Die EU-Whistleblower-Richtlinie kurbelt das Thema Compliance in Unternehmen und öffentlichen Organisationen an

Kleinere Unternehmen mit weniger als 250 Mitarbeiter*innen bekommen noch eine Übergangsfrist bis 17. Dezember 2023.

Unternehmen mit 250 oder mehr Mitarbeiter*innen sind bereits seit dem 18.12.2021 verpflichtet, ein entsprechendes Hinweisgeberschutzsystem etabliert und eingeführt zu haben.

Welches Ziel wird mit der sogenannten europäischen Whistleblower-Richtline verfolgt?

Von unethischem Verhalten in öffentlichen und privaten Organisationen bis hin zu Rechtsverstößen: Mithilfe der EU-Whistleblower-Richtlinie sollen diese aufgedeckt und unterbunden werden. Denn hier kommen die Personen, die mit den Missständen in Berührung kommen oder sie als Erste wahrnehmen, ins Spiel. Infolge der Richtlinie bedürfen diese sogenannten „Whistleblower“ (im deutschen Sprachraum auch Hinweisgebende) einen besonderen Schutz und sollen ermutigt werden, solche Verstöße zu melden – ohne Angst vor direkten oder indirekten Repressalien. Vor diesem Hintergrund hat die Europäische Union 2019 die Richtlinie zum Schutz von Hinweisgeber*innen erlassen. Die deutsche Gesetzgebung entwickelt auf Basis der Richtline des Europäischen Parlaments und des Rates vom 23. Oktober 2019 das Hinweisgeberschutzgesetz; ein entsprechender Regierungsentwurf vom 27. Juli 2022 liegt vor, der auf der Website des Bundesministeriums der Justiz veröffentlicht worden ist. In Österreich wird parallel ein HinweisgeberInnenschutzgesetz erarbeitet.

Diese Richtlinie und die verpflichtende Umsetzung für private Unternehmen, juristische Personen des öffentlichen Sektors, Gemeinden und Behörden (jeweils ab einer bestimmten Größe) bringt neue Vorgaben, gleichzeitig aber auch die Chance für mehr Transparenz. Durch das Etablieren eines Meldewesens wird es möglich, Fehlverhalten oder Missständen einer Organisation strukturiert nachzugehen und dabei erkannte Risiken zu minimieren.

Warum mit der Richtlinie das Thema Compliance nun auch kleine und mittelständische Unternehmen erreicht

Private Unternehmen sind bereits ab einer Größe von 50 Mitarbeiter*innen von den Vorgaben der Richtlinie betroffen. Verstöße gegen Unionsrechte wie etwa dem Konsumentenschutz, Umweltschutz, Produktsicherheit können schließlich in jedem Unternehmen – ganz gleich welcher Größe – stattfinden.

Doch für viele kleinere Unternehmen stellt das Thema Compliance eine zusätzliche Herausforderung während des Tagesgeschäfts dar. In den meisten Fällen gibt es in kleineren Unternehmen keine verfügbaren Strukturen oder Ressourcen, an die man anknüpfen kann: Sie verfügen selten über das notwendige Knowhow oder haben Erfahrung im Compliance-Management und vor allem keine freien personellen Ressourcen, geschweige denn eine Compliance-Abteilung oder geschulte Vertrauenspersonen (z. B. eine*n „Compliance Officer“).

Fehlendes Wissen lässt sich mit der Einführung eines digitalen Hinweisgeberschutzsystems beseitigen, das alle rechtlichen Anforderungen abdeckt. Nichtsdestotrotz benötigt es im Unternehmen verantwortliche Personen, die mit den Hinweisgeber*innen – wenn auch anonym über einen digitalen Meldekanal – in Kontakt treten und den Hinweisen intern ernsthaft nachgehen.

Warum die konsequente Umsetzung eines Hinweisgebersystems eine offene Unternehmenskultur fördert und fordert

Daher ist es für Unternehmen ratsam, den mit der Umsetzung der Richtlinie einhergehenden Handlungsdruck zu nutzen und das eigene Unternehmen nicht nur fit für das Hinweisgeberschutzgesetz zu machen. Anstelle dessen sollten jegliche positiven Mitnahmeeffekte bei der konsequenten Einrichtung eines Hinweisgeberschutzsystems aktiv aufgegriffen werden. Hier bietet es sich an, zeitgleich die drei Handlungsebenen Governance, Risikomanagement und Compliance im Unternehmen zu evaluieren – je nach Unternehmensstruktur und verfügbaren Ressourcen mit entsprechender Tiefe.

Ein effektives Hinweisgeberschutzsystem kann ein aktiver Baustein im internen Risikomanagement sein und als Indikator beim Erkennen von Fehlverhalten und potenziellen Verstößen fungieren. So werden alle beteiligten Parteien mit einbezogen: Angestellte, Kund*innen, Lieferant*innen etc. werden zu Risikomanager*innen ihres Fachbereichs.

Neben der Einführung einer Meldesoftware kommt es auch auf die Unternehmenskultur an, in der eine integrierte Risikobehandlung und stetige Verbesserung gelebt werden sollen. Das Hinweisgeberschutzsystem muss von der Führungsebene als aktive Chance verstanden werden und nicht als zusätzliche finanzielle und personelle Belastung. Erst durch eine aktive Nutzung eines solchen Systems und die konsequente, korrekte Bearbeitung erhaltener Meldungen können konkrete Maßnahmen zur Vermeidung festgestellter Risiken in der Praxis ergriffen werden. Dies erfordert eine positive Unternehmenskultur, in der Hinweise willkommen sind. Umgekehrt trägt ein erfolgreiches Hinweisgeberschutzsystem wesentlich zur wertschätzenden und offenen Unternehmenskultur bei.