Ende des Jahres läuft die Frist zur Umsetzung der Whistleblower-Richtlinie (EU) 2019/1937 ab: Sie sieht vor, dass bestimmte Unternehmen nach näherer Ausgestaltung durch ein nationales Gesetz dazu verpflichtet sind, ein Meldesystem einzuführen, mit dem Verstöße gegen EU-Recht vertraulich gemeldet werden können – doch ein solches nationales Gesetz gibt es noch nicht. In diesem Beitrag zeigen wir, wie Unternehmen Verhaltensrichtlinien und Meldesysteme schon jetzt so gestalten können, dass sie den Anforderungen der Richtlinie gerecht werden.
Viele Unternehmen führen interne Verhaltensrichtlinien ein, in denen sie sich zu moralischen Werten bekennen und von sozial unethischem Verhalten wie z.B. Belästigung, Diskriminierung oder Mobbing distanzieren. Derartige Verhaltensrichtlinien können nicht nur geeignet sein, die Außendarstellung des Unternehmens positiv zu beeinflussen. Solche Richtlinien verbunden mit einem effektiv ausgestalteten Meldesystem können dazu beitragen, Vorwürfen von Mitarbeitern gegen das Unternehmen bezüglich eines nicht sachgemäßen Umgangs mit unangemessenem Verhalten entgegenzutreten. Das ist umso wichtiger, da ein nationales Gesetz zur Umsetzung der Whistleblower-Richtlinie der EU ist noch nicht in Sicht ist – der erste Entwurf des BMJV zum Hinweisgeberschutzgesetz wurde im April 2021 abgelehnt. Im Folgenden stellen wir dar, was Inhalt von Verhaltensrichtlinien sein kann und welche Mindestanforderungen ein einheitliches Meldesystem erfüllen sollte.
Inhalt einer Verhaltensrichtlinie – was kann dort geregelt werden?
In einer Verhaltensrichtlinie werden die Werte und Prinzipien des Unternehmens niedergelegt, die die Basis des im Unternehmen gewünschten Mitarbeiterverhaltens darstellen. Die in einer Verhaltensrichtlinie niedergelegten Werte können von moralischen Grundwerten (Integrität, Achtung der Menschenrechte und Verantwortung für die Umwelt), über Kooperationswerte (Konfliktfähigkeit, Toleranz und Loyalität) bis zu Kommunikationswerten (gegenseitige Achtung, Transparenz und kulturelle Offenheit) reichen. Sinnvoll ist es hier, die Verhaltensrichtlinie auf die für das Unternehmen wichtigsten Werte zu beschränken.
Konkrete Verhaltensanweisungen, orientiert an den niedergelegten Werten und Prinzipien des Unternehmens, stellen das Herzstück einer Verhaltensrichtlinie dar. Klare Vorgaben helfen den Mitarbeitern, ihr Handeln an diesen Prinzipien auszurichten. Daher sollten die Verhaltensanweisungen für jeden Mitarbeiter leicht verständlich sein und anhand in der Richtlinie enthaltener Beispiele verdeutlicht werden. Die Verhaltensrichtlinie sollte außerdem einen klaren Hinweis enthalten, dass Mitarbeiter, die berechtigte Verstöße melden, keine Sanktionen zu befürchten haben. So kann eine „offene“ Arbeitsatmosphäre geschaffen werden, die zu Kritik einlädt und Mitarbeitern die Angst vor arbeitsrechtlichen Konsequenzen nimmt.
Auf der anderen Seite sollten Mitarbeiter aber auch darauf hingewiesen werden, dass Ihnen arbeitsrechtliche Konsequenzen drohen können, falls sie gegen die Verhaltensrichtlinie verstoßen oder offensichtlich falsche Meldungen abgeben.
Welche Mitbestimmungsrechte des Betriebsrats sind zu beachten?
Existiert ein Betriebsrat, ist dieser bei der Einführung und Ausgestaltung von Verhaltensrichtlinien zu beteiligen, da ihm ein Mitbestimmungsrecht nach 87Abs. 1 Nr. 1 BetrVG zusteht. Hier muss jedoch zwischen den einzelnen Regelungen der Verhaltensrichtlinie differenziert werden. Jede Regelung ist darauf zu prüfen, ob das Mitbestimmungsrecht tatsächlich berührt wird. Einzelne mitbestimmungsrechtliche Regelungen führen nicht zur Mitbestimmtheit des Gesamtwerks (vgl. BAG v. 22.07.2008 – 1 ABR 40/07). Kein Mitbestimmungsrecht besteht beispielsweise bei Regelungen, mit denen lediglich die geschuldete Arbeitsleistung konkretisiert oder die Unternehmensphilosophie festgelegt wird. Sind Meldungen über Verstöße gegen die Richtlinie über ein elektronisches System möglich, so kommt darüber hinaus das Mitbestimmungsrecht aus § 87 Abs. 1 Nr. 6 BetrVG in Betracht.
Wie kann ein Meldeverfahren sinnvoll und einheitlich ausgestaltet werden?
Mit der Einführung unternehmensinterner Verhaltensregeln ist der erste Schritt getan. Damit die in der Verhaltensrichtlinie niedergelegten Werte auch im täglichen Miteinander gelebt werden, bedarf es der Möglichkeit, Verstöße melden zu können. Dazu bietet sich die Implementierung eines einheitlichen Meldeverfahrens an. Ein solches Meldeverfahren sollte, um auch den Anforderungen der Whistleblower-Richtlinie zu genügen, folgende Aspekte berücksichtigen:
- Meldung aller Verstöße möglich: Die Whistleblower-Richtlinie verlangt lediglich die Einrichtung eines Meldesystems für die Meldung von Verstößen gegen europäisches Recht. Ob der deutsche Gesetzgeber diese Pflicht auf nationale Rechtsverstöße ausweiten wird, ist derzeit noch unklar. Zu empfehlen ist, das Meldesystem für jede Art von Meldung zu öffnen – für Verstöße gegen EU-Recht, nationales Recht sowie für „reine“ Verstöße gegen die Verhaltensrichtlinie. Mit einem einheitlichen Verfahren können Synergieeffekte genutzt werden.
- Mehrere Meldemöglichkeiten: An dieser Stelle gilt: Je vielfältiger die Meldemöglichkeiten, desto mehr Verstöße können potenziell erfasst werden. Daher empfiehlt es sich, zumindest zwei Meldemöglichkeiten vorzusehen. Hier bietet sich von der persönlichen Meldung über einen Ansprechpartner bis zu einem elektronisches Meldesystem über eine Telefonhotline alles an. Insbesondere können auch anonyme Meldungen (was jedoch nach der Whistleblower-Richtlinie nicht erforderlich ist) zugelassen werden.
- Bearbeitung der Meldung: Für die interne Bearbeitung von Meldungen potenzieller Verstöße bietet sich die Compliance-Abteilung – sofern vorhanden – an. Bei kleineren Unternehmen kann auch die Rechtsabteilung eine geeignete Bearbeitungsstelle sein. Wichtig ist nur, dass die Bearbeitung der Meldungen objektiv erfolgt, d.h. bestenfalls sollten die bearbeitenden Personen nicht derselben Abteilung angehören wie die Hinweisgeber.
- Interne Ermittlungen: Zu einem effektiven Meldesystem gehört auch die wirksame Ermittlung etwaiger Verstöße, bspw. durch Gespräche mit der betroffenen Person sowie Zeugen des Vorfalls, um den Sachverhalt möglichst umfassend aufzuklären.
- Datenschutz: Da Meldungen i.d.R. einen Personenbezug aufweisen, müssen datenschutzrechtliche Vorgaben eingehalten werden. Da die Speicherung und Verwertung der durch die Meldungen erlangten Daten in der Regel entweder der Aufdeckung von Straftaten oder schwerwiegende Pflichtverletzungen von Mitarbeiter oder der Durchführung bzw. Beendigung des Beschäftigtenverhältnisses dienen, kann das Unternehmen die Datenverarbeitung im Regelfall auf den Erlaubnistatbestand des § 26 Abs. 1 BDSG stützen.
- Dokumentation der Meldungen und Ermittlungen/Einhaltung von Fristen: Alle eingegangenen Meldungen sollten dokumentiert werden. Die Hinweisgeber sollten innerhalb einheitlich festgelegter Fristen über den Stand/Ausgang der internen Ermittlungen informiert werden. Um den Überblick über die Bearbeitung eingegangener Meldungen zu wahren, empfiehlt es sich, die Meldungen in eine interne Datenbank einzupflegen und je nach Schwere des Verstoßes zu priorisieren. Nach Beendigung des Verfahrens sollten die Dokumentationen gelöscht werden – datenschutzrechtlich ist die Speicherung dann regelmäßig nicht mehr erforderlich und damit unzulässig. Ferner sollten feste Löschfristen vorgesehen werden.
Und wie kann das in der Praxis aussehen?
Möchte man Meldeverfahren im Unternehmen einrichten, bietet es sich an, dies direkt mit passender technischer Unterstützung, sprich Legal Tech, zu tun. So ist es beispielsweise möglich, eine Meldeplattform einzurichten, über die Meldungen von Hinweisgebern entgegengenommen werden. Hinweisgeber hinterlassen dort alle erforderlichen Informationen (z.B. die Art des Verstoßes, eine kurze Beschreibung, Kontaktdaten etc.) und diese werden dann an einen vorher definierten Empfängerkreis (z.B. die interne Compliance-Abteilung) weitergeleitet. Die Plattform kategorisiert die Art des Verstoßes und die Dringlichkeit der Bearbeitung. Auch weitere Bearbeitungsschritte, wie z.B. das Weiterleiten des Hinweises an andere Personen, automatisierte Antworten o.ä. sind hier denkbar. Auch die Integration eines „Erinnerungssystems“ ist möglich, sodass innerhalb fester Fristen der Bearbeiter und der Hinweisgeber über den Stand der Ermittlungen und die nächsten Schritte informiert werden kann. Wie unsere Legal Tech Tools Sie in der Praxis unterstützen, sehen Sie auf unserer Website www.kliemt-hrtools.de. Sprechen Sie uns bei Fragen gerne an.
Fazit und Ausblick
Da die Frist zur Umsetzung der europäischen Whistleblower-Richtlinie bereits am 17.12.2021 abläuft sind Unternehmen gut beraten, ihr internes Compliance-System bereits jetzt einheitlich auszugestalten. Um die hier thematisierte unternehmensinterne Verhaltensrichtlinie sowie das Meldeverfahren „whistleblower-richtlinienkonform“ zu gestalten, bietet es sich an, das Meldeverfahren auf alle Meldungen von Verstößen – sowohl gegen die interne Verhaltensrichtlinie als auch gegen nationale sowie europäische Rechtsvorschriften auszuweiten. Hierbei unterstützen wir Sie gerne.
Dieser Beitrag ist mit freundlicher Unterstützung von Canan Schneider (Wissenschaftliche Mitarbeiterin im Düsseldorfer Büro) und Martin Kammandel (Legal Tech Engineer) entstanden.