IT-gestützte Systeme zum Schutz für Hinweisgeber : Die EU-Whistleblower- Richtlinie richtig umsetzen
Whistleblower werden im Deutschen als Hinweisgeber bezeichnet. Sie berichten von unethischem oder ungesetzlichem Verhalten, das zuvor im Verborgenen abgelaufen ist, und decken so etwa Fälle von Korruption, Menschenrechtsverletzungen, Betrügereien, Bestechungsfälle oder Datenschutzverstöße auf. Sie tragen ihr Wissen in aller Regel anonym an eine entsprechende Meldestelle heran, um dieses Fehlverhalten ans Licht zu bringen.
Ziel der EU-Whistleblower-Richtlinie: Schutz für Hinweisgeber
Die EU-Kommission hat am 23.10.2019 die neue EU-Whistleblower-Richtlinie EU 2019/1937 in Kraft gesetzt. Sie ist jedoch nun wieder in den Fokus der Betrachtung gerückt, weil Mitte Dezember 2021 die Umsetzungsfrist für die Mitgliedstaaten abgelaufen ist.
Deutschland hat ebenso wie zahlreiche andere EU-Länder bislang kein Gesetz zum Schutz von Hinweisgebern umgesetzt und somit gegen EU-Recht verstoßen.
Die EU-Kommission hat im Januar 2022 ein Vertragsverletzungsverfahren eingeleitet, unter anderem gegen Deutschland. Da auch der aktuelle Koalitionsvertrag die Umsetzung des Gesetzes vorsieht, wird sicherlich schon bald der bereits seit 2020 vorliegende Gesetzentwurf für das deutsche Hinweisgeberschutzgesetz (HinSchG-E) wieder aufgegriffen werden. Dieses soll sogar Regelungen treffen, die noch weitreichender sind als diejenigen der EU-Richtlinie.
Der deutsche Gesetzentwurf sieht sogar noch engere Grenzen vor: So müssen sich auch deutsche Unternehmen mit mehr als 50 Mitarbeitern sowie Firmen mit mehr als zehn Millionen Euro Jahresumsatz darauf einstellen, dass die Pflicht sie treffen könnte – noch ist der Entwurf aber nicht verabschiedet. Aktuell ist außerdem für Unternehmen mit 50 bis 249 Angestellten eine verlängerte Übergangsfrist bis zum 17.12.2023 vorgesehen – sie müssen also noch nichts unternehmen.
Verpflichtungen aus der EU-Whistleblower-Richtlinie
Unternehmen werden durch die EU-Whistleblower-Richtlinie dazu verpflichtet, einen internen Meldekanal bereitzustellen, über den Hinweisgeber Informationen sicher und geschützt weitergeben können. Ziel ist, die Identität des Hinweisgebers vertraulich zu behandeln und nicht zu veröffentlichen. Zudem schreibt die Richtlinie vor, dass innerhalb von sieben Tagen wenigstens eine Eingangsbestätigung verschickt und weitere Bearbeitungsfristen eingehalten werden müssen. Die übermittelten Daten sind konform mit der Datenschutz-Grundverordnung (DG-SVO) zu verarbeiten.
Umsetzung der Whistleblower-Richtlinie
Arbeitgeber mit mehr als 250 Mitarbeitern sind jetzt schon im Zugzwang – denn auch wenn die EU-Whistleblower-Richtlinie noch nicht in nationales Recht umgesetzt wurde, muss sie bereits eingehalten werden. Die Übergangsfrist ist zum 17.12.2021 ausgelaufen. Und auch Unternehmen mit weniger Beschäftigten sollten sich auf die Überführung der Richtlinie in nationales Recht vorbereiten.
Dieser Überblick hilft bei der schrittweisen Umsetzung:
- Ansprechpartner: Es muss eine zentrale Ansprechperson für Meldungen geben, die am besten unabhängig vom Unternehmen ist, etwa ein extern beauftragter Datenschutzbeauftragter.
- Meldekanal: Wie Unternehmen den internen Meldekanal umsetzen, ist ihnen zunächst selbst überlassen. Das System muss allerdings sicher vor unbefugten Dritten sowie rund um die Uhr erreichbar sein. Idealerweise bietet das System die Möglichkeit, Dialoge zu führen. E-Mail-Postfächer sind zwar eine einfache Lösung, allerdings lässt sich bei dieser Variante weder die Anonymität des Hinweisgebers wahren noch ein sicherer Austausch von Informationen gewährleisten. Sinnvoller ist eine spezielle Whistleblower-Software, die die Voraussetzungen erfüllt.
- Beweislastumkehr: Whistleblower sind nur dann wirklich vor Repressalien geschützt, wenn sie die gemeldeten Informationen nicht selbst nachweisen müssen – was sich in der Praxis meist schwierig gestaltet. Die Richtlinie normiert deshalb eine Beweislastumkehr. Behauptet der Hinweisgeber, dass das Unternehmen Druck auf ihn ausgeübt hat, muss dieses das Gegenteil beweisen. Wurde also etwa wenig später eine Kündigung ausgesprochen, muss der Arbeitgeber nachweisen, dass diese nicht mit den übermittelten Informationen im Zusammenhang stand. Kann er diesen Nachweis nicht erbringen, macht er sich gegebenenfalls sogar schadensersatzpflichtig. Die Beweislastumkehr gilt allerdings nicht, wenn der Whistleblower vorsätzlich oder grob fahrlässig falsche Sachverhalte meldet.
- Dokumentation: Fallen Arbeitnehmer, die Hinweisgeber sind, durch Pflichtverletzungen auf, gilt es, diese genau zu dokumentieren. Nur so lässt sich sicherstellen, dass der benötigte Nachweis im Fall von arbeitsrechtlichen Konsequenzen geführt werden kann.
- Beteiligung des Betriebsrats: Bei der Einführung eines Whistleblowing-Systems müssen Arbeitgeber den Betriebsrat beteiligen (§ 87 Abs. 1 Nr. 1, 6 Betriebsverfassungsgesetz (BetrVG)).
rexx systems ist der Zeit bereits voraus und stellt das passende Modul vor
Mit dem Whistleblower-Kanal hat rexx systems für diese Funktion in der rexx Suite ein eigenes Modul entwickelt. Mitarbeitende haben die Möglichkeit, Verstöße, die beispielsweise straf- oder bußgeldbewehrt sind, sowohl 100 Prozent anonym als auch unter Angabe der Kontaktdaten in einem Antragsformular einzureichen. Alle Meldungen und Anfragen werden streng vertraulich und schützenswert behandelt, also vollständig compliant mit der DS-GVO und der EU-Whistleblower-Richtlinie. Besser als eine physikalische Mailbox, effizienter als gemäß dem Slogan „Meine Türe ist immer offen“ und sicherer als telefonisch, via E-Mail oder Brief – das geht nur mit dem Modul Whistleblowing.
Der Hinweisgeber kann den Status der Meldung jederzeit einsehen, um zu prüfen, ob Maßnahmen ergriffen wurden. Eine Eingangsbestätigung muss sieben Tage nach Erhalt der Meldung vorliegen. Ebenso kann die Meldung vom Hinweisgeber jederzeit um weitere Informationen ergänzt werden oder die empfangsberechtigten Personen können sich für weitere wichtige Informationen, die zur Lösung des Problems beitragen, zurückmelden. Der Arbeitgeber ist verpflichtet, innerhalb von drei Monaten eine Rückmeldung zum Umgang mit der Meldung zu geben.
Für wen gilt die EU-Whistleblower-Richtlinie?
- Unter den Geltungsbereich der EU-Richtlinie fallen folgende Unternehmen und Behörden:
- Unternehmen ab 250 Beschäftigten
- im Finanzsektor tätige Unternehmen
- Einrichtungen der öffentlichen Hand
- Behörden
- Gemeinden mit mehr als 10.000 Einwohnern
Um negative Folgen zu vermeiden, sollten Unternehmen jetzt zeitnah geeignete Lösungen suchen, um die EU-Whistleblower-Richtlinie umzusetzen