Whistleblower vs. Denunziant – Umgang mit Compliance Regeln

Im folgenden Text beschreibe ich Zusammenhänge zwischen Motivation und Compliance Regeln und gebe eine Antwort auf die Frage: Was haben ungeimpfte Tennisprofis und Politikerparties im Lockdown mit Compliance zu tun und warum sollten Unternehmen in ein Hinweisgebersystem investieren?

Whistleblower vs. Denunziant – Umgang mit Compliance Regeln

Was haben ungeimpfte Tennisprofis und Politikerparties im Lockdown mit Compliance zu tun?

Wenn Regeln nicht ohne Ansehen des Status für alle gelten, empfinden die Menschen in einer Organisation das als unfair. Dieses Gefühl von Ungerechtigkeit liefert die perfekte Legitimation für den eigenen Regelbruch, führt zu einem Verlust an Motivation sowie zu finanziellen Verlusten für das Unternehmen durch Schlechtleistung oder Nachlässigkeit.

„Der größte Lump im ganzen Land ist und bleibt der Denunziant“ – das formulierte Hoffmann von Fallersleben  Mitte des 19. Jahrhunderts. Seit damals hat sich der üble Beigeschmack, der dem Denunzianten anhaftet, nicht geändert.

Im Widerspruch dazu steht der gesellschaftliche Anspruch, dass Mitarbeitende von ihnen wahrgenommene Missstände aufdecken.

Sind das dann Denunzianten oder Whistleblower und warum sollten Unternehmen in ein Hinweisgebersystem investieren?

Im Folgenden dazu Hinweise und Anregungen.

Zum Rechtlichen:

Auf der rechtlichen Seite steht die EU-Whistleblowing Richtlinie deren Ziel es ist

•        Verstöße aufzudecken und zu unterbinden,

•        die Rechtsdurchsetzung zu verbessern, indem effektive, vertrauliche und sichere Meldekanäle eingerichtet und Hinweisgeber wirksam vor Repressalien geschützt werden,

•        dass Hinweisgeber weder zivil-, straf- oder verwaltungsrechtlich noch in Bezug auf ihre Beschäftigung haftbar gemacht werden können.

Um Hinweisgeber vor negativen Konsequenzen und Repressalien, wie beispielsweise einer Kündigung, Versetzung, Degradierung oder Einschüchterung zu schützen ist am 16. Dezember 2019 die EU-Direktive 2019/1937 zum Schutz von Hinweisgebern des EU-Parlaments in Kraft getreten.

Bis zum 17. Dezember 2021 sollten die Mitgliedstaaten die EU-Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (EU-Richtlinie 2019/1937 vom 23.10.2019, kurz „Whistleblower-Richtlinie“) in nationales Recht umsetzen. Bis dato ist diese Umsetzung in Deutschland nicht erfolgt.

Was soll Ziel der nationalen Richtlinie sein und was beinhaltet der Hinweisgeberschutz?

Kleine und große Unternehmen ab 50 Mitarbeitern, Einrichtungen des öffentlichen Sektors, Behörden sowie Gemeinden ab 10.000 Einwohnern sollen EU-weit künftig sichere interne Meldekanäle für Hinweisgeber bereitstellen. Für Unternehmen ab 250 Mitarbeitern gilt diese Pflicht bereits Ende 2021, für Unternehmen zwischen 50 und 250 Mitarbeitern gibt es eine Übergangsfrist von weiteren zwei Jahren.

Personen sollen Meldungen entweder online über eine Whistleblower Software, schriftlich über einen Briefkasten oder über den Postweg abgeben können und / oder mündlich per Whistleblower-Hotline oder ein Anrufbeantwortersystem. Geschützt werden nicht nur Mitarbeiter, die Missstände melden, sondern auch Bewerber, ehemalige Mitarbeiter, Unterstützer des Hinweisgebers oder Journalisten.

Der Hinweisgeberschutz bezieht sich auf das Melden von Missständen mit Bezug auf EU-Recht, wie etwa Steuerbetrug, Geldwäsche oder Delikte im Zusammenhang mit öffentlichen Aufträgen, Produkt- und Verkehrssicherheit, Umweltschutz, öffentlicher Gesundheit sowie Verbraucher- und Datenschutz.

Was brauchen Unternehmen um die Richtlinie umzusetzen?

Meldekanäle

Hinweisgeber sollen die Möglichkeit erhalten, Meldungen entweder schriftlich über ein Online-System, einen Briefkasten oder per Postweg abzugeben und / oder mündlich per Telefonhotline oder Anrufbeantwortersystem. Auf Verlangen des Hinweisgebers soll auch ein persönliches Treffen ermöglicht werden. Bei allen Meldewegen muss die Vertraulichkeit des Whistleblowers geschützt sein.

Datenschutz

Alle personenbezogenen Daten, sowohl die des Hinweisgebers als auch etwaiger beschuldigter Personen, dürfen nur DSGVO-konform verarbeitet werden.

Zuständigkeit im Unternehmen

Innerhalb des Unternehmens soll die „am besten geeignete“ Person zum Erhalt und Nachverfolgen der Meldungen bestimmt werden. Laut EU könnten das sein:

  • Compliance Officer, Personalleiter, Legal Counsel / Unternehmensjurist, Chief Financial Officer (CFO)/Finanzdirektor, Mitglied des Vorstands oder der Geschäftsführung
  • Unternehmen können die Bearbeitung von Hinweisen auch auslagern, beispielsweise an einen Ombudsmann.

Bearbeitungsfristen

Innerhalb von sieben Tagen muss das Unternehmen dem Hinweisgeber bestätigen, dass seine Meldung eingegangen ist. Innerhalb von drei Monaten muss der Hinweisgeber über ergriffene Maßnahmen, den Stand der internen Ermittlung und deren Ergebnis informiert werden.

Informationspflicht

Unternehmen müssen ihren Mitarbeitern Informationen über den unternehmensinternen Meldeprozess und über alternative Meldewege an die zuständigen Behörden bereitstellen. Diese Informationen müssen leicht verständlich und zugänglich sein, nicht nur für Mitarbeiter, sondern auch für Zulieferer, Dienstleister und Geschäftspartner.

Datenaufbewahrung

Alle eingegangenen Meldungen müssen sicher aufbewahrt werden, damit sie gegebenenfalls als Beweismaterial verwendbar sind.

Ausnahmeregelungen

Unternehmen zwischen 50 und 250 Mitarbeitern können für Erhalt und Ermittlung von Hinweisen auf „gemeinsame Ressourcen“ (also einen gemeinsamen Hinweisgeberkanal) zurückgreifen, vorausgesetzt alle beschriebenen Pflichten werden eingehalten.

Sanktionen

In der EU-Richtlinie sind auch Sanktionen vorgesehen. So müssen Unternehmen, die das Melden von Missständen behindern oder zu behindern versuchen, mit Strafen rechnen. Gleiches gilt, wenn Unternehmen die Identität des Hinweisgebers nicht vertraulich behandeln. Ebenso sollen Vergeltungsmaßnahmen gegen Whistleblower geahndet werden. Wie hoch diese Sanktionen ausfallen werden, ist Sache der nationalen Gesetzgeber.

Was muss bei der Umsetzung beachtet werden?

  • Vertraulichkeit ist das A und O
  • Bei allen Meldekanälen muss die Vertraulichkeit der Identität des Whistleblowers gewahrt sein, damit dieser keinerlei Repressalien zu befürchten hat.

Interne oder externe Meldekanäle?

Falls keine internen Meldekanäle implementiert werden, haben Hinweisgeber laut EU-Richtlinie die Möglichkeit, eine externe Meldung an die zuständigen Behörden* weiterzugeben – mit unkalkulierbaren Risiken für die betroffenen Unternehmen.

Was passiert mit den Hinweisen?

Da alle Meldungen von Verstößen dokumentiert und Folgemaßnahmen ergriffen werden müssen, sollte jede Meldung abrufbar und für Compliance-Beauftragte leicht zu bearbeiten sein.

Frühzeitige Umsetzung

Die Implementierung kann je nach Größe und Komplexität der Organisationsstruktur einige Wochen bis Monate in Anspruch nehmen, auch in kleinen Unternehmen.

Fazit

Unternehmen tun gut daran schon jetzt ein Hinweisgebersystem aufzubauen, auch wenn die Umsetzung der EU-Richtlinie in Deutschland bis dato noch nicht erfolgt ist.

Schon jetzt können Mitarbeiter (und andere) eine externe Meldung an die zuständige Behörde weitergeben womit für das Unternehmen unkalkulierbare Risiken entstehen.

Den Mitarbeitenden eine externe – und damit unabhängige –  Person zu benennen, an die sie sich vertrauensvoll wenden können erzeugt Vertrauen in die Integrität des Unternehmens und unterstützt die Reputation – und dies nicht nur bei Mitarbeitenden sondern auch in der Außenwirkung.

Gerne unterstütze und berate ich Sie dabei, in Ihrem Unternehmen ein funktionierendes Hinweisgebersystem aufzubauen.

Ich freue mich auf Ihre Kontaktaufnahme.

Ihre, Ingrid Gartner-Steffen

*Vorgesehen ist, dass grundsätzlich eine zentrale externe Meldestelle auch beim Bundesdatenschutzbeauftragten angesiedelt sein soll, sofern nicht bereits anderweitige Stellen eingerichtet sind (bspw. Verstöße gegen Aktionärsrechte, Buchführungsregeln, etc. sind an die BaFin zu melden).

PS: Aus Gründen der Lesefreundlichkeit verzichte ich auf gegenderte Sprachformen. D.h. der Mitarbeiter kann immer auch die Mitarbeiterin sein und die Hinweisgeberin der Hinweisgeber (m/w/d)

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

%d Bloggern gefällt das: