Die Umsetzung der Whistleblowing-Richtlinie ist eine Hängepartie. Doch was ist eigentlich Inhalt der Richtlinie und warum lohnt es sich für Unternehmen, bereits jetzt zu handeln?
Die EU-Whistleblower-Richtlinie verfolgt das primäre Ziel, Personen zu schützen, die im Zusammenhang mit ihrer beruflichen Tätigkeit Informationen über Verstöße erlangt haben und diese bei einer internen oder externen Meldestelle melden. Hinweisgebende (umgangssprachlich „Whistleblower“) sollen vor Repressalien geschützt werden, etwa einer Kündigung.
Die Art der meldefähigen Verstöße ist vielfältig und umfasst verletzte Strafvorschriften sowie Themen wie Bekämpfung von Geldwäsche und Terrorismusfinanzierung, Produktsicherheit, Verkehrssicherheit, Verbraucherschutz, Schutz der Privatsphäre und personenbezogener Daten, Sicherheit von Netz- und Informationssystemen. Vorgesehen ist, dass Unternehmen mit mindestens 50 Beschäftigten eine interne Meldestelle einrichten müssen. Bei einer Unternehmensgröße ab 250 Beschäftigten greifen die Vorgaben unmittelbar, für die anderen ist eine Schonfrist zur Umsetzung vorgesehen, sobald das Gesetz in Deutschland in Kraft tritt. Die bereits 2019 beschlossene Richtlinie hätte bis zum 17. Dezember 2021 in deutsches Recht umgesetzt werden müssen, doch die Gesetzesentwürfe scheiterten mehrfach. Anfang 2021 lag in Deutschland erstmals der Entwurf des Hinweisgeberschutzgesetzes vor. Der letzte Entwurf scheiterte Anfang 2023 im Bundesrat. Deutschland steht aber nicht alleine da: Nachdem 24 EU-Mitgliedsstaaten die Richtlinie nicht oder nur teilweise umgesetzt hatten, hat die EU-Kommission bereits Vertragsverletzungsverfahren eingeleitet.
Einrichtung von Meldestellen
Unternehmen müssen interne Meldekanäle (etwa ein digitales Hinweisgebersystem) einrichten. Auch bedarf es Ressourcen, die das System betreuen und auf Meldungen reagieren, denn es gibt Reaktionspflichten: Nach sieben Tagen ist die Bestätigung des Eingangs der Meldung an den Hinweisgeber erforderlich, spätestens nach drei Monaten ist der Hinweisgeber über die ergriffenen Folgemaßnahmen zu informieren. Schließlich sind alle Meldungen und die Maßnahmen datenschutzkonform zu dokumentieren. Bei Nichteinhaltung drohen Sanktionen: Wird kein interner Meldekanal implementiert, kann ein Bußgeld in Höhe von bis zu 20.000 Euro verhängt werden. Stellt sich heraus, dass Meldungen behindert wurden, Hinweisgebende von Repressalien betroffen sind oder gegen den Schutz der Vertraulichkeit der Identität hinweisgebender Personen verstoßen wurde, kann dies bis zu 100.000 Euro kosten.
Handeln lohnt sich
Auch wenn das Gesetz in Deutschland noch nicht in Kraft ist, sind die Vorgaben aus der Richtlinie bekannt. Die Zeit bis dahin sollte auf jeden Fall genutzt werden, denn die Implementierung eines Systems geht nicht von heute auf morgen. Ungeachtet der Erfüllung gesetzlicher Vorgaben, kann ein Hinweisgebersystem den Interessen des Unternehmens dienen: Interne Missstände sind ein häufiger Grund für wirtschaftliche Schäden – durch frühzeitiges Eingreifen kann Schaden abgewehrt oder reduziert werden. Schließlich stärkt es auch das Vertrauen von (potenziellen) Geschäftspartnern, Lieferanten, Beschäftigten und Bewerbern, da das Management so signalisiert, dass etwaige Missstände nicht geduldet werden.