Video: Lexology Webinar zur EU-Whistleblower-Richtlinie:

Am 02. Februar 2021 veranstaltete SKW Schwarz gemeinsam mit dem Hinweisgebersystem WhistleB auf der Plattform Lexology ein Webinar zum Thema Hinweisgeber-/Whistleblowingsystem – Die Frist zur Umsetzung läuft.

Den Mitschnitt des Webinars können Sie auf der Lexology-Webinarseite abrufen.

Am 16. Dezember 2019 ist die EU-Richtlinie 2019/1937 zum Schutz von Hinweisgebern in Kraft getreten. Grundsätzlich schreibt die Richtlinie vor, dass alle Unternehmen mit mehr als 250 Mitarbeitern bis spätestens 17. Dezember 2021 ein Meldesystem für Compliance-Hinweise durch Whistleblower einrichten müssen. Kleinere Unternehmen mit 50 bis 250 Mitarbeitern haben bis zum 17. Dezember 2023 Zeit. Bis 2021 haben die EU-Mitgliedsstaaten nun Zeit, diese Richtlinie in eigene, nationale Gesetze zu überführen. Aktuell ist in Deutschland noch keine Umsetzung in Arbeit. Dass es sich aber bereits jetzt lohnt, über die Umsetzung der Richtlinie nachzudenken, erklärten die Expertinnen und Experten von SKW Schwarz. Denn: Auf Unternehmen kommen einige Aufgaben zu.

Mehr Informationen finden Sie in unserem ausführlichen Beitrag EU-Whistleblower-Richtlinie in Kraft getreten – Was ist zu tun?.

Am 18. Februar 2021 wurde der Referentenentwurf zum deutschen Umsetzungsgesetz (HinSchG) veröffentlicht.

FAQs: Häufige Fragen unserer Teilnehmer

Allgemeines zur Whistleblowing-Richtlinie

Sind eingetragene Vereine und Verbände als Unternehmen im Sinne der Richtlinie zu betrachten und fallen in den Anwendungsbereich?

Ja, auch hier greift der Anwendungsbereich der Richtlinie.

Welchen Effekt hat der Brexit auf die Umsetzung der Richtlinie für Unternehmen mit Sitz oder Niederlassung in UK?

Großbritannien hat bereits in 2018 ein Gesetz zur Regelung von veröffentlichten internen Informationen erlassen (Public Disclosure Bill of 2018). Dieses weißt aber einige Lücken gegenüber den Regelungen der Whistleblowing-Richtlinie auf. Obwohl Großbritannien durch den Austritt aus der EU (Brexit) nicht mehr verpflichtet ist, die Whistleblowing-Richtlinie in nationale Gesetze umzusetzen, wurde ein Entwurf in das Gesetzgebungsverfahren eingebracht, der diese Lücken schließen soll. Der Public Interest Disclosure Bill 2019-21 (https://services.parliament.uk/bills/2019-21/publicinterestdisclosureprotection.html) wurde zwar bis Anfang 2021 noch nicht verabschiedet oder in Kraft gesetzt. Aufgrund dieser Initiative ist jedoch zu erwarten, dass zumindest zum Beginn der Umsetzungsfrist für die EU-Mitgliedstaaten im Dezember 2021 vergleichbare Regelungen auch in Großbritannien gelten werden.

Die Whistleblower-Richtlinie verlangt von Organisationen, ein "gesichertes Meldesystem für Whistleblower" zu haben. Bedeutet dies, dass Unternehmen ein automatisiertes Meldesystem implementieren müssen und nicht auch ein spezielles E-Mail-System oder eine Telefon-Hotline verwenden dürfen?

Die Richtlinie ist zum einen ganz bewusst technik-neutral formuliert und schreibt keine konkrete Technologie für die Meldesysteme vor. Sowohl schriftliche Meldungen als auch mündliche Meldungen sollen möglich sein, sowohl auf dem Postweg, über einen analogen oder digitalen  Beschwerde-Briefkasten, auf dem digitalen Weg über Intranet- oder Internet-Plattformen oder auch über Audio-Systeme und Telefon-Hotlines sowie in physischen Treffen müssen Meldungen möglich sein.

Zum anderen besteht keine Pflicht zur Einrichtung automatisierter Systeme. Auch die manuelle Verarbeitung eingegangener Hinweise kann ausreichend sein. Wichtig ist, dass alle Meldungen so dokumentiert werden, dass sie auch in der Folge für alle gerichtlichen und außergerichtlichen Folgeverfahren verwendet werden können.

Können wir unser bestehendes System nutzen - das ist ein System, welches Mitarbeiter ermutigt, Probleme anonym zu melden. Oder muss ein separates System eingerichtet werden?

Dies kann nur im speziellen Einzelfall beantwortet werden. Das bestehende System muss daraufhin geprüft werden, ob die im Umsetzungsgesetz genannten Voraussetzungen eingehalten werden. Die Weiternutzung von bestehenden Systemen ist jedenfalls nicht ausgeschlossen.

Welche Auflagen gibt es für die Aufbewahrung von Aufzeichnungen im Whistleblowing-System nach Abschluss eines Falles?

Generell gilt, dass Daten nur solange gespeichert werden dürfen wie es einen Grund dafür gibt. Insofern ist zu prüfen, ob in dem nationalen Umsetzungsgesetz spezielle Fristen genannt werden oder ob auf allgemeine Regelungen zu möglichen Ansprüchen und Verjährungen zurückgegriffen werden muss.

Wie ist der Anwendungsbereich der Whistleblower-Richtlinie zu ziehen? Sind der Schutz und die Hinweisgebersysteme auch solchen Personen zur Verfügung zu stellen, die keine Arbeitnehmer sind, z.B. Lieferanten oder Kunden?

Ein wesentliches Ziel der Richtlinie ist der Schutz des Hinweisgebers vor Nachteilen jeglicher Art. Daher schützt sie zuallererst „Arbeitnehmer”, die in abhängiger Beziehung zum Unternehmen stehen. Aber auch weitere natürliche Personen, die zwar keine „Arbeitnehmer” sind, aber zur Aufdeckung von Verstößen beitragen können und sich im Rahmen ihrer beruflichen Betätigung in wirtschaftlicher Abhängigkeit befinden, sollen geschützt werden. Dies umfasst ausdrücklich auch Lieferanten, Praktikanten, ehemalige Arbeitnehmer und Bewerber, Anteilseigner und Management; auch wenn sich die verbotenen Repressalien nur indirekt gegen den Hinweisgeber und z.B. direkt gegen dessen Arbeitgeber richten. Bei Kunden wird im Einzelfall zu untersuchen sein, ob diese in einer derartigen wirtschaftlichen Abhängigkeit stehen, dass ihnen infolge eines Hinweises z.B. durch die Eintragung in „schwarze Listen”, Beendigung wichtiger Lieferbeziehungen oder Rufschädigung wirtschaftliche Nachteile drohen, vor denen sie die nationalen Gesetze in Umsetzung der Richtlinie schützen müssen.

Datenschutz

Wie ist die Situation, wenn ich als Auftragsverarbeiter von einem Whistleblower Hinweise bekomme: Welche Informationen = Daten darf/muss ich dem Verantwortlichen mitteilen? Zu welchem Zeitpunkt? Wie abgesichert müssen die Indizien sein?

Wir gehen davon aus, dass sich die Frage auf einen Hinweis bezieht, welcher Verstöße beim Auftraggeber betrifft. Grundsätzlich ist in einem solchen Fall der Auftragsverarbeiter entsprechend der Richtlinie nicht verpflichtet, Whistleblower Hinweisen nachzugehen, da nur eigene Verstöße „verfolgt“ und „aufgeklärt“ werden müssen. Allerdings kann sich aus dem Auftragsverarbeitungsvertrag eine solche Pflicht oder zumindest Obliegenheit ableiten lassen, dass Hinweise zumindest an den Auftraggeber weiterzuleiten sind. Je nach Ausgestaltung des Hinweisgebersystems des Auftraggebers können Personen, die unter der Aufsicht oder Leitung von Auftragnehmern arbeiten, den Verstoß direkt an den Auftraggeber geben. Da hier aber eine Einzelfallprüfung zu empfehlen ist, sollte in jedem Fall der Datenschutzbeauftragte kontaktiert werden.

Hinweise, welche eigene Verstöße des Auftraggebers betreffen, sind von diesem unabhängig vom Auftragsverarbeitungsverhältnis entsprechend der Richtlinie zu verfolgen.

Wie ist die Vorgehensweise, wenn der Whistleblower anonym bleiben möchte?

Die Meldung über WhistleB erfolgt anonym.

Zum Thema USA: könnte man nicht ggfs. Daten auf der Grundlage von Art. 49 (1) (d) (wichtige Gründe des öffentlichen Interesses) und (e) (Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen) stützen? Derartige Situationen treten ja nicht regelmäßig auf, so dass dies auch nach Auffassung des EDPB zulässig sein sollte.

Dies kann in bestimmten Fällen sicherlich eine mögliche Lösung sein, auf die Rechtsprechung des EuGH (Schrems II) zu reagieren. Da bisher aber nur die Richtlinie existiert und noch kein Umsetzungsgesetz vorliegt, sollte man auch mit der abschließenden Begründung für eine rechtmäßige Datenübertragung warten.

Was für Teams gilt, gilt doch auch für die Azure Cloud: Ein Zugriff durch Drittstatten und insbesondere durch die USA kann nicht ausgeschlossen werden?

Der 3rd Level Support wird kaum zu verhindern sein, dann muss allerdings die Verschlüsselung greifen.

Ist es denn in Anbetracht von Schrems II ausreichend, dass für die Azure Cloud die Daten in der EU gespeichert werden?

Die Wahl der Location ist auf jeden Fall hilfreich, aber wie beschrieben bieten alle Cloud Systeme zumindest Support Zugriff aus den USA. Dafür ist wieder die Verschlüsselung und Anonymisierung wichtig.

Aktueller Hinweis zum internationalen Datentransfer / Schrems II:

• Der Europäische Datenschutzausschuss (EDSA) hat am 10.11.2020 Empfehlungen für Drittlandtransfers veröffentlicht. Informationen dazu sind u.a. hier abrufbar:
• https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_en
• https://www.skwschwarz.de/details/empfehlungen-des-edsa-fuer-drittlandstransfers-veroeffentlicht

Arbeitsrecht

Wie ist denn die Empfehlung, wenn es um die Aufarbeitung von Fällen geht, wenn kein Betriebsrat vorhanden ist. Es muss ja nach innen auch glaubhaft vermittelt werden können, dass man sich wirklich den Themen angenommen hat.

Sofern der Hinweisgeber das eingesetzte Tool nutzt, dann erhält er zwangsläufig davon Kenntnis, ob seiner Meldung nachgegangen worden ist, da der Arbeitgeber über dieses Tool antworten wird. Zudem schreibt die Richtlinie vor – und wir gehen jetzt einmal davon aus, dass Entsprechendes im Umsetzungsgesetz aufgenommen wird -, dass der Arbeitgeber spätestens drei Monate nach Eingang der Meldung reagieren muss. Reagiert nun niemand auf die Meldung des Hinweisgebers, dann hat er berechtigten Anlass zur Vermutung, dass dem nicht nachgegangen wird – und er kann sich dann berechtigt an noch einzurichtende staatliche Hinweisgeberstellen wenden. Um die generelle Funktionsfähigkeit zu testen, kann vor Live-Schaltung der Plattform eine Testphase gestartet werden, in der unkritische Nachrichten versendet werden können – welche selbstredend vom Unternehmen beantwortet werden sollen, um den Beschäftigten die Funktionsfähigkeit der Plattform zu demonstrieren

Sofern ein Betriebsrat vorhanden ist, sollte ich dann zeitnah die Verhandlungen über eine Betriebsvereinbarung aufnehmen?

Noch besteht keine rechtliche Verpflichtung – zumindest anlässlich der Hinweisgeberrichtlinie -, ein Hinweisgebersystem zu implementieren, weswegen eine gewisse ruhige Herangehensweise gegenüber dem Betriebsrat empfehlenswert ist. Gleichwohl sollte schon die Nachricht an den Betriebsrat und die Belegschaft gehen, dass man sich als Arbeitgeber dem Schutz von Hinweisgebern verschreiben wird und zur Sicherung der Integrität des Unternehmens entsprechende Instrumente mit dem Betriebsrat im Kalenderjahr 2021 vereinbaren wird.

Wie wird die Anzahl der Mitarbeiter (als Grundlage für die Umsetzungsverpflichtung) berechnet: auf lokaler GmbH-Ebene oder auf Basis der globalen Unternehmensmitarbeiterzahl?

Nach dem Wortlaut der Richtlinie wird die Anzahl pro juristischer Person berechnet; die Erwägungsgründe der Richtlinie weisen jedoch darauf hin, dass Berichtslinien auch auf Konzernebene und nicht nur auf lokaler Ebene implementiert werden können.

Wenn Ihr Whistelblowing-System in Deutschland bereits vor der Gründung eines Betriebsrats eingeführt wurde, müsste dann der Betriebsrat erneut konsultiert werden, bevor man mit dem System fortfahren kann?

Nein, Sie sind dazu nicht verpflichtet. Eine entsprechende Verpflichtung könnte sich ergeben, wenn das Transformationsgesetz in Kraft ist, da das System dann möglicherweise nicht mehr den gesetzlichen Anforderungen entspricht.

Wenn ein Unternehmen (Muttergesellschaft) in einem Mitgliedstaat ansässig ist und zwei Tochtergesellschaften in demselben Mitgliedstaat hat und die Muttergesellschaft mehr als 250 Mitarbeiter hat, die Tochtergesellschaften aber jeweils zwischen 50 und 249 Mitarbeiter, gelten dann die Compliance-Fristen für die Muttergesellschaft und die Tochtergesellschaften einzeln, d. h. bis Dezember 2021 bzw. Dezember 2023.

Aus dem Wortlaut der Richtlinie ergibt sich diese streng formale Sichtweise. Die Erwägungsgründe sehen jedoch einen praktischen Ansatz vor, sodass nur ein System eingerichtet wird - dieses muss jedoch auch für die Mitarbeiter der Tochtergesellschaften zugänglich sein.

Sollten wir eine klare Unterscheidung zwischen einer Whistleblowing-Richtlinie und einer Beschwerderichtlinie vornehmen, die individuelle Beschwerden über die Arbeitsbedingungen oder das Verhalten von Kollegen betrifft?

Die Richtlinie beabsichtigt nur, die Nichteinhaltung des EU-Rechts zu sanktionieren, daher ist eine Unterscheidung in dieser Hinsicht empfehlenswert. Es ist jedoch wahrscheinlich, dass einige Mitgliedsstaaten die Nichteinhaltung lokaler Gesetze in das Transformationsgesetz aufnehmen, z.B. Deutschland, es könnte möglich sein, solche Richtlinien in einer großen Whistleblowing-Richtlinie zusammenzufassen.

Fragen an WhistleB

Es werden also unmittelbar keine personenbezogenen Daten erhoben. Wie sieht es mit personenbeziehbaren Daten aus (IP, GeoLoc, etc)?

Die Meldung kann absolut anonym erfolgen, sodass auch keine IP Adresse oder ähnliches verarbeitet wird.

Bietet WhistleB auch eine Telefonoption an? Ist das nicht auch eine Anforderung der Richtlinie?

WhistleB bietet in erster Linie ein webbasiertes Meldesystem und Fallmanagement-Tool. Obwohl wir bestehende Kunden weiterhin mit telefonischen Meldungen unterstützen, geben unsere Kunden Jahr für Jahr an, dass sie webbasierte Meldungen den telefonischen Meldungen vorziehen. Dies liegt an der sehr geringen Anzahl an telefonischen Meldungen im Vergleich zu webbasierten Meldungen. Außerdem ist die Qualität der telefonischen Berichte im Vergleich zu webbasierten Berichten weitaus geringer, zumal diese das Anhängen von Dokumenten ermöglichen.

Die EU-Richtlinie zum Schutz von Hinweisgebern besagt, dass es jeder einzelnen juristischen Person im privaten und öffentlichen Sektor obliegt, die Art der einzurichtenden Meldewege zu definieren, sofern die Vertraulichkeit der Identität der meldenden Person gewährleistet ist. In Bezug auf die interne Berichterstattung müssen Whistleblowing-Kanäle „eine schriftliche oder mündliche Meldung oder beides ermöglichen. Mündliche Meldungen müssen per Telefon oder über andere Sprachnachrichtensysteme möglich sein, und auf Wunsch der meldenden Person durch ein physisches Treffen innerhalb eines angemessenen Zeitraums." Mit anderen Worten: Es besteht keine Verpflichtung, alle diese Kanäle gleichzeitig für die interne Berichterstattung zur Verfügung zu stellen. Organisationen können die geeignetste Kanalform wählen. Für die externe Berichterstattung heißt es in der Richtlinie: „Die Kanäle für die externe Berichterstattung müssen eine schriftliche und mündliche Berichterstattung ermöglichen."

In welchem Verhältnis stehen WhistleB und Navex zueinander und wie sind die Systeme miteinander verknüpft?

WhistleB ist eine Tochtergesellschaft von NAVEX Global. Abgesehen von den Elementen der Kundenverwaltung und Rechnungsstellung arbeitet WhistleB jedoch weiter wie bisher, mit der DSGVO-Konformität als einer der Hauptsäulen. Die Reporting-Lösungen von WhistleB und NAVEX Global sind in keiner Weise miteinander verknüpft.

Gibt es eine Benachrichtigung an den Whistleblower im WhistleB System, sobald das Unternehmen eine Antwort oder Rückfrage an ihn gestellt hat?

Da der Hinweisgeber während des gesamten Prozesses aus technischer Sicht völlig anonym bleibt, ist es nicht möglich, den Hinweisgeber direkt anzusprechen. Es liegt im Ermessen des Hinweisgebers, sich in den WhistleB-Kommunikationskanal einzuloggen und zu sehen, ob Nachrichten eingegangen sind. Der Hinweisgeber erhält zu keinem Zeitpunkt eine Benachrichtigung über die WhistleB-Lösung, was ein Beweis für die technische Anonymität ist.

Wie löst WhistleB das Problem, dass Sie mit der Whistleblower-Hotline die Büchse der Pandora öffnen, d.h. jetzt wird jeder jegliche Ahnung, die er/sie von einem Fehlverhalten hat, posten?

Einige Organisationen, die noch keine Erfahrung mit dem Angebot eines Whistleblowing-Kanals haben, befürchten tatsächlich, mit Meldungen überhäuft zu werden, sobald sie es tun. Obwohl der WhistleB-Kanal einfach zu bedienen ist, ist es unwahrscheinlich, dass diese Befürchtung Realität wird, wenn in der Organisation eine entsprechende Konformitätskultur herrscht. Verschiedene Elemente tragen dazu bei, ein solches Umfeld zu verbessern und den Wert einer professionellen Meldelösung zu stärken, wie z.B. Schulungen und die aktive Ermutigung zum richtigen Meldeverhalten, während gleichzeitig klar aufgezeigt wird, wo und wie man andere Angelegenheiten melden kann. Dies wird durch die Ergebnisse unserer jährlichen Kundenumfrage gestützt; Kunden erleben in der Regel keine Flutwelle von böswilligen oder nutzlosen Meldungen.

Nach der EU-Richtlinie muss das betroffene Unternehmen innerhalb von 3 Monaten eine Rückmeldung geben, was aus dem Fall geworden ist. Wie sehr muss diese Rückmeldung ins Detail gehen?

Die Richtlinie weist darauf hin, dass die Ratio hinter dieser Bestimmung darin besteht, dass die meldende Person in Fällen, in denen die angemessene Weiterverfolgung noch ermittelt wird, darüber und über jede weitere zu erwartende Rückmeldung informiert werden sollte. Während die Ratio, sich innerhalb von drei Monaten bei der meldenden Person zurückzumelden, darin besteht, die gemeldete Angelegenheit umgehend anzugehen und unnötige öffentliche Enthüllungen zu vermeiden, bietet die Richtlinie die Möglichkeit, die Frist auf sechs Monate zu verlängern, wenn dies durch die besonderen Umstände des Falles bedingt ist, insbesondere durch die Art und Komplexität des Gegenstandes der Meldung, die eine langwierige Untersuchung erfordern kann. "Rückmeldung" bedeutet, dass der meldenden Person Informationen über die als Folgemaßnahme geplanten oder ergriffenen Maßnahmen sowie über die Gründe für diese Folgemaßnahmen zur Verfügung gestellt werden.

Wie kann man es technisch erleichtern, einem Whistleblower, der sich entscheidet, anonym zu bleiben, Feedback zu geben?

Ein Hinweisgeber kann anonym bleiben, während er in der Lage ist, einen weiteren Dialog zu führen, indem er am Ende des Berichts ein eindeutiges Login und Passwort angibt. Das bedeutet, dass der Hinweisgeber, ohne Daten zu verfolgen, sich für den Zugang zu der extern gehosteten Umgebung entscheidet, an die das Feedback gesendet werden kann. Auf diese Weise kann sich ein Dialog entwickeln, während der Hinweisgeber anonym bleibt.

Kontaktieren Sie uns!

Für weitere Fragen stehen Ihnen unsere Expertinnen und Experten gerne zur Verfügung. Kontaktieren Sie uns gerne! Wir freuen uns auf den Austausch mit Ihnen.

Alle Informationen zu WhistleB finden Sie auf der Website des Unternehmens. Bei Rückfragen wenden Sie sich gerne an Jan Tadeusz Stappers, LL.M., PgDip, CIPP/E, jan.stappers@whistleb.com oder Tim-Bendix Tondar, tim.tondar@navexglobal.com.