Die Whistleblower-Richtlinie kommt – Abstandnahme vom Drei-Stufen-Modell
Sind Whistleblower Denunzianten, Verräter, Angeber, Profilierungssüchtige, Verleumder, Nestbeschmutzer? Oder dient die Offenbarung von Missständen durch Unternehmensmitarbeiter dem Rechtsfrieden und der Gesellschaft? Der vor einem Jahr vorgelegte Richtlinienentwurf der EU-Kommission zum Schutz von Whistleblowern ist eine kleine Zerreißprobe für die Union, eine Art Glaubenskrieg, in der sich die beiden unvereinbaren Extrempositionen gegenüberstehen.
Die Wogen haben sich geglättet: Vor wenigen Tagen haben sich das Europäische Parlament und die Mitgliedstaaten über Mindeststandards zum Schutz von Whistleblowern geeinigt und damit klar gemacht: Das Projekt wird nicht auf Eis gelegt, die Whistleblower-Richtlinie kommt, und sie muss von den Mitgliedstaaten umgesetzt werden. Die wesentlichen “Knackpunkte” sind überwunden.
Die Richtlinie verpflichtet die Mitgliedstaaten, Regelungen einzuführen, nach denen öffentliche und private Einrichtungen Whistleblower-Systeme einzuführen haben. Das trifft Unternehmen des Finanzdienstleistungssektors bzw. solche mit 50 oder mehr Beschäftigten oder über 10 Millionen Euro Umsatz. Sind Hinweisgebersysteme heute nur vereinzelt obligatorisch – etwa für Finanzdienstleister oder Gesellschaften, die dem Deutschen Corporate Governance Kodex entsprechen müssen –, muss zukünftig also jedes zumindest mittelständische Unternehmen eine Whistleblower-Hotline vorhalten. Damit wird das verbreitete Verständnis umgesetzt, dass ein Hinweisgebersystem zwingender Bestandteil eines Compliance Management Systems ist. Hinweise von Mitarbeitern führen zur Aufdeckung schädigender oder wirtschaftskrimineller Handlungen, die ansonsten möglicherweise nie entdeckt würden. Der Griff des Chefrevisors in die Kasse, sexuelle Belästigung durch den Vorgesetzten, das Abzeichnen von Scheinrechnungen durch die Abteilungsleiterin, die Privatnutzung von Firmeneigentum, Korruption bei der Auftragserlangung.
Vom Tisch ist indes das von Deutschland befürwortete, aber umstrittene Drei-Stufen-System: Der Whistleblower sollte nur dann Schutz vor arbeits- und sonstigen rechtlichen Konsequenzen erfahren, wenn er sich zuerst ans Unternehmen und erst bei Erfolglosigkeit dieser Meldung an Behörden und die Öffentlichkeit wendet. Der Vorteil dieses Modells liegt auf der Hand: Das betroffene Unternehmen kann die Seriosität und die Substanz eines Hinweises noch am besten einschätzen, und natürlich besteht ein Interesse der Firma daran, den angezeigten Missstand intern zu lösen. Das setzt aber voraus, dass das Unternehmen daran auch wirklich interessiert ist. Der jetzigen Abstandnahme vom Drei-Stufen-Modell liegt offenbar die Befürchtung zugrunde, dass (manche) Unternehmen missliebige Hinweise lieber unter den Teppich kehren anstatt sie aufzuklären. Diesem Risiko wollte die EU nicht Vorschub leisten. Der Schutz des Whistleblower soll nicht davon abhängen, ob er sich an seinen Arbeitgeber, Behörden oder Medien wendet.
Die Kehrseite der Medaille sind die damit eröffneten Missbrauchsmöglichkeiten des Hinweisgebers. Von Geldgier, Profilierungssucht oder Schädigungsabsicht motivierte, unter Umständen falsche oder irreführende Hinweise – erst Recht im Schutze der Anonymität – führen zu irreparablen Schäden des davon Betroffenen, ggf. auch des Arbeitgebers. Hierzu sagt der Richtlinienentwurf nichts, und auch die jüngsten Diskussionen haben diesen Aspekt allenfalls gestreift.
Allerdings haben die verpflichteten Unternehmen selbst einen nicht zu unterschätzenden Einfluss darauf, wie Beschäftigte mit Missständen umgehen. Wer eine intakte Unternehmenskultur etabliert, das Vertrauen in die Integrität der Unternehmensleitung und die Funktionalität des Compliance Management Systems stärkt, wird von seinen Mitarbeitern als glaubwürdiger und verlässlicher Ansprechpartner wahrgenommen. Whistleblower in Unternehmen mit funktionierender Compliance-Kultur werden sich an interne Stellen wenden. Voraussetzung ist das Vertrauen, dass eingehende Hinweise objektiv und sorgfältig geprüft, die erforderlichen Schritte zur Aufklärung eingeleitet und angemessene Konsequenzen gezogen werden.
Der Aufwand für Unternehmen bei der Implementierung von Whistleblower-Systemen ist übersichtlich: Die Etablierung von internen Meldestellen, externen Ombudsleuten und IT-gestützten Hinweisgebersystemen ist kein Hexenwerk. Spannend bleibt der Umgang mit Meldungen. Das im Bundesjustizministerium derzeit erarbeitete Verbandssanktionengesetz sieht vor, dass Aufklärungsbemühungen des Unternehmens durch sog. “internal investigations” sich sanktionsmildernd auswirken sollen, was Anreiz für einen glaubwürdigen Umgang mit eingehenden Hinweisen sein kann. Parallel müssen Unternehmen ihre Hinweisgebersysteme mit den strengen Vorgaben der Datenschutzgrundverordnung in Einklang bringen, was bereits heute zu gewissen Friktionen führt.
Mit dem Kompromiss zwischen Europaparlament und Mitgliedstaaten ist die letzte Hürde auf dem Weg zur EU-Whistleblower-Richtlinie genommen. Die Wirtschaft ist gut beraten, sich zeitig darauf einzurichten, Whistleblower-Systeme zu implementieren, um nicht genauso “überrumpelt” zu werden wie durch die Datenschutzgrundverordnung. Nicht weniger wichtig ist es, ein internes System zum Umgang mit Meldungen zu etablieren, das den Aufsichts- und Organisationspflichten der Unternehmensleitung genügt, den lauter handelnden Whistleblower schützt und gleichzeitig aber die Rechte des von dem Hinweis Betroffenen sichert.
Dr. André-M. Szesny, LL.M., ist Rechtsanwalt und Partner der Wirtschaftskanzlei Heuking Kühn Lüer Wojtek und Lehrbeauftragter für Wirtschaftsstrafrecht an der Universität Osnabrück. Er ist als Strafverteidiger in Wirtschaftsstrafsachen tätig und berät Unternehmen und Einzelpersonen in Fragen der Compliance und des Unternehmensstrafrechts.