Anforderungen an Hinweisgeberverfahren nach der EU Whistleblower Directive und dem Lieferkettensorgfaltspflichtengesetz – ein Überblick

Unabhängig von gesetzlichen Anforderungen ist die Einrichtung und Ausgestaltung von Hinweisgeberverfahren ein Kernelement jedes soliden Compliance Management Systems (CMS). Studien zufolge korreliert die Vorhaltung von Hinweisgeberverfahren auch positiv mit einer günstigen Geschäftsentwicklung, insbesondere größerer Profitabilität und Produktivität, weniger Klageverfahren, geringeren Kosten bei streitigen Auseinandersetzungen und weniger Verdachtsmeldungen aus externen Quellen.[1] Dennoch stellt die Einführung von Hinweisgeberverfahren Unternehmen in der Praxis häufig vor Herausforderungen. Diese werden nicht geringer, denn mit dem im letzten Jahr verabschiedeten Lieferkettensorgfaltspflichtengesetz (LkSG) und dem Ablauf der Umsetzungsfrist der EU Whistleblower Directive (EU WBD) im Dezember 2021, werden gut aufgestellte Hinweisgeberverfahren noch wichtiger. Um diese im Unternehmen passgenau – das heißt auf die Risiken und Bedürfnisse des Unternehmens zugeschnitten – einzuführen, muss man die entsprechenden gesetzlichen Anforderungen genau kennen. Solange der deutsche Gesetzgeber den Entwurf eines Hinweisgeberschutzgesetzes (E-HinSchG) noch nicht in ein Gesetz überführt hat, bleibt die EU WBD bis auf Weiteres der wesentliche belastbare Bezugspunkt. Die EU WBD befasst sich vollständig mit dem Thema Hinweisgeberverfahren, das LkSG in einem Abschnitt. In diesem überschneiden sich beide also und benennen dabei teilweise ähnliche, teilweise voneinander abweichende Anforderungen – ein guter Grund, einen näheren Blick auf die Anforderungen insgesamt und auch auf Unterschiede zwischen EU WBD und LkSG zu werfen. Dann lassen sich auf gesicherter Grundlage gesetzeskonforme Lösungen zur Einrichtung von Hinweisgeberverfahren entwickeln. [2]

Wo decken sich Anforderungen aus EU WBD und LkSG beim Thema Hinweisgeberverfahren und wo gehen sie auseinander?

 

1. Anwendungsbereich und Geltungsbeginn

Zunächst einmal unterscheidet sich der Anwendungsbereich der beiden Regelwerke.[3]

EU WBD ist auf ein Unternehmend anwendbar, wenn …

LkSG ist auf ein Unternehmen anwendbar, wenn …

es eine juristische Person des privaten Sektors mit 50 oder mehr Arbeitnehmern ist (Art. 8 Abs. 3)

es seine Hauptverwaltung, Hauptniederlassung, Verwaltungssitz oder satzungsmäßigen Sitz im Inland hat und in der Regel mindestens 3.000 Arbeitnehmer im Inland beschäftigt (ins Ausland entsandte Arbeitnehmer sind erfasst) oder eine Zweigniederlassung im Inland hat und in der Regel mindestens 3.000 Arbeitnehmer im Inland beschäftigt; Leiharbeitnehmer sind bei der Berechnung der Arbeitnehmerzahl des Entleihunternehmens zu berücksichtigen, wenn die Einsatzdauer sechs Monate übersteigt; innerhalb von verbundenen Unternehmen sind die im Inland beschäftigten Arbeitnehmer sämtlicher konzernangehöriger Gesellschaften bei der Berechnung der Arbeitnehmerzahl der Obergesellschaft zu berücksichtigen (ins Ausland entsandte Arbeitnehmer sind erfasst) (§ 1)

 

Hinsichtlich des Geltungsbeginns sind unterschiedliche Zeitrahmen definiert.

EU WBD gilt …	LkSG gilt …
für juristische Personen ab 250 Arbeitnehmern ab 17.12.2021 (Datum der Umsetzungspflicht durch Mitgliedstaaten) (Art. 26 Abs. 1)	ab 01.01.2023 (Art. 5 Abs. 1)
für juristische Personen von 50 bis 249 Arbeitnehmern ab 17.12.2023 (Datum der Umsetzungspflicht durch Mitgliedstaaten) (Art. 26 Abs. 2)

 

2. Inhalte der Hinweise

Auch bei den Tatbeständen, zu denen Hinweise ermöglicht werden sollen, gibt es Unterschiede.

EU WBD fordert Mindeststandards für den Schutz von Personen, die Verstöße gegen das Unionsrecht in folgenden Bereichen melden (Art. 2 Abs. 1):	LkSG fordert die Einrichtung von Beschwerdeverfahren, welches Hinweise ermöglicht auf (§ 8 Abs. 1 S. 2):
Öffentliches Auftragswesen	Menschenrechtliche oder umweltbezogene Risiken, die durch das wirtschaftliche Handeln eines Unternehmens im eigenen Geschäftsbereich oder eines unmittelbaren Zulieferers entstanden sind
Finanzdienstleistungen, Finanzprodukte und Finanzmärkte sowie Verhinderung von Geldwäsche und Terrorismusfinanzierung	Verletzung menschenrechtsbezogener oder umweltbezogener Pflichten, die durch das wirtschaftliche Handeln eines Unternehmens im eigenen Geschäftsbereich oder eines unmittelbaren Zulieferers entstanden sind
Produktsicherheit und -konformität
Verkehrssicherheit
Umweltschutz
Strahlenschutz und kerntechnische Sicherheit
Lebensmittel- und Futtermittelsicherheit, Tiergesundheit und Tierschutz
Öffentliche Gesundheit
Verbraucherschutz
Schutz der Privatsphäre und personenbezogener Daten sowie Sicherheit von Netz- und Informationssystemen
Verstöße gegen die finanziellen Interessen der Union
Verstöße gegen die Binnenmarktvorschriften, einschließlich Verstöße gegen Unionsvorschriften über Wettbewerb und staatliche Beihilfen, sowie Verstöße gegen die Binnenmarktvorschriften in Bezug auf Handlungen, die die Körperschaftsteuer-Vorschriften verletzen oder in Bezug auf Vereinbarungen, die darauf abzielen, sich einen steuerlichen Vorteil zu verschaffen, der dem Ziel oder dem Zweck des geltenden Körperschaftsteuerrechts zuwiderläuft
Mitgliedstaaten können den Schutz auf weitere Bereiche ausdehnen[4]

 

3. Hinweisgeberverfahren und -kanäle

Bei den Anforderungen, die an die Einrichtung der internen Hinweisgeberverfahren und -kanäle gestellt werden, gibt es zwischen EU WBD und LkSG Überschneidungen, aber auch Unterschiede. Im Folgenden werden die wesentlichen gemeinsamen oder zumindest ähnlichen Anforderungen beschrieben, also der „gemeinsame Nenner“, und die jeweils konkrete Ausgestaltung in EU WBD und LkSG. Neben dem Gesetzestext werden teilweise auch Hinweise aus den Erwägungsgründen (EG) zur EU WBD oder der Gesetzesbegründung zum LkSG berücksichtigt.

Gemeinsame Anforderungen	EU WBD konkret	LkSG konkret
Einrichtung von Kanälen und Verfahren zur Meldung von Verstößen	Einrichtung von Kanälen und Verfahren für interne Meldungen und für Folgemaßnahmen (Art. 8 Abs. 1)	Unternehmen hat dafür zu sorgen, dass ein angemessenes unternehmensinternes Beschwerdeverfahren eingerichtet ist (§ 8 Abs. 1 S. 1)
Bereitstellung von Informationen	Bereitstellung zweckdienlicher Informationen über die Nutzung der internen Meldekanäle (Art. 7 Abs. 3) Die Informationen könnten etwa an einer sichtbaren, für diesen gesamten Personenkreis zugänglichen Stelle sowie auf der Unternehmenswebsite veröffentlicht werden und auch in Kursen und Schulungen zum Thema Ethik und Integrität behandelt werden (EG 59)	Unternehmen legt eine Verfahrensordnung in Textform fest, die öffentlich zugänglich ist (§ 8 Abs. 2) Unternehmen muss in geeigneter Weise klare und verständliche Informationen zur Erreichbarkeit und Zuständigkeit und zur Durchführung des Beschwerdeverfahrens öffentlich zugänglich machen (§ 8 Abs. 4 S. 1) Gesetzesbegründung nennt die Gewährleistung von Zugang und Nutzung des Mechanismus, zum Beispiel durch die Bereitstellung einer barrierefreien Website oder von barrierefreien Beschwerdeformularen und E-Mail-Adressen (BT-Drucks. 19/28649, S. 50)
Abgabe von Hinweisen durch Personen innerhalb und außerhalb des Unternehmens	EU WBD gewährt Schutz außer Arbeitnehmern des Unternehmens auch solchen von Lieferanten und anderen Dritten, die mit dem Hinweisgeber in Verbindung stehen und in einem beruflichen Kontext Repressalien erleiden könnten (Art. 4) Kanäle und Verfahren müssen den Arbeitnehmern der juristischen Person die Meldung von Informationen über Verstöße ermöglichen. Sie können auch anderen Personen, die im Rahmen ihrer beruflichen Tätigkeiten mit der juristischen Person im Kontakt stehen, die Meldung von Informationen über Verstöße ermöglichen (Art. 8 Abs. 2) Interne Meldeverfahren sollten juristische Personen des privaten Sektors in die Lage versetzen, nicht nur den Meldungen ihrer Arbeitnehmer bzw. der Arbeitnehmer ihrer Tochterunternehmen oder verbundenen Unternehmen unter vollständiger Wahrung der Vertraulichkeit nachzugehen, sondern soweit möglich auch den Meldungen der Arbeitnehmer von Vertretern und Lieferanten der Gruppe sowie von Personen, die im Rahmen ihrer beruflichen Tätigkeit mit dem Unternehmen und der Gruppe Informationen erhalten (EG 55)	Beschwerdeverfahren muss für potenzielle Beteiligte zugänglich sein (§ 8 Abs. 4 S. 2) Unternehmen muss das Beschwerdeverfahren so einrichten, dass es Personen auch ermöglicht, auf menschenrechtliche oder umweltbezogene Risiken sowie auf Verletzungen menschenrechtsbezogener oder umweltbezogener Pflichten hinzuweisen, die durch das wirtschaftliche Handeln eines mittelbaren Zulieferers entstanden sind (§ 9 Abs. 1)
Bestimmung einer unparteiischen Person für Entgegennahme und Verarbeitung der Hinweise; Vertraulichkeit	Bereitstellung von Meldekanälen intern von einer hierfür benannten Person oder Abteilung oder extern von einem Dritten (Art. 8 Abs. 5) Meldekanäle müssen so sicher konzipiert, eingerichtet und betrieben werden, dass die Vertraulichkeit der Identität des Hinweisgebers gewahrt bleibt und nicht befugten Mitarbeitern der Zugriff verwehrt wird (§ 9 Abs. 1 a)) Benennung einer unparteiischen Person oder Abteilung, die für die Folgemaßnahmen zu den Meldungen zuständig ist (kann identisch mit Stelle sein, die Meldungen entgegennimmt) (Art. 9 Abs. 1 c)) Dritte können ermächtigt werden, sofern sie Garantien für Unabhängigkeit und Vertraulichkeit, des Datenschutzes und der Geheimhaltung bieten (EG 54)	Von dem Unternehmen mit der Durchführung des Verfahrens betraute Personen müssen Gewähr für unparteiisches Handeln bieten, insbesondere müssen sie unabhängig und an Weisungen nicht gebunden sein. Sie sind zur Verschwiegenheit verpflichtet. (§ 8 Abs. 3) Das Beschwerdeverfahren muss die Vertraulichkeit der Identität wahren und wirksamen Schutz vor Benachteiligung oder Bestrafung aufgrund einer Beschwerde gewährleisten (§ 8 Abs. 4 S. 2)
Bereitstellung der Meldekanäle auch durch einen Dritten möglich; Ressourcenteilung	Bereitstellung von Meldekanälen auch extern von einem Dritten; genannte Garantien und Anforderungen gelten auch für Dritte, die damit beauftragt sind, den Meldekanal für das Unternehmen zu betreiben (Art. 8 Abs. 5) Juristische Personen des privaten Sektors mit 50-249 Arbeitnehmern können für die Entgegennahme von Meldungen und für möglicherweise durchzuführende Untersuchungen Ressourcen teilen (Art. 8 Abs. 6)[5]	„Die von dem Unternehmen mit der Durchführung des Verfahrens betrauten Personen“ (§ 8 Abs. 3) können grundsätzlich auch Dritte sein Unternehmen können entweder ein unternehmensinternes Beschwerdeverfahren einrichten oder sich an einem externen Beschwerdeverfahren beteiligen, sofern es die genannten Kriterien erfüllt (§ 8 Abs.1 S. 6) Gesetzesbegründung nennt exemplarisch Beschwerdemechanismus, der unternehmensübergreifend von einem Branchenverband eingerichtet worden ist (BT-Drucks. 19/28649, S. 49)
Bestätigung des Hinweiseingangs gegenüber dem Hinweisgeber	Innerhalb einer Frist von sieben Tagen nach Abgabe des Hinweises Bestätigung des Eingangs an den Hinweisgeber (Art. 9 Abs. 1 b))	Der Eingang des Hinweises ist den Hinweisgebern zu bestätigen (§ 8 Abs. 1 S. 3)
Kontakt mit dem Hinweisgeber; Ergreifung weiterer Maßnahmen	Unparteiische Person oder Abteilung nimmt Meldungen entgegen, bleibt mit dem Hinweisgeber in Kontakt, ersucht diesen erforderlichenfalls um weitere Informationen und gibt ihm Rückmeldung (Art. 9 Abs.1 c)) Ergreifung ordnungsgemäßer Folgemaßnahmen[6] (Art. 9 Abs. 1 d) und e) Rückmeldung an den Hinweisgeber innerhalb einer Frist von drei Monaten ab Bestätigung des EIngangs der Meldung, wenn der Eingang dem Hinweisgeber nicht bestätigt wurde – drei Monate nach Ablauf der Frist von sieben Tagen nach Eingang der Meldung (Art. 9 Abs.1 f))	Vom Unternehmen mit der Durchführung des Verfahrens betraute Personen haben den Sachverhalt mit den Hinweisgebern zu erörtern (§ 8 Abs. 1 S. 4)
Dokumentation	Unternehmen dokumentieren Meldungen im Einklang mit Vertraulichkeitspflichten und bewahren diese nicht länger auf als erforderlich und verhältnismäßig (Art. 18 Abs. 1)	Erstellung und Veröffentlichung eines jährlichen Berichts, u. a. ist darzulegen, welche Maßnahmen das Unternehmen aufgrund von Beschwerden getroffen hat (§ 10 Abs. 2 Nr. 2)
Schutz vor Repressalien	Jede Form von Repressalien (Kündigung, negative Leistungsbeurteilung u. a.) ist verboten (Art. 19)	Das Beschwerdeverfahren muss wirksamen Schutz vor Benachteiligung oder Bestrafung aufgrund einer Beschwerde gewährleisten (§ 8 Abs. 4 S. 2)

 

4. Besonderheiten

Neben diesen Gemeinsamkeiten gibt es auch Besonderheiten bei den Anforderungen zwischen beiden Regelwerken.

Besonderheiten EU WBD	Besonderheiten LkSG
Erteilung klarer und leicht zugänglicher Informationen über die Verfahren für externe Meldungen an die zuständigen Behörden oder sonstigen Stellen (Art. 9 Abs. 1 g))	Einmal jährlich sowie anlassbezogen ist Wirksamkeit des Beschwerdeverfahrens zu überprüfen (§ 8 Abs. 5)
Meldekanäle müssen Meldung in schriftlicher und mündlicher (Telefon oder andere Sprachübermittlung, physische Zusammenkunft) Form bzw. in beiden Formen ermöglichen (Art. 9 Abs. 2)	Liegen einem Unternehmen tatsächliche Anhaltspunkte vor, die eine Verletzung menschenrechtsbezogener oder umweltbezogener Pflichten bei mittelbaren Zulieferern möglich erscheinen lassen (substantiierte Kenntnis), so hat das Unternehmen anlassbezogen unverzüglich die im LkSG genannten Maßnahmen zu ergreifen (Risikoanalyse, Präventionsmaßnahmen u. a.) (§ 9 Abs. 3)
EU WBD gewährt Schutz auch bei Abgabe anonymer Meldungen (Art. 6 Abs. 2), Mitgliedstaaten entscheiden aber, ob Meldestellen zur Entgegennahme und Weiterverfolgung anonymer Meldungen von Verstößen verpflichtet sind[7]	Keine ausdrückliche Regelung zum Umgang mit anonymen Meldungen

 

5. Rechtsfolgen

Rechtsfolgen EU WBD, insbesondere:	Rechtsfolgen LkSG, insbesondere:
In Verfahren vor einem Gericht oder einer anderen Behörde, die sich auf eine vom Hinweisgeber erlittene Benachteiligung beziehen und in denen der Hinweisgeber geltend macht, diese Benachteiligung infolge seiner Meldung oder der Offenlegung erlitten zu haben, wird vermutet, dass die Benachteiligung eine Repressalie für die Meldung oder Offenlegung war. In diesen Fällen obliegt es der Person, die die benachteiligende Maßnahme ergriffen hat, zu beweisen, dass diese Maßnahme auf hinreichend gerechtfertigten Gründen basierte (Art. 21 Abs. 5)	Geldbuße bis 800.000 €, wenn Beschwerdeverfahren nicht eingerichtet ist (§ 24 Abs.1 Nr. 8, Abs. 2 Nr. 1 a)
Mitgliedsstaaten müssen wirksame, angemessene und abschreckende Sanktionen für natürliche oder juristische Personen festlegen, die a) Meldungen behindern oder zu behindern versuchen; b) Repressalien gegen die in Artikel 4 genannten Personen ergreifen; c) mutwillige Gerichtsverfahren gegen die in Artikel 4 genannten Personen anstrengen oder d) gegen die Pflicht gemäß Artikel 16 verstoßen, die Vertraulichkeit der Identität von Hinweisgebern zu wahren[8] (Art. 23)	Bei einer juristischen Person oder Personenvereinigung mit einem durchschnittlichen Jahresumsatz von mehr als 400 Millionen € Geldbuße bis zu 2% des durchschnittlichen Jahresumsatzes möglich (§ 24 Abs. 3)

 

6. Umsetzung in Unternehmen

Im Wesentlichen machen sowohl EU WBD als auch LkSG Vorgaben zur Ausgestaltung von Hinweisgeberverfahren und Hinweisgeberkanälen. Ein „Verfahren“ beschreibt hier insbesondere unternehmensintern zu bestimmende Regeln und Prozesse, wie die Abgabe von Hinweisen ermöglicht und bei Eingang von Hinweisen mit diesen verfahren wird. Bei der Frage des „Kanals“ geht es darum, wie die Hinweise zu der im Unternehmen für die Bearbeitung von Meldungen zuständigen Person oder Abteilung gelangen. Hierzu machen weder EU WBD noch LkSG konkrete „technische“ Vorgaben, solange die genannten Anforderungen erfüllt werden. Vor allem größere Unternehmen entscheiden sich hier für ein elektronisches Hinweisgebersystem, um Aufgaben an Verantwortliche Tool-gestützt zuzuweisen und zu dokumentieren. Fest steht indes, dass für die Entgegennahme und Verarbeitung der Hinweise eine „unparteiische“ Person oder Abteilung bestimmt werden muss. Diese muss nach der EU WBD die Vertraulichkeit der Identität des Hinweisgebers und Dritter, die in der Meldung genannt werden, wahren und nach dem LkSG zur Verschwiegenheit verpflichtet sein. Diese Anforderung setzt den Einsatz einer verantwortlichen Person voraus, sei es ein Unternehmensmitarbeiter (etwa der Compliance Officer) oder eine vom Unternehmen beauftragte Vertrauensperson, wofür sich insbesondere eine Ombudsperson (auch „Vertrauensanwalt“) anbietet. Eine Ombudsperson kann als oben genannte unparteiische Person die Voraussetzungen von Vertraulichkeit und Verschwiegenheit bei überschaubaren Kosten erfüllen. Sie ist eine unabhängige, aber unternehmensnahe Stelle. Mit einer Erstbewertung von Hinweisen, ggf. mit Handlungsempfehlung an das auftraggebende Unternehmen kann sie zudem erheblich zur Entlastung von Rechts- und Compliance-Abteilungen beitragen.

Fazit

Da sich die verschiedenen Anforderungen von EU WBD und LkSG nicht widersprechen, sondern entweder überschneiden oder ergänzen, ist es für Unternehmen grundsätzlich möglich und zumeist auch sinnvoll, die Anforderungen aus beiden Regelwerken in einem Verfahren und Kanal abzubilden. Es sollte hierbei jedoch stets darauf geachtet werden, die jeweils strengeren Anforderungen der einzelnen Verfahren umzusetzen. Auch die Bedeutung lokaler Anforderungen (etwa aus nationalen Gesetzen der Länder, in denen Tochtergesellschaften ansässig sind) ist ausreichend Aufmerksamkeit zu schenken.

In jedem Fall benötigen Unternehmen unabhängig von ihrer Größe individuelle Lösungen, um die rechtlichen Vorgaben sauber umzusetzen.

 

Den Artikel herunterladen

Nehmen Sie gerne Kontakt mit mir auf, wenn Sie die Einführung eines effektiven Hinweisgeberverfahrens bzw. einer Ombudsstelle für Ihr Unternehmen erörtern möchten.

[1] Stubben, Stephen and Welch, Kyle, Evidence on the Use and Efficacy of Internal Whistleblowing Systems (February 29, 2020). Available at SSRN: ssrn.com/abstract or dx.doi.org/10.2139/ssrn.

[2] Dieser Beitrag ermöglicht eine erste Orientierung zu den Voraussetzungen an Hinweisgeberverfahren, ersetzt aber keine Rechtsberatung.

[3] In der folgenden Zusammenfassung wird der Schwerpunkt auf privatwirtschaftliche Unternehmen gelegt und Besonderheiten des öffentlichen Sektors ausgeklammert.

[4] Der E-HinSchG sah entsprechend eine Erweiterung auf straf- oder bußgeldbewehrte Verstöße vor. Hierauf konnte sich die letzte Regierung aber nicht einigen. Sachliche Gründe dagegen sind nicht erkennbar. Es ist kaum vorstellbar und auch den Hinweisgebern nur schwer zu vermitteln, wenn Unternehmen ein Hinweisgeberverfahren für Verstöße gegen Unionsrecht vorhalten, aber die Meldung straf- und bußgeldbewerter Verstöße ausklammern. Entsprechend sollten letztere grundsätzlich berücksichtigt werden.

[5] Die European Commission Expert Group hat mit Schreiben vom 14.06.2021 und die Europäischen Kommission mit Schreiben vom 02.06., 29.06. und 16.07.2021 klargestellt, dass (1) diese Ausnahme nicht für Unternehmen ab 250 Mitarbeiter gilt, selbst wenn diese als Konzernunternehmen eine Konzernlösung nutzen (etwa ein elektronisches Hinweisgebersystem mit zentralisierter Zuständigkeit in einer Gruppenfunktion) und (2) auch Unternehmen im Bereich 50 bis 249 Pflichten insbesondere hinsichtlich der lokalen Zugänglichkeit und transparenter Information über die Art und Weise der Meldungsbearbeitung behalten.

[6] „Folgemaßnahmen“ in Art. 5 Nr. 12 legaldefiniert als ergriffene Maßnahmen zur Prüfung der Stichhaltigkeit der in der Meldung erhobenen Behauptungen und gegebenenfalls zum Vorgehen gegen den gemeldeten Verstoß, unter anderem durch interne Nachforschungen, Ermittlungen (…) oder Abschluss des Verfahrens.

[7] Das E-HinSchG sah keine verpflichtende Vorgaben für den Umgang mit anonymen Hinweisen vor. Weder interne noch externe Meldestellen sollten verpflichtet werden, technische Mittel oder Verfahren für anonyme Meldungen vorzuhalten.

[8] Der E-HinschG sah hier Bußgelder bis 100.000 € vor.