Am 17.12.2021 hätte die Whistleblower-Richtlinie (EU) 2019/1937 in nationales Recht umgesetzt werden müssen. Der deutsche Gesetzgeber ist dem bis jetzt jedoch nicht nachgekommen. Die Richtlinie soll es Arbeitnehmern und anderen Beteiligten ermöglichen, mittels eines sogenannten Hinweisgebersystems Verstöße gegen Unionsrecht zu melden und trotz der Meldung keine rechtlichen oder betrieblichen Nachteile zu erleiden. Diese Hinweisgeber oder Whistleblower werden durch die Richtlinie geschützt. Private und öffentliche Organisationen werden dagegen verpflichtet sichere Kanäle für die Meldung von Missständen anzubieten.
Wer muss ein Hinweisgebersystem einrichten?
Grundsätzlich bedürfen EU-Richtlinien eines nationalen Umsetzungsakt, um rechtliche Wirkung zu entfalten. Unter bestimmten Umständen können einzelne Vorgaben einer Richtlinie jedoch ohne einen Umsetzungsakt unmittelbare Wirkung entfalten. Das ist dann der Fall, wenn die Umsetzungsfrist abgelaufen ist, die konkreten Regelungen hinreichend genau bestimmt und inhaltlich unbedingt sind, sowie keine Privatpersonen verpflichtet werden. Die Richtlinie verpflichtet juristische Personen des öffentlichen und privaten Sektors Kanäle und Verfahren für interne Meldungen und Folgemaßnahmen eizurichten. Im privaten Sektor gilt das für juristische Personen mit 50 oder mehr Arbeitnehmern. Im öffentlichen Sektor gilt das für alle juristische Personen. Der deutsche Gesetzgeber hat die Möglichkeit Gemeinden mit weniger als 10.000 Einwohnern oder weniger als 50 Arbeitnehmern von der Pflicht zur Einrichtung eines Hinweisgebersystems ausnehmen. Davon wurde noch kein Gebrach gemacht.
Die Vorgaben, wie ein Hinweisgebersystem eingerichtet werden muss, sind in Art. 9 Whistleblower-Richtlinie detailliert und ohne weitere Voraussetzungen beschrieben. Dementsprechend werden insbesondere Gemeinden und Behörden durch die Richtlinie bereits jetzt verpflichtet und müssen ein Hinweisgebersystem bereithalten.
Was ist das Hinweisgebersystem?
Die Whistleblower-Richtlinie berücksichtigt drei verschiedene Kanäle für eine Meldung: Interne Meldekanäle, externe Meldekanäle an die zuständige Behörde und eine Offenlegung der Informationen an die Öffentlichkeit. Das Hinweisgebersystem ist der interne Meldeweg, der den Arbeitnehmern die Meldung von Informationen über Verstöße ermöglicht.
Die Hinweise über eine Meldung müssen von einer zuständigen, unparteiischen Stelle entgegengenommen werden. Außerhalb der zuständigen Stelle darf nicht auf die Meldung zugegriffen werden und die Identität des Hinweisgebers darf unter keinen Umständen offenbart werden. Die Meldung muss in schriftlicher und mündlicher Form, sowie nach Ersuchen des Hinweisgebers, in physischer Form möglich sein. Innerhalb von 7 Tagen muss eine Eingangsbestätigung an den Hinweisgeber verschickt werden und es muss innerhalb einer Frist von 3 Monaten zu einer Rückmeldung kommen. In dieser Zeit ist es die Aufgabe der unparteiischen Stelle die Informationen der Hinweise zu verifizieren oder zu widerlegen, Täter zu identifizieren und Schäden zu quantifizieren. Das Verfahren für interne Meldungen schließt dann auch ordnungsgemäße Folgemaßnahmen der unparteiischen Stelle mit ein.
Welche Maßnahmen sollten ergriffen werden?
Nach aktueller Rechtslage müssen alle Behörden Systeme einrichten, um Hinweisgeber Meldungen über Missstände zu ermöglichen. Es stehen ihnen verschiedene Möglichkeiten bereit, wie sie ein Hinweisgebersystem einrichten können. Die Einrichtung einer internen Mail-Adresse oder Telefonnummer birgt bereits das Risiko eines Zugriffs durch Admins des IT-Systems, welche die Voraussetzungen der Whistleblower-Richtlinie an die Vertraulichkeit nicht erfüllt. Eine andere Möglichkeit wäre eine externe Mail-Adresse oder Telefonnummer. Da die Meldekanäle jedoch in schriftlicher und mündlicher (und hier auch physischer) Form eingerichtet werden müssen, bietet es sich an ein IT-System zu verwenden, das unter Kontrolle und alleiniger Einsicht der unparteiischen Stelle steht. Je nach Größe und Ressourcen der Behörde kann sie die interne Einrichtung des Hinweisgebersystem besonders vor eine schwer lösbare Aufgabe stellen.
Zusätzlich zur Einrichtung des Hinweisgebersystem, müssen verschiedene Einschätzungen und Vorkehrungen im Bereich der Informationssicherheit und des Datenschutzes dahingehend getroffen werden, ob das ausgewählte System den rechtlichen Anforderungen entspricht. Dazu gehören z.B. eine Datenschutzfolgeabschätzung nach Art. 35 DSGVO und die Festlegung geeigneter technisch-organisatorischer Maßnahmen.
Neben der Beratung für die Umsetzung eines Hinweisgebersystems bietet die Insidas eine eigene, umfassende technische und organisatorische Lösung für Meldungen an, bei der wir als unparteiische Stelle auftreten. Kontaktieren Sie uns bei weiteren Fragen hinsichtlich der Umsetzung.