Abpfiff durch EU-Kommission: Rote Karte für zentrale Whistleblower-Meldesysteme ist kein Grund zur Panik
Groß war die Aufregung in vielen juristischen Blogs, nachdem die EU-Kommission auf Anfrage großer Konzerne in zwei Stellungnahmen bekräftigte, dass die Entgegennahme von „Whistleblower“-Hinweisen sowie die danach vorzunehmenden internen Untersuchungen in der jeweils betroffenen Tochtergesellschaft stattfinden müssen und nicht von der Konzernzentrale übernommen werden dürfen. Im Klartext: Ein einziges, gruppenweit eingesetztes Hinweisgeber-Meldesystem für sämtliche Konzerngesellschaften reicht nicht aus. Die Ängste vor dem Aufbau von Doppelstrukturen und zusätzlichen personellen Ressourcen sowie die Furcht, dass künftig nicht mehr alle notwendigen Informationen zu möglichen internen Verstößen in der Zentrale ankommen, sind verständlich – für Panik ist es jedoch zu früh. Erst wenn das entsprechende deutsche Gesetz verabschiedet ist, wird Klarheit bestehen. Bis es soweit ist, habe ich gemeinsam mit Dr. Rainer Buchert in Teil 5 unserer Blog-Serie zur EU-Whistleblower-Richtlinie darüber diskutiert, welche Lösungsansätze es für deutsche Unternehmen geben könnte.
(Zur besseren Lesbarkeit verwenden wir im Text das generische Maskulinum. Gemeint sind immer alle Geschlechter.)
Viele Unternehmen „verstecken“ ihr Meldesystem für Hinweisgeber noch immer hinter undurchsichtigen Bezeichnungen im konzernweiten Intranet und lassen Hinweisgeber im Unklaren, wo ihr Hinweis landet – wir haben darüber in Folge 4 unserer Blog-Serie berichtet. Diese Unsicherheit auf Seiten des Hinweisgebers bemängelt die EU-Kommission und untermauert den Sachverhalt mit einer eigens in Auftrag gegebenen Studie. Darüber hinaus belässt es die EU-Kommission nicht bei der Feststellung, sondern zieht in ihrer Whistleblower-Richtlinie Konsequenzen: (Tochter-)Gesellschaften innerhalb der EU mit mehr als 50 Beschäftigten müssen laut Art.8 Abs. 3 der EU-Whistleblower-Richtlinie ab dem 17.12.2021 einen eigenen Meldekanal für Hinweisgeber vorweisen. Sie begründet dies damit, dass die Verpflichtung zur Einrichtung interner Meldekanäle in einem angemessenen Verhältnis zu ihrer Größe und dem Ausmaß des Risikos ihrer Tätigkeiten für das öffentliche Interesse stehen soll. Dies hat die EU-Kommission auf Anfragen von Konzernen in zwei Stellungnahmen im Juni dieses Jahres noch einmal bekräftigt.
Parallel zu diesem eigenen Meldekanal darf ein Konzern jedoch auch einen zentralen Meldekanal anbieten. Hinweisgeber können damit einen der beiden Meldekanäle wählen.
Gute Meldesysteme erlauben es dem Unternehmen bereits heute, jeweils unterschiedliche Empfänger einzurichten – je nachdem, ob ein Hinweisgeber die Meldung bei der Zentrale oder der Tochtergesellschaft abgeben will. Zahlreiche Unternehmen nutzen schon diese Möglichkeit: Der Hinweisgeber bestimmt, ob der Hinweis an eine lokale oder eine zentrale Meldestelle weitergeleitet wird. Die Anschaffung eines separaten elektronischen Hinweisgebersystems für jede Tochtergesellschaft ist demnach nicht nötig. Wichtig ist, dass ein Hinweisgeber über seine Wahlmöglichkeit leicht verständlich informiert wird. Das Unternehmen kann diese Aufklärung mit einer klugen Kommunikation verbinden, in der hervorgehoben wird, welche Vorteile eine Meldung an das konzernweite (zentrale) Meldesystem hat.
Es hat viele Vorteile, wenn es eine Ombudsperson ist, die den Hinweisgeber bei dieser Wahlmöglichkeit begleitet und dann die Weiterleitung an den gewählten Empfänger übernimmt.
So ist es beispielsweise möglich, die Zuständigkeit einer bereits für den Konzern tätigen Ombudsperson auch auf die Tochtergesellschaften auszuweiten, am besten eingebettet in ein digitales Meldesystem, das in allen Tochtergesellschaften verfügbar ist. Die Ombudsperson kann dann den vom Hinweisgeber gewünschten Empfänger kontaktieren – entweder den dezentralen oder den zentralen. Damit kann ein Konzern den zentralen und dezentralen Meldekanal miteinander kombinieren. Diese Lösung entspricht den Anforderungen der EU-Kommission, solange der Hinweisgeber bewusst entscheiden kann, welchen Meldekanal er nutzen möchte. Aber auch hier gilt: Die Tücke liegt im Detail. Eine Ombudsperson darf Hinweise aus einer Tochtergesellschaft mit personenbezogenen Daten selbst auf Wunsch des Hinweisgebers nur dann an die Zentrale weiterleiten, wenn eine betriebsinterne Datenschutzrichtlinie die Weitergabe personenbezogener Daten ausdrücklich gestattet. Aber dies ist keine neue Regelung, sondern ergibt sich aus bestehenden datenschutzrechtlichen Regelungen.
Dies erfordert eine klare vertragliche Regelung, die jedoch ohne großen Aufwand zu leisten ist: Die Holding muss lediglich für jede Tochtergesellschaft einen eigenen Vertrag schließen bzw. diese Gesellschaften einzeln im Vertrag mit der Ombudsperson nennen. Diese Vereinbarung muss demnach auch von jedem Geschäftsführer der jeweiligen Tochtergesellschaften unterschrieben werden.
Die Vertretung aller Tochtergesellschaften durch eine Ombudsperson hat einen weiteren Vorteil: Sie kann einen Hinweisgeber bereits im ersten persönlichen Telefongespräch darauf hinweisen, dass sein Hinweis wahlweise an die Tochtergesellschaft oder die Zentrale weitergegeben werden kann. Und die Ombudsperson kann den Hinweisgeber beraten, wo denn sein Hinweis das Höchstmaß an Vertraulichkeit genießen wird.
Einen echten Widerspruch zur These der EU-Kommission, der zufolge Hinweisgeber eher geneigt sind, Hinweise gegenüber der lokalen Tochtergesellschaft offen zu legen, haben wir in unserer langjährigen Praxis erlebt: Demnach wünschen sich 99% aller Hinweisgeber, dass ihr Hinweis direkt an die Zentrale weitergegeben werden soll. Der Grund ist so einfach wie einleuchtend: Zum einen besteht die berechtigte Sorge des Hinweisgebers, dass die Wahrung seiner Identität innerhalb der kleineren Gesellschaft schwieriger zu gewährleisten ist. Zum anderen befürchten viele Hinweisgeber, dass der an einem Verstoß möglicherweise beteiligte Geschäftsführer der Tochtergesellschaft eine angemessene Untersuchung des Vorwurfs verhindern und versuchen könnten, den Vorgang schlichtweg zu vertuschen.
Auch für den Konzern hat es Vorteile, wenn die zentrale Compliance-Abteilung Hinweise aus Tochtergesellschaften erhält. Bestes Beispiel: Mehrere Hinweise aus Tochtergesellschaften in unterschiedlichen Ländern führen zum gleichen Sachverhalt – und haben damit konzernweite Bedeutung. Dieser Zusammenhang kann in einer rein dezentralen Untersuchung in der Natur der Sache nicht hergestellt werden. Die ausschließlich lokale Bearbeitung von Hinweisen kann also die Sachaufklärung im Hinblick auf die Identifizierung von regionalen oder konzernübergreifenden Mustern erheblich erschweren. Das deutsche Geldwäschegesetz (GWG) fordert übrigens schon seit langer Zeit die Sachaufklärung durch eine „Zentrale Stelle“.
Für Tochterfirmen und konzernangehörige Gesellschaften mit 50 bis 249 Beschäftigten sieht die EU-Kommission gewisse Erleichterungen vor. Sie dürfen, zum Beispiel in geographischen Regionen wie Europa, Südamerika oder Asien, ein gemeinsames „lokales“ Hinweisgebersystem parallel zum zentralen Konzernsystem betreiben. In der Praxis bedeutet dies, dass dann eine dieser Gesellschaften für die anderen Gesellschaften der Region als Anlaufstelle für die Entgegennahme von Hinweisen agieren darf.
Auch beim Thema „Interne Untersuchungen“ macht die EU-Kommission Zugeständnisse: Zum einen dürfen Tochtergesellschaften mit 50 bis 249 Beschäftigten für Untersuchungen von Hinweisen auf gemeinsame regionale Ressourcen zurückgreifen (Art. 8 Abs. 6 der EU Whistleblower-Richtlinie). Für Gesellschaften mit mehr als 250 Mitarbeitern gelten diese
Erleichterungen hingegen nicht.
Eine weitere Erleichterung von internen Untersuchungen in Tochter-Gesellschaften mit 50 bis 249 Beschäftigten: Unter bestimmten Voraussetzungen darf die Konzernzentrale die interne Untersuchung durchführen. Unserer Ansicht nach ist dies immer dann möglich, wenn die Tochtergesellschaft feststellt, dass sie den Anforderungen an eine fachgerechte Untersuchung nicht gewachsen ist. Wir empfehlen ausdrücklich, dieses Vorgehen vertraglich zu fixieren. Dies kann zum Beispiel dadurch gelingen, dass die Tochtergesellschaft die Zentralfunktion zumindest über den Sachverhalt eines Hinweises informiert, jedoch keine personenbezogenen Daten übermittelt. Dadurch erhält die Zentrale letztlich doch Kenntnis vom Sachverhalt, was ihr eine angemessene Reaktion ermöglicht. Gesellschaften mit mehr als 250 Mitarbeitern profitieren nicht von dieser Möglichkeit.
Die EU-Kommission erlaubt eine Übergabe der internen Untersuchung an die Zentrale jedoch nur dann, wenn die Gruppe bereits eine zentrale, unternehmensübergreifende Compliance-Struktur eingerichtet hat. Und die Übergabe ist mit weiteren Auflagen verbunden: Die Tochtergesellschaft muss über einen eigenen Meldekanal verfügen und über diesen den Hinweisgeber über die Weitergabe an die Zentrale informieren sowie dessen Einverständnis einholen. Außerdem, so legt es die EU Kommission fest, sollen Folgemaßnahmen und Rückfragen gegenüber dem Hinweisgeber durch die Tochtergesellschaft erfolgen.
Ist ein Hinweisgeber nicht damit einverstanden, dass sein Hinweis von der Konzernzentrale untersucht wird, muss dies innerhalb der Tochtergesellschaft erfolgen. Das Ergebnis der Untersuchung, jedoch keine weiteren, insbesondere personenbezogene Informationen, darf die Tochtergesellschaft aber auch ohne Einverständnis des Hinweisgebers an die Zentrale kommunizieren.
Eine andere Regelung definiert die EU-Kommission, wenn ein Hinweis auf einen konzernweiten Verstoß hindeutet. In diesem Fall darf die Untersuchung durch die zentrale Compliance-Abteilung oder eine andere hierfür vorgesehene Instanz in der Zentrale erfolgen. Einzige Einschränkung: Auch hier muss der Whistleblower gegenüber der Ombudsperson oder über das elektronische Meldesystem explizit zustimmen. Tut er dies nicht, darf er seinen Hinweis zurückziehen und kann seine Informationen an eine externe Ermittlungs-Behörde weiterleiten.
In diesem Punkt besteht unseres Erachtens ein Widerspruch zwischen der Auffassung der EU-Kommission und dem deutschen Aktiengesetz. Wir erwarten daher mit Spannung, wie diese Regelung im Rahmen eines deutschen Gesetzes umgesetzt werden wird.
Auch wenn einige Regelungen unbequem und wenig praxistauglich sind, Grund zur Panik besteht nicht. Große Unternehmen mit Tochtergesellschaften im In- und Ausland können die Auflagen der EU-Kommission auch ohne überbordende Investitionen und Restrukturierungen erfüllen. Es kommt darauf an, maßgeschneiderte Lösungen zu finden, die den individuellen Anforderungen und Bedürfnissen der jeweiligen Branche und bereits vorhandenen Strukturen entsprechen. Dazu bedarf es in erster Linie einer guten Beratung.
Treue Leser unseres Blogs haben es sicherlich bemerkt: Sie hatten an dieser Stelle unsere Blog-Folge zum Thema „Kosten von Meldesystemen“ erwartet. Aus aktuellem Anlass haben wir jedoch die Ausführungsbestimmungen der EU-Kommission eingefügt. Das Thema „Kosten“ folgt. Versprochen. An dieser Stelle! In zwei Wochen!Nadine Jacobi und Dr. Rainer Buchert,
Lesen Sie weitere interessante Meldungen aus unserer Rubrik "Aktuelles".
Zurück zur Übersicht