem Whistleblower um, der mit dem Ergebnis einer internen Untersuchung oder den Folgemaßnahmen hieraus nicht einverstanden ist, den Flurfunk bedient oder gar eine „hidden agenda“ verfolgt? Diese Konstellation ist nicht der Regelfall, aber auch nicht reine Theorie.

Gerade in international agierenden Unternehmen sollte frühzeitig eine Bestandsaufnahme stattfinden: Welche Regelungen mit Bezug zu Whistleblowing bestehen bereits? Welche Erfahrungen wurden damit bereits gesammelt? Sodann sollten bereits auf Basis der EUWBR, spätestens mit Vorliegen der Entwürfe der einzelnen Umsetzungsgesetze, grundsätzliche Entscheidungen für die Gestaltung des eigenen Hinweisgebersystems getroffen werden, um ab Ende 2021 in Sachen Whistleblowing bestmöglich aufgestellt zu sein.

Dr. Thomas Sonnenberg und Peter Rempp