Die Richtlinie setzt neue Compliance Pflichten fest. Konkret sollen Unternehmen Möglichkeiten für Mitarbeiter und Dritte schaffen, vermeintliche und tatsächliche Missstände anonym zu melden (= internes Hinweisgebersystem). So soll die Unternehmensführung Kenntnis von (vermeintlichen) Missständen erlangen und darauf reagieren können. Der nationale Gesetzgeber muss die Richtlinie umsetzen. Der entsprechende Referentenentwurf liegt nun vor und ist hier abrufbar: Link.
Die EU-Hinweisgeberrichtlinie gilt für sämtliche Unternehmen ab 50 Mitarbeiter oder Unternehmen mit einem Umsatz ab EUR 10 Mio./ Jahr. Unternehmen aus dem Bereich der Finanzdienstleistungen müssen unabhängig von der Anzahl der Mitarbeiter interne Hinweisgebersysteme einrichten.
Des Weiteren entfaltet die EU-Hinweisgeberrichtlinie bereits heute weitgehenden Schutz für Mitarbeiter. Diese dürfen Missstände sowohl an das eigene Unternehmen als auch an externe Stellen (Behörden) melden, ohne arbeitsrechtliche Sanktionen fürchten zu müssen. Dies gilt vor allem dann, wenn kein internes Hinweisgebersystem zur Verfügung steht.
Mitarbeiter, Kunden, Lieferanten und sonstige Dritte dürfen – Stand heute – Verstöße gegen EU-Recht (z.B. Datenschutzrecht), Verstöße gegen nationales Recht (z.B. Arbeitszeitverstöße) sowie Verstöße gegen interne Regelwerke an das interne oder externe Hinweisgebersystem melden.
Der Gesetzgeber hat das ausdrückliche Ziel, dass sich gerade mittelständische Unternehmen aktiver mit dem Thema Compliance auseinandersetzen und erste Maßnahmen ergreifen. Um diese Ziele durchzusetzen und den Druck zu erhöhen, sollen Behörden nun eigene, so genannte externe Hinweisgebersysteme bereitstellen. So sollen Behörden Kenntnis von Missständen innerhalb der Unternehmen erlangen. Auch dürfen Mitarbeiter Missstände direkt an die Öffentlichkeit geben, falls Unternehmen oder Behörden ihren Hinweisen nicht nachgehen. Insgesamt müssen sich Unternehmen also auf einen „schärferen Wind“ des Gesetzgebers einstellen, der sich insbesondere auf Missstände und Regelverstöße innerhalb der Privatwirtschaft konzentriert.
Ja. Compliance Verstöße führen oft zu einer persönlichen Haftung der Beteiligten. Compliance Verstöße können auch zur persönlichen Haftung der (unbeteiligten) Geschäftsführer führen, wenn diese keine Vorsorgemaßnahmen getroffen haben, wie zum Beispiel die Einrichtung eines internen Hinweisgebersystems. Der Verstoß gegen die neue Verpflichtung, ein solches internes Hinweisgebersystem einzuführen, erhöht die Haftungsrisiken zusätzlich.
Die Whistleblower-Richtlinie gibt vor, dass die Datenverarbeitung nicht gegen die Datenschutzgrundverordnung verstoßen darf. Dies macht die Etablierung von Hinweisgebersystemen in der Praxis nicht einfacher. Die Whistleblower-Richtlinie schützt schließlich den einzelnen Hinweisgeber, während die DSGVO neben dem Hinweisgeber auch den Beschuldigten schützt. Hier kann es also zu Kollisionen kommen.
Unternehmen sollten mit Augenmaß reagieren. Konkret ist es ein guter Rat, mit einem Experten über die Ausgangslage im eigenen Unternehmen zu sprechen und mit einem „Sicherheitsabstand“ zum Inkrafttreten der neuen Regelungen zum 17. Dezember 2021, also im 2. oder 3. Quartal 2021, ein eigenes internes Hinweisgebersystem zu etablieren. Hier bietet sich die Beauftragung einer externen Compliance Vertrauensstelle an, die ein solches Hinweisgebersystem als externer Dienstleister (kostengünstig) zur Verfügung stellen kann. Damit enthaftet sich die Geschäftsführung und das Unternehmen erfüllt die neuen Pflichten.