Update Whistleblowing: Aktueller Stand der Umsetzung der EU-Hinweisgeberschutzrichtlinie

#GMW-BLOG: AKTUELLE RECHTSENTWICKLUNGEN

Update Whistleblowing: Aktueller Stand der Umsetzung der EU-Hinweis­geberschutz­richtlinie

20. Dezember 2021

Einleitung

Am 23. Oktober 2019 hat die Europäische Union die Richtlinie 2019/1937 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden ("EU-Hinweisgeberschutzrichtlinie"), verabschiedet. Sie soll unter anderem zu europaweit vergleichbaren Mindeststandards zum Schutz von sog. Whistleblowern führen und über die jeweiligen nationalen Gesetze, mit denen die Richtlinie umgesetzt wird, Unternehmen verpflichten, interne wie externe Meldesysteme sowie entsprechende Abläufe bei der Behandlung von Meldungen zu implementieren. Sie wird daher tiefgreifend in die Compliance Organisation solcher Unternehmen eingreifen, die ihrem Anwendungsbereich unterliegen.

Die Umsetzungsfrist der EU-Hinweisgeberschutzrichtlinie in nationales Recht ist am 17. Dezember 2021 abgelaufen, ohne dass es zu einer Umsetzung in deutsches Recht gekommen wäre. Das Bundesjustizministerium hatte zwar bereits im Dezember 2020 einen entsprechenden Referentenentwurf vorgelegt, der es jedoch in der letzten Legislaturperiode nicht mehr "über die Zielgerade" geschafft hat und in der Ressortabstimmung scheiterte. Auch wenn der Koalitionsvertrag von SPD, Grünen sowie FDP vorsieht, "die EU-Whistleblower-Richtlinie rechtssicher und praktikabel" umzusetzen, ist auch durch die neue Koalition mit einer kurzfristigen Umsetzung nicht zu rechnen. Es stellt sich also die Frage, welche Regeln mit Blick auf den Schutz von Hinweisgebern in Deutschland seit dem 17. Dezember 2021 gelten.

Stand der Richtlinienumsetzung in anderen Ländern

Deutschland bildet unter den 27 zur Umsetzung verpflichteten Mitgliedstaaten keine Ausnahme, weil soweit ersichtlich bislang nur Dänemark, Portugal und Schweden die EU-Hinweisgeberschutzrichtlinie fristgerecht in nationales Recht umgesetzt haben. Schon im Kontext dieser wenigen nationalen Regelungen zeigen sich jedoch bereits Besonderheiten bei der jeweiligen Umsetzung.

So erlaubt etwa das dänische Recht in Wahrnehmung (vermeintlicher) nationaler Umsetzungsspielräume, dass Unternehmen mit über 250 Mitarbeitern konzernweit einheitliche Hinweisgebersysteme einführen können. Dieser Aspekt war auch in Bezug auf die deutsche Regelung erwogen worden, aber umstritten, weil unklar ist, ob dieser Ansatz im Einklang mit der EU-Hinweisgeberschutzrichtlinie steht. Die Europäische Kommission hatte sich hier in zwei Stellungnahmen aus dem Sommer 2021 gegenteilig positioniert und vertreten, die EU-Hinweisgeberschutzrichtlinie sehe die in nationales Recht umzusetzende Verpflichtung vor, Meldekanäle auf Ebene einer jeden Gesellschaft zu unterhalten. Unternehmen, bei denen die konzernweite Einführung eines einheitlichen Meldesystems angesichts einer Gruppenzugehörigkeit eine unter Effizienzaspekten erstrebenswerte Option darstellt, sollten die diesbezügliche Entwicklung also aufmerksam verfolgen.

Ferner erfolgte die Umsetzung mit Blick auf den sachlichen Schutzbereich des für Whistleblower vermittelten Schutzstandards sowohl in Dänemark als auch in Schweden – insofern über die EU-Hinweisgeberschutzrichtlinie hinausgehend – auch für Verstöße von originär nationalem Recht. Dieser Punkt war in Deutschland ebenfalls Gegenstand der Diskussion, denn die EU-Hinweisgeberschutzrichtlinie fordert lediglich die Implementierung des Schutzstandards für Meldungen, die sich auf Verstöße gegen europarechtliche Vorschriften beziehen. Der unlängst zwischen SPD, Grünen und FDP geschlossene Koalitionsvertrag deutet jedenfalls in die Richtung, dass eine richtlinienüberschießende Umsetzung auch in Deutschland erfolgen könnte. Denn insofern führt der Vertrag aus, dass "Whistleblower […] nicht nur bei der Meldung von Verstößen gegen EU-Recht vor rechtlichen Nachteilen geschützt sein [müssen], sondern auch von erheblichen Verstößen gegen Vorschriften oder sonstigem erheblichen Fehlverhalten, dessen Aufdeckung im besonderen öffentlichen Interesse liegt". Sollte die deutsche Umsetzung entgegen der vom Koalitionsvertrag geweckten Erwartung doch keine Meldung von Verstößen gegen nationale Rechtsvorschriften dem besonderen Schutzstandard unterstellen, dürfte sich ganz praktisch die Frage stellen, wie ein im Übrigen einzurichtendes Meldesystem und die dahinter liegende Compliance Organisation mit sachlich außerhalb des Schutzbereichs des Gesetzes liegenden Meldungen umgeht. Insofern sollten Unternehmen ihr Augenmerk darauf richten, wie der sachliche Anwendungsbereich der in Deutschland zu erwartenden Umsetzung letztlich ausgestaltet wird.

Folgen einer nicht fristgerechten Richtlinienumsetzung in Deutschland

Jenseits der für das kommende Jahr zu erwartenden Umsetzung durch den deutschen Gesetzgeber, stellt sich die Frage nach den zwischenzeitlichen Folgen ihrer Verspätung. Nach Art. 288 Abs. 3 AEUV ist eine Richtlinie zunächst nur für jeden Mitgliedstaat, an den sie gerichtet wird, hinsichtlich des zu erreichenden Ziels verbindlich, überlässt jedoch den innerstaatlichen Stellen die Wahl der Form und Mittel. Mitgliedstaaten sind demnach verpflichtet, die Richtlinie auszuführen, indem sie innerstaatliches Recht aufheben, modifizieren, neu schaffen oder beibehalten und damit einen richtlinienkonformen Rechtszustand herstellen. Sie wirken deshalb – anders als EU-Verordnungen – grundsätzlich nicht unmittelbar gegenüber Privaten (d.h. Individuen und Unternehmen).

Dennoch kann eine nicht rechtzeitig umgesetzte Richtlinie im Ausnahmefall unmittelbare Geltung erlangen. Dies erfordert allerdings grundsätzlich, dass die Bestimmungen der Richtlinie dazu geeignet sind, im innerstaatlichen Rechtsraum unmittelbare Regelungswirkung zu entfalten. Nach der Rechtsprechung des EuGH setzt dies voraus, dass die Richtlinie, die einen einzelnen begünstigt, inhaltlich unbedingt und hinreichend genau ist, um ihre Anwendung auf einen Einzelfall zu ermöglichen. Ratio der unmittelbaren Anwendung ist unter anderem, dass die praktische Wirksamkeit ("effet utile") einer Richtlinie beeinträchtigt wäre, wenn ihre Rechtswirkung allein davon abhinge, dass die Mitgliedstaaten ihrer Umsetzungspflicht nachkommen. Unabhängig davon muss die Judikative im Wege europarechtskonformer Auslegung nationale Rechtsnormen jedoch auch im Lichte (noch) nicht umgesetzter EU-Richtlinien auslegen, was seit dem 17. Dezember 2021 zu jedenfalls indirekten Schutzwirkungen der EU-Hinweisgeberschutzrichtlinie führen kann.

Abseits dieser generellen Erwägungen stellt sich die Frage, wer Adressat bzw. Verpflichteter einer Richtlinie, die unmittelbar wirkt, sein kann. Von Interesse ist in Bezug auf die EU-Hinweisgeberschutzrichtlinie insbesondere, ob ihre nicht fristgerechte Umsetzung dazu führt, dass privatwirtschaftliche Unternehmen Pflichten aus dieser Richtlinie unmittelbar unterliegen, mithin auch ohne nationales Umsetzungsgesetz z.B. Meldekanäle nach entsprechenden Standards implementieren müssen. Zwar ist anerkannt, dass sich Private gegenüber einem Mitgliedstaat unter bestimmten Voraussetzungen bei verspäteter Umsetzung auf die Bestimmungen einer Richtlinie berufen können. Umgekehrt ist dies im Sinne einer unmittelbar verpflichtenden Wirkung zulasten Privater oder zwischen Privaten untereinander nach der gefestigten Rechtsprechung des EuGH aber nicht möglich, weil Richtlinien im Ausgangspunkt nur Verbindlichkeit für Mitgliedstaaten entfalten. Davon unberührt bleiben die o.g. Wirkungen, die infolge der Anwendung des Grundsatzes richtlinienkonformer Auslegung durch die mitgliedstaatlichen Gerichte entstehen; insofern sind trotz des Ausschlusses unmittelbarer Wirkungen indirekte Effekte – etwa bei Inanspruchnahme bestimmter durch die Richtlinie vermittelter Rechte durch einen Whistleblower und Berufung darauf im Rahmen eines Gerichtsprozesses zur Abwehr erlittener Repressalien – denkbar. Zuletzt könnten Whistleblower, die bei fristgerechter Umsetzung eigentlich dem Schutzbereich eines nationalen Umsetzungsgesetzes unterfallen würden und einen kausalen Schaden erleiden, möglicherweise Schadensersatzansprüche gegen die Bundesrepublik geltend machen. Grundlage dafür wäre der vom EuGH entwickelte gemeinschaftsrechtliche Schadenersatzanspruch.

Was Unternehmen jetzt tun können

Auch wenn die EU-Hinweisgeberschutzrichtlinie nicht fristgerecht zum 17. Dezember 2021 in deutsches Recht umgesetzt wurde und man von einer fehlenden Direktwirkung in Bezug auf privatwirtschaftliche Unternehmen ausgeht, wird die Umsetzung in das deutsche Recht in absehbarer Zeit erfolgen. Insofern stellt sich für betroffene Unternehmen die Frage, was sie jetzt schon tun können bzw. sollten, um möglichst rasch den Anforderungen des zu erwartenden Gesetzes zu entsprechen.

Hier bietet sich ein Blick in die EU-Hinweisgeberschutzrichtlinie selbst an. Abseits des Repressalienverbots gegen Hinweisgeber verlangt sie die Einrichtung geeigneter Meldekanäle sowie damit einhergehender interner Prozesse und Strukturen zur Bearbeitung von über diese Kanäle eingehende Hinweise und gibt hinsichtlich der konkreten Anforderungen an deren Ausgestaltung teils sehr detaillierte Regelungen vor, was den nationalen Umsetzungsspielraum gering lässt. Um vor diesem Hintergrund individuellen Handlungsbedarf zu identifizieren, sollte daher eine Bestandsaufnahme zum aktuell implementierten Compliance Management System und ein Abgleich mit den weiteren Mindestanforderungen der EU-Hinweisgeberschutzrichtlinie erfolgen. Auf dieser Grundlage können so bereits jetzt mögliche Maßnahmen erarbeitet werden, um voraussichtliche organisatorische und/oder prozessuale Lücken in der Compliance Organisation schnell schließen zu können.

Fazit

Angesichts des sehr niedrigen Schwellenwertes für die Anwendbarkeit des zu erwartenden Umsetzungsgesetzes – zunächst werden alle Unternehmen mit mehr als 250 Mitarbeitern erfasst sein, ab Ende 2023 dann zusätzlich auch Unternehmen mit mehr als 50 Mitarbeitern – wird eine Vielzahl von Unternehmen vor der Herausforderung stehen, die eigene Compliance Organisation anpassen oder vor dem Hintergrund des Gesetzes erstmals aufbauen zu müssen. Insofern ist auch zu erwarten, dass gerade kleinere und mittlere Unternehmen angesichts des niedrigen Schwellenwerts erstmals in die konkrete Situation kommen werden, formalisierte Compliance-Elemente in die eigenen Governance-Strukturen implementieren zu müssen, obwohl dies möglicherweise bisher aufgrund der Unternehmensgröße und Risikostruktur nicht für erforderlich erachtet wurde. 

Insbesondere Unternehmen, die bislang noch keine entsprechenden Strukturen oder ein Compliance Management System implementiert haben, dürften sich hier erheblichen Herausforderungen mit Blick auf Anpassungs- und Umstellungsbedarfe bei internen Prozessen und Strukturen gegenübersehen. Dabei sollten vor allem kleine und mittlere Unternehmen darauf achten, dass die Konzeption des nach dem zu erwartenden Hinweisgeberschutzgesetzes (so der bisherige Arbeitstitel des Gesetzes) erforderlichen Meldesystems und der diesem übergeordneten Compliance Organisation auf die Größe des Unternehmens und dessen Risikoprofil abgestimmt ist. Denn ersichtlich bestehen Unterschiede in Bezug auf die entsprechenden Anforderungen und Herausforderungen zwischen international agierenden Konzernen, die sich in ihrem Tätigkeitsbereich womöglich sogar unterschiedlich nuancierter nationaler Umsetzungsgesetze ausgesetzt sehen, auf der einen sowie kleinen und mittelständischen Unternehmen auf der anderen Seite.

Der Blogbeitrag steht hier für Sie zum Download bereit: Update Whistleblowing: Aktueller Stand der Umsetzung der EU-Hinweisgeberschutzrichtlinie

Kontakt

 

Dr. Silke Möller

Partnerin | Competition | Rechtsanwältin seit 2007

Kontakt
Telefon: +49 211 20052-130
Telefax: +49 211 20052-100
E-Mail: s.moeller(at)glademichelwirtz.com

 

Dr. Simon Weise

Associate | Competition | Rechtsanwalt seit 2018

Kontakt
Telefon: +49 211 20052-420
Telefax: +49 211 20052-100
E-Mail: s.weise(at)glademichelwirtz.com