Hinweisgeberschutz: EU-Recht vs. deutsches Recht

Die EU hat am 23. Oktober 2019 eine Whistleblower-Richtlinie verabschiedet. Diese Hinweisgeberrichtlinie soll Whistleblower künftig vor negativen Konsequenzen aufgrund ihrer Meldung wie Repressalien, Diskriminierung oder Kündigung schützen. Im genauen Wortlaut dient die EU-Richtline 2019/1937 dem „Schutz von Personen, die Verstöße gegen das Unionsrecht melden“. Die EU-Hinweisgeberrichtlinie hätte schon im Dezember 2021 in nationales Recht umgesetzt werden müssen, was in Deutschland bislang nicht erfolgt ist. Nun tut sich etwas, denn der Bundestag hat im Herbst über einen Entwurf für das Hinweisgeberschutzgesetz (HinSchG) beraten. In den Worten des Bundestags geht es um einen „Entwurf eines Gesetzes für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“. Die Folge für viele Unternehmen ist die Verpflichtung zur Einrichtung eines Hinweisgebersystems.

Wann genau die Hinweisgeberrichtlinie in Deutschland in Kraft treten wird, steht aktuell noch nicht fest. Wie unterscheiden sich deutsches Recht und EU-Recht hinsichtlich der Regelungen zum Hinweisgeberschutz und wie setzt Deutschland die Whistleblower-Richtlinie der EU um?

Wie setzt Deutschland die Whistleblower-Richtlinie der EU um?

In der im Oktober 2019 verabschiedeten Whistleblower-Richtlinie werden die Rechte und Pflichten der EU-Mitgliedsstaaten beschrieben. Die konkrete Umsetzung bleibt den einzelnen Staaten überlassen.

Möglichkeit zur anonymen Meldung

Nach den Vorgaben der Whistleblower-Richtlinie der EU bleibt die Entscheidung über eine Verpflichtung, anonyme Meldungen anzubieten, den EU-Mitgliedstaaten überlassen. Die Bundesregierung entscheidet sich gegen eine einheitliche Verpflichtung zur anonymen Meldung. Die Verantwortung verschiebt sich also eine Ebene nach unten und Unternehmen bleibt es selbst überlassen, ob sie Hinweisgebern eine anonyme Meldung ermöglichen wollen oder nicht.

Pflicht zur Einrichtung interner Meldestellen

Die EU-Hinweisgeberrichtlinie gibt die Verpflichtung zur Einrichtung interner Meldekanäle für Unternehmen ab 50 Mitarbeitern vor. Darüber hinaus können die Mitgliedstaaten selbst entscheiden, ob sie Ausnahmen für diese Regel festlegen wollen. Auch in Deutschland soll die Verpflichtung zur Einrichtung eines internen Meldesystems für Unternehmen ab 50 Mitarbeitern gelten. Im Hinweisgeberschutzgesetz-Entwurf sind jedoch konkrete Unternehmensarten festgehalten, für die unabhängig von der Mitarbeiterzahl die Pflicht zur Einrichtung einer internen Meldestelle besteht. Es werden unter anderem Wertpapierdienstleistungsunternehmen, Datenbereitstellungsdienste, Börsenträger und Kapitalverwaltungsgesellschaften genannt.

Geringfügigkeit von Verstößen

Die EU-Hinweisgeberrichtlinie gibt vor, dass die „zuständigen Behörden“ einen Verstoß als geringfügig einstufen können, wodurch ein Verfahren infolge der Meldung durch einen Hinweisgeber eingestellt werden kann. Im deutschen Hinweisgeberschutzgesetz-Entwurf werden explizit nur externe Meldestellen als befugt für die Einstufung eines Verstoßes als geringfügig genannt. Unternehmen könnten demnach einen gemeldeten Verstoß nicht selbst als geringfügig einstufen und dadurch nähere Untersuchungen einstellen.

Repressalien

In der EU-Hinweisgeberrichtlinie werden zu ahndende Repressalien gegenüber Whistleblowern explizit aufgezählt, darunter unter anderem Suspendierung, Kündigung, Versagung einer Beförderung oder Diskriminierung. Im Entwurf für das deutsche Hinweisgeberschutzgesetz werden Repressalien lediglich definiert, nicht jedoch konkret aufgelistet. Repressalien werden als Handlungen oder Unterlassungen bezeichnet, die in Zusammenhang mit einer Meldung stehen und für den Hinweisgeber einen ungerechtfertigten Nachteil bedeuten. Damit ist der Begriff der Repressalien weit gefasst und im Einzelfall Auslegungssache. Für die Einstufung von Konsequenzen für den Whistleblower als Repressalien muss also auf das EU-Recht zurückgegriffen werden, um Klarheit zu schaffen.

Sanktionen

In der EU-Hinweisgeberrichtlinie ist allgemein nur von Sanktionen die Rede, wenn es um Verstöße gegen die Richtlinie durch Unternehmen oder Hinweisgeber geht. Im Entwurf für das HinSchG werden konkret Bußgelder als Sanktionen genannt. Auch die maximale Höhe der Bußgelder ist je nach Art der Ordnungswidrigkeit konkret festgelegt. Nach deutschem Recht besteht bei der Sanktionierung von Verstößen gegen das Hinweisgeberschutzgesetz also relativ wenig Spielraum.

Fazit

Grundsätzlich stimmt das deutsche Hinweisgeberschutzgesetz mit der EU-Hinweisgeberrichtlinie überein, gravierende Unterschiede hinsichtlich der Regelungen gibt es nicht. Alle Forderungen der EU an die Mitgliedsstaaten wurden im Entwurf für das HinSchG übernommen. Im Vergleich zur Whistleblower-Richtlinie der EU sind im deutschen Hinweisgeberschutz-Entwurf die Arten von Repressalien nicht konkret aufgezählt. Dafür werden Sanktionen für Verstöße gegen das Hinweisgeberschutzgesetz explizit als Bußgelder benannt und auch deren maximale Höhe je nach Art des Verstoßes ist genau festgelegt. Der deutsche Entwurf für das Hinweisgeberschutzgesetz beinhaltet auch die durch das EU-Recht eingeräumte Möglichkeit, Ausnahmen festzulegen, bei denen die Verpflichtung zur Einrichtung einer internen Meldestelle unabhängig von der Mitarbeiterzahl besteht. Neben diesen Konkretisierungen unterscheidet sich das deutsche Hinweisgeberschutzgesetz nur geringfügig von der EU-Hinweisgeberrichtlinie. Das sollte die Behandlung von Fällen rund ums Whistleblowing auf Landes- und EU-Ebene erleichtern.

Ihr Unternehmen hat mehr als 50 Mitarbeiter und Sie sind zum Hinweisgeberschutz verpflichtet. Lassen Sie sich zur Rechtslage nach dem Hinweisgeberschutzgesetz (HinSchG) beraten. Mit der Implementierung eines Hinweisgebersystem geben Sie Hinweisgebenden anonym die Möglichkeit Compliance-Verstöße zu melden und Ihr Unternehmen profitiert durch eine von Offenheit und Ehrlichkeit geprägten Unternehmenskultur.
Müssen Sie die Datenschutzrechtlichen Bestimmungen in Ihrem Unternehmen einhalten und benötigen Hilfe bei der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten (VVT). Frank Müns hilft Ihnen als TÜV-zertifizierter Datenschutzbeauftragter durch persönliche Beratung und einer gesetzeskonformen Datenschutzorganisation. Neben seiner langjährigen Erfahrung in der Umsetzung der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) sorgt Frank Müns als Geschäftsführer der Immerce GmbH für Diskretion, Professionalität und Sorgfalt. Ebenso profitieren Sie durch seine Expertise im Bereich IT Sicherheit nach ISO 27001 sowie BSI Grundschutz. Durch ständige Fortbildungen und Zertifizierungen ist Frank Müns immer up-to-date was Ihre Beratung betrifft.

Firmenkontakt
Immerce Consulting GmbH
Frank Müns
Kemptener Straße 9
87509 Immenstadt
+49 (0) 8323 – 209 99 40
info@immerce.de
https://www.immerce-consulting.de/

Pressekontakt
Immerce GmbH
Carvin Müns
Kemptener Straße 9
87509 Immenstadt
+49 (0)8323 – 209 99 40
carvin.muens@immerce.de
https://www.immerce-consulting.de/

Die Bildrechte liegen bei dem Verfasser der Mitteilung.