Zurück zur Übersicht
25.11.2021Fachbeitrag

Whistleblowing und Beschwerdeverfahren: Handlungsbedarf für Unternehmen und öffentliche Organisationen nach Lieferkettensorgfaltspflichtengesetz und EU-Hinweisgeberrichtlinie

Update Compliance 18/2021

Unternehmen und Behörden müssen Vorkehrungen treffen, um rechtliche und wirtschaftliche Risiken frühzeitig erkennen, schnell reagieren und gegebenenfalls weitreichende Schäden vermeiden zu können. Ein Meldesystem ist ein zentraler Bestandteil eines solchen Früherkennungssystems und damit effektiver Compliance. Rechtsgrundlage für die Pflicht zur Einführung solcher Hinweisgebersysteme und Beschwerdeverfahren sind die Grundsätze zur Geschäftsherrenhaftung, das Lieferkettensorgfaltspflichtengesetz, die (noch in deutsches Recht umzusetzende) EU-Hinweisgeberrichtlinie und weitere Wirtschaftsaufsichtsgesetze für bestimmte Branchen.

Bei Etablierung und Betrieb eines Hinweisgebersystems sind folgende Punkte zu beachten:

Pflicht zur Einführung eines Meldesystems 

Bereits heute müssen bestimmte Unternehmen des Banken-, Versicherungs- und Finanzsektors sowie Bundesbehörden Meldesysteme mit bestimmten Funktionen vorhalten. Zudem müssen private Unternehmen mit mehr als 50 Mitarbeitern und alle juristischen Personen des öffentlichen Sektors aufgrund der Hinweisgeberrichtlinie beziehungsweise des noch zu erwartenden Hinweisgeberschutzgesetzes ein solches internes Meldesystem einrichten. Das ab dem 1. Januar 2023 zunächst für Unternehmen mit 3.000 oder mehr Mitarbeitern in Kraft tretende Lieferkettensorgfaltspflichtengesetz (LkSG), das ab dem Jahr 2024 auch für Unternehmen mit 1.000 Mitarbeitern gilt, sieht ebenfalls zwingend ein „angemessenes“ Beschwerdeverfahren vor.

Etablierung eines Melde-/Beschwerdesystems

Unternehmen müssen dafür sorgen, dass eine Beschwerdemöglichkeit eingerichtet ist, mithilfe der auf Verletzungen oder Risiken von Pflichtverletzungen im eigenen Geschäftsbereich, aber beispielsweise auch im Bereich des unmittelbaren Zulieferers, hingewiesen werden kann. 

Das LkSG sieht dabei eine Einbindung der Mitarbeiter in die Gestaltung des Meldeverfahrens vor.

Benennung von Verantwortlichen 

Unternehmen müssen bereits zu Beginn nicht weisungsgebundene, unabhängige und unparteiische Personen als Meldestelle benennen. Hierfür eignen sich Mitarbeiter der Compliance-Stelle, der Rechtsabteilung oder externe Berater, etwa Vertrauensanwälte oder Ombudspersonen.

Öffentliche Bekanntgabe und Meldeverfahren

Unternehmen müssen die Informationen über Erreichbarkeit, Zuständigkeit und Durchführung des Meldeverfahrens öffentlich bekannt machen. Sie sollen eine Verfahrensordnung über den Umgang mit eingehenden Hinweisen erstellen, die die Abläufe nachvollziehbar darstellt und vor allem auch gesetzlich vorgesehene Fristen (z.B. für die Rückmeldung an den Whistleblower) enthält.

Je nach Größe, Art und Tätigkeit des Unternehmens sind im Hinblick auf das Meldeverfahren Besonderheiten zu beachten: Die Hinweisgebersysteme müssen ausdrücklich für bestimmte sensible Themen geöffnet und eine Kommunikation mit dem Whistleblower sichergestellt werden.

Zugang und Nutzung des Meldesystems

Potentiellen Whistleblowern ist der Zugang zu und die Nutzung des Meldemechanismus zu gewährleisten, zum Beispiel durch die Bereitstellung einer Website oder von Beschwerdeformularen und Email-Adressen. Personen mit mangelnden Sprachkenntnissen, vermindertem Lese- und Schreibvermögen oder anderen Zugangshindernissen muss Unterstützung angeboten werden.

Vertraulichkeit und Schutz des Whistleblowers

Hinweisgebende Personen müssen nach den gesetzlichen Vorgaben vor negativen Folgen des Whistleblowings jedweder Art geschützt werden. Dies betrifft insbesondere Benachteiligungen und Bestrafungen, wie arbeitsrechtliche Maßnahmen (Kündigung, Versetzung oder Lohnminderung) sowie sonstige Repressalien wie Mobbing. 

Auch zu diesem Zweck ist die Vertraulichkeit der Identität des Whistleblowers und der Datenschutz zu gewährleisten:

Datenschutz

Die hinweisgebende Person ist – soweit über den von diesem gewählten Meldekanal möglich – darüber zu belehren, dass, wie und durch wen ihre Daten verarbeitet werden, welche Rechte sie diesbezüglich hat, und dass unter Umständen auch die Möglichkeit besteht, die Meldung anonym abzugeben. Jede Weiterleitung, Bearbeitung oder auch nur Löschung einer Hinweisgebermeldung durch die Meldestelle bedeutet (da diese in der Regel auch personenbezogene Daten jedenfalls Dritter enthalten wird) auch eine Datenverarbeitung. 

Betrifft die Meldung einen Themenbereich, für den ein Unternehmen gesetzlich ein Hinweisgebersystem vorhalten muss, dürfen die Daten verarbeitet werden. Bei Meldungen über andere Themenbereiche ist im Rahmen einer datenschutzrechtlichen Interessenabwägung zu prüfen, ob die Datenverarbeitung im Einzelfall zulässig ist. 

Überprüfung der Wirksamkeit des Beschwerdeverfahrens

Die Wirksamkeit des einmal eingerichteten Meldesystems ist zudem regelmäßig, mindestens einmal jährlich, sowie anlassbezogen zu überprüfen. Anlassbezogene Überprüfungen werden insbesondere dann erforderlich sein, wenn das Unternehmen mit einer wesentlich veränderten oder wesentlich erweiterten Risikolage im eigenen Geschäftsbereich (oder beim unmittelbaren Zulieferer) rechnen muss, wie sie beispielsweise im Falle der Einführung eines neuen Geschäftsfeldes vorliegt.

Folgen der Missachtung der gesetzlichen Vorgaben

Das Unterlassen der Einrichtung und des Betriebs eines gesetzlich vorgesehenen Hinweisgebersystems kann zu empfindlichen Bußgeldern führen.
Als mittelbare Folge kommt in Betracht, dass Unternehmen kritische Sachverhalte übersehen, über Monate hinweg geschädigt werden oder sich ein erhebliches Haftungsrisiko gegenüber Dritten aufbaut. Insoweit dient ein Hinweisgebermechanismus immer auch dazu, schadenersatzträchtige Sachverhalte frühzeitig zu erkennen und diese abzustellen. Zudem werden Reputationsrisiken erheblich gemindert. Ein funktionierendes Hinweisgebersystem ist bester Ausweis für die Integrität eines Unternehmens gegenüber Mitarbeitern, Kunden und sonstigen Geschäftspartnern. 

Was wir für Sie tun

  • Wir beraten bei der Einführung einer unternehmensinternen Meldestelle unter Berücksichtigung der einschlägigen gesetzlichen Regelungen.
  • Wir erstellen die organisatorisch erforderlichen Dokumente, insbesondere Meldeformulare und die Verfahrensordnung.
  • Bei Bedarf stellen wir vertrauliche Meldekanäle zur Verfügung. Unsere Expertinnen und Experten stehen hier als Vertrauensanwalt und Vertrauensanwältin, Ombudsfrau und Ombudsmann zur Verfügung.
  • Wir nehmen die entgegengenommenen Meldungen entgegen und behandeln sie gemäß den einschlägigen gesetzlichen Regelungen, insbesondere nach Datenschutzrecht, LkSG, Kreditwesengesetz oder EU-Hinweisgeberschutzrichtlinie.
  • Insbesondere gewährleisten wir die gesetzlich geforderte Sicherstellung der Anonymität von Hinweisgebern.
  • Wir prüfen jede Meldung auf Handlungsbedarf des Unternehmens und informieren hierüber. Wir erteilen klare Handlungsoptionen und beraten bei Bedarf die weitergehenden Untersuchungen.
  • Wir reporten jede Meldung unter Einhaltung der einschlägigen Gesetze an die zuständige Stelle im Unternehmen.
  • Wir prozessieren und dokumentieren eingehende Meldungen gewissenhaft mit unserem eigenen LegalTech-Tool auf unserem eigenen Server. Bei Bedarf stellen wir Statistiken und Reports zur Verfügung, z. B. für die unternehmensinterne Berichterstattung an Gremien wie Aufsichtsrat oder Gesellschafterversammlung.

Ansprechpartner

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.