Close
Wonach suchen Sie?

26. Juli 2021

EU-Whistleblower-Richtlinie: Fallstricke für Schweizer Unternehmen

Vor fast zwanzig Jahren galt es mit dem Sarbanes-Oxley Act ernst für US-kotierte Unternehmen. Ab dem 17. Dezember dieses Jahres kommen auch viele Unternehmen in der EU nicht mehr ohne aus: Whistleblowing-Hotlines werden für Unternehmen ab 250 Mitarbeitern neu zur Pflicht – und für solche ab 50 Mitarbeiter zwei Jahre später ab dem 17. Dezember 2023.

Darüber wurde in unzähligen Blogs schon berichtet, auch über die allgemeinen Anforderungen der Hinweisgeberschutzrichtlinie (EU) 2019/1937. Sie hat zudem etliche Dienstleister auf den Plan gerufen, die den Unternehmen ihre Dienstleistungen freudig anbieten. Unsere Erfahrung zeigt aber: Einige Fallstricke blieben bisher weitgehend unbeachtet.

Warum für Schweizer Firmen relevant?

Zunächst einmal die Grundsatzfrage: Warum sollte sich ein Unternehmen in der Schweiz überhaupt für die Richtlinie interessieren? Die Antwort ist einfach: Grundsätzlich gar nicht. Die Schweiz kennt keine vergleichbare Regelung, und auch der letzte Vorstoss, den Schutz von Hinweisgebern gesetzlich zu verbessern, ist in den Räten 2020 gescheitert. Daran dürfte sich so bald auch nichts ändern. Die Richtlinie wird aber dann für Schweizer Unternehmen relevant, wenn sie über Standorte in der EU verfügen, die mindestens 50 Mitarbeiter aufweisen (in Sonderfällen können je nach Land schon weniger genügen).

Für diese Betriebe müssen Kanäle geschaffen werden, über welche den dortigen Betrieb betreffende Gesetzesverstösse gemeldet werden können, die mindestens gemäss den Vorgaben der Richtlinie zu verarbeiten sind. Was konkret gilt, bestimmt allerdings jedes EU-Mitgliedsland selbst: Die Richtlinie gilt nicht direkt, sondern nur das im jeweiligen Land erlassene Umsetzungsgesetz – und dieses darf strenger sein und weiter gehen als die Richtlinie. Die Richtlinie gilt mit ihren Regelungen zum Beispiel nur für Whistleblower betreffend Verstösse gegen EU-Recht (inklusive den jeweiligen nationalen Umsetzungsgesetzen), die Mitgliedsstaaten können jedoch auch Whistleblower betreffend Verstösse gegen das reine Landesrecht erfassen (was z.B. Deutschland tun wird).

Ein Schweizer Konzern wird also prüfen müssen, ob Niederlassungen im Ausland bestehen, die 50 oder mehr Mitarbeiter beschäftigen und dementsprechend für diese aktiv werden. Die Frist vom 17. Dezember 2021 gilt allerdings nicht für Unternehmen mit weniger als 250 Mitarbeitern: Sie dürfen sich zwei Jahre mehr Zeit lassen.

Unterschiedliche Standards im Konzern

Hat ein Schweizer Konzern solche Niederlassungen in der EU, kann ihn dies in eine Zwickmühle bringen: Für bestimmte seiner EU-Niederlassungen gilt die Richtlinie und der damit verbundene Schutz von Whistleblowern, während für seine Standorte in der Schweiz und in anderen Ländern der Schutz nicht gilt. Selbstverständlich kann ein Unternehmen den Schutz freiwillig anbieten, aber aus Sicht eines Hinweisgebers wird dies möglicherweise nicht genügen. Wie kann letzterer den gesetzlichen Schutz trotzdem erlangen? Betrifft das Fehlverhalten auch einen Standort in der EU, meldet er seinen Verdacht lediglich dort – die Richtlinie unterscheidet nicht zwischen Angestellten eines Standorts und Dritten. Auch die Nationalität spielt keine Rolle.

Dies ist allerdings nicht die einzige Herausforderung für internationale Konzerne. Weil die Richtlinie in jedem EU-Mitgliedsstaat mehr oder weniger unterschiedlich umgesetzt wird, müssen auch die Whistleblowing-Hotline und die Prozesse zur Verarbeitung von Hinweisen unterschiedlich ausgestaltet sein. Das betrifft nicht nur die Frage, welche Verstösse gemeldet werden können, sondern auch den Umgang mit Hinweisen.

Hier ist überall zu lesen, dass Hinweisgeber binnen sieben Tagen der Eingang ihrer Meldung zu bestätigen und innert drei Monaten Feedback über die bis dahin unternommenen Schritte zu geben ist. Was häufig nicht erwähnt wird: Die Hinweisgeber sind auch darauf hinzuweisen, bei welcher nationalen Behörde sie ihren Hinweis deponieren können, sollten sie mit der Reaktion des Unternehmens nicht zufrieden sein. Das bedeutet in der Praxis, dass je nach Land unterschiedliche Antworten erforderlich sind. Zudem ist die Möglichkeit einer Beschwerde direkt bei einer Behörde ein Anreiz dafür so zu reagieren, dass sich die Hinweisgeber ernstgenommen fühlen.

Konzernweite Hotlines künftig verboten?

Whistleblowing-Hotlines sind nicht neu. Viele Konzerne haben sie schon seit Jahren eingerichtet und damit auch gute Erfahrungen gemacht – auch in der Schweiz. Eine Studie der Hochschule für Technik und Wirtschaft HTW Chur in Kooperation mit der EQS Group ist allen interessierten Unternehmen wärmstens empfohlen, die wissen wollen, wie es andere tun und welche Erfahrungen sie dabei machen. In fast allen Fällen aber haben Konzerne unternehmensweit eine einzige Stelle eingerichtet, häufig unter Beizug eines auf solche Hotlines spezialisierten Service Providers.

Das ist unter der Richtlinie vermutlich nicht mehr zulässig. Denn Art. 8 Ziff. 6 der Richtlinie sieht ein Teilen der "Ressourcen" für "die Entgegennahme von Meldungen und möglicherweise durchzuführenden Untersuchungen" nur für Unternehmen mit maximal 249 Arbeitnehmern vor. Eine gemeinsame Hotline ist somit nur noch für kleine Standorte vorgesehen, was den Aufwand in vielen Konzernen gegenüber heute deutlich erhöhen wird. Auch hier zeigt unsere Erfahrung: Dieser Aspekt ging bisher vielerorts unter. Die praktische Lösung: EU-Standorte mit 250 oder mehr Arbeitnehmern müssen mit den besagten Dienstleistern einen eigenen Vertrag abschliessen, auch wenn sie von den Vorarbeiten der Konzernzentrale profitieren mögen. Auch die eingehenden Meldungen müssen diese selbst aufarbeiten.

Immerhin: Anders als teilweise vertreten verlangt die Richtlinie bei privaten Unternehmen nicht, dass Hinweise sowohl schriftlich als auch mündlich entgegengenommen werden – ersteres genügt. Eine Pflicht Meldekanäle für beides anzubieten hat gemäss Richtlinie nur die Behörde, welche die einzelnen Mitgliedsstaaten für sogenannte externen Meldungen vorsehen müssen – also Hinweise, die direkt an Behörden gehen und nicht zuerst an das betroffene Unternehmen. Das ist unter der Richtlinie ausdrücklich erlaubt.

Keine Zusage der Anonymität

Zwar wird immer wieder betont, dass die Identität der Hinweisgeber zu schützen sein, doch entgegen gängiger Ansicht wird Anonymität auch von der Richtlinie weder garantiert noch muss sie möglich sein. Deutschland dürfte sogar so weit gehen, dass es Unternehmen im Falle von anonymen Hinweisen von der Pflicht zur Untersuchung befreit. Daher gilt auch künftig, dass ein Unternehmen den Hinweisgebern keine Anonymität zusichern sollte, da es ein solches Versprechen nicht unbedingt einhalten kann.

Anonymitätszusagen sind nicht zu verwechseln mit Massnahmen, die Identität des Hinweisgebers möglichst geheim zu halten und Hinweisgeber vor Repression zu schützen – dem Kernanliegen der Richtlinie. Die Erfahrung zeigt übrigens: Erstmeldungen erfolgen zwar häufig anonym, aber im Laufe der Untersuchung fällt die Anonymität dahin. Sie führt im Übrigen auch nicht zu mehr Missbräuchen. Solche kommen vor, bewegen sich aber im einstelligen Prozentbereich.

Datenschutzverstösse härter sanktioniert

Der Schutz der Hinweisgeber, aber auch der beschuldigten Personen, ist überdies auch ein Anliegen des Datenschutzrechts, das weiterhin zu beachten ist – Richtlinie hin oder her. Die Verletzung der DSGVO wird auch wesentlich stärker sanktioniert als eine Verletzung der Whistleblower-Richtlinie. Verstösse gegen letztere sollen in Deutschland mit bis zu EUR 100'000 bestraft werden, Verstösse gegen die DSGVO können hingegen bis vier Prozent des weltweiten Jahresumsatzes kosten.

Dabei bietet der Datenschutz einige zusätzliche Fallstricke – etwa was die Aufbewahrungsdauer der Fallberichte betrifft: Müssen sie zwei Monaten nach Abschluss einer Untersuchung vernichtet werden, wie das die Datenschutzbehörden verlangen – oder sollten sie nicht doch einige Jahre aufbewahrt werden, weil die Datenschützer übersehen haben, dass es durchaus Gründe für längere Fristen gibt? Einige Antworten darauf finden sie in unserer Präsentation zum Thema.

Unser Praxishandbuch – eine Anleitung

Liegt ein Hinweis auf mögliches Fehlverhalten im Unternehmen vor, so erwartet die Richtlinie, dass eine unabhängige Person diesem "sorgfältig" nachgeht. Wie aber geht das? Wie läuft eine solche interne Untersuchung ab und welche Fallstricke sind dabei zu beachten? Wenn Sie mehr darüber erfahren wollen, dann laden Sie sich Ihr Exemplar unseres umfassenden Praxishandbuchs für interne Untersuchungen und eDiscovery herunter (kostenlos), bestellen Sie sich ein gedrucktes Exemplar – oder melden Sie sich bei uns.

Autor: David Rosenthal

Kategorien: Data & Privacy, Investigations & eDiscovery, Blog

Autor