Whistleblowing-Richtlinie:

Pflicht zur Einrichtung eines internen Meldesystems

icon arrow down white

Die Whistleblowing-Richtlinie (RL 2019/1937/EU) ist der bislang umfangreichste Versuch des europäischen Gesetzgebers, unionsweite Mindeststandards zum Schutz von Whistleblowern und zum Umgang mit Insider-Informationen zu schaffen. Die Vorgaben der Richtlinie waren bis zum 17. Dezember 2021 durch die europäischen Mitgliedstaaten in nationales Recht umzusetzen. Obwohl das Bundesjustizministerium bereits Ende 2020 einen Entwurf für ein Hinweisgeberschutzgesetz vorgelegt hatte, scheiterte die Umsetzung an der fehlenden Einigung der Regierungsparteien, die eine übermäßige Belastung für die deutsche Wirtschaft befürchteten. In Deutschland steht diese Umsetzung jedoch trotz Fristablaufs noch aus. In ihrem Koalitionsvertrag kündigten die Regierungsparteien lediglich an, die Whistleblowing-Richtlinie „rechtssicher und praktikabel" umsetzen und dabei über die Mindestanforderungen der Europäischen Union hinausgehen zu wollen.

Aus diesem Grund ist bislang noch offen, welche konkreten Pflichten deutsche Unternehmen dieses Jahr treffen werden. Allerdings ergeben sich aus der Richtlinie selbst bestimmte Mindestanforderungen, die in jedem Fall umgesetzt werden und auf die sich Unternehmen bereits jetzt einstellen müssen:

Pflicht zur Einrichtung eines internen Meldesystems

Die wohl wesentlichste Neuerung für Unternehmen ist die Pflicht zur Einrichtung eines unternehmensinternen Meldesystems für Hinweisgeber. Dieses soll ehemaligen und aktuellen Mitarbeitenden, Bewerbern oder auch Journalisten die Möglichkeit bieten, anonym Rechtsverstöße zu melden, ohne Repressalien ausgesetzt zu sein. Typische Beispiele sind Steuerbetrug, Geldwäsche oder auch Verstöße im Zusammenhang mit dem Umwelt-, Daten- oder Verbraucherschutz.

Hierzu müssen Unternehmen eine Meldestelle einrichten, über die Hinweise entgegengenommen, Verfahren eingeleitet und Gegenmaßnahmen ergriffen werden können. Dies kann beispielsweise über Telefon-Hotlines, anonyme E-Mail-Kontaktmöglichkeiten oder die Benennung einer Kontaktperson erfolgen. Dabei ist stets der Grundsatz der Anonymität zu wahren, wonach weder die Person des Hinweisgebers noch die in der Meldung genannten Personen offengelegt werden dürfen.

Zuständig für die Einrichtung und Betreuung des internen Meldesystems soll nach den Richtlinienvorgaben die im Unternehmen „am besten dafür geeignete Person" sein. Dies kann beispielsweise die Personalleitung, der Compliance Officer, der CFO oder eine sonstige Stelle sein. Nach Eingang der Meldung muss der Hinweisgeber innerhalb von sieben Tagen eine Bestätigung seiner Meldung erhalten und spätestens nach drei Monaten darüber informiert werden, wie mit dem Hinweis umgegangen und welche Maßnahmen zur Beseitigung der Rechtsverletzung ergriffen werden. Mit der Pflicht zur Einrichtung eines internen Meldesystems gehen weitere Informationspflichten oder Vorgaben zur Datenaufbewahrung einher. So müssen die betroffenen Unternehmen beispielsweise alle eingehenden Meldungen unter Beachtung des Vertraulichkeitsgebots in dauerhaft abrufbarer Weise dokumentieren, solange das Verfahren noch nicht abgeschlossen ist. Auch ist darauf zu achten, dass die Integration des Meldesystems datenschutzkonform erfolgt und die Vorgaben der DSGVO eingehalten werden.

Adressaten der Whistleblowing-Richtlinie

Die Vorgaben zur Einrichtung eines internen Meldesystem betreffen neben dem öffentlichen Sektor alle juristischen Personen des Privatrechts. Die Vorschriften sind grundsätzlich von allen Unternehmen mit mehr als 50 Mitarbeitenden oder einem Jahresumsatz von mehr als 10 Mio. Euro zu beachten, sofern der deutsche Gesetzgeber nicht strengere nationale Regelungen schafft. Kleinere und mittlere Unternehmen bis 250 Mitarbeitende müssen die Vorgaben zur Einführung einer internen Meldestelle jedoch erst bis zum 17. Dezember 2023 einrichten.

Outsourcen der Aufgaben möglich

Um die strengen Anforderungen der Whistleblowing-Richtlinie beziehungsweise des noch ausstehenden deutschen Umsetzungsgesetzes zu erfüllen, können sich Unternehmen der Hilfe externer Dienstleister bedienen und einzelne oder alle Aufgaben auslagern. Die externen Dienstleister können beispielsweise geschützte Kommunikationskanäle bereitstellen, über welche anonym Hinweise eingereicht werden können. Von dieser Möglichkeit werden in der Praxis voraussichtlich viele Unternehmen Gebrauch machen, um ihren organisatorischen Aufwand zu minimieren und eine schnelle Implementierung eines Meldesystems zu ermöglichen.

Trotz der bestehenden Unsicherheiten sollten sich Unternehmen bereits jetzt mit den Einzelheiten der Whistleblowing-Richtlinie und insbesondere mit der Implementierung eines internen Meldesystems auseinandersetzen, um später nicht von einem eilig verabschiedeten Umsetzungsgesetz überrascht zu werden und Strafzahlungen zu riskieren.

Über das Symbol diesen Artikel weiterempfehlen

Dazu passende Artikel

  • Sanktionslisten: Compliance-Risiken und Handlungsbedarf für Unternehmen

  • Entwicklungen in der IT-Compliance: Überblick über neue Richtlinien und Anforderungen

  • Neuer Rechtsrahmen für Datentransfers in die USA – was Sie jetzt beachten müssen

  • NIS2: Neue Anforderungen an Cybersicherheit für Unternehmen