Alter Wein in neuen Schläuchen – Die Compliance-Welt von 2021 bis heute
Keine Frage: Seit dem Ausbruch der Corona-Pandemie vor drei Jahren ist die Welt nicht mehr dieselbe.
Spätestens Anfang 2022 traten einige Themen, die vorher besonders viel Aufmerksamkeit erhalten hatten – Stichwort Datenschutz/DSGVO und Arbeitsschutzgesetze – in den Hintergrund. Nicht zuletzt wegen der massiven Veränderungen der geopolitischen Situation wurde die Lage der Cybersicherheit weltweit zum allgegenwärtigen Thema.
Doch schon 2021 war ein wichtiges Jahr für die Cybersicherheit und für die Compliance in Unternehmen. In diesem Jahr hätten die EU-Mitgliedsstaaten die Whistleblowing-Richtlinie von 2019 spätestens in nationales Recht überführen müssen. Hierbei geht es darum, dass Whistleblower europaweit stärker geschützt werden sollen, um so wiederum die Compliance von Organisationen zu verbessern. Nachdem allein 24 Mitglieder dieser Verpflichtung nicht nachgekommen waren, verklagte die Europäische Kommission die entsprechenden Staaten vor dem EuGH. Dies wiederum führte dazu, dass Whistleblowing und die EU-Richtlinie wieder mehr Aufmerksamkeit erhielten.
SE
Während des gesamten Jahres 2022 waren Whistleblowing und die Richtlinie eines der meistdiskutierten Themen in der Compliance-Welt sowie auf relevanten nationalen und internationalen Events.
Auch das Lieferkettensorgfaltspflichtgesetz (LkSG) war 2021 ein großes Thema auf fast allen wichtigen Compliance-Veranstaltungen. Das Gesetz wurde im Sommer 2021 verabschiedet. Für 2022 bestand die Aufgabe für Unternehmen darin, die entsprechenden Sorgfaltspflichten durch geeignete Prozesse und interne Richtlinien zu verankern.
Das Wichtigste zuerst: Warum ist Whistleblowing ein so großes Thema für Unternehmen?
Ein Hinweisgebersystem („Whistleblowing“-System) ist unerlässlich für jedes Unternehmen, das eine Kultur der Verantwortlichkeit und Integrität fördern will. Dafür gibt es mehrere Gründe:
- Fehlverhalten wird verhindert: Ein Whistleblowing-System ermöglicht Mitarbeitenden, illegales oder unethisches Verhalten zu melden, ohne Konsequenzen fürchten zu müssen. Das wiederum hilft Verantwortlichen, diese Probleme und Schwierigkeiten möglichst schnell zu beheben und weitere negative Folgen zu verhindern.
- Eigenverantwortung und Transparenz werden gefördert: Ein Hinweisgebersystem mindert die Wahrscheinlichkeit für unethische oder illegale Aktivitäten im Unternehmen und fördert eine Kultur der Integrität und des moralisch korrekten Verhaltens.
- Schutz der Öffentlichkeit: Ein Hinweisgebersystem hilft, Betrug, Verschwendung von Ressourcen und Machtmissbrauch aufzudecken und verhindert so Schäden für den Einzelnen, die Gesellschaft und die Umwelt.
Die EU-Whistleblowing-Richtlinie soll es einfacher machen, Missstände zu melden. Zudem sollen Whistleblower in allen EU-Staaten besser geschützt werden.
Wir kennen es aus der Gesetzgebung zum Datenschutz (Stichwort: Internationale Datentransfers) – auch bei Compliance- und Whistleblowing-Gesetzen ging es hin und her.
Und auch darin ähneln sich Datenschutz- und Whistleblowing-Gesetzgebung: Im Frühjahr 2022, nach Veröffentlichung des Gesetzesentwurfs für das Hinweisgeberschutzgesetz (HinSchG), nahm das Thema noch einmal zusätzlich Fahrt auf. Eines stand fest: Es gab viel zu tun.
Der Gesetzesentwurf ging dabei um einiges weiter als die EU-Whistleblowing-Richtlinie. So ist beispielsweise der Anwendungsbereich des Gesetzes wesentlich umfassender: Es bezieht nicht nur Meldungen zu Verletzungen des EU-Rechts mit ein, sondern auch eine Vielzahl weiterer Verstöße gegen nationales Recht.
Kein Wunder also, dass das Gesetz viel Unmut auslöste: Der Verband der deutschen Wirtschaft sprach sogar von einer „fast zwanghaften legislativen Übererfüllung“ der EU-Richtlinie. Doch auch die EU-Kommission kritisierte den Entwurf in zwei offiziellen Stellungnahmen.
- Einerseits kritisierte man die Festlegung, dass auch in großen Konzernstrukturen eine einzige Meldestelle für Missstände ausreichen sollte. Die EU-Richtlinie hingegen fordert, dass auch bei Unternehmensgruppen pro Einzelunternehmen eine eigene Stelle eingerichtet werden muss.
- Experten kritisierten zudem, dass nur nicht anonym eingereichte Meldungen weiter bearbeitet werden sollten – ein Kritikpunkt, den wir zu 100 % unterschreiben. Die Erfahrung zeigt, dass Hinweisgebersysteme nur dann funktionieren, wenn sie den Meldenden möglichst wenig Steine in den Weg legen. Die Meldung muss einfach und problemlos sein und ohne negative Folgen für den Meldenden bleiben. Die Sorge vor nicht gerechtfertigten Meldungen oder Denunziantentum bestätigt sich dabei übrigens nicht, wie aktuelle Studien zeigen.
Im aktualisierten Entwurf des Gesetzes von 2022 wurden die Kritikpunkte glücklicherweise zu einem großen Teil aufgenommen und der Entwurf umfassend überarbeitet. So sind nun beispielsweise explizit auch anonym eingereichte Informationen aus internen wie externen Quellen zu bearbeiten. Zusätzlich sind Organisationen verpflichtet, Meldekanäle für anonyme Meldungen bereitzustellen.
Auch die Vorgaben der EU-Richtlinie wurden noch einmal stärker einbezogen: Diese gibt zum Beispiel vor, dass auch Drittparteien als Meldestellen fungieren können. Der aktuelle Entwurf nimmt Bezug auf diese Vorgabe und ermöglicht die Auslagerung der Verantwortlichkeit auf eine „dritte Partei“. Damit wird effektiv die Einrichtung einer zentralen Meldestelle möglich. Offen ist allerdings, ob diese Regelung der Prüfung durch den Europäischen Gerichtshof standhalten wird.
Ursprünglich sollte der deutsche Gesetzesentwurf im Frühjahr 2023 verabschiedet werden, scheiterte aber im Februar 2023 am Bundesrat. Damit ist Deutschland nicht allein: Bisher sind 19 Mitgliedsstaaten der EU ihrer Verpflichtung nicht nachgekommen, die Whistleblowing-Richtlinie in nationales Recht umzusetzen, darunter Frankreich, Dänemark und Schweden. In weiteren 8 Staaten wird das Gesetz noch im Parlament diskutiert.