Viele Unternehmen gehören einem (oft internationalen) Konzern an. Konzerne sind vielfach beim Hinweisgeberschutz schon weiter als kleine und mittlere Unternehmen und verfügen so bereits über ein auf der Ebene der Konzernobergesellschaft angesiedeltes Schutzsystem für Whistleblower.
Im Hinblick auf die seit heute (17.12.2021) in das nationale Recht umzusetzende EU-Whistleblower-Richtlinie stellt sich damit vielfach die Frage, ob überhaupt Handlungsbedarf besteht oder ob das im Konzern bestehende System einfach weitergenutzt werden kann.
Grundsatz: Konzernmeldesystem allein nicht ausreichend
Die EU Kommission vertritt eine klare Auffassung. Auf zwei Anfragen hat sie am 02. und 29.06.2021 unzweideutig festgehalten, dass jedes Unternehmen mit mehr als 50 Arbeitnehmern ein eigenes internes Hinweisgebersystem bereitstellen muss. Allerdings weist die Kommission auf einige Optionen hin, die (auch) im Konzern zur Verfügung stehen.
Option 1: Externes Meldesystem eines Dienstleisters
Zurecht weist die Kommission darauf hin, dass die Richtlinie in Art. 8 Absatz 5 ausdrücklich die Möglichkeit vorsieht, einen externen Meldekanal, der nicht unternehmensintern betrieben wird, einzurichten.
In der Praxis wird diese Lösung allerdings nicht weiterhelfen. Der externe Meldekanal ist nämlich darauf beschränkt, Meldungen entgegenzunehmen, den Eingang eines Hinweises (binnen 7 Tagen) zu bestätigen und dann zur internen Bearbeitung weiterzuleiten.
Da es gerade Sinn und Zweck eines konzernweiten Systems ist, nicht nur Hinweise zu erhalten, sondern diese auch zu bearbeiten muss die Frage, ob auch ein Konzernunternehmen externer Dienstleister in diesem Sinne sein kann, nicht vertieft werden.
Option 2: Gemeinsames Meldesystem für Unternehmen mit 50-249 Arbeitnehmern
Artikel 8 Absatz 6 der Richtlinie sieht vor, dass Unternehmen mit 50- 249 Arbeitnehmern ein gemeinsames Meldesystem einrichten können.
Außerhalb eines Konzerns wird dies kaum in Betracht kommen, da kein Unternehmen gewillt sein wird, die Bearbeitung von Hinweisen einem fremden Dritten zu überlassen, allenfalls Lösungen über Ombudsleute, die eingehende Hinweise streng voneinander abgrenzen (je nach betroffenem Unternehmen) mögen im Einzelfall in Betracht kommen.
Problematisch ist, dass die EU Kommission bei einem gemeinsamen System auf Konzernebene, das grundsätzlich zulässig ist, Einschränkungen vorsieht.
Zum einen dürfen nur Unternehmen in der genannten Größenordnung teilnehmen. Gibt es also – wie wohl im Regelfall – auch ein oder mehrere Unternehmen mit mehr als 249 Arbeitnehmern, können diese größeren Einheiten nicht an dem gemeinsamen System teilnehmen.
Zudem fordert die Kommission, dass immer (also auch bei einem gemeinsamen System) zusätzlich ein lokales System vorhanden sein muss.
Weiter müssen Hinweisgeber darüber informiert werden, dass Mitarbeiter des Konzerns Zugang zu der Meldung und den Informationen haben. Insoweit muss dem Hinweisgeber ein ausdrückliches Widerspruchsrecht eingeräumt werden. Wird ein solcher Widerspruch erklärt, verbleibt es bei der Alleinzuständigkeit des internen Systems auf Unternehmensebene.
Schließlich, und dies entwertet gemeinsame Systeme auf Konzernebene dann vollends, müssen alle Folgemaßnahmen (also z.B. auch interne Ermittlungen) und die weitere Kommunikation mit dem Hinweisgeber ausschließlich auf Unternehmensebene erfolgen.
Zusammenfassend lässt sich festhalten, dass ein gemeinsames System im Konzern nach Artikel 8 Absatz 6 keine echte Alternative zu einem Meldesystem auf Unternehmensebene darstellt.
Option 3: Parallele Meldesysteme
Die Kommission hält weiter zunächst zutreffend fest, dass nichts in der Richtlinie geben die Existenz zweier paralleler Meldesysteme spricht.
Dabei wird dann im Wesentlichen zwischen zwei Fallgestaltungen unterschieden.
a) Konzernbezogener Hinweis
Handelt es sich bei dem Sachverhalt, der dem Hinweis zugrunde liegt, um einen konzernbezogenen Verstoß, der mehr als ein Unternehmen betrifft, oder ein strukturelles Problem darstellt, kann grundsätzlich, soweit eine rein lokale Abhilfe nicht möglich oder sinnvoll erscheint, auf das Konzernsystem zugegriffen werden.
Voraussetzung ist allerdings, dass der Hinweisgeber auf diesen Umstand ausdrücklich hingewiesen wird und er mit der Bearbeitung seines Hinweises auf der Konzernebene einverstanden ist. Ist dies nicht der Fall muss er/sie darauf hingewiesen werden, dass die Möglichkeit der Rücknahme des Hinweises und (stattdessen) die Meldung an die externe (staatliche) Meldestelle besteht.
Ungeklärt ist dann, ob und wie der Hinweis, der schließlich ein bestehendes Problem betreffen kann, dennoch weiter bearbeitet werden kann bzw. unter welchen Vorgaben eine Klärung herbeigeführt werden kann.
b) Wahl des Hinweisgebers
Alternativ kann auch der Hinweisgeber frei entscheiden, dass er die Bearbeitung ausschließlich auf der Konzernebene wünscht, etwa weil er/sie sich dort besser aufgehoben fühlt. In diesem Fall darf der Bearbeiter auf Konzernebene dann auch eigene Ermittlungen anstellen und den Hinweis bearbeiten.
Eine Wahlmöglichkeit für den Hinweisgeber besteht grundsätzlich allerdings auch dann, wenn es nicht um einen Konzernsachverhalt geht. Dann allerdings ist zunächst einmal nur der Meldekanal eröffnet und die Sachbearbeitung und Kommunikation müssen lokal erfolgen. Dies gilt nicht, wenn der Hinweisgeber ausdrücklich (trotz fehlendem Konzernbezug des Hinweises) damit einverstanden ist (oder sogar wünscht), dass das gesamte Verfahren auf der Konzernebene stattfindet.
Von den vorstehenden Erwägungen unberührt bleibt die Zulässigkeit einer (ggfls. zu anonymisierenden) Ergebnismitteilung an den Konzern.
Sonstige Anforderungen an Konzernsysteme
Es versteht sich, dass ein konzernweites Hinweisgebersystem den weiteren Anforderungen der EU-Richtlinie und (in dem jeweiligen Land) der nationalen Umsetzungen entsprechen muss. Bestehende Systeme sind daher daraufhin zu überprüfen, ob sie diese Voraussetzungen erfüllen. Gerade der Hinweis auf das jeweils anwendbare nationale Gesetz ist veranlasst, da sich diese aufgrund der durch die Richtlinie eröffneten Spielräume durchaus voneinander unterscheiden können. Das Erfordernis einer (multinationalen) Kompatibilität kann also auch ein Hindernis für Ermittlungen auf Konzernebene darstellen.
Vorstehende Überlegungen gelten natürlich erst recht, wenn die Konzernobergesellschaft außerhalb der EU ansässig ist. Hier werden oft schon die einzuhaltenden Regelungen der DSGVO dafür sorgen, dass das Konzernsystem gar nicht oder nur mit erheblichen Einschränkungen genutzt werden darf.
Konzernweite Systeme müssen zudem im Blick haben, dass außerhalb der EU ansässige Hinweisgeber zwar zu schützen sind, jedoch zunächst das jeweilige nationale Recht daraufhin zu überprüfen ist, ob ein Transfer von Daten überhaupt zulässig ist.
Fazit
Zusammenfassend lässt sich festhalten, dass in den allermeisten Fällen trotz einem ggfls. bereits vorhandenen konzernweiten Schutzsystem ein nationaler Meldekanal zu schaffen ist. Ein etwaiges konzernweites System ist der Richtlinie anzupassen.
Technisch ist dies, anders als von einigen Unternehmen befürchtet, relativ leicht im Rahmen der bestehenden IT-gestützten Angebote umsetzbar. Hierzu haben wir mit den wichtigsten Anbietern Lösungen entwickelt und können Ihnen diese bei Bedarf gerne näher erläutern.