Wissen & Ressourcen
< Alle Themen
Drucken

Die Whistleblower-Richtlinie: Was ist das genau und was muss beachtet werden?

Der Stichtag ist der 17. Dezember 2021 gewesen, an dem Deutschland die EU-Richtlinie zum Schutz von Whistleblowern unter anderem vor Kündigung in nationales Recht umsetzen hätte müssen. Auf Grund der Nichterfüllung leitete die EU-Kommission im Januar 2022 ein förmliches Vertragsverletzungsverfahren gegen Deutschland und 22 weitere Mitgliedstaaten ein. Doch was beinhaltet diese Richtlinie eigentlich?

Welche Unternehmen sind betroffen und was müssen Sie tun?

Nach der europäischen Richtlinie sind Unternehmen mit mehr als 50 Mitarbeiter oder die, die im Finanzdienstleistungsbereich tätig sind, verpflichtet einen internen Meldekanal einzurichten. Für Unternehmen bis 249 Mitarbeitern gilt eine Übergangsfrist bis zum 17. Dezember 2023 in dem den Mitarbeitern ein Meldeweg eingerichtet werden muss, um Miss-Stände sicher melden zu können. Das Hinweisgeberschutzgesetzes (HinSchG-E) erlaubt zudem, dass Ressourcen mit anderen Unternehmen geteilt werden dürfen und sog. „gemeinsame Meldestelle“ zu betreiben.

Folgende 10 Punkte sollten bei der Einrichtung und beim Betrieb interner Meldekanäle beachtet werden:

  1. Mögliche interne Meldewege sind:
    • Schriftlich (Whistleblowing-Portal, E-Mail-Adresse, Beschwerde-Briefkasten oder Meldungen über den Postweg),
    • Mündlich (Whistleblower-Hotline, Anrufbeantwortersystem) oder
    • Persönliches Treffen (innerhalb eines angemessenen Zeitraums)
  2. Die internen Meldekanäle müssen so eingerichtet werden, dass die Vertraulichkeit der Integrität des Hinweisgebers und Dritter, die in der Meldung erwähnt werden, gewahrt bleibt und nicht befugten Mitarbeitern der Zugriff darauf verwehrt wird.
  3. Es müssen im Unternehmen ein oder mehrere „Meldestellen-Beauftragte“ bestimmt werden, welche zuständig sind, die Meldungen entgegenzunehmen und weiter Maßnahmen einleiten zu können.
  4. In Internationale Konzerne sind verschiedene Möglichkeiten der Gestaltung möglich. Es kann zwischen einer lokalen, regionalen oder aber auch zentralen Meldestelle entschieden werden. Laut dem HinSchG-E ist es auch möglich, eine andere Konzerngesellschaft (Mutter-, Schwester-, oder Tochtergesellschaft) als unabhängige und vertrauliche Stelle als „Dritter“ eingerichtet werden. Für Unternehmen mit mehr als 249 Mitarbeiter reicht jedoch ein zentrales Hinweisgebersystem nicht aus und muss daher über ein eigenes Hinweisgebersystem verfügen.
  5. Folgemaßnahmen müssen ordnungsgemäße eingeleitet werden. Diese können interne Nachforschungen, verweise auf andere Kanäle aber auch die Befassung einer zuständigen Behörde oder Abschluss des Verfahrens aufgrund mangelnder Beweise oder anderer Gründe sein.
  6. Die Bearbeitungsfristen sind hierbei einzuhalten. Dem Hinweisgeber muss innerhalb von 7 Tagen der Eingang der Meldung bestätigt werden. Nach Prüfung der Meldung muss dieser innerhalb von 3 Monaten über ergriffene Folgemaßnahmen informiert werde.
  7. Eingegangene Meldungen müssen alle dokumentiert und dürfen für mindestens 2 Jahre nach Abschluss des Verfahrens aufbewahrt werden bzw. müssen dann gelöscht werden.
  8. Informationen über den Meldeprozess (intern oder extern) müssen leicht verständlich und für alle Mitarbeiter zugänglich sein (Intranetseite).
  9. Auf Grund personenbezogene Daten müssen die Hinweisgebersysteme müssen im Einklang mit der EU-Datenschutzgrundverordnung sowie des Bundesdatenschutzgesetzes verarbeitet werden.
  10. Der Betriebsrat sollte bei der Einrichtung dieses Systems frühzeitig mit involviert werden. Das Mitbestimmungsrecht bezieht sich jedoch nur auf die Frage „Wie“, also nur im Hinblick auf die Ausgestaltung von Meldekanälen und das Meldeverfahren und nicht „ob“ bzw. „Wer“.

Welche Tatbestände sind nun gemeint?

Tatbestände, die ein Whistleblower melden kann, sind zum Beispiel:

  • Verstöße gegen Strafvorschriften
  • Vorgaben des Arbeitnehmerüberlassungsgesetz,
  • Regelungen zur Bekämpfung der Geldwäsche,
  • Vorgaben zur Produktsicherheit,
  • Vorgaben zur Beförderung gefährlicher Güter,
  • Vorgaben zum Umweltschutz, Strahlenschutz, Arbeitsschutz, Gesundheitsschutz,
  • Lebensmittel- und Futtermittelsicherheit,
  • Qualitäts- und Sicherheitsstandards bei Arzneimitteln und Medizinprodukten,
  • Regelungen des Verbraucherschutzes,
  • Regelungen des Datenschutzes,
  • Sicherheit in der Informationstechnik,
  • Vergaberecht,
  • Regelungen zur Rechnungslegung bei Kapitalgesellschaften

Was passiert bei Nichteinhaltung der Richtlinie?

Aus Sicht der EU-Richtlinie drohen keine Sanktionen oder Bußgelder, aber das HinSchG-E sieht Verstöße als Ordnungswidrigkeiten mit einer Geldbuße vor. Darunter zählen z.b:

  • Verhinderung der Meldung, Ergreifung verbotener Repressalie oder vorsätzliche Missachtung des Vertraulichkeitsverbots bis zu 100.000 Euro
  • Fahrlässige Missachtung des Vertraulichkeitsverbots bis zu 10.000 Euro
  • Nichterfüllung der Nachkommenspflicht für das Betreiben einer Meldestelle bis zu 20.000 Euro
Was sollten Unternehmen schon jetzt vorbereiten?
Gibt es schon ein Hinweisgebersystem oder muss es angepasst werden?

– Neuerstellung
– Anpassung
Wie soll die Meldestelle eingerichtet werden?

– Lokal
– Regional
– Zentral
– Extern (Dritter)
– andere Konzerngesellschaft (nur bis max. 249 Mitarbeitern möglich)
Welcher Kanal passt zum Unternehmen?
– Telefonisch
– E-Mail
– Webbasierte Lösung
– Briefkasten
Wer darf den Meldekanal benutzen?
– Interne Mitarbeiter
– Leiharbeitnehmern
– Alle Personen im Unternehmen
Sind auch anonyme Meldungen erlaubt
– Ja
– Nein
Wer ist im Unternehmen dafür zuständig? 
(Nur eine offizielle Stelle!)
– Person
– Abteilung
Sind die Verantwortlichen unabhängig und ausreichend qualifiziert?
 Schulungen
– Juristische Expertise
Wie sieht der Prozess bei der Bearbeitung einer Meldung aus? 
– Eingang
– Nachforschung (intern, Behörden)
– Abschluss
Wer und wie wird fristgerecht der Hinweisgeber informiert?
– Persönlich
– E-Mail
– Anschreiben (Post)
Wie binde ich den Betriebsrat (Mitbestimmungsrecht) bestmöglich ein?
– Gestaltung der Meldekanäle
Werden alle Informationen Datenschutzkonform verarbeitet?
– Datenschutzbeauftragten mit involvieren
Wie soll die Vertraulichkeit sichergestellt werden?
 – Datenschutzbeauftragten mit involvieren
Wie und wo werden die Meldungen dokumentiert?
– Management-Tool
– Datenbank
– Archive
Wie werden die Beschäftigten über die Meldestellen informiert?
– Website (Internet, Intranet)
– Schwarzes Brett
Schlagwörter:
Inhaltsverzeichnis