Forensic Newsflash : Besserer Schutz für Whistleblower / Hinweisgeber - Herausforderung und Lösung zugleich

Hinweisgeber nehmen bei der Aufdeckung von Missständen in Unternehmen einen immer zentraleren Stellenwert ein. Daher haben sich die EU-Staaten am 7. Oktober 2019 für einen besseren Schutz von Personen, die Verstöße gegen das Unionsrecht melden (bspw. Untreue, Geldwäsche, Korruption), ausgesprochen und eine EU-weite Richtlinie verabschiedet. Die Mitgliedsstaaten haben nun zwei Jahre Zeit, diese Richtlinie in nationales Recht umzusetzen. Unternehmen, die bereits über einen implementierten Meldekanal bzw. ein Meldesystem verfügen, werden überprüfen müssen, ob Bedarf an Anpassungen besteht. Die gesetzlichen Anforderungen könnten insbesondere für KMU eine enorme Herausforderung darstellen.

Für wen gilt diese Richtlinie?

Unternehmen mit mehr als 50 MitarbeiterInnen oder mit einem Jahresumsatz von mehr als EUR 10 Mio. sind verpflichtet, ein internes Meldesystem einzurichten, um Hinweise entgegenzunehmen. Außerdem haben auch Unternehmen bestimmter Branchen (z.B. Finanzbranche) dieser Pflicht nachzugehen, unabhängig von ihrer Größe. Ebenfalls von der Richtlinie betroffen sind Landes -/ Regionalverwaltungen und Gemeinden mit mehr als 10.000 EinwohnerInnen.

Wen schützt diese Richtlinie?

Die Regelung schützt alle Personen, die interne Informationen über Verstöße gegen bestimmte Bereiche des EU-Rechts offenlegen, die einer Organisation ernsthaft schaden können (Angestellte, Auftragnehmer, Zulieferer, Selbstständige, Praktikanten, Bewerber, ehrenamtlich Tätige).

Welche Neuerungen gibt es?

1. Einrichtung klarer Meldekanäle und vertrauenswürdiger Kommunikationswege

Betroffene Unternehmen müssen einen internen Meldeprozess implementieren, der Internen und Externen die Möglichkeit gibt, Hinweise anonym zu melden. Die Hinweise müssen telefonisch, schriftlich oder persönlich abgegeben werden können. Die Nachverfolgung der Hinweise muss sichergestellt sein und ein Verantwortlicher hierfür vom Unternehmen benannt und entsprechend eingeschult werden. Informationen zum Meldeverfahren müssen vom Unternehmen klar, transparent und leicht zugänglich bereitgestellt werden.

2. Rückmeldepflicht

Es besteht die Pflicht, den Hinweisgeber innerhalb von drei Monaten über die eingeleiteten Folgemaßnahmen seiner Meldung zu informieren.

3. Schutz und Mechanismen zur Vermeidung von Vergeltungsmaßnahmen

Die Richtlinie hat das Ziel, Hinweisgeber vor Vergeltungsmaßnahmen wie Belästigungen am Arbeitsplatz, Diskriminierungen oder Entlassungen zu schützen. 

Dabei gilt das Prinzip der Beweislastumkehr. Die von der Meldung betroffene Person hat nachzuweisen, dass keine Repressalien gegen Hinweisgeber ergriffen wurden. Hinweisgeber werden außerdem in Gerichtsverfahren geschützt, indem sie von der Haftung für offengelegte Informationen befreit werden. Personen, die den Hinweisgeber unterstützt haben (z.B. Mittelspersonen, KollegInnen oder Verwandte), sind ebenso geschützt.

4. Pflicht zur Einführung von Sanktionen für Arbeitgeber

Für den Fall, dass Arbeitgeber ihren Pflichten nicht nachkommen, die Anonymität der Hinweisgeber nicht gewährleisten oder keine Folgemaßnahmen einleiten, müssen sie mit (noch nicht näher definierten) Sanktionen rechnen, die verpflichtend von den Mitgliedsstaaten eingeführt werden.

5. Mehrstufiges Meldesystem

Hinweisgeber sind angehalten, den Missstand zunächst intern zu melden (sofern hierzu angemessene Meldekanäle existieren). Wird der Missstand nicht innerhalb von drei Monaten von der intern zuständigen Stelle bearbeitet, dürfen sich Hinweisgeber an die zuständige Behörde wenden. Unter bestimmten Umständen können Hinweisgeber dies auch direkt tun: wenn keine geeigneten Maßnahmen nach der Meldung an die Behörden ergriffen werden oder wenn gegen Hinweisgeber eine unmittelbare oder offenkundige Gefährdung des öffentlichen Interesses oder die Gefahr eines irreparablen Schadens besteht. In solchen Fällen können Hinweise beispielsweise direkt an die Medien weitergeben werden.

Diese Neuerungen können bei Unternehmen zu neuen Herausforderungen hinsichtlich der Compliance-Organisation führen. Zu berücksichtigen sind nicht nur die geeignete Wahl von maßgeschneiderten Software-Lösungen, sondern beispielsweise auch datenschutzrechtliche Aspekte.

Tipps für die Umsetzung der EU-Richtlinie

1. Überlegen Sie sich, wer Meldungen abgeben könnte (bspw. MitarbeiterInnen, Lieferanten) bzw. in welchen Sprachen Sie das Hinweisgebersystem zur Verfügung stellen wollen.
2. Definieren Sie Ansprechpersonen/ Verantwortlichkeiten (inklusive Urlaubsvertretung). Wer soll den Hinweis bearbeiten?
3. Überlegen Sie sich eine Kategorisierung für gemeldete Hinweise (bspw. Beschränkung auf schweres Fehlverhalten und gerichtlich strafbare Handlungen), um im Case-Management strukturiert vorgehen zu können.

Wir können Sie wie folgt unterstützen: von der Konzeptionierung eines Hinweisgebersystems, über Unterstützung bei der Implementierung (Kooperation mit externen Anbietern von marktführenden web-basierten Hinweisgebersystemen) bis hin zur Aufklärung von potenziellen Unregelmäßigkeiten.

Ihre Ansprechpartner von PwC sind gerne für Sie da.