Die EU-Kommission äußerte sich jüngst zu Hinweisgebersystemen in Konzernen. Erstmals seit der Verabschiedung der Whistleblower-Richtlinie gibt es nun konkrete Auslegungshinweise zur Umsetzung der Richtlinie und für uns damit einen Anlass, die jüngste Entwicklung genau zu betrachten.
Erklärtes Ziel der Richtlinie soll sein, den Hinweisgeberschutz paritätisch und effizient auf unionaler Ebene zu gestalten, um die Bereitschaft zur Meldung von Verstößen gegen EU-Recht zu erhöhen.
Die Umsetzungsfrist für die „Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ ist zum 17.12.2021 ausgelaufen. In Deutschland hat diese Umsetzung bisher nicht stattgefunden. Nichtsdestotrotz besteht weiterhin eine Umsetzungspflicht, in dessen Rahmen natürlich auch Stellungsnahmen der Kommission berücksichtigt werden.
Zentrales Hinweisgebersystem im Konzern reicht nicht
In den Hinweisen spricht sich die Kommission klar gegen ein zentrales Hinweisgebersystem im Konzern aus. Die von der Kommission vorgetragenen Anforderungen dürften sich in der Praxis allgemein nur mit erheblichem, zusätzlichem Aufwand umsetzen lassen. Konkret folgt die Kommission einer wortlautgetreuen Auslegung der Richtlinie. Danach muss in jeder Gesellschaft mit mehr als 50 Mitarbeitern eine eigenes, selbstständiges Hinweisgebersystem betrieben werden. Dadurch soll sichergestellt werden, dass auch in Organisationen mit großen Gruppenstrukturen eine konkrete Adresse für potentielle Hinweisgeber existiert und dem Ziel der Richtlinie, effiziente Meldewege zu schaffen, bestmöglich entsprochen wird. Das möglicherweise bereits etablierte konzernweite, zentrale Hinweisgebersystem könne nach Aussage der Kommission jedoch selbstverständlich weiterhin parallel betrieben werden. Dies ist in Hinblick auf Meldungen über gesellschaftsübergreifende Verstöße auch begrüßenswert. Sollte eine Untersuchung auf Konzernebene erforderlich sein, kann die Bearbeitung und Aufklärung durch eine zentrale Stelle im Konzern erfolgen. Allerdings laut Kommission nur unter vorheriger Information und Einwilligung des Hinweisgebers. Sollte diese Einwilligung nicht gegeben werden, muss der Hinweisgeber seine Meldung zurückziehen und hat die Möglichkeit an die externe Hinweisstellen heranzutreten, was naturgemäß nicht im Unternehmensinteresse liegen dürfte.
Erleichterungen für Mittelstand
Eine Sonderrolle nehmen insgesamt KMU ein. Die Kommission berücksichtigt die besondere Stellung mittelständischer Unternehmen. Im Konzernverbund sollen für sie hier Erleichterungen gelten. (Konzern-)Unternehmen mit 50 bis 249 Mitarbeitern sollen die Möglichkeit besitzen, vorhandene Ressourcen zu schonen und Kapazitäten sowohl für Entgegennahme von Meldungen als auch für Untersuchungen an einer zentralen Stelle bündeln zu können. Des Weiteren besteht hier die ausdrückliche Möglichkeit unter engen Voraussetzungen auf eine zentrale Untersuchungsstelle des Konzerns zurückzugreifen und keine eigene Untersuchung durchzuführen. Dies ist im Hinblick auf die sich hieraus ergebenden datenschutzrechtlichen Pflichten nicht immer ratsam.
Lösung über Outsourcing?
Je nach Gesellschaftsstruktur ist deswegen das Outsourcing der Meldestelle an eine externe Stelle nicht zuletzt unter Effektivitätsgesichtspunkten zu erwägen. Die Figur der Ombudsperson bzw. Vertrauensanwalts mit eigener Meldestelle kann eine wirkungsvolle Alternative zu den eigenen Hinweisgebersystemen darstellen. Im Rahmen eines mehrmandantenfähigen digitalen Meldekanals können die speziellen Anforderungen und Wünsche passgenau berücksichtigt und im Hinblick auf die konkrete Gesellschaftsstruktur ins System integriert werden.
Fazit
Ob eine Aufspaltung der Hinweisgebersysteme im Konzern dabei hilft, die verfolgten Ziele der Richtlinie effektiv umzusetzen bleibt abzuwarten. Bisher entsteht jedenfalls der Eindruck, dass die erforderlichen Maßnahmen nicht dazu beitragen, den intendierten Schutz des Hinweisgebers zu erhöhen, geschweige denn eine effektive Bearbeitung von Hinweisen mit grenzüberschreitenden und unternehmensüberschreitenden Bezügen sicherzustellen.
- BGH-Urteil zum Facebook-Datenleck: Schadensersatz bei Kontrollverlust - 19. November 2024
- Erstes KI-Urteil in Deutschland: LG Hamburg entscheidet im Urheberrechtsstreit um KI-Trainingsdaten - 9. Oktober 2024
- EuGH: Datenschutzbehörden müssen nicht in jedem Fall Bußgelder verhängen - 26. September 2024