8 Minuten Lesezeit 31 Mai 2021
Gruppe Menschen bei einer Diskussion im Büro

Sechs Fragen zur Vorbereitung auf die neue EU-Hinweisgeberrichtlinie

Von Andreas Pyrcek

EY Global Forensics Integrity, Compliance & Ethics Leader; Global Forensics Sector Leader, Technology, Media & Entertainment and Telecommunications

Erfahrener Partner für proaktive Compliance-, Ethik- und Integritätsfragen. Darüber hinaus steht er bei der Reaktion auf Betrug, Bestechung und Korruption weltweit, beratend zur Seite.

8 Minuten Lesezeit 31 Mai 2021

Der Schutz von Whistleblowern bekommt einen neuen Stellenwert. Unternehmen sollten ihre interne Speak-up Kultur in den Blick nehmen.

Überblick
  • Ca. 43 Prozent der Fraud-Fälle in Unternehmen werden durch interne Meldungen aufgedeckt. Ein verlässliches System dafür ist von großer Bedeutung.
  • Um Hinweisgeber zu schützen, hat die EU eine Richtlinie verabschiedet. Sie nimmt Unternehmen in die Pflicht und muss zu Jahresende national umgesetzt werden.
  • Es wird eine allgemeine Pflicht zur Einrichtung von internen Meldekanälen eingeführt. Daneben gibt es klare Vorgaben zum Verfahren mit Hinweisen.

Systematisches Compliance-Management ist schon lange kein Modethema mehr. Vermeidung, Früherkennung und Management von Fraud- und Compliance-Risiken gehören mittlerweile zu den fundamentalen Bausteinen einer „Good Corporate Governance“. Als Bestandteil von systematischen Compliance-Management-Systemen hat das Hinweisgebersystem schon immer eine wichtige Rolle gespielt, nicht nur durch internationale Standards. Denn Hinweisgeber sind – wenn das System gut funktioniert – für ein Unternehmen Gold wert.

Obwohl Unternehmen in den letzten Jahren ihre Compliance-Funktionen mehr und mehr etabliert und professionalisiert haben, mangelt es in Hinweisgebersystemen oftmals an organisierten Strukturen und Prozessen zur Abgabe von Meldungen und zur Bearbeitung von Verdachtsmomenten. Auch beim Schutz von Hinweisgebern gibt es großen Nachholbedarf, nicht nur aus Sicht der Europäischen Union (EU). Der EY Global Integrity Report 2020 hat gezeigt, dass sich 53 Prozent derer, die bereits einmal eine Meldung abgegeben haben, unter Druck gesetzt fühlten, dies nicht zu tun. Schätzungen zufolge geben weltweit nur 1,4 Prozent der Mitarbeiter überhaupt Meldungen ab.1

Dass das Hinweisgebersystem Unternehmen bei der Aufdeckung von Fraud- und Compliance-Fällen hilft, zeigt eine Vielzahl an Studien: ca. 43 Prozent der Fraud-Fälle in Unternehmen werden überhaupt erst durch interne Meldungen aufgedeckt. Darüber hinaus entdecken Unternehmen mit funktionierenden Meldekanälen, wie beispielsweise einer Hotline, Fraud ca. sechs Monate früher als Unternehmen ohne solche Kanäle.2

Was die EU-Hinweisgeberrichtlinie für Unternehmen in Deutschland bedeutet

Mit der Verabschiedung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (EU-Hinweisgeberrichtlinie), am 23. Oktober 2019 wurde ein wichtiger Schritt unternommen, die Meldung von potenziellem Fehlverhalten für Hinweisgeber zu vereinfachen und rechtssicherer zu gestalten. Die EU-Hinweisgeberrichtlinie verpflichtet neben juristischen Personen des öffentlichen Sektors auch alle Unternehmen des privaten Sektors mit mindestens 50 Mitarbeitern.

Die Richtlinie legt Mindeststandards für den Schutz von Personen fest, die Verstöße gegen Unionsrecht melden. Darüber hinaus wurde es den Mitgliedsstaaten freigestellt, den Schutz nach nationalem Recht auf Bereiche und Rechtsakte auszudehnen, die nicht ausdrücklich in der Richtlinie benannt wurden.

Die EU-Richtlinie hilft dabei, die Meldung von potenziellem Fehlverhalten für Hinweisgeber zu vereinfachen und rechtssicherer zu gestalten.

Obwohl der Referentenentwurf des Bundesministeriums der Justiz und für Verbraucherschutz (BMJV) zur Umsetzung der EU-Richtlinie momentan in der Regierung auf starke Widerstände stößt, deutet sich bereits an, dass der Gesetzgeber gewillt ist, den Schutzbereich weiter zu fassen, als in der EU-Hinweisgeberrichtlinie vorgesehen. So stellt §2 Absatz 1 des Entwurfs auch die Meldung von Verstößen unter den Schutz des Gesetzes, die straf- oder bußgeldbewährt sind sowie sonstige Verstöße gegen Gesetze, Rechtsverordnungen und sonstige Vorschriften des Bundes und der Länder sowie unmittelbar geltende Rechtsakte der Europäischen Union und der Europäischen Atomgemeinschaft betreffen.3 Danach wären beispielsweise auch Meldungen zu Korruptionsdelikten, Untreue und Steuerhinterziehung, aber auch Verstöße gegen das Recht der Ordnungswidrigkeiten, von dem Schutzbereich des Gesetzes gedeckt.

Eine Unterscheidung zu treffen, ob ein Hinweisgeber aufgrund des gemeldeten Sachverhalts unter den Schutz der EU-Richtlinie und die damit verbundenen Schutzrechte fällt oder nicht, wird in der Praxis nur schwer umsetzbar sein. Eine Ungleichbehandlung von Hinweisgebern kann zu großer Verunsicherung führen und eher abschrecken, Missstände im Unternehmen zu melden. Denn die Rechtssicherheit, welche Wege ein Hinweisgeber gehen kann, ohne sich rechtlich angreifbar zu machen, hängt dann maßgeblich vom berichteten Sachverhalt ab. Hinweisgeber werden in der Regel nicht beurteilen können, ob ihr Sachverhalt die Kriterien der EU-Richtlinie erfüllt. Unternehmen sollten sich mit den folgenden sechs Fragen beschäftigen, um auf die rechtlichen Veränderungen vorbereitet zu sein.

1. Welche neuen Anforderungen werden an Hinweisgebersysteme gestellt?

Mit der EU-Hinweisgeberrichtlinie werden Anforderungen zum Aufbau und der Organisation von Hinweisgebersystemen an deutsche Unternehmen gestellt. So sind Unternehmen und juristische Personen des öffentlichen Rechts angehalten, geeignete interne Verfahren für die Entgegennahme von Meldungen und Prozesse für ordnungsgemäße Folgemaßnahmen zu implementieren.

Die Ausgestaltung der Meldekanäle wird den Unternehmen überlassen. Meldungen sollten jedoch sowohl in Textform als auch mündlich abgegeben werden können. Auf Wunsch des Hinweisgebers soll dies auch persönlich möglich sein. Dabei steht die Wahrung der Vertraulichkeit der Identität des Hinweisgebers im Mittelpunkt.

Daneben werden Regelungen zum Verfahren mit Meldungen getroffen. So soll innerhalb von sieben Tagen nach Eingang der Meldung eine Eingangsbestätigung an den Hinweisgeber erfolgen. Nach spätestens drei Monaten soll der Hinweisgeber eine Rückmeldung erhalten, welche Folgemaßnahmen ergriffen wurden bzw. noch geplant sind.

Der Entwurf des BMJV spezifiziert die weitere Vorgehensweise für die Bearbeitung von Meldungen:

  • Die Meldestelle soll Kontakt zum Hinweisgeber halten und weitere Informationen von diesem einholen, sofern dies notwendig ist. Die Prüfung der Stichhaltigkeit des Hinweises gehört ebenso zu ihren Aufgaben, wie die Ergreifung von Folgemaßnahmen. Als Folgemaßnahmen zählt der Entwurf insbesondere die Einleitung von internen Untersuchungen, den Verweis der hinweisgebenden Person an eine andere zuständige Stelle oder die Abgabe der Untersuchung an die zuständige Behörde.
  • Hinweismeldungen sind so zu dokumentieren, dass sie – unter Wahrung des Vertraulichkeitsgebots – dauerhaft abrufbar sind und dem Hinweisgeber soll die Möglichkeit eingeräumt werden, etwaige Protokolle über seine Meldung zu korrigieren.
  • Die Meldestelle soll klare und leicht zugängliche Informationen über die Möglichkeiten der Abgabe von Meldungen bei externen Meldestellen bereitstellen.

Welche Abteilung in einem Unternehmen als interne Meldestelle fungieren soll, wird den Unternehmen selbst überlassen. Es muss jedoch sichergestellt werden, dass sie unabhängig ist und die Mitarbeiter keinen Interessenkonflikten unterliegen. Der Entwurf des BMJV sieht darüber hinaus vor, dass die Mitarbeiter der Meldestelle regelmäßig geschult werden.

Interne Meldestellen können auch von Dritten betrieben werden, sofern gewährleistet wird, dass das Vertraulichkeitsgebot, die Datenschutzbestimmungen und die Geheimhaltung eingehalten werden können.

Weitere Fallstricke liegen bei der Implementierung von technischen Systemen. Denn auf die Frage nach dem passenden Tool-Anbieter folgen sehr schnell Fragen zum Datenschutz, Arbeitsrecht sowie zur Praktikabilität des Systems für die Mitarbeiter: In welchen Sprachen stehen die Eingangskanäle zur Verfügung? Wer soll Zugang haben? Wie soll der Workflow aussehen? Was und wie wird dokumentiert? Wer soll Zugriff auf das Case Management System haben?

2. Schützt die Richtlinie interne oder externe Meldungen?

Grundsätzlich sollen Meldungen vorrangig über interne bzw. unternehmenseigene Meldekanäle abgegeben werden. Die Richtlinie stellt es dem Hinweisgeber aber grundsätzlich frei, ob er eine Meldung intern oder extern – also beispielsweise bei einer vorgesehenen Behörde –- abgeben möchte.

Gemäß dem Entwurf des BMJV sollen Unternehmen Anreize schaffen, dass sich Mitarbeiter vorrangig an interne Meldestellen wenden. Daneben wird ein klares Verbot ausgesprochen, die Abgabe von Hinweisen bzw. die Kommunikation mit dem Hinweisgeber zu behindern bzw. dies zu versuchen.

3. Sind Sanktionen vorgesehen?

Die Richtlinie sieht vor, dass Unternehmen sanktioniert werden sollen, die beispielsweise die Abgabe von Meldungen behindern bzw. versuchen zu behindern, Vergeltungsmaßnahmen gegen den Hinweisgeber durchführen oder das Vertraulichkeitsverbot verletzen.

4. Wer wird geschützt?

Personen, die im beruflichen Kontext – unabhängig davon, ob sie im privaten oder öffentlichen Sektor arbeiten – Informationen über Verstöße erlangt haben, sollen geschützt werden. Dazu zählen insbesondere:

  • Arbeitnehmer
  • Selbstständige
  • Anteilseigner und Personen, die dem Verwaltungs-, Leitungs- oder Aufsichtsorgan eines Unternehmens angehören, einschließlich der nicht geschäftsführenden Mitglieder, sowie Freiwillige und bezahlte oder unbezahlte Praktikanten
  • Personen, die unter der Aufsicht und Leitung von Auftragnehmern, Unterauftragnehmern und Lieferanten arbeiten
  • Hinweisgeber, die Informationen über Verstöße melden oder offenlegen, von denen sie im Rahmen eines inzwischen beendeten Arbeitsverhältnisses Kenntnis erlangt haben

In den Schutzbereich der Richtlinie fallen diese Personen dann, wenn sie zum Zeitpunkt der Meldung hinreichenden Grund zu der Annahme hatten, dass die gemeldeten Informationen der Wahrheit entsprachen und diese über die eingerichteten Meldekanäle – intern oder extern – berichtet wurden.

5. Was wird geschützt?

Während des gesamten Prozesses soll die Vertraulichkeit der Identität des Hinweisgebers und in der Meldung genannter Dritter gewahrt werden.

Daneben werden Unternehmen und juristische Personen des öffentlichen Rechts verpflichtet, Maßnahmen zu ergreifen, um Hinweisgeber und in der Meldung genannte Dritte vor Repressalien bzw. der Androhung von Repressalien zu schützen. Darunter fallen etwa Kündigung oder Diskriminierung.

Erleidet der Hinweisgeber dennoch eine Repressalie oder wird ihm diese angedroht, so sieht der Entwurf des BMJV hierfür eine Schadensersatzpflicht vor.

6. Welche Auswirkungen hat das Ganze auf Unternehmen?

Die Umsetzung der Richtlinie bringt einige Änderungen für Unternehmen mit. Erstmalig wird eine allgemeine Pflicht zur Einrichtung von internen Meldekanälen eingeführt. Daneben werden klare prozessuale Vorgaben zum Verfahren mit Hinweisen gemacht und wer sie nicht befolgt, muss mit Sanktionen rechnen.

Gleichzeitig erhöht sich das Risiko, dass sich Hinweisgeber an externe Stellen wenden. Insbesondere dann, wenn das Vertrauen in das interne Meldesystem fehlt, die Speak-up Kultur im Unternehmen nicht ausreichend verankert ist oder der Hinweisgeber nicht innerhalb der dafür vorgesehen Fristen über den Fortgang der Folgemaßnahmen informiert wird, wird der Anreiz groß sein, extern zu melden.

Unternehmen sollten daher ihre bisherigen Prozesse für den Umgang mit Hinweisen überprüfen. Wesentliche Fragen dabei sind:

  • Wurden sichere Meldekanäle eingerichtet?
  • Werden die Mitarbeiter über die verschiedenen Meldewege gut informiert?
  • Wird eine Speak-up Kultur gefördert, die Mitarbeitern ein sicheres und gutes Gefühl für die Abgabe von Hinweisen vermittelt?
  • Ist die Meldestelle unabhängig, personell ausreichend besetzt und werden die Mitarbeiter regelmäßig geschult?
  • Wird die Vertraulichkeit der Identität des Hinweisgebers durch den gesamten Prozess gewahrt?
  • Ist sichergestellt, dass der Hinweisgeber fristgerecht informiert wird?
  • Sind Maßnahmen zur Verhinderung von Repressalien ergriffen worden?
  • Sind Prozesse zur Dokumentation von Hinweisen sowie der Steuerung und Durchführung von unabhängigen internen Untersuchungen etabliert?
  • Wurden Anreize geschaffen, Meldungen intern abzugeben?
  • Wird Non-Compliance sanktioniert und werden die Ursachen des Fehlverhaltens systematisch analysiert?
EY Whistleblowing Program Framework

Die EU-Hinweisgeberrichtlinie legt den Grundstein für einen weitreichenden Schutz von Hinweisgebern und für die Implementierung wirksamer Hinweisgebersysteme basierend auf klar strukturierten Prozessen und Verantwortlichkeiten. Doch so transparent die Anforderungen der Direktive sind, liegen die größten Herausforderungen einerseits in der Entwicklung einer gesunden und vertrauensvollen Compliance- und Integritätskultur und auf der anderen Seite in effektiven, rechtssicheren und systematischen Prozessen zur Aufnahme von Fällen und dem sensiblen Umgang mit ihnen.

Co-Autor: Antje Meyer

  • Artikelreferenzen anzeigen#Artikelreferenzen ausblenden

    1 Navex Risk & Compliance Benchmark Report 2020

    2 ACFE Report to the Nations 2020

    3 Referentenentwurf des Bundesministeriums der Justiz und für Verbraucherschutz Entwurf eines Gesetzes für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden.

Fazit

Hinweisgebersysteme dienen als Frühwarnsysteme für die Identifizierung von Fraud- und Compliance-Risiken. Systeme, die Hinweisgeber ermutigen und schützen, tragen zu einer gesunden und vertrauensvollen Compliance- und Integritätskultur in Unternehmen bei.

Durch die EU-Hinweisgeberrichtlinie wird der Grundstein für einen weitreichenden Schutz von Hinweisgebern gelegt. Zum Ende des Jahres muss sie in nationale Gesetzgebung umgesetzt werden. Unternehmen mit mindestens 50 Mitarbeitern werden damit verpflichtet, Meldekanäle und strukturierte Prozesse für ein Hinweisgebersystem einzurichten.

Über diesen Artikel

Von Andreas Pyrcek

EY Global Forensics Integrity, Compliance & Ethics Leader; Global Forensics Sector Leader, Technology, Media & Entertainment and Telecommunications

Erfahrener Partner für proaktive Compliance-, Ethik- und Integritätsfragen. Darüber hinaus steht er bei der Reaktion auf Betrug, Bestechung und Korruption weltweit, beratend zur Seite.