Unternehmer und Geschäftsführer von KMU mit mehr als 50 Mitarbeitern sollten wissen, auf welche Anforderungen sie bei der Umsetzung der EU-Hinweisgeber-Richtlinie besonders achten sollten und welche Meldekanäle überhaupt in Frage kommen.

Viele Unternehmen, insbesondere im Mittelstand, stehen vor der Herausforderung, entsprechende Hinweisgebersysteme und Abläufe einzuführen. Dabei werden seitens der EU-Hinweisgeber-Richtlinie einige Anforderungen an eine entsprechende Hinweisgeberlösung gestellt.

Hintergrund der EU-Hinweisgeber-Richtlinie
Die Ende 2019 veröffentlichte EU-Hinweisgeber-Richtlinie schützt natürliche Personen, die Verstöße gegen das geltende Recht melden bzw. veröffentlichen und deswegen oftmals auch als Hinweisgeber oder Whistleblower bezeichnet werden. Mitarbeiter eines Unternehmens sollen zukünftig die Möglichkeit bekommen, solche Verstöße dem eigenen Unternehmen intern anonym melden zu können. Darum verpflichtet die neue Hinweisgeber-Richtlinie Unternehmen mit mehr als 250 Mitarbeitern, bis Ende 2021 Meldekanäle für Hinweisgeber einzurichten und Verfahren für die Bearbeitung der Meldungen sowie die Steuerung von Folgemaßnahmen zu etablieren, für KMU mit mehr als 50 Mitarbeitern gilt diese Pflicht nach einer Übergangszeit von zwei Jahren. 

Überblick: Welche Anforderungen sind beim Hinweisgeberschutz zu beachten?
Die von der Hinweisgeber-Richtlinie erfassten juristischen Personen (Unternehmen mit mehr als 50 Mitarbeitern) sind verpflichtet, interne Meldekanäle einzurichten.
Die Meldekanäle müssen dabei folgende Anforderungen erfüllen:
  • Die Meldung eines Vorfalls muss schriftlich oder mündlich möglich sein. Auf Wunsch des Hinweisgebers soll ein persönlicher Austausch stattfinden können.
  • Melden können alle Personen, die im Rahmen ihrer beruflichen Tätigkeit mit dem Unternehmen in Kontakt stehen, d.h. sowohl eigene Mitarbeiter als auch externe Geschäftspartner und deren Mitarbeiter.
  • Die potentiellen Hinweisgeber müssen klare und leicht zugängliche Informationen über die Meldemöglichkeiten und die weiteren Abläufe erhalten. Dies kann z.B. auf der Unternehmenswebsite erfolgen.
  • Die Bearbeitung der Hinweise in den dafür eingerichteten Meldekanälen muss die Vertraulichkeit des Hinweisgebers wahren und darf keinen Zugriff unbefugter Dritter auf die Meldungen zulassen.
  • Alle rechtlichen Bedingungen des Datenschutzes bzw. der DSGVO sind unbedingt einzuhalten. Dies gilt für die personenbezogenen Daten aller Beteiligten, also den Hinweisgeber, die vom Hinweis betroffenen Personen und auch etwaige Beobachter.
  • Sofern ein Betriebsrat vorhanden ist, hat eine Abstimmung über die Einrichtung des Hinweisgebersystems zu erfolgen.
  • Die Meldekanäle können intern betrieben werden. Ebenso können diese von einem Dritten bereitgestellt werden.

Mitarbeiter eines Unternehmens sollen zukünftig die Möglichkeit bekommen, solche Verstöße dem eigenen Unternehmen intern anonym melden zu können.


Wie muss das Unternehmen nach der Meldung eines Hinweises reagieren?
Das Unternehmen legt das Verfahren für die Bearbeitung der Meldungen und das Ergreifen von Folgemaßnahmen fest. Dabei sind folgende Aspekte zu beachten:
  • Zunächst sind unparteiische Personen auszuwählen und zu benennen, die etwaige Meldungen bearbeiten und mit dem Hinweisgeber kommunizieren. Geeignet dafür sind z. B. der Leiter Compliance, Leiter Personal, Leiter Finanzen oder Leiter Audit. Ebenso kommen der Leiter der Rechtsabteilung oder der Datenschutzbeauftragte in Frage. Die Aufgaben können auch an einen externen Experten übergeben werden.
  • Dieser Bearbeiter muss alle eingehenden Meldungen entgegennehmen. Es dürfen keine Meldungen seitens des Unternehmens aktiv verzögert oder ignoriert werden.
  • Dem Hinweisgeber ist innerhalb von sieben Tagen der Eingang der Meldung zu bestätigen.
  • Es sind Folgemaßnahmen zu ergreifen, insbesondere eine Prüfung der Stichhaltigkeit des Hinweises und die Veranlassung von Nachforschungen.
  • Spätestens nach drei Monaten ist der Hinweisgeber über die ergriffenen Folgemaßnahmen zu informieren.
  • Alle eingehenden Meldungen und die eingeleiteten Maßnahmen sind so zu dokumentieren, dass diese später als Beweismittel genutzt werden könnten.
Betreiben des Hinweisgebersystems
Die Bearbeitung von Meldungen soll durch unabhängige Personen erfolgen, die selbst keinem Interessenkonflikt ausgesetzt sind. Dies ist insbesondere in mittelständischen Unternehmen, die keinen eigenständigen Compliance-Bereich haben, schwer zu erfüllen. Denn sofern z. B. der Personalbereich oder die Finanzabteilung stark in operative Abläufe involviert und eng an die Unternehmensleitung angebunden sind, fehlt oftmals die notwendige Distanz und Neutralität.

In solchen Konstellationen bietet sich eine Outsourcing-Lösung an: Externe Experten mit entsprechender Erfahrung sorgen zum einen für eine vertrauliche Kommunikation mit dem Hinweisgeber. Zum anderen hat ein solches Modell den Vorteil, dass ein professioneller Betreiber von Hinweisgeberlösungen mehr Routine durch den regelmäßigen Umgang mit Hinweisgebern und kritischen Meldungen hat als ein einzelnes Unternehmen, das nur wenige Meldungen pro Jahr erhält.

Schritte für die Umsetzung
Die EU-Hinweisgeber-Richtlinie verpflichtet Unternehmer und Geschäftsführer zur Einführung von Meldekanälen für Whistleblower und zum Ergreifen konkreter Maßnahmen zur Verfolgung der eingehenden Hinweise. 

Als geeignete Hinweisgeber-Systeme haben sich in der Praxis digitale Lösungen bewährt. Die professionelle, vertrauliche und effiziente Bearbeitung von Hinweisen sollte insbesondere bei mittelständischen Unternehmen an externe Dienstleister übertragen werden.

Der Autor
Dirk Libuda ist Gründer und Inhaber von DILICOman, dem digitalem Whistleblowing- und Compliance-Service für mittelständische Unternehmen. Als langjährig erfahrener Compliance-Experte berät er zudem bei der Einführung und beim Betrieb von Hinweisgebersystemen sowie Compliance-Programmen.
 

Veranstaltungshinweis
Am Montag, 28. Juni bietet die IHK von 10 bis 11 Uhr ein Webinar zum neuen Hinweisgeberschutz im Mittelstand an. Die Anmeldung finden Sie untenstehend.