Hinweisgeberschutz – Warum Unternehmen jetzt schon handeln sollten.

Über den Schutz und die Berechtigung von Whistleblowern wird spätestens seit den Enthüllungen von Edward Snowden und Wikileaks-Gründer Julian Assange leidenschaftlich diskutiert. Whistleblower oder Hinweisgeber sind Personen, die Informationen über Fehlverhalten oder Missstände aus einem geheimen oder geschützten Zusammenhang gegenüber der Öffentlichkeit oder einer zuständigen Stelle kundtun. Whistleblower können bei einem weiten Verständnis neben Arbeitnehmern auch Kunden, Lieferanten oder sonstige Dritte sein. Im Zentrum steht häufig die Absicht der meldenden Person, Aufmerksamkeit auf ein Fehlverhalten zu lenken und dadurch dessen Sanktion und Beseitigung anzustoßen.

Drei Problemfelder des Whistleblowing werden häufig thematisiert:

1. Hinweisgeber können Druck und Repressalien seitens des Beschuldigten, aber auch seitens des betroffenen Unternehmens ausgesetzt sein.  
2. Unternehmen können durch das öffentliche Bekanntwerden von Vorwürfen und damit zusammenhängenden Geschäftsgeheimnissen einen erheblichen Schaden erleiden. Nachfolgende Ermittlungen und ein anhaltender Reputationsschaden sind keine Seltenheit.
3. Es bestehen Befürchtungen, dass Hinweisgebersysteme zum grundlosen und anonymen Anschwärzen anderer missbraucht werden und insgesamt der Unternehmenskultur schaden, indem sie ein Klima des Misstrauens schaffen.

Während sich die Problemfelder 1 und 2 in den letzten Jahren vielfach realisiert haben, hat sich Problemfeld 3 als praktisch kaum relevant herausgestellt. Das Problem wird im Wesentlichen von Unternehmen als relevant eingeschätzt, die noch kein entsprechendes System implementiert haben.

Die Europäische Whistleblower-Richtlinie (Richtlinie (EU) 2019/1937 zum Schutz von Personen, die Verstöße gegen Unionsrecht melden – im Folgenden: WBRL) hat sich der Thematik angenommen. Sie legt europäische Mindeststandards für den Schutz von Hinweisgebern fest und ist als umfassende Regelung des Hinweisgeberschutzes konzipiert. Die Richtlinie setzt dabei neue Maßstäbe und geht deutlich weiter als der bisher auf der Rechtsprechung des BVerfG, des BAG und des EGMR sowie auf partiellen Gesetzen für einzelne Bereiche (z.B. §§ 48, 53 GwG) beruhende Schutz der deutschen Rechtsordnung.

Dabei gilt die Richtlinie grundsätzlich nicht unmittelbar, sondern ist bis zum 17.12.2021 in nationales Recht umzusetzen. Dieser Umsetzungspflicht ist der deutsche Gesetzgeber bisher nicht nachgekommen. Ein entsprechendes Gesetzesvorhaben ist in der letzten Legislaturperiode gescheitert. Aufgrund der schwebenden Koalitionsverhandlungen einer möglichen neuen Regierung ist nicht davon auszugehen, dass die Umsetzung noch rechtzeitig erfolgt.

Was gilt also nun? Und besteht Handlungsbedarf?

1.  Rechtslage ab dem 17.12.2021 unsicher

Der deutsche Rechtsanwender wird daher zunächst ohne ein nationales Gesetz zur Umsetzung der WBRL auskommen müssen. Es gilt der Grundsatz, dass eine Richtlinie gem. Art. 288 Abs. 3 AEUV nicht unmittelbar gilt, sondern nur die Mitgliedstaaten zur Umsetzung verpflichtet. Damit hätte, ohne Umsetzungsgesetz, das Inkrafttreten der WBRL für die Unternehmen als Normadressaten keine Wirkung.

Allerdings gibt es Ausnahmen, durch die eine Richtlinie auch ohne Umsetzungsgesetz Wirkung für den Einzelnen entfalten kann.

• Zum einen ist an eine richtlinienkonforme Auslegung der bestehenden Gesetze zu denken, die dann im Lichte der weitergehenden WBRL nun anders zu verstehen und anzuwenden wären als vor Inkrafttreten der WBRL. Wegen bislang nur vereinzelt bestehenden Regelungen und damit teilweise fehlender Anknüpfungspunkte wird eine vollständige Umsetzung der WBRL über eine richtlinienkonforme Auslegung nicht möglich sein. In Teilen jedoch wird die richtlinienkonforme Auslegung zu einer Änderung der Rechtslage führen.

• Zum anderen kommt die Möglichkeit der vertikalen und horizontalen Direktwirkung der Richtlinie in Betracht. Wird eine Richtlinie nicht fristgerecht und/oder nicht vollständig durch einen Mitgliedstaat umgesetzt, kann sie dennoch unmittelbar bindend wirken. Das ist jedenfalls für Behörden und Unternehmen in Staatshand als sog. vertikale Direktwirkung anerkannt. Gegenüber diesen werden sich Mitarbeiter und sonstige Privatpersonen auf die Richtlinie berufen können. Der Staat soll keinen Vorteil daraus haben, dass er eine Richtlinie nicht rechtzeitig umgesetzt hat. Eine unmittelbare Wirkung gegen Personen des Privatrechts – sog. horizontale Direktwirkung – wird indessen mangels Verantwortlichkeit für die Umsetzung grundsätzlich abgelehnt. Auch der EuGH lehnt eine horizontale Direktwirkung ab. Es gab aber in der Vergangenheit immer wieder Ansätze, eine solche zumindest auf Arbeitgeber zu erstrecken oder über die Schaffung „allgemeiner Rechtsgrundsätze“ eine faktische, horizontale Wirkung der Richtlinie zu erreichen.

Zusammengefasst: Es ist damit zu rechnen, dass jedenfalls Teile der nicht umgesetzten WBRL über eine richtlinienkonforme Auslegung der Rechtsprechung auch im privatwirtschaftlichen Bereich bereits ab dem 17.12.2021 in die deutsche Rechtsordnung einfließen.

2.  Kurzer Überblick über die Inhalte der WBRL

• Sachlich erfasst die WBRL die Meldung von tatsächlichen oder potenziellen Verstößen gegen bestimmte europäische Rechtsakte und die dazugehörigen nationalen Umsetzungsvorschriften. Diese Begrenzung auf Unionsrecht folgt aus der beschränkten Kompetenz der Europäischen Union. Erfasst sind z.B. Verstöße in den Bereichen Auftragsvergabe oder im Verbraucherschutz.

• Der geschützte Personenkreis der WBRL umfasst den Hinweisgeber, der in seinem beruflichen Kontext Informationen über die Verstöße erlangt hat (egal ob im privaten oder öffentlichen Sektor). Dazu gehören nicht nur (ehemalige) Arbeitnehmer, sondern auch Beamte, Bewerber, andere Beschäftige (wie Selbstständige oder Praktikanten) und insbesondere Mitarbeiter von Auftragnehmern, Unterauftragnehmern oder Lieferanten. Das greift deutlich weiter als das auf Arbeitsverhältnisse beschränkte Maßregelungsverbot des § 612a BGB oder die fragmentarischen Hinweisgeberschutz-Vorschriften des deutschen Rechts, die vor allem Mitarbeiter schützen.

• Geschützte Meldungen des Hinweisgebers sind nicht nur solche, die einen tatsächlich von der WBRL umfassten und erwiesenen Verstoß kundtun. Es reicht aus, dass der Hinweisgeber hinreichenden Grund zu der Annahme hatte, dass die gemeldeten Informationen über Verstöße zum Meldezeitpunk zutreffend sind, und dass diese Informationen in den Anwendungsbereich der WBRL fallen. Ein Verstoß muss zur Erlangung des Schutzes also weder tatsächlich vorgelegen haben (Tatsachenirrtum) noch muss dieser tatsächlich dem Anwendungsbereich der WBRL unterfallen (Rechtsirrtum). Geschützt wird der gutgläubige Falschinformant, nicht aber der, der bewusst und gewollt oder grob fahrlässig falsche Informationen meldet. Die Motivlage des Hinweisgebers ist der WBRL bis zur Grenze der Böswilligkeit oder des Missbrauchs gleichgültig.

• Zum Empfang der Meldung des Hinweisgebers sieht die WBRL vor, dass juristische Personen des privaten Sektors mit zunächst ab 250 Arbeitnehmern, und dann ab dem 17.12.2023 ab 50 Arbeitnehmern, und juristische Personen des öffentlichen Sektors unabhängig von ihrer Größe Kanäle und Verfahren für interne Meldungen und Folgemaßnahmen einrichten müssen.

• Alternativer Meldekanal ist der sog. externe Meldekanal, der eine Möglichkeit zu Hinweisen auch an eine entsprechend eingerichtet Behörde ermöglicht. Die Richtlinie sieht kein strenges Stufenverhältnis zwischen den Meldekanälen vor, d.h. interner und externer Meldekanal können nach Belieben des Hinweisgebers genutzt werden. Es soll Aufgabe der Unternehmen sein, ihre internen Meldekanäle entsprechend attraktiv für Hinweisgeber aufzubauen und zu gestalten, so dass Hinweisgeber von sich aus zuerst den internen Weg beschreiten. Das entspricht gerade nicht der Rechtsprechung des Bundesarbeitsgerichts, nach der ein innerbetrieblicher Hinweis vorrangig zu erfolgen hat und nur ausnahmsweise entbehrlich ist. Die Möglichkeit für Hinweisgeber, externe Meldestellen zu nutzen, dürfte ein starker Anreiz für Unternehmen sein, ein gutes internes Hinweisgebersystem einzurichten, da sie letztlich nur so verhindern können, dass Whistleblower (potenzielle) Verstöße nach außen zu externen Meldestellen tragen.

• Das öffentliche Zugänglichmachen von Informationen („Offenlegung“), und damit z.B. das Weiterleiten von Informationen an die Presse, ist dagegen unter dem Schutz der WBRL nur unter strengen Voraussetzungen erlaubt, z.B. wenn interne und externe Meldekanäle ohne Erfolg bemüht wurden.

• Der Schutz des Hinweisgebers besteht zuvorderst in dem Verbot von Repressalien (z.B. Kündigung, Suspendierung oder Versetzung) gegen den Hinweisgeber. Hier normiert die WBRL auch eine Vermutung des Zusammenhangs zwischen Whistleblowing und zeitnaher Repressalie. Die Richtlinie sieht Sanktionen gegen Personen vor, die Meldungen behindern, Repressalien ergreifen oder die Vertraulichkeit des Hinweisgebers nicht wahren.

3.  Der gescheiterte und der zukünftige Gesetzesentwurf des deutschen Gesetzgebers

Das Schutzniveau der WBRL liegt deutlich über dem Schutzniveau, welches das deutsche Recht Hinweisgebern aktuell bietet. Es wird deshalb zwingend einer Umsetzung bedürfen, welche eine der ersten Aufgaben der neuen Regierung und des Bundestags sein wird. Eine Vorlage wird dabei der Referentenentwurf des Bundesjustizministeriums für ein Gesetz für einen besseren Schutz hinweisgebender Personen und zur Umsetzung der Whistleblower-RL vom Dezember 2020 sein.

Der Referentenentwurf scheiterte vor allem daran, dass sich SPD und CDU/CSU nicht über die Reichweite der erfassten Verstöße einigen konnten. Die SPD wollte den Schutz für Hinweisgeber auch für die Meldung von Verstößen gegen nationales Recht und nicht nur Unionsrecht und damit eine überschießende Umsetzung. Da die CDU/CSU nun voraussichtlich nicht an einer Regierung beteiligt sein wird, ist davon auszugehen, dass der Referentenentwurf des damals SPD-geführten Bundesjustizministeriums mindestens in der vorgeschlagenen Reichweite kommen wird.

Wir gehen davon aus, dass das deutsche Umsetzungsgesetz zur WBRL auch sämtliche Verstöße gegen Verbotsnormen des Straf- und Ordnungswidrigkeitenrechts in den Schutzbereich einbezieht – eine Begrenzung auf kleine Teilbereiche oder gar auf das Unionsrecht wäre Stückwerk und vor dem Hintergrund des Schutzzwecks nicht nachvollziehbar.

4.  Handlungsbedarf für Unternehmen

Unternehmen sollten zeitnah handeln. Das gilt nicht nur für Unternehmen ab 250 Arbeitnehmern, sondern auch für kleinere Unternehmen:

• Die Umsetzung der WBRL wird Zeit in Anspruch nehmen (v.a. technische Umsetzung, Datenschutz und Betriebsrat).
• Die arbeitsgerichtliche Rechtsprechung wird sich auch für kleinere Unternehmen ändern, denn es ist nur schwer vorstellbar, dass Gerichte Arbeitnehmern größerer Unternehmen den vollen Schutz zukommen lassen und im Falle eines gleichgelagerten Sachverhalts bei Mitarbeitern kleinerer Unternehmen die Kündigung durchwinken.
• Der wirtschaftliche Mehrwert von funktionierenden Hinweisgebersystemen für Unternehmen ist unbestritten: Knapp die Hälfte aller internen Compliance-Verstöße (Betrug, Untreue, Korruption, Bilanzfälschung etc.) wird auf Basis eines Hinweises entdeckt. Es ist damit die mit weitem Abstand wirksamste Methode zur Abwehr und Verringerung von finanziellen Schäden (vgl. hierzu ACFE Report to the Nations 2020 – Global study on occupational fraud and abuse, 11th edition).

Wir empfehlen deshalb folgendes:

➔ Unternehmen, die noch kein internes Meldesystem eingerichtet haben, sollten mit der Einrichtung beginnen.

➔ Unternehmen, die bereits ein internes Meldesystem eingerichtet haben, sollten dieses an die kommenden Änderungen der Rechtslage anpassen.

Die damit verbundenen Vorteile überwiegen bei Weitem das Risiko, ein bereits jetzt installiertes Hinweisgebersystem später noch einmal anpassen zu müssen:

• Unternehmen verringern damit Haftungsrisiken.
• Sie verringern damit finanzielle Schäden.
• Sie verringern damit das Risiko von Reputationsschäden und Imageverlusten.
• Sie schaffen damit eine klare interne Regelung, auf die Mitarbeiter vertrauen können. Das verbessert die Unternehmenskultur und hat eine motivierende Wirkung auf die Mitarbeiter, wie Studien in den letzten Jahren immer wieder nachgewiesen haben.

Die WBRL und der gescheiterte Gesetzesentwurf aus dem Dezember 2020 enthalten dabei genügend Anhaltspunkte, um ein solches internes Meldesystem zukunftsfähig und rechtssicher zu gestalten.

HEUSSEN steht Ihnen bei der Gestaltung der internen Prozesse gerne zur Seite.  Dr. Franz Clemens Leisch verfügt über langjährige Erfahrung bei der Implementierung von Compliance-Prozessen in Unternehmen. Wir beschränken uns dabei nicht darauf, rechtliche Erfordernisse in Unternehmensrichtlinien zu gießen. Wir gestalten mit Ihnen den gesamten Workflow so, dass er zu Ihrem Unternehmen passt. Der Markt bietet mittlerweile eine Vielzahl technischer Lösungen an, die in der Lage sind, Teilbereiche des Hinweisgeberprozesses abzubilden. Ob, und wenn ja, welche technischen Lösungen für Ihr Unternehmen geeignet sind, ist Teil unserer gemeinsamen Analyse. Ziel ist ein effizientes und wirksames Hinweisgebersystem als Teil Ihrer Compliance-Organisation.