EU-Whistleblower-Richtlinie: Praxistipps für mittelständische Unternehmens-Entscheider (Teil 1)
Obwohl sich die Regierungsparteien nicht auf den Entwurf des Hinweisgeberschutzgesetzes für Deutschland einigen konnten, gibt es neben den Regelungen der EU-Whistleblower-Richtlinie inzwischen auch im Lieferkettengesetz sowie im Geschäftsgeheimnisgesetz eindeutige Formulierungen zum Schutz von Whistleblowern und entsprechende Verpflichtungen für Unternehmen. Auch kleinere und mittelständische Unternehmen werden nicht darum herumkommen, ein Hinweisgebersystem einzurichten und weitere Anforderungen zu erfüllen. Wie Sie als Unternehmer oder Geschäftsführer dabei Fehler und unnötige Kosten vermeiden können, erläutern die erfahrene Compliance-Expertin Nadine Jacobi, langjährige Chief Compliance Officerin und Rechtsanwältin, und Dr. Rainer Buchert, Rechtsanwalt und einer der bekanntesten Ombudsmänner Deutschlands, in ihrer gemeinsamen Blog-Serie. Teil 1.
(Zur besseren Lesbarkeit verwenden wir im Text das generische Maskulinum. Gemeint sind immer alle Geschlechter.)
Ob Gammelfleisch, Dieselgate oder die Enthüllungen um die „Panama-Papers“ – die Liste der Skandale, die durch Hinweise von Mitarbeiter aufgedeckt wurden, ist lang. Viele der Hinweisgeber, auch Whistleblower genannt, verloren wegen ihrer Enthüllungen ihren Arbeitsplatz. Damit soll am Ende dieses Jahres EU-weit Schluss sein: Hinweisgeber, die von Vorgesetzen, aber auch unter Kollegen häufig als „Nestbeschmutzer“ verunglimpft wurden, sollen ab dem 17. Dezember 2021 – wie in allen Mitgliedsstaaten der EU – auch in Deutschland einen einheitlich geregelten gesetzlichen Schutz vor Repressalien ihrer Arbeitgeber genießen. Diesen Stichtag hatte die EU bereits 2019 festgelegt.
SPD-Justizministerium Lamprecht legte pflichtgemäß einen Referentenentwurf für ein Hinweisgeberschutzgesetz vor und ging darin in einigen Punkten über die EU-Whistleblower-Richtlinie hinaus – sehr zum Missfallen von CDU/CSU. Strittig war vor allem, dass Hinweisgebern nicht nur besonderer Schutz gewährt werden sollte bei Hinweisen auf Verstöße gegen EU-Recht, sondern auch gegen einschlägige Straftatbestände des deutschen Wirtschaftsstrafrechts, wie zum Beispiel Korruption. Die Folge des Streits: Die Gesetzgebung ist blockiert und wird erst von der neuen Regierung nach den Neuwahlen im Herbst wieder in Angriff genommen. Auch wenn bis zum in der EU-Whistleblower-Richtlinie vorgegebenen Termin Mitte Dezember noch kein deutsches Hinweisgeberschutzgesetz verabschiedet worden ist, ist davon auszugehen, dass Gerichte die Anforderungen der EU-Whistleblower-Richtlinie zum Schutz des Hinweisgebers auch schon jetzt heranziehen werden. Daneben spielt der Hinweisgeberschutz auch im Geschäftsgeheimnisgesetz und ab 2023/24 auch im bereits verabschiedeten Lieferkettengesetz eine Rolle. Klar ist, das Hinweisgeberschutzgesetz wird auch in Deutschland zeitnah kommen. Was bedeutet das für Sie als Unternehmensentscheider?
Meldesystem für Hinweisgeber wird auch für kleinere Unternehmen zur Pflicht
Die EU-Whistleblower-Richtlinie sieht vor, dass Hinweisgebern grundsätzlich zwei Meldewege offenstehen: Sie können sich an die zuständige Stelle bei der Datenschutzbehörde, Polizei und Staatsanwaltschaft richten oder ihren Hinweis direkt beim Unternehmen abgeben. Hierfür sollen Unternehmen ein internes Meldesystem für Hinweisgeber installieren. Entweder in Form einer internen Meldestelle, durch Mandatierung von Ombudspersonen oder die Bereitstellung eines elektronischen Systems. Die EU-Whistleblower-Richtlinie gibt Unternehmen mit mehr als 250 Mitarbeitern oder 10 Millionen Euro Umsatz hierfür bis Mitte Dezember 2021 Zeit. Kleinere Betriebe mit 50 bis 249 Beschäftigten müssen bis Dezember 2023 nachziehen.
Kein Gesetz – kein Hinweisgebersystem?
Manche Unternehmen spielen auf Zeit, wenn es darum geht, ob sie ein Hinweisgebersystem installieren sollen. Begründung: „Solange es kein deutsches Hinweisgeberschutzgesetz gibt, müssen wir auch kein Hinweisgebersystem haben“. Aus juristischer Sicht ist das sogar zutreffend: Die Verpflichtungen aus der EU-Whistleblower-Richtlinie wirken ausschließlich im Verhältnis Bürger – Staat. Somit greift die Pflicht, ein Hinweisgebersystem einzurichten tatsächlich erst ab dem Zeitpunkt, an dem das Hinweisgeberschutzgesetz in Deutschland in Kraft tritt.
ABER: Selbst die schärfsten Kritiker des Gesetzes zweifeln nicht daran, dass es nach den Bundestagswahlen verabschiedet werden wird, mitsamt den Kernvorgaben der EU-Richtlinie. Bei arbeitsrechtlichen Prozessen ist zudem davon auszugehen, dass die Gerichte im Rahmen ihrer Entscheidung die EU-Richtline berücksichtigen werden.
Die bisherige Rechtsprechung zu effektiven Compliance-Management-Systemen und damit verbundenen Sanktionsmilderungen zeigen darüber hinaus, dass es bereits heute mehr als empfehlenswert ist, ein Hinweisgebersystem einzurichten. Die EU-Whistleblower-Richtlinie und der Referentenentwurf zum Hinweisgeberschutzgesetz verleihen der bereits im Corporate-Governance-Kodex enthaltenen Empfehlung, ein Meldesystem einzurichten, nur zusätzlichen Nachdruck. Gleiches gilt für das Lieferkettengesetz.
Hätte, hätte, Lieferkette…
Auch wenn die EU-Whistleblower-Richtlinie sowie die irgendwann daraus folgende deutsche Umsetzung in ein Gesetz aktuell keine Strafen für Unternehmen vorsieht, die kein Hinweisgebersystem einrichten: Spätestens mit dem Lieferkettengesetz wird die Einrichtung eines Hinweisgebersystems für Unternehmen mit mehr als 3.000 (ab 2023) bzw. 1.000 Mitarbeitern (ab 2024) verpflichtend. Für Unternehmen, die kein unternehmensinternes Beschwerdesystem einrichten, sieht das Lieferkettengesetz ein Bußgeld von bis zu 800.000 Euro vor.
Hinweisgeber-Schutz im Geschäftsgeheimnisgesetz
Einige Kritiker des Hinweisgeberschutzes „vergessen“ überdies, dass im bereits im Jahr 2019 in Kraft getretenen Geschäftsgeheimnisgesetz unter § 5 wichtige Regelungen enthalten sind, auf die sich Hinweisgeber auch jetzt schon berufen können, wenn sie wegen Offenlegung von Betriebs- und Geschäftsgeheimnissen von ihrem Arbeitgeber zur Rechenschaft gezogen werden. Nicht strafbar ist beispielsweise die Offenlegung eines Geschäftsgeheimnisses, wenn dies zur Aufdeckung einer rechtswidrigen Handlung oder eines beruflichen sonstigen Fehlverhaltens geschieht.
Erst Corona und jetzt noch ein Hinweisgebersystem?
Vor allem kleinere Unternehmen, die ohnehin schon unter den wirtschaftlichen Folgen der Corona-Krise leiden, sehen insbesondere den zusätzlichen Aufwand für ein Hinweisgebersystem kritisch. Aus Sicht vieler reichen die bestehenden gesetzlichen Schutzregelungen für Hinweisgeber völlig aus. Eine europaweite Angleichung des Hinweisgeberschutzes würde aus ihrer Sicht zu unnötig hohen Kosten, zusätzlicher Bürokratie und der Störung des Betriebsfriedens führen.
Fragen, Fragen und Frust
Hinzu kommt, dass viele Unternehmen Neuland betreten, was zusätzliche Verunsicherung, Fragen und Unmut auslöst:
- „Erst die neuen Datenschutzregeln, jetzt auch noch der Hinweisgeberschutz: Wie sollen wir diese neuen Anforderungen erfüllen?“
- „Meine Mitarbeiter stöhnen schon jetzt wegen erhöhter Arbeitsbelastung. Außerdem fehlt ihnen die Erfahrung, und als mittelständisches Unternehmen können wir es uns nicht leisten, dafür extra jemanden einzustellen.“
- „Was wird es mich kosten, die ganzen Auflagen zu erfüllen?“
- „Reicht es vielleicht auch, einfach einen internen Briefkasten für Hinweisgeber aufzuhängen?“
- „Das Ganze ist doch Wahnsinn! Ich habe noch ein Geschäft zu führen!“
Hinweise aus der Theorie…
Einen ersten Überblick zum Thema „Whistleblower- Managementsysteme“ gibt die am 26. Juli 2021 veröffentlichte ISO-Norm 37002. Die bis Redaktionsschluss nur in englischer und französischer Sprache publizierte Norm gibt auf 32 Seiten Hilfestellungen zu verschiedenen Aspekten eines Hinweisgebersystems. Angesichts des Umfangs eignet sich das Papier jedoch eher für Compliance-Beauftragte als für Unternehmer und kann wegen der eher allgemein gehaltenen Informationen eine individuelle Beratung nicht ersetzen.
… und Tipps und Empfehlungen aus der Praxis von Nadine Jacobi und Rainer Buchert
Sehr konkrete Antworten auf die oben genannten Fragen und Kommentare geben wir in dieser Blog-Serie. Hierzu bündeln wir unsere jahrzehntelange Compliance-Praxiserfahrung aus der Arbeit in und für Unternehmen:
Nadine Jacobi ist Volljuristin und hat 22 Jahre Erfahrung im Bereich Corporate Governance. Sie war sowohl unternehmensintern als Chief Compliance Officer als auch als forensische Beraterin bei zwei der „Big Four“- Wirtschaftsprüfungsgesellschaften tätig. Sie arbeitete für Unternehmen unterschiedlicher Größe und Branchen: vom mittelständischen Betrieb bis zum weltweit agierenden Konzern; unter anderem in den Branchen Medizintechnik, Rüstung, Agrargeschäft, Anlagenbau, Energieversorger, Automobil und Pharma. Zudem hat sie Unternehmen in leitender Position aus Krisen geführt und erfolgreich mit Ermittlungsbehörden zusammengearbeitet.
Heute berät sie als Inhaberin von Compliance Customized zusammen mit ihrem Team große und mittelständische Unternehmen zur Konzeption, Implementierung und Optimierung von Compliance- Management-Systemen, Durchführung von Compliance-Risiko-Analysen und sämtlichen Compliance Themen, wie z.B. der Durchführung von Due-Diligence-Prüfungen zum Einsatz von sog. Third Parties (z.B. Distributoren, Sales Agents, Berater), oder bei der Erstellung von Compliance-Statements für das Top-Management. Auch das Coachen von neu bestellten Chief Compliance Officern gehört zu ihren Beratungsschwerpunkten. Als Certified Fraud Examiner geht Nadine Jacobi im Auftrag von Unternehmensentscheidern Hinweisen nach und führt Interne Untersuchungen durch. Abhängig von der Komplexität der Untersuchung arbeitet Nadine Jacobi mit Kooperationspartnern zusammen und koordiniert bei Bedarf den Einsatz der eingesetzten Dienstleister.
Rechtsanwalt Dr. Rainer Buchert hat zunächst den Beruf des Polizeibeamten von der Pike auf gelernt. Nach dem juristischen Studium und einer besonders ausgezeichneten Promotion zu einem Thema der Inneren Sicherheit war er über 13 Jahre in verschiedenen leitenden Funktionen im Bundeskriminalamt (BKA) Wiesbaden tätig, zuletzt als Kriminaldirektor. Dem schloss sich eine zweijährige Arbeit als Landeskriminaldirektor und Leiter der Kriminalpolizei in Sachsen-Anhalt an. Anschließend wurde er zum Polizeipräsidenten von Stadt und Kreis Offenbach berufen. 1999 gründete er in Frankfurt am Main eine strafrechtlich ausgerichtete Anwaltskanzlei. Heute ist die Kanzlei Buchert Jacob Partner mit vier Anwälten auf Wirtschaftsstrafrecht und Criminal Compliance spezialisiert. Dr. Buchert ist von über 40 Konzernen und mittelständischen Unternehmen als Ombudsmann mandatiert. Aus den unterschiedlichen Branchen – Industrie, Handel, und Dienstleistungsunternehmen verschiedenster Art – resultiert ein über 20 Jahre gewachsener Erfahrungsschatz.
Mehrwert für betroffene Unternehmen schaffen
Dr. Rainer Buchert: „Viele Unternehmen verfügen bereits über ein oder sogar mehrere Meldesysteme für Hinweisgeber. Als Ombudsmann, wobei ich meine Rolle lieber als ‚Vertrauensanwalt‘ für Hinweisgeber und Unternehmen bezeichne, habe ich bereits zahlreiche Unternehmen bei der Einführung begleitet und bin Ansprechpartner für Hinweisgeber. Gemeinsam mit Nadine Jacobi ist nun die Idee entstanden, unser Fachwissen zu kombinieren und Unternehmen Praxistipps zu geben, wie sie mit den absehbaren neuen Anforderungen umgehen können, ohne gleich das ganz große Rad drehen zu müssen.“
Nadine Jacobi: „Zu den juristischen Details der EU-Richtlinie und des Hinweisgeberschutzgesetzes gibt es bereits viele Veröffentlichungen. Im Mittelpunkt unserer Blog-Serie stehen jedoch Informationen, Praxistipps und Empfehlungen speziell für den (mittelständischen) Unternehmer, für den Hinweisgebersysteme oftmals Neuland sind und der vor der Herausforderung steht, die Vorgaben praxisnah und lösungsorientiert umzusetzen. Der gemeinsame Austausch zu unseren langjährigen Praxiserfahrungen schafft Mehrwert für betroffene Unternehmen: Wir geben Entscheidungsträgern konkrete Dos and Don’ts an die Hand und erläutern diese auch für Nichtjuristen einfach, klar und verständlich.“
Unser beider Anspruch: Sie müssen nicht Klassenbester werden, um die Anforderungen des Gesetzgebers und der kontrollierenden Exekutive zu erfüllen. Es geht vielmehr darum, die Anforderungen zu kennen und sie mit Augenmaß, das heißt jeweils passend für die jeweilige Branche, Unternehmensgröße und konkreten Risikobereiche umzusetzen.
„Whistleblower“ können als „Frühwarnsystem“ genutzt werden
Beim Thema „Hinweisgeber“ sind sich die Compliance-Expertin und der erfahrene Ombudsmann einig: Whistleblower können als effektives „Frühwarnsystem“ von Unternehmen genutzt werden. Diese positive Wirkung kann sich dann entfalten, wenn Unternehmensentscheider Motivation und Schutzbedürfnis des Hinweisgebers verstehen und gleichzeitig das System zu ihrem Vorteil zu nutzen wissen.
Folgen Sie unserem Blog und Sie erhalten wertvolle Hinweise und Fallbeispiele aus der Praxis -angereichert mit Handlungsempfehlungen für Ihr Hinweisgeber-Meldesystem. An dieser Stelle! In zwei Wochen!
Benötigen Sie eine Rechtsberatung?
Wir beraten und vertreten Privatpersonen und Unternehmen in Ermittlungsverfahren und Strafverfahren bundesweit und vor allen Gerichten. Profitieren Sie von unserer langjährigen Erfahrung und unserer Kompetenz in Sachen Strafverteidigung.