Compliance:Wie Firmen Whistleblower schützen müssen

PantherMedia 22045643

Wer auf Unregelmäßigkeiten in seiner Firma hinweist, muss geschützt werden. Das soll nun durch ein Gesetz geregelt werden.

(Foto: PantherMedia/Monkeybusiness)

Die EU verschafft Arbeitnehmern, die vor Missständen warnen, künftig mehr Sicherheit. Noch fehlt in Deutschland ein passendes Gesetz. Doch Unternehmen sollten sich vorbereiten.

Von Katharina Kutsche, Hannover

In knapp einem Monat läuft eine Frist ab, die Deutschland ein Vertragsverletzungsverfahren bescheren könnte. Bis zum 17. Dezember nämlich haben die EU-Mitgliedsstaaten Zeit, eine EU-Richtlinie in nationales Recht umzusetzen, die Whistleblower - Menschen, die auf Missstände hinweisen - besser schützen soll.

Die Bundesregierung hat es jedoch nicht geschafft, sich in der abgelaufenen Legislaturperiode auf einen Gesetzesentwurf zu einigen. Dass ein neuer Anlauf bis nächsten Monat gelingt, ist sehr unwahrscheinlich. Trotzdem ist es für Unternehmen sinnvoll, jetzt schon aktiv zu werden. Denn Hinweisgeber können sich ab dem Stichtag trotzdem auf die Richtlinie berufen und unter Umständen die Bundesrepublik auf Schadenersatz verklagen: Ein Einzelner darf keinen Schaden erleiden, bloß weil ein Staat eine Frist versäumt.

Inwiefern gilt der Schutz?

Die Richtlinie schützt all jene, die nach bestem Wissen auf Missstände hinweisen, die unter EU-Recht fallen, etwa zu Umwelt- und Tierschutz, Produktsicherheit, Datenschutz, Geldwäsche und Terrorismusfinanzierung und vieles mehr. Sie gilt für den privaten wie den öffentlichen Sektor, etwa für Arbeitnehmer und Beamte. Sie gilt dagegen nicht für Verstöße gegen deutsche Gesetze - dafür bräuchte es die nationale Regelung, die gerade in diesem Punkt heftig umstritten ist.

Whistleblower dürfen, wenn sie einen Verstoß gemeldet haben, nicht gekündigt, herabgestuft, genötigt oder diskriminiert werden. Artikel 19 der Richtlinie zählt 15 Repressalien auf, die verboten und auch im nationalen Gesetz zu untersagen sind. Damit drohen Arbeitgebern zukünftig Bußgelder und Schadenersatzzahlungen, wenn sie ihren Mitarbeiter etwa bedrängen oder seine Identität gegen seinen Willen offenlegen. Die genauen Sanktionen muss das deutsche Gesetz festlegen.

Worauf müssen sich Unternehmen einstellen?

Vor allem darauf, dass ein Hinweisgeberschutz-Gesetz kommt, auch wenn es ein paar Monate länger dauert. "Unternehmen sind gut beraten, sich schon mal vorzubereiten", sagt Rainer Buchert, Anwalt und Ombudsmann. "Das braucht ja einen gewissen Vorlauf - auch, um Fehler wie bei der Einführung der Datenschutzgrundverordnung zu vermeiden." Damals gab es eine zweijährige Übergangsfrist, die eine Vielzahl von Unternehmen ungenutzt verstreichen ließ und so Bußgeldbescheide riskierte.

Wesentliche Punkte gibt die EU-Richtlinie bereits vor, etwa: Firmen mit mehr als 250 Mitarbeitern müssen Hinweisgebersysteme einrichten, genauso wie Behörden und auch Kommunen ab 10 000 Einwohnern. Für Unternehmen mit 50 bis 249 Beschäftigten gilt das Gleiche, aber erst ab dem 17. Dezember 2023. Sie dürfen sich zudem Ressourcen teilen, wenn es um Meldesysteme und Untersuchungen geht.

Was ist unter Hinweisgebersystem zu verstehen?

Die EU-Richtlinie spricht von Meldekanälen. Dahinter kann sich ein Mensch oder eine Maschine verbergen. Möglich sind Ansprechpartner im Unternehmen, zum Beispiel jemand aus der Compliance- oder Rechtsabteilung, der telefonisch und schriftlich erreichbar ist. Alternativ sind externe Ansprechpartner möglich, Schiedspersonen wie Buchert etwa, die unparteiisch sind und vom Unternehmen beauftragt werden.

Eine dritte Möglichkeit sind elektronische Hinweisgebersysteme, die im Intranet und über die Website einer Firma erreichbar sind. Meldende geben in eine Maske ein, was sie mitteilen möchten, können Dokumente hochladen und entscheiden, ob sie das anonym oder mit Klarnamen tun. Diese Meldung geht dann entweder in einer internen Abteilung ein oder bei einem extern beauftragten Anwalt. Gerade Konzerne bieten oft mehrere Möglichkeiten.

Mit wie vielen Meldungen müssen Unternehmen rechnen?

Kritiker von Hinweisgebersystemen behaupten gern, der Aufwand für die Firmen sei zu hoch. Das wurde aber schon vielfach widerlegt, oft sind es jährliche Meldungen im einstelligen Bereich.

Buchert und seine Kanzleipartnerin haben mehr als 50 Mandate als Ombudspersonen, für Konzerne, Mittelständler und Nichtregierungsorganisationen. In 20 Jahren, sagt Buchert, habe er mit 3000 Hinweisgebern gesprochen und rund 8000 Meldungen bearbeitet - rechnerisch also 400 im Jahr. "Viele haben Beratungsbedarf, etwa ob sie arbeitsrechtliche Konsequenzen zu befürchten haben. Oder ob sie sich strafbar gemacht haben, weil sie schon länger von dem Missstand wissen. Viele machen sich auch Gedanken über die Konsequenzen für die Verursacher: 'Ich will nicht, dass der entlassen wird, sondern nur, dass das Verhalten aufhört.'"

Welche Anbieter gibt es?

Der Pionier und Marktführer unter den digitalen Hinweisgebersystemen ist Business Keeper, dessen Software BKMS seit 2001 auf dem Markt ist. Das Berliner Unternehmen wurde im Juni von seinem Wettbewerber, der EQS Group aus München übernommen. Die Marke Business Keeper bleibt aber bestehen, EQS vertreibt zudem seine eigene Meldesoftware Integrity Line. Weitere Anbieter sind etwa Hintbox und Otris.

Manche Softwarefirma ist sogar gezielt mit Blick auf die EU-Richtlinie gegründet worden, darunter Legaltegrity. Gründer Thomas Altenbach ist Anwalt und war als Compliance-Experte für Evonik, Daimler und die Deutsche Bank tätig. Das Legaltegrity-Tool wurde 2019 speziell für Mittelständler entwickelt und kostet in der kleinsten Lösung 49 Euro pro Monat.

Altenbach wirbt dafür, dass Unternehmen sich kümmern: "Wenn ich eine interne Meldestelle habe, kann ich das Problem auch intern lösen und es bleibt im Haus." Das sei auch deswegen wichtig, weil die neue Richtlinie Hinweisgebern ermöglicht, sich an externe Stellen wie Ermittlungsbehörden oder die Medien zu wenden. Das ist eine wichtige Neuerung, denn bisher konnte einem Arbeitnehmer gekündigt werden, wenn er seine Vorwürfe nicht zuerst intern im Unternehmen meldet.

Was ist für wen sinnvoll?

Das dürfen die Firmen entscheiden. Die EU-Richtlinie gibt nur vor, wie sie mit einer Meldung umzugehen haben. So muss der Whistleblower innerhalb von sieben Tagen eine Eingangsbestätigung bekommen; zudem müssen die Empfänger "ordnungsgemäße Folgemaßnahmen" treffen, dürfen also die Meldung nicht ignorieren. Ob auch anonyme Hinweise bearbeitet werden müssen, sollen die Mitgliedsstaaten entscheiden.

Nicht immer müsse es ein elektronisches Meldesystem sein, sagt Altenbach. "In Unternehmen mit 50 bis 100 Beschäftigten kennen Führungskräfte die meisten ihrer Mitarbeiter. Da kann es ausreichen, eine interne Telefonnummer für Meldungen einzurichten und eine Art Kummerkasten." Sei die Firma größer oder habe viele Mitarbeiter, die mobil arbeiten, könne ein digitales System besser sein.

Das sieht auch Ombudsmann Buchert so. Er rät dazu, Meldekanäle als Teil eines Compliance-Managements zu sehen. Letzteres umfasst etwa, Aufgaben und Funktionen in einem Betrieb auf ihr Risiko für unethisches Handeln zu untersuchen sowie einen Verhaltenskodex für die gesamte Belegschaft zu schaffen und zu kommunizieren.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: