Die EU-Whistle-blower-Richtlinie wird akut. Am 17. Dezember läuft die nationale Umsetzungsfrist aus. Noch sind viele Fragen offen. Dennoch sollten Unternehmen langsam überlegen, wie sie das geforderte Hinweisgebersystem anlegen wollen.
Die Finanzskandale „Lux Leaks“ und „Panama Papers“ haben eines gemeinsam: Sie sind durch Whistleblower, also Hinweisgeber, an die Öffentlichkeit gelangt. Die persönlichen Folgen für Whistleblower sind dabei oft gravierend. Die Europäische Union hat das zum Anlass genommen, Ende 2019 eine Richtlinie zum Schutz von Hinweisgebern zu erlassen (EU-Richtlinie 2019/1937). So sollen Personen, die Missstände in Unternehmen melden, vor Repressalien bewahrt werden.
Zentraler Bestandteil der Richtlinie ist, dass Unternehmen verpflichtet werden, interne Hinweisgebersysteme zu errichten. Diese Pflicht gilt grundsätzlich für alle Unternehmen ab 50 Arbeitnehmern, wobei die EU-Vorschrift eine zeitliche Staffelung vorsieht: Ab Mitte Dezember 2021 soll sie für Firmen ab 250 Mitarbeitern gelten, ab dem 17. Dezember 2023 dann auch für Unternehmen ab 50 Beschäftigten.
Die betroffenen Unternehmen müssen die Meldung von Rechtsverstößen ermöglichen und dabei bestimmte verfahrensrechtliche Vorgaben und Fristen einhalten. Dabei sollen interne Meldekanäle gegenüber einer externen Meldung bei Behörden bevorzugt werden. Für alle Unternehmen gilt, dass jede Form von Repressalien, insbesondere Kündigungen, als Reaktion auf eine Meldung von Rechtsverstößen unzulässig ist. Wehrt sich ein Whistleblower gegen eine Kündigung, wird es künftig Sache des Arbeitgebers sein, vor Gericht zu beweisen, dass die Kündigung nicht im Zusammenhang mit dieser Meldung von Verstößen steht, sondern auf anderen Gründen basiert. Bei Verstößen gegen die Richtlinie müssen Unternehmen mit Sanktionen rechnen, die durch die Mitgliedstaaten festzusetzen sind.
Deutsche Gesetzgebung fehlt noch
Die Richtlinie muss an sich bis zum 17. Dezember 2021 in den EU-Mitgliedstaaten umgesetzt werden. In Deutschland sollte das durch das Hinweisgeberschutzgesetz geregelt werden. Der entsprechende Gesetzentwurf ist allerdings im Frühjahr erstmal gekippt worden.
Dreh- und Angelpunkt der politischen Diskussion ist die Frage, welche Rechtsverstöße durch das Umsetzungsgesetz erfasst sein sollen. Denn alle Vorgaben der Richtlinie beziehen sich ausschließlich auf die Meldung von Verstößen in bestimmten Bereichen des EU-Rechts, wie etwa Verstöße beim europäischen Verbraucher-, Umwelt- oder Tierschutz. In dem (deutschen) Gesetzesentwurf waren darüber hinausgehend aber auch Verstöße gegen deutsches Recht erfasst, wie etwa Meldungen über Steuerhinterziehungen oder nicht eingehaltene deutsche Arbeitsschutzbestimmungen.
Handeln trotzdem notwendig
Wird die Richtlinie nicht fristgerecht umgesetzt – was angesichts der zunächst mal anstehenden Regierungsbildung zu erwarten ist –, besteht für Unternehmen eine erhebliche Rechtsunsicherheit, da die Richtlinie dann trotz fehlender Umsetzung im Wege einer richtlinienkonformen Auslegung des deutschen Rechts relevant werden kann.
Deshalb, und auch weil der Hinweisgeberschutz ohnehin in der einen oder anderen Form kommen wird, sollten Unternehmen mit 50 oder mehr Mitarbeitern damit beginnen, ein internes Meldesystem für vertraulich zu behandelnde Complianceverstöße einzurichten. Zur Entgegennahme von Meldungen können sowohl eigene Mitarbeiter als auch externe Dritte benannt werden, sofern sie Unabhängigkeit und Vertraulichkeit wahren können. Zudem sollten die Unternehmen mittels geeigneter Dokumentation im Streitfall beweisen können, dass zwischen der Meldung von Verstößen und einer Kündigung kein Zusammenhang besteht.
Text: Barbara Mayer/Moritz Jenne, Friedrich Graf von Westphalen & Partner
Bild: Adobe Stock