Die EU hat am 23. Oktober 2019 eine Whistleblower-Richtlinie verabschiedet. Diese Hinweisgeberrichtlinie soll Whistleblower kรผnftig vor negativen Konsequenzen aufgrund ihrer Meldung wie Repressalien, Diskriminierung oder Kรผndigung schรผtzen. Im genauen Wortlaut dient die EU-Richtline 2019/1937 dem „Schutz von Personen, die Verstรถรe gegen das Unionsrecht melden“. Die EU-Hinweisgeberrichtlinie hรคtte schon im Dezember 2021 in nationales Recht umgesetzt werden mรผssen, was in Deutschland bislang nicht erfolgt ist. Nun tut sich etwas, denn der Bundestag hat im Herbst รผber einen Entwurf fรผr das Hinweisgeberschutzgesetz (HinSchG) beraten. In den Worten des Bundestags geht es um einen „Entwurf eines Gesetzes fรผr einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstรถรe gegen das Unionsrecht melden“. Die Folge fรผr viele Unternehmen ist die Verpflichtung zur Einrichtung eines Hinweisgebersystems.
Wann genau die Hinweisgeberrichtlinie in Deutschland in Kraft treten wird, steht aktuell noch nicht fest. Wie unterscheiden sich deutsches Recht und EU-Recht hinsichtlich der Regelungen zum Hinweisgeberschutz und wie setzt Deutschland die Whistleblower-Richtlinie der EU um?
Wie setzt Deutschland die Whistleblower-Richtlinie der EU um?
In der im Oktober 2019 verabschiedeten Whistleblower-Richtlinie werden die Rechte und Pflichten der EU-Mitgliedsstaaten beschrieben. Die konkrete Umsetzung bleibt den einzelnen Staaten รผberlassen.
Mรถglichkeit zur anonymen Meldung
Nach den Vorgaben der Whistleblower-Richtlinie der EU bleibt die Entscheidung รผber eine Verpflichtung, anonyme Meldungen anzubieten, den EU-Mitgliedstaaten รผberlassen. Die Bundesregierung entscheidet sich gegen eine einheitliche Verpflichtung zur anonymen Meldung. Die Verantwortung verschiebt sich also eine Ebene nach unten und Unternehmen bleibt es selbst รผberlassen, ob sie Hinweisgebern eine anonyme Meldung ermรถglichen wollen oder nicht.
Pflicht zur Einrichtung interner Meldestellen
Die EU-Hinweisgeberrichtlinie gibt die Verpflichtung zur Einrichtung interner Meldekanรคle fรผr Unternehmen ab 50 Mitarbeitern vor. Darรผber hinaus kรถnnen die Mitgliedstaaten selbst entscheiden, ob sie Ausnahmen fรผr diese Regel festlegen wollen. Auch in Deutschland soll die Verpflichtung zur Einrichtung eines internen Meldesystems fรผr Unternehmen ab 50 Mitarbeitern gelten. Im Hinweisgeberschutzgesetz-Entwurf sind jedoch konkrete Unternehmensarten festgehalten, fรผr die unabhรคngig von der Mitarbeiterzahl die Pflicht zur Einrichtung einer internen Meldestelle besteht. Es werden unter anderem Wertpapierdienstleistungsunternehmen, Datenbereitstellungsdienste, Bรถrsentrรคger und Kapitalverwaltungsgesellschaften genannt.
Geringfรผgigkeit von Verstรถรen
Die EU-Hinweisgeberrichtlinie gibt vor, dass die „zustรคndigen Behรถrden“ einen Verstoร als geringfรผgig einstufen kรถnnen, wodurch ein Verfahren infolge der Meldung durch einen Hinweisgeber eingestellt werden kann. Im deutschen Hinweisgeberschutzgesetz-Entwurf werden explizit nur externe Meldestellen als befugt fรผr die Einstufung eines Verstoรes als geringfรผgig genannt. Unternehmen kรถnnten demnach einen gemeldeten Verstoร nicht selbst als geringfรผgig einstufen und dadurch nรคhere Untersuchungen einstellen.
Repressalien
In der EU-Hinweisgeberrichtlinie werden zu ahndende Repressalien gegenรผber Whistleblowern explizit aufgezรคhlt, darunter unter anderem Suspendierung, Kรผndigung, Versagung einer Befรถrderung oder Diskriminierung. Im Entwurf fรผr das deutsche Hinweisgeberschutzgesetz werden Repressalien lediglich definiert, nicht jedoch konkret aufgelistet. Repressalien werden als Handlungen oder Unterlassungen bezeichnet, die in Zusammenhang mit einer Meldung stehen und fรผr den Hinweisgeber einen ungerechtfertigten Nachteil bedeuten. Damit ist der Begriff der Repressalien weit gefasst und im Einzelfall Auslegungssache. Fรผr die Einstufung von Konsequenzen fรผr den Whistleblower als Repressalien muss also auf das EU-Recht zurรผckgegriffen werden, um Klarheit zu schaffen.
Sanktionen
In der EU-Hinweisgeberrichtlinie ist allgemein nur von Sanktionen die Rede, wenn es um Verstรถรe gegen die Richtlinie durch Unternehmen oder Hinweisgeber geht. Im Entwurf fรผr das HinSchG werden konkret Buรgelder als Sanktionen genannt. Auch die maximale Hรถhe der Buรgelder ist je nach Art der Ordnungswidrigkeit konkret festgelegt. Nach deutschem Recht besteht bei der Sanktionierung von Verstรถรen gegen das Hinweisgeberschutzgesetz also relativ wenig Spielraum.
Fazit
Grundsรคtzlich stimmt das deutsche Hinweisgeberschutzgesetz mit der EU-Hinweisgeberrichtlinie รผberein, gravierende Unterschiede hinsichtlich der Regelungen gibt es nicht. Alle Forderungen der EU an die Mitgliedsstaaten wurden im Entwurf fรผr das HinSchG รผbernommen. Im Vergleich zur Whistleblower-Richtlinie der EU sind im deutschen Hinweisgeberschutz-Entwurf die Arten von Repressalien nicht konkret aufgezรคhlt. Dafรผr werden Sanktionen fรผr Verstรถรe gegen das Hinweisgeberschutzgesetz explizit als Buรgelder benannt und auch deren maximale Hรถhe je nach Art des Verstoรes ist genau festgelegt. Der deutsche Entwurf fรผr das Hinweisgeberschutzgesetz beinhaltet auch die durch das EU-Recht eingerรคumte Mรถglichkeit, Ausnahmen festzulegen, bei denen die Verpflichtung zur Einrichtung einer internen Meldestelle unabhรคngig von der Mitarbeiterzahl besteht. Neben diesen Konkretisierungen unterscheidet sich das deutsche Hinweisgeberschutzgesetz nur geringfรผgig von der EU-Hinweisgeberrichtlinie. Das sollte die Behandlung von Fรคllen rund ums Whistleblowing auf Landes- und EU-Ebene erleichtern.
Ihr Unternehmen hat mehr als 50 Mitarbeiter und Sie sind zum Hinweisgeberschutz verpflichtet. Lassen Sie sich zur Rechtslage nach dem Hinweisgeberschutzgesetz (HinSchG) beraten. Mit der Implementierung eines Hinweisgebersystem geben Sie Hinweisgebenden anonym die Mรถglichkeit Compliance-Verstรถรe zu melden und Ihr Unternehmen profitiert durch eine von Offenheit und Ehrlichkeit geprรคgten Unternehmenskultur.
Mรผssen Sie die Datenschutzrechtlichen Bestimmungen in Ihrem Unternehmen einhalten und benรถtigen Hilfe bei der Erstellung des Verzeichnisses von Verarbeitungstรคtigkeiten (VVT). Frank Mรผns hilft Ihnen als TรV-zertifizierter Datenschutzbeauftragter durch persรถnliche Beratung und einer gesetzeskonformen Datenschutzorganisation. Neben seiner langjรคhrigen Erfahrung in der Umsetzung der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) sorgt Frank Mรผns als Geschรคftsfรผhrer der Immerce GmbH fรผr Diskretion, Professionalitรคt und Sorgfalt. Ebenso profitieren Sie durch seine Expertise im Bereich IT Sicherheit nach ISO 27001 sowie BSI Grundschutz. Durch stรคndige Fortbildungen und Zertifizierungen ist Frank Mรผns immer up-to-date was Ihre Beratung betrifft.
Firmenkontakt
Immerce Consulting GmbH
Frank Mรผns
Kemptener Straรe 9
87509 Immenstadt
+49 (0) 8323 โ 209 99 40
info@immerce.de
https://www.immerce-consulting.de/
Pressekontakt
Immerce GmbH
Carvin Mรผns
Kemptener Straรe 9
87509 Immenstadt
+49 (0)8323 โ 209 99 40
carvin.muens@immerce.de
https://www.immerce-consulting.de/
Die Bildrechte liegen bei dem Verfasser der Mitteilung.
