Häufig gestellte Fragen zum Whistleblowing, der Whistleblowergesetze und zu Compliance

FAQ

Als Whistleblower oder Hinweisgeber bezeichnet man eine Person, die Kenntnis von Missständen innerhalb von Organisationen, etwa Unternehmen oder staatlichen Stellen, erlangt und diese Informationen offenbart. Missstände können sich etwa auf Rechtsverstöße oder unethische Verhaltensweisen beziehen. Whistleblower oder Hinweisgeber offenbaren diese Informationen typischerweise namentlich oder anonym gegenüber der eigenen Organisation, Behörden oder der Öffentlichkeit. Die von dem Whistleblower veröffentlichen Informationen sind häufig brisant, weshalb Whistleblower daher in einigen Ländern besonderen Schutz genießen. Auch die Whistleblower-Richtlinie der Europäischen Union gewährt Hinweisgebern einen besonderen Schutz.
Compliance ist ein in der Betriebswirtschaft, der Rechtswissenschaft, Gesetzgebung und Rechtsprechung gebrauchter Begriff. Er bedeutet die Regelkonformität eines Unternehmens und auch staatlicher Stellen, also die Einhaltung der Gesetze oder anderer bindender oder freiwilliger Rechtsvorschriften (vgl. Stober/Ohrtmann, Compliance, Handbuch für die öffentliche Verwaltung, A, § 1 II Nr. 1). Die Relevanz von Compliance wächst stetig. Insbesondere die Whistleblower-Richtlinie und das Verbandssanktionengesetz machen bald eine effiziente Compliance-Struktur unbedingt erforderlich.
Unter Compliance Management versteht man die Einrichtung einer Compliance Struktur in Organisationen, welche die Einhaltung der Rechtsordnung in dieser Organisation sicherstellen soll. Zur Compliance Struktur gehören etwa besondere Prüfprozesse im Rahmen eines internen Kontrollsystems, die Schulung der Mitarbeiter und dementsprechende Weisungen. Zusätzlich ist durch die Whistleblower-Richtlinie auch ein Hinweisgebersystem einzurichten, das Hinweisgebern anonyme Meldungen über Rechtsverstöße ermöglicht.
Medizin oder Healthcare Compliance bedeutet die Einhaltung der Gesetze oder anderer bindender oder freiwilliger Rechtsvorschriften von Unternehmen im Bereich des Gesundheitssektors, was insbesondere für Krankenhäuser relevant ist. Diese haben eine Vielzahl von Gesetzen zu beachten, etwa Vorschriften aus dem Sozialgesetzbuch, dem Krankenhausentgeltgesetz oder dem Patientenrechtegesetz. Je ausgeprägter und komplexer die Regulationsdichte ist, umso höher ist auch die Gefahr von Rechtsverstößen, weshalb ein Compliance System hier von besonderer Wichtigkeit ist, um Bußgelder oder Rechtsstreitigkeiten zu vermeiden.
Der Compliance Manager ist verantwortlich für die Organisation und Struktur des in einer Organisation bestehenden Compliance Systems. Er überwacht also die Einhaltung der Rechtsordnung und sonstiger in der Organisation geltenden verbindlichen Rechtsvorschriften, wozu auch interne Richtlinien zählen.
Eine Compliance Struktur in Organisationen ist aus drei Gründen wichtig: Zum einen minimiert die Organisation damit die Wahrscheinlichkeit von Rechtsverstößen und verhindert damit die eigene straf- oder ordnungswidrigkeitenrechtliche Sanktionierung. Zum anderen ist eine funktionierende Compliance Struktur für potentielle Vertragspartner eines Unternehmens mittlerweile ein wesentliches Kriterium zur Eingehung von Vertragsbeziehungen. Zudem erhöht ein funktionierendes Compliance System die Reputation des Unternehmens oder das Vertrauen der Bürger in staatliche Stellen.
Compliance Officer ist ein anderer Begriff für Compliance Manager. Sie sind verantwortlich für die Organisation und Struktur der im Unternehmen bestehenden Compliance Organisation. Sie überwachen also die Einhaltung der Rechtsordnung und sonstiger im Unternehmen verbindlichen Rechtsvorschriften, wozu auch interne Richtlinien zählen.
Die Geschäftsführung ist für die Einrichtung des Hinweisgebersystems verantwortlich, kann die Aufgabe aber delegieren. Zuerst ist die Verankerung des Hinweisgebersystems innerhalb des Unternehmens zu bestimmen, zu fragen ist etwa: Wer soll personell zuständig sein? An wen berichtet der externe Compliance Beauftragte? Hierbei ist zu beachten, dass ein ausreichender Abstand des Hinweisgebersystems zur operativen Organisation des Unternehmens gegeben sein muss. Da das Hinweisgebersystem drei wesentliche Bearbeitungsschritte beinhaltet (1. Analyse des Hinweises; 2. Untersuchung des Sachverhalts; 3. Personelle/ systemische Maßnahmen), muss der Prozess Zuständigkeiten für die drei Phasen beinhalten. Zudem muss eine Koordination mit dem Datenschutzbeauftragten sowie (sofern vorhanden) mit dem Betriebs- bzw. Personalrat erfolgen.
Aufgrund der durch die Whistleblower-Richtlinie geschaffenen Verpflichtung zur Einrichtung anonymer und interner Meldekanäle durch die Unternehmen ist die Anonymität des Whistleblowers gewährleistet, so dass er keine nachteiligen arbeitsrechtlichen Maßnahmen aufgrund des Whistleblowings zu befürchten hat. Zudem verbietet die Whistleblower Richtlinie auch informelle Benachteiligungen zulasten des Hinweisgebers, wie etwa Mobbing durch Kollegen oder Vorgesetzte.
Compliance Richtlinien sind in einer Organisation bestehende und zu beachtende Regelungen. Diese können entweder der Verhinderung von Verstößen gegen gesetzliche Vorschriften dienen, oder eigene, gesetzlich nicht vorgeschriebene ethische Standards oder Anforderungen vorschreiben.
Digital Compliance oder auch IT-Compliance umfasst zum einen das rechtskonforme Verhalten innerhalb eines Unternehmens bezüglich aller Vorgänge im IT-Bereich, zum anderen die Nutzung der Digitalisierung zur Einrichtung eines verbesserten Compliance Systems. Die sich durch Künstliche Intelligenz (KI) ergebenden Funktionen wie etwa intelligente Dokumentenanalyse können gewinnbringend bei der Fortentwicklung eines Compliance Systems genutzt werden.
Compliance Beauftragter ist ein anderer Begriff für Compliance Manager oder Compliance Officer. Er ist verantwortlich für die Organisation und Struktur der in einer Organisation bestehenden Compliance Organisation. Er überwacht also die Einhaltung der Rechtsordnung und sonstiger verbindlicher Rechtsvorschriften, wozu auch interne Richtlinien zählen.

Nach intensiven Diskussionen wurde das Lieferkettensorgfaltspflichtengesetz am 11. Juni 2021 vom deutschen Bundestag verabschiedet. Damit einigte sich die damalige Bundesregierung auf ein nationales Gesetz, das zunächst Unternehmen mit mehr als 3.000 Beschäftigten dazu verpflichtet, menschen- und umweltrechtliche Vereinbarungen entlang ihrer globalen Lieferkette einzuhalten. Dazu zählen vor allem das Verbot von Kinder- und Zwangsarbeit, das Verbot der Missachtung geltender Pflichten des Arbeitsschutzes, die Achtung der Koalitionsfreiheit und angemessener Löhne, das Verbot schädlicher Umweltverschmutzungen oder übermäßigen Wasserverbrauchs, das Verbot der Ausfuhr und Einfuhr gefährlicher Abfälle, das Verbot widerrechtlicher Zwangsräumung sowie das Verbot der Beauftragung von Sicherheitskräften, wenn dadurch Menschenrechtsverletzungen drohen.

 

Zudem enthält das neue Lieferkettengesetz erstmals umfangreiche menschen- und umweltrechtliche Sorgfaltspflichten, die sich auf die gesamte Lieferkette erstrecken. Diese Sorgfaltspflichten umfassen dabei:

 

  • Einrichtung eines Beschwerdeverfahrens (=Hinweisgebersystem) + Bestellung eines Beauftragten + Ergreifen von Abhilfemaßnahmen bei Kenntnis von Hinweisen
  • Einrichtung eines Risikomanagements
  • Regelmäßige Risikoanalysen
  • Abgabe einer Grundsatzerklärung
  • Verankerung von Präventionsmaßnahmen im eigenen Geschäftsbereich und gegenüber unmittelbaren Zulieferern
  • Umsetzung von Sorgfaltspflichten bzgl. Risiken bei mittelbaren Zulieferern
  • Dokumentation und Berichterstattung

 

Die wichtigste Maßnahme, um den Verpflichtungen des Lieferkettengesetzes nachzukommen, ist die Einrichtung eines Beschwerdeverfahrens und der Betrieb dieses Beschwerdeverfahrens. Ein Beschwerdeverfahren ist eine andere Beschreibung von „Hinweisgebersystem“.Die Unternehmen sollten als ersten Schritt ein Hinweisgebersystem einführen und dieses Hinweisgebersystem den Akteuren ihrer individuellen Lieferkette zur Verfügung stellen. So können Verstöße in der Lieferkette an das Unternehmen gemeldet werden. Dies lässt sich zum Beispiel über AGBs regeln. Die Geschäftsführung macht hiermit einen ersten Schritt Richtung Erfüllung der neuen Pflichten aus dem Sorgfaltspflichtengesetz.

Compliance Schulung bedeutet die Unterrichtung der Mitarbeiter über generelle oder branchenspezifische gesetzliche und unternehmensinterne Anforderungen und Maßnahmen zur Einhaltung dieser Vorgaben. Darüber hinaus sollen die Mitarbeiter für Compliance Themen sensibilisiert und ein Problembewusstsein geschaffen werden, um selbst potentielle Rechtsverstöße im Unternehmen erkennen zu können.

Compliance ist ein angelsächsischer in der Betriebswirtschaft, der Rechtswissenschaft und Gesetzgebung und Rechtsprechung gebrauchter Begriff, der die Regelkonformität eines Unternehmens und auch staatlicher Stellen, also die Einhaltung der Gesetze oder anderer bindender oder freiwilliger Rechtsvorschriften bedeuet (vgl. Stober/Ohrtmann, Compliance, Handbuch für die öffentliche Verwaltung, A, § 1 II Nr. 1). Eine exakte deutsche Übersetzung des Begriffs „Compliance“ gibt es nicht.

Whistleblower ist ein englischer Begriff, der sich im Deutschen mit „Hinweisgeber/Hinweisgeberin“ übersetzen lässt. Der Hinweisgeber erlangt als Teil einer Organisation oder als Dritter Kenntnis von geheimen und vertraulichen Informationen -wie Rechtsverstößen oder unethischen Verhaltensweisen- innerhalb der Organisation, etwa Unternehmen oder staatlicher Stellen und offenbart diese Information namentlich oder anonym gegenüber der Organisation, Behörden oder der Öffentlichkeit.

Im Koalitionsvertrag haben sich die Koalitionsparteien darauf geeinigt, die EU-Whistleblower-Richtlinie nicht 1:1, sondern „überschießend“ umzusetzen, also weitergehende Regelungen zu treffen, als durch die Richtlinie vorgegeben.

 

Eine solche überschießende Umsetzung dürfte darauf herauslaufen, dass die geschützten Meldesachverhalte in einem nationalen Hinweisgeberschutzgesetz auf Verstöße gegen nationales Recht und sonstiges Fehlverhalten ausgedehnt werden. Zudem beabsichtigt die Koalition, Hinweisgeber noch weitergehender zu schützen, als dies aktuell der Fall ist. Als wäre dies nicht genug, plant die neue Regierung, finanzielle Unterstützungsangebote für Hinweisgeber in Betracht zu ziehen. Dies bedeutet nichts anderes, als finanzielle Anreize für Hinweisgeber zu erwägen. Gerade die Schaffung finanzieller Anreize zeugt von einem schärferen legislativen Wind, der für die Unternehmenspraxis massive Folgen haben wird.

 

Unabhängig von der konkreten Umsetzung machen diese Pläne jedenfalls eines klar: Die neue Regierung befürwortet den Hinweisgeberschutz ohne Vorbehalte und wird die EU-Whistleblower-Richtlinie weitergehender umsetzen, als die große Koalition dies beabsichtigte. Unternehmen ab 50 Mitarbeiter:Innen werden sich in der nächsten Legislaturperiode mit dem Thema befassen müssen.

Je größer ein Unternehmen ist, desto höher ist die Wahrscheinlichkeit, dass Meldungen eingehen. Dem Whistleblower Report 2021 (https://www.fhgr.ch/news/newsdetail/whistleblowing-report-2021/) zu Folge wurde bei ca. 50 Prozent der befragten Unternehmen mit Meldestelle illegales und unethisches Verhalten gemeldet. Dabei war nur ein Bruchteil der eingegangenen Hinweise missbräuchlich. In den untersuchten Ländern (Deutschland, Schweiz, Frankreich, Großbritannien) hat im Schnitt jedes Unternehmen ca. 34 Meldungen pro Jahr erhalten. Wobei Großunternehmen sowie international tätige Unternehmen dagegen deutlich mehr Meldungen erhielten.

Ja, der Hinweisgeber soll möglichst umfassend über dem Umgang und das Ergebnis seines Hinweises unterrichtet werden. Innerhalb einer Frist von 7 Tagen nach Eingang einer Meldung ist dem Hinweisgeber der Empfang zu bestätigen. Zudem müssen dem Hinweisgeber die geplanten Folgemaßnahmen sowie das Ergebnis einer etwaigen Untersuchung innerhalb einer Frist von 3 Monaten mitgeteilt werden.

Je nach konkreter Ausgestaltung können bei der Implementierung eines Hinweisgebersystems Mitbestimmungsrechte des Betriebsrats ausgelöst werden. Unternehmen sollten daher ausreichend Zeit für möglicherweise langwierige Verhandlungen mit dem Betriebsrat einplanen und sich frühzeitig mit etwaig bestehenden Mitbestimmungsrechten auseinandersetzen. 

In jedem Fall empfehlen wir, den Betriebsrat bei der Implementierung eines Hinweisgebersystems möglichst frühzeitig ins Boot zu holen, um die Akzeptanz im Unternehmen zu erhöhen. Für Gespräche mit Ihrem Betriebsrat stehen wir Ihnen gerne zur Verfügung. 

Damit im Rahmen von internen Untersuchungen schnelles Handeln gewährleistet ist, sollten Sie bereits im Vorfeld die essenziellen Voraussetzungen für die Einleitung einer internen Untersuchung sowie die Vorgehensweise bei der konkreten Durchführung im Rahmen einer Betriebsvereinbarung regeln. Sie sollten Ihren Betriebsrat daher auch im Hinblick auf interne Untersuchung frühzeitig ins Boot holen. Eine mit dem Betriebsrat zuvor abgeschlossene Betriebsvereinbarung erleichtert die Durchführung der internen Untersuchung sowie die Bearbeitung der eingehenden plausibel erscheinenden Hinweise.

Sofern diese Hinweise notwendig sind, um einen Verstoß oder einen Missstand im Unternehmen aufzudecken, dürfen auch Geschäftsgeheimnisse und vertrauliche Informationen über das Hinweisgebersystem gemeldet werden. Verschlusssachen dürfen hingegen nicht weitergegeben und somit auch nicht über das Hinweisgebersystem gemeldet werden.

Ja, Kommunen mit mehr als 10.000 Einwohner und öffentliche Unternehmen sind bereits seit dem 18. Dezember 2021 unmittelbar aus der Whistleblower Richtlinie verpflichtet, interne Hinweisgebersysteme einzurichten. Hier besteht in der Praxis ein offensichtlicher Handlungsbedarf, denn die Liste denkbarer Meldungen von Beamten, Angestellten, Lieferanten und Dienstleistern ist lang. So kommen vor allem Hinweise zu Verstößen gegen das Vergabe-, Haushalts- oder Arbeitsrecht sowie gegen die kommunale Satzung in Betracht.  

In der Privatwirtschaft, aber auch im öffentlichen Dienst, greift nach dem Verstreichen der Umsetzungsfrist nun der Grundsatz der richtlinienkonformen Auslegung. Danach sind deutsche Gerichte verpflichtet, das deutsche Recht an den Vorgaben der Whistleblower Richtlinie auszurichten. Dies gilt allerdings nur im Rahmen des sachlichen Anwendungsbereichs der Whistleblower Richtlinie. Erfasst sind daher nur Meldungen die sich auf Verstöße gegen Vorschriften des Unionsrechts in den durch die Richtlinien vorgegeben Bereichen beziehen. Zu den von der Richtlinie erfassten Bereichen des Unionsrechts gehören u.a. Vorschriften der Finanzmarktregulierung, das Wettbewerbs-, Verbraucher-, Umwelt- und Datenschutzrecht. 

Im Wege richtlinienkonformen Auslegung findet die Vorschrift der Richtlinie, wonach bei Klagen der Hinweisgeber gegen die als Repression empfundenen Maßnahmen die Beweislast bei den Arbeitgebern liegt, Anwendung. Konkret bedeutet dies, dass beschäftigte ihrer Beweispflicht nachkommen, wenn sie Indizien vorbringen, die auf eine Maßregelung infolge der Meldung hinweisen. Der Arbeitgeber muss hingegen beweisen, dass die ergriffenen Maßnahmen auf hinreichend gerechtfertigten Gründen basierten. 

Ja, gerade in diesem Fall sollte Sie analysieren, warum Sie über das Jahr keine Hinweise über Ihr Hinweisgebersystem erhalten haben. Oft lassen sich fehlende Hinweise darauf zurückführen, dass die Implementierung Ihres Hinweisgebersystem in Ihrem Unternehmen und gegenüber Ihrer Belegschaft nicht hinreichend klar kommuniziert wurde. Wir empfehlen Ihnen in diesen Fällen Ihre Kommunikationsbemühungen zu optimieren.

Das Outsourcing des Hinweisgebersystems an einen externen Dienstleister erhöht die Akzeptanz bei den Mitarbeitern in aller Regel.

Grundsätzlich sind Unternehmen nicht verpflichtet, nach der internen Aufklärung einer Straftat den Vorgang bei den zuständigen Behörden zu melden. Vor der Erstattung einer Strafanzeige sollte Sie daher stets die Umstände des Einzelfalls berücksichtigen und das Für und Wider im Einzelfall abwägen. Dabei sollte Sie sich folgende Fragen stellen: Handelt es sich um einen Einzeltäter oder um ein systematisches Problem? Haben Sie alles getan haben, um einen solchen Vorfall zu verhindern? Sind staatsanwaltschaftliche Ermittlungen zu erwarten?

Ja, ein wesentlicher Vorteil eines externen Ombudsmannes ist der größtmögliche Schutz des Hinweisgebers sowie die auf Wunsch gewährleistet Anonymität. Hinweisgeber wenden sich in der Regel eher an eine externe Vertrauensstelle als an die interne Rechtsabteilung. Die Einschaltung eines Ombudsmannes als Meldekanals ist daher in jedem Fall eine gute Lösung für Unternehmen. Auf diese Weise können Sie die Gefahr auszuräumen, dass sich die Hinweisgeber mangels externer Vertrauensperson gar nicht beim Unternehmen, sondern unmittelbar in der Öffentlichkeit zu Wort melden.

Unternehmen und staatliche Stellen sind zum Zweck der Korruptionsprävention aufgefordert, ein Compliance System einzurichten. Außerdem sind sie im Laufe des Jahres 2021 aufgrund der baldigen Umsetzung der Whistleblower-Richtlinie auch verpflichtet, ein Hinweisgebersystem einzurichten. Über dieses Hinweisgebersystem können Hinweisgeber Rechtsverstöße wie etwa Korruption im Unternehmen oder der öffentlichen Verwaltung melden, namentlich oder anonym. Um interne Ressourcen zu schonen dürfen Organisationen das Hinweisgebersystem auch extern betreiben lassen.

Die EU-Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (EU-Richtlinie 2019/1937 vom 23.10.2019) ist als Whistleblower-Richtlinie bekannt. In Deutschland ist ein nationales Umsetzungsgesetz geplant. Bis dieses gilt, entfaltet die EU Whistleblower-Richtlinie teilweise unmittelbare Wirkung.

Die Whistleblower-Richtlinie ist ein Rechtsakt der Europäischen Union, die den Schutz von Hinweisgebern oder Whistleblowern bezweckt. Die Richtlinie verpflichtet Unternehmen und staatliche Stellen zum einen zur Einrichtung eines Hinweisgebersystems, zum anderen verbietet sie die Sanktionierung von Whistleblowern. Die Umsetzung der Richtlinie 2019/1937 vom 23. Oktober 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden wird in 2021 erfolgen.

Ziel der Whistleblower Richtlinie ist es, Hinweisgebersysteme aus internen als auch externen Meldekanälen zu schaffen, um Hinweisgeber konkrete Möglichkeiten zur Meldung von Verstößen zu geben. Gleichzeitig sollen Hinweisgeber vor arbeitsrechtlichen Sanktionen und Repressalien schützen. Hinweisgeber dürfen, wenn sie einen Verstoß gemeldet haben, nicht gekündigt, herabgestuft, genötigt oder diskriminiert werden. In der Vergangenheit galten Hinweisgeber, die interne Missstände und Verstöße in einem Unternehmen oder einer öffentlichen Behörde gemeldet haben, oft als Denunzianten und erlitten Benachteiligungen. 

Die Whistleblower-Richtlinie schützt den Whistleblower arbeitsrechtlich vor Sanktionierungen. Dem Arbeitgeber ist es verboten, arbeitsrechtlich benachteiligende Maßnahmen gegenüber dem Whistleblower vorzunehmen. Hierzu gehört auch das Verbot informeller Maßnahmen wie Mobbing. Verstößt das Unternehmen hiergegen und sanktioniert den Whistleblower dennoch, droht dem Unternehmen selbst eine Sanktionierung, etwa in Form eines Bußgelds.
Als Whistleblowing bezeichnet man die Meldung über Rechtsverstöße oder unethische Verhaltensweisen innerhalb einer Organisation durch eine organisationsinterne Person oder einen Dritten, den sog. Whistleblower oder Hinweisgeber. Der Hinweis kann dabei an die betroffene Organisation, Behörden oder die Öffentlichkeit erfolgen. Der Hinweisgeber kann seine Identität zu erkennen geben oder anonym agieren.
Neben gesetzlichen und vertraglichen Anzeigepflichten können spezielle Anzeigepflichten geregelt werden. Unwirksam sind jedoch einzel- oder kollektivvertragliche Vereinbarungen, die die Rechte des Hinweisgebers einschränken. Zu beachten ist jedoch, dass die Unternehmen Anreize schaffen sollen, dass die Mitarbeiter Hinweise zuerst intern melden.
Compliance ist ein in der Betriebswirtschaft, der Rechtswissenschaft, Gesetzgebung und Rechtsprechung gebrauchter Begriff. Er bedeutet die Regelkonformität eines Unternehmens oder auch staatlicher Stellen, also die Einhaltung der Gesetze oder anderer bindender oder freiwilliger Rechtsvorschriften. Die Relevanz von Compliance wächst stetig. Insbesondere die Whistleblower Richtlinie und das Verbandssanktionengesetz erfordern umso mehr eine effiziente Compliance-Struktur.
Ein Compliance Manager ist eine Person innerhalb einer Organisation, die verantwortlich für die Organisation und Struktur der im Unternehmen bestehenden Compliance Organisation ist. Sie überwacht die Einhaltung der Rechtsordnung und sonstiger im Unternehmen verbindlichen Rechtsvorschriften, wozu auch interne Richtlinien zählen.
Die Gesamtheit aller in einer Organisation bestehenden Regeln zur Sicherstellung der Konformität mit Rechtsvorschriften und unternehmensinternen Regelungen bezeichnet man als Compliance Management System (CMS). Wichtig ist dabei vor allem die Benennung von Compliance Zielen, die Durchführung von internen Kontrollmaßnahmen sowie die Errichtung der personellen Organisation durch Einrichtung eines Compliance Officers. Je effizienter das Compliance Management System gestaltet ist, umso geringer ist die Gefahr von Verstößen gegen gesetzliche Anforderungen oder unternehmensinterne Standards.
Compliance Regeln sind die neben der Rechtsordnung zusätzlich bestehenden unternehmensinternen Regelungen. Diese von der Organisation selbst getroffenen Regelungen können von der Rechtsordnung nicht geregelte ethische oder moralische Inhalte enhalten.
Die Summe aller unternehmensinternen Regelungen zur Meldung von Rechtsverstößen durch Hinweisgeber, der Umgang mit diesen Meldungen und Folgen dieser Meldungen für das Unternehmen und den Hinweisgeber wird als Hinweisgebersystem bezeichnet. Ein solches Hinweisgebersystem wird durch die Umsetzung der Whistleblower-Richtlinie für Unternehmen mit mehr als 50 Arbeitnehmern bald verpflichtend sein.
Ein Hinweisgeber oder Whistleblower ist eine Person, die Kenntnis von Rechtsverstößen oder unethischen Verhaltensweisen innerhalb einer Organisation – etwa Unternehmen der Privatwirtschaft oder öffentlicher Stellen – erlangt und sich dann entschließt, dies entweder verantwortlichen Personen im Unternehmen oder der Öffentlichkeit namentlich oder anonym mitzuteilen.
Ein Hinweisgeber teilt Organisationen oder der Öffentlichkeit mit, wenn er Kenntnis von Rechtsverstößen oder unethischen Verhaltensweisen innerhalb einer Organisation erlangt hat. Er kann diese Meldung namentlich oder anonym abgeben.
Privatwirtschaftliche und staatliche Unternehmen mit mehr als 250 Arbeitnehmern und Kommunen, deren Einwohnerzahl 10.000 übersteigt, sind durch die Whistleblower-Richtlinie zur Einrichtung eines Hinweisgebersystems verpflichtet. Ab einer Mitarbeiteranzahl von fünfzig sollen Unternehmen ein internes Hinweisgebersystem einführen. Unternehmen, die in den Bereichen der Finanzdienstleistungen, Finanzprodukte und Finanzmärkte sowie der Verhinderung von Geldwäsche und Terrorismusfinanzierung agieren, sind weitergehend unabhängig von der Anzahl ihrer Arbeitnehmer zur Einrichtung eines Hinweisgebersystems verpflichtet.

Neben Art. 8 der Whistleblower Richtlinien verpflichten auch § 52 Abs. 1 Geldwäschegesetz, § 8 des Lieferkettengesetzes, § 25a Abs. 1 S. 6 Nr. 3 Kreditwesensgesetz und § 23 Abs. 6 Versicherungsaufsichtsgesetz zur Implementierung eines Hinweisgebersystems.

Ja, ein Hinweisgebersystem sollte zwingend mit den übrigen Elementen eines Compliance Management Systems (CMS) verknüpft werden. Als zentraler Baustein eines effektiven CMS hilft ein funktionierendes Hinweisgebersystem notwendige Anpassungen und Verbesserungen des CMS zu identifizieren. Gleichzeitig dient das Hinweisgebersystem dazu, festzustellen, ob die bereits vorhandenen Compliance-Maßnahmen greifen und auf diese Weise etwaige Fehlverhalten vermieden werden können.

Nach unserer Erfahrung und im Sinne der Akzeptanz des Hinweisgebersystems sollten Sie Ihr Hinweisgebersystem jedenfalls in den jeweiligen Landessprachen Ihrer Niederlassung zur Verfügung stellen.

Ein professionelles Hinweisgebersystem ist sehr sicher.

Ein Praxisbeispiel: Unser digitales Hinweisgebersystem erfüllt alle gesetzlichen Vorgaben und gewährleistet die anonyme Meldung sowie den anonymen Dialog mit dem Hinweisgeber. Das von uns genutztes Hinweisgebersystem wurde vielfach zertifiziert und erfüllt auch in technischer Hinsicht die gesetzlichen Vorgaben:

 

  • ISO/IEC 27001 zertifiziertes deutsches Rechenzentrum
  • ISO/IEC 27001 zertifiziertes Hinweisgebersystem
  • Penetration-Test-Zertifikat Hinweisgebersystem
  • Datenschutzmanagement geprüft und konform (ISO/IEC 27701)

Eine externe Meldestelle ist eine externe Behörde oder die Öffentlichkeit, an die Hinweisgeber mündlich oder schriftlich Informationen über Fehlverhalten und Missstände mitteilen können.

Ja, Hinweisgeber dürfen wählen, ob sie sich zunächst intern an das Unternehmen oder extern an die zuständige Behörde oder die Öffentlichkeit wenden. Daher müssen seitens der Unternehmen Anreize geschaffen werden, dass mögliche Hinweisgeber sich zuerst an das eigene Unternehmen wenden. Nur so können Interna auch intern bleiben. Potentielle Hinweisgeber sollen sich nicht an ein Hinweisgebersystem einer Behörde oder gar die Öffentlichkeit wenden. Klar ist: Wer kein eigenes Hinweisgebersystem betreibt, bietet seinen Mitarbeitern keine Alternative zur externen Meldung.

Eine interne Meldestelle ist eine Stelle innerhalb des Unternehmens, an die mündlich oder schriftlich Informationen über Verstöße und Missstände mitgeteilt werden können. Die Funktion der internen Meldestelle im Unternehmen kann von Führungskräften, einem Compliance-Officer oder einem Ombudsmann wahrgenommen werden.

Jedes Unternehmen kann selbst entscheiden, in welcher Form es seine Meldekanälen einrichten will. So kommt neben dem digitalen Hinweisgebersystem weiterhin eine E-Mailadresse, eine Telefonnummer, ein Briefkasten oder ein persönliches Treffen als Meldekanal in Betracht. Wobei im Rahmen der konkreten Ausgestaltung die Anforderungen an die Vertraulichkeit und Rückmeldung zu beachten sind. In der Praxis werden häufig mehrere Meldekanäle miteinander kombiniert, um allen potentiellen Hinweisgebern die Abgabe einer Meldung zu ermöglichen.

Telefonische Hotlines bieten keine komplette Anonymität und Vertraulichkeit. Um die Identität der Hinweisgeber vollumfänglich zu schützen, sollte neben dem telefonischen auch ein anonymer, digitaler Meldekanal zur Verfügung gestellt werden. Schließlich lassen sich bestehende telefonische Hotlines oft einfach in das digitale Hinweisgebersystem integrieren.

Zur Erfüllung der Whistleblower Richtlinie ist die Benennung einer Firma wie Hinweisgeberexperte ausreichend. Hinweisgeberexperte nimmt die Hinweise über alle möglichen Meldekanäle entgegen (Digitales Hinweisgebersystem, Telefon, E-Mail, Post, persönliches Treffen), stellt Nachfragen und gewährleistet auf Wunsch die Anonymität des Hinweisgebers.

Obwohl die EU-Whistleblower Richtlinie nicht unmittelbar gegenüber privatwirtschaftlichen Unternehmen gilt, besteht die Gefahr von Reputationsschäden sowie das Risiko einer richtlinienkonformen Auslegung. Zudem kann nicht ausgeschlossen werden, dass Gerichte das Compliance-Management-Systems des Unternehmens als unwirksam erachten, sofern dieses kein den Anforderungen der EU-Whistleblower-Richtlinie entsprechendes Hinweisgebersystem implementiert hat.

Nach der EU-Whistleblower-Richtlinie sind Unternehmen nicht dazu verpflichtet, auch Hinweise von sog. Unternehmens-Externen zuzulassen. Gerade vor dem Hintergrund der im Lieferkettensorgfaltspflichtengesetz vorgesehenen Verpflichtung zur Einrichtung eines Beschwerdeverfahrens empfehlen wir Ihnen jedoch, Ihr Hinweisgebersystem auch für Externe zu öffnen.

Ja, nach der EU-Whistleblower-Richtlinie müssen die Hinweisgebersysteme so konzipiert werden, dass die Identität der Hinweisgeber und Dritter, die im Rahmen des Hinweises erwähnt werden, gewahrt wird. Es muss gewährleistet werden, dass nicht befugten Mitarbeitern der Zugriff auf die Daten verwehrt wird.

Seit dem 18. Dezember 2021 können sich Beamte und Arbeitnehmer im öffentlichen Sektor bei Verstößen gegen die in der Whistleblower Richtlinie genannten Vorschriften des Unionsrechts unmittelbar an die Öffentlichkeit wenden. In diesem Fall genießen die Hinweisgeber die Schutzinstrumente der Whistleblower Richtlinie. Für Hinweisgeber in der Privatwirtschaft müssen Gerichte im Rahmen der richtlinienkonformen Auslegung einen vergleichbaren Schutz herstellen.  

Wir empfehlen Ihnen ein Hinweisgebersystem, das alle Meldekanäle anbietet. Danach sollte neben einer telefonischen Hotline sowie der Möglichkeit eines persönlichen Treffens auch ein anonymer, digitaler Meldeweg zur Verfügung stehen. Nur wenn Sie mehrere Meldekanäle miteinander kombinieren, ermöglichen Sie auch allen potentiellen Hinweisgebern eine Meldung abzugeben.

Jedes Unternehmen kann selbst entscheiden, in welcher Form es seinen Meldekanäle einrichten will. Es bestehen daher im Hinblick auf die Ausgestaltung des Hinweisgebersystems einige Wahlfreiheiten. Um jedoch allen potenziellen Hinweisgebern die Möglichkeit zur Abgabe einer Meldung zu geben, sollten Sie verschiedene Meldekanäle miteinander kombinieren. Hinweisgeberexperte nimmt die Hinweise über alle möglichen Meldekanäle entgegen (Digitales Hinweisgebersystem, Telefon, E-Mail, Post, persönliches Treffen), stellt Nachfragen und gewährleistet auf Wunsch die Anonymität des Hinweisgebers. Diese Lösung ist für alle Unternehmen vom Start-up bis zum international aufgestellten Konzern eine Option und gerade aus der Sicht der Praxis zu empfehlen.