Hinweisgeberschutz in Deutschland vor dem Hintergrund der EU-Hinweisgeberrichtlinie

Im Blickpunkt: Die zunehmende Bedeutung von Hinweisgebersystemen und die Rolle des Hinweisgeberschutzes im deutschen und im europäischen Recht

Von Alexander Geschonneck, Barbara Scheben und Dr. Jan-Hendrik Gnändiger

Beitrag als PDF (Download)

Der Fall Edward Snowden öffnete vielen Menschen die Augen über das Vorgehen verschiedener internationaler Geheimdienste. Snowden ist der wohl bekannteste Whistleblower weltweit. Weiterhin harrt er in Russland aus, da ihm in den USA eine jahrzehntelange Haftstrafe aufgrund Geheimnisverrats droht. Wo viele in ihm einen Helden sehen, ist er für andere ein Schwerverbrecher. Schärfer könnte der Kontrast kaum sein.
Ohne Hinweisgeber wäre es zu vielen Veröffentlichungen der jüngeren Vergangenheit gar nicht erst gekommen. Panama Papers, Luxleaks oder auch Cambridge Analytica – immer waren Hinweisgeber hier von zentraler Bedeutung.
Whistleblowing ist bei weitem nicht etablierte und anerkannte Praxis. Beispielsweise bieten nur zehn EU-Mitgliedstaaten einen angemessenen gesetzlichen Rahmen zum uneingeschränkten Schutz von Hinweisgebern. Deutschland zählt nicht zu diesen Staaten. Deutschland wurde sogar erst kürzlich öffentlich von Vera Jourova, der EU-Kommissarin für Justiz und Verbraucherschutz, für unzureichende Regelungen mit Blick auf Whistleblowing gerügt. Es gebe weder klare Meldewege noch ausreichenden Schutz für Hinweisgeber vor Vergeltungsmaßnahmen. So ergab die Umfrage „Global Business Ethics Survey 2016“ beispielsweise, dass von den 59% derjenigen, die Meldung erstattet hatten, 36% Repressalien ausgesetzt waren. Und so ist es nur verständlich, wenn Menschen aus Angst vor den Konsequenzen davor zurückschrecken, Missstände zu melden. In einer Studie der Europäischen Kommission wurde zudem festgestellt, dass allein im öffentlichen Auftragswesen aufgrund des fehlenden Schutzes für Hinweisgeber der EU potentiell Einnahmen von 5,8 bis 9,6 Milliarden Euro pro Jahr entgehen. Auch die finanziellen Dimensionen dieser Problematik sind also durchaus ernst zu nehmen.
Es überrascht daher nicht, dass sich die EU-Kommission dem Whistleblowing in Form des Richtlinienentwurfs „zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ angenommen hat. Auch in Deutschland rücken Hinweisgebersysteme zunehmend in den Fokus von Regierung und Gesetzgeber. Im Folgenden soll daher auf die regulatorischen Grundlagen des Whistleblowings auf europäischer und auch deutscher Ebene eingegangen werden.

Rechtslage in Deutschland

Das deutsche Recht sah lange Zeit keine Verpflichtung zur Einrichtung eines Hinweisgebersystems vor. Dennoch sind Hinweisgebersysteme zumindest in Großunternehmen mittlerweile in der Regel angewandte Praxis. Dafür können internationale Regelungen – wie beispielsweise der US-amerikanische Sarbanes Oxley Act – ursächlich sein, da diese die Implementierung derartiger Prozesse bereits wesentlich früher vorsahen.

Hinweisgebersysteme im Finanzsektor

Doch auch im deutschen Recht spielen Hinweisgebersysteme eine immer größere Rolle. So gilt diese Anforderung insbesondere für Unternehmen des Finanzsektors. Es heißt beispielsweise für Finanz- und Kreditinstitute in § 25a Abs. 1 Satz 6 Nr. 3 Kreditwesengesetz:
„Eine ordnungsgemäße Geschäftsordnung umfasst darüber hinaus einen Prozess, der es den Mitarbeitern unter Wahrung der Vertraulichkeit ihrer Identität ermöglicht, Verstöße gegen [eine Aufzählung verschiedener Verordnungen; unter anderem die Marktmissbrauchsverord-nung] oder dieses Gesetz oder der gegen die auf Grund dieses Gesetzes erlassenen Rechtsverordnungen oder gegen das Wertpapierhandelsgesetz oder gegen die auf Grund des Wertpapierhandelsgesetzes erlassenen Rechtsverordnungen sowie etwaige strafbare Handlungen innerhalb des Unternehmens an geeignete Stellen zu berichten.“
Für Versicherungen ergibt sich diese Anforderung aus § 23 Abs. 6 Versicherungsaufsichtsgesetz, für Wertpapierdienstleistungsunternehmen aus § 80 Abs. 1 WpHG in Verbindung mit der genannten Norm des Kreditwesengesetzes. Finanzdienstleister besitzen daher eine ge-wisse Routine bei der Einrichtung und Handhabung von Hinweisgebersystemen.

Hinweisgebersysteme gemäß Geldwäschegesetz

Bei Unternehmen anderer Branchen besteht in dieser Hinsicht daher noch Nachholbedarf, denn die Implementierung eines Hinweisgebersystems ist immer häufiger auch für Nichtfinanzdienstleister verpflichtend. So kann sich diese Anforderung beispielsweise aus § 6 Abs. 5 Geldwäschegesetz (GwG) ergeben. Dieses wurde im Zuge der 4. EU-Geldwäscherichtlinie in erheblichem Maße überarbeitet und ist seit Juni vergangenen Jahres geltendes Recht. § 6 Abs. 5 besagt Folgendes:
„Die Verpflichteten haben im Hinblick auf ihre Art und Größe angemessene Vorkehrungen zu treffen, damit es ihren Mitarbeitern und Personen in einer vergleichbaren Position unter Wahrung der Vertraulichkeit ihrer Identität möglich ist, Verstöße gegen geldwäscherechtliche Vorschriften geeigneten Stellen zu berichten.“
Verpflichtete nach dem GwG sind neben Kreditinstituten und Versicherungsunternehmen unter anderem auch Immobilienmakler, Veranstalter und Vermittler von Glücksspielen sowie Güterhändler.
Der Begriff des Güterhändlers ist in § 1 Abs. 9 GwG mit „jede Person, die gewerblich Güter veräußert, unabhängig davon, in wessen Namen oder auf wessen Rechnung sie handelt“ definiert. Diese Definition ist sehr weit gefasst, so dass Unternehmen verschiedenster Art in den Anwendungsbereich des GwG fallen. Neben vermeintlich offensichtlicheren Güterhändlern wie Automobilherstellern, Retail- oder Pharmaunternehmen sind beispielsweise auch Strom- oder Wasserversorger Güterhändler im Sinne des GwG.
Diese müssen gemäß § 4 GwG über ein wirksames Geldwäscherisikomanagement verfügen, das eine Risikoanalyse und interne Sicherungsmaßnahmen beinhaltet. Zu diesen internen Sicherungsmaßnahmen zählt auch die Einrichtung eines Hinweisgebersystems. Güterhändler sind allerdings gemäß § 4 Abs. 4 GwG insofern privilegiert, als sie lediglich über ein wirksames Risikomanagement verfügen müssen, „soweit sie im Rahmen einer Transaktion Barzahlungen über mindestens 10.000 Euro tätigen oder entgegennehmen“. Dies kann den Kreis der Unternehmen wiederum einschränken, die gemäß Geldwäschegesetz ein Hinweisgebersystem einrichten müssen. Dennoch empfiehlt es sich auch für nicht nach dem GwG verpflichtete Unternehmen, Whistleblowingprozesse einzurichten. Schließlich erweisen sich diese nicht nur mit Blick auf Geldwäsche als hilfreich, sondern können auch bei der Bekämpfung jedweder Art von Wirtschaftskriminalität unterstützen.

Umsetzungsgesetz zur EU-Richtlinie zum Schutz von Geschäftsgeheimnissen

Am 18.07.2018 hat die Bundesregierung den Entwurf eines Gesetzes zur Umsetzung der EU-Richtlinie zum Schutz von Geschäftsgeheimnissen beschlossen. Zwar dient der Gesetzentwurf prinzipiell dem Geschäftsgeheimnisschutz, allerdings ist er auch vor dem Hintergrund des Hinweisgeberschutzes bedeutsam. Schließlich geht eine Whistleblowermeldung häufig mit der Offenbarung oder zumindest Nutzung von Geschäftsgeheimnissen einher.
Dem trägt auch der Gesetzentwurf Rechnung. So besagt § 5 Nr. 2 des Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG):
„Die Erlangung, die Nutzung oder die Offenlegung eines Geschäftsgeheimnisses ist gerechtfertigt, wenn dies zum Schutz eines berechtigten Interesses erfolgt, insbesondere zur Aufdeckung einer rechtswidrigen Handlung oder eines beruflichen oder sonstigen Fehlverhaltens, wenn die das Geschäftsgeheimnis erlangende, nutzende oder offenlegende Person in der Absicht handelt, das allgemeine öffentliche Interesse zu schützen.“
Hervorzuheben ist die Formulierung des „beruflichen oder sonstigen Fehlverhaltens“. Demnach ist auch die Aufdeckung unethischen, aber nicht rechtswidrigen oder gar strafbaren Verhaltens geschützt. Das Bundesjustizministerium nennt beispielhaft Verhaltensweisen, die in Drittländern zwar nicht rechtswidrig sind, in Deutschland aber gleichwohl als unethisch angesehen werden – wie etwa Kinderarbeit oder gesundheits- oder umweltschädliche Produktionsbedingungen.
Der Entwurf sieht sich allerdings zwei großen Kritikpunkten gegenüber. Zum einen liegt es weitestgehend in der Hand der Unternehmen, zu definieren, worin ein Geschäftsgeheimnis besteht, da dafür insbesondere die vom Unternehmen getroffenen Schutzmaßnahmen maßgeblich sind. Zum anderen wird kritisiert, dass Hinweisgeber ausdrücklich in der Absicht handeln müssen, das allgemeine öffentliche Interesse zu schützen. Eine derartige Gesinnungsprüfung wird im noch darzustellenden Entwurf der EU-Hinweisgeberrichtlinie nicht vorgenommen. Hinweisgeber könnten sich demnach – selbst wenn der Hinweis dem öffentlichen Interesse dient – nicht auf den Schutz des § 5 Nr. 2 GeschGehG berufen, wenn sie aus anderen Motiven handeln. Beispielsweise ist an Konstellationen zu denken, in denen es dem Hinweisgeber zunächst darum geht, das eigene Gewissen zu beruhigen, oder bei denen gar finanzielle Interessen im Vordergrund stehen. Zudem ist es für den Hinweisgeber schwierig, dieses subjektive Interesse in zivil- oder strafrechtlichen Verfahren nachzuweisen. Es bleibt daher abzuwarten, ob das GeschGehG vor dem Hintergrund der EU-Hinweisgeberrichtlinie in dieser Form verabschiedet wird.

Deutscher Corporate Governance Kodex

Der Deutsche Corporate Governance Kodex (DCGK) richtet sich in erster Linie an börsennotierte Gesellschaften und Gesellschaften mit Kapitalmarktzugang im Sinne des § 161 Abs. 1 Satz 2 Aktiengesetz. Auch nicht kapitalmarktorientierten Gesellschaften wird die Beachtung des Kodexes empfohlen. Der Kodex selbst ist kein Gesetz, sondern beschreibt Vorgaben zur Leitung und Überwachung deutscher börsennotierter Gesellschaften. Er beinhaltet durch „soll“ gekennzeichnete Empfehlungen sowie durch „sollte“ gekennzeichnete Anregungen auf Basis nationaler und internationaler Standards guter und verantwortungsvoller Unternehmensführung. Der DCGK ist durch § 161 Aktiengesetz gesetzlich verankert. Demzufolge ist jährlich eine Entsprechenserklärung abzugeben, in der Abweichungen zu den Empfehlungen zu begründen sind („comply or explain“).
In Nr. 4.1.3 DCGK findet sich folgende Passage mit Blick auf Hinweisgebersysteme:
„Beschäftigten soll auf geeignete Weise die Möglichkeit eingeräumt werden, geschützt Hinweise auf Rechtsverstöße im Unternehmen zu geben; auch Dritten sollte diese Möglichkeit eingeräumt werden.“
Da es sich bei der Hinweisgebermöglichkeit für Beschäftigte um eine Empfehlung handelt, müssen von DCGK erfasste Unternehmen begründen, wieso sie von dieser Empfehlung abweichen. Soweit diese Möglichkeit auch Dritten nicht eingeräumt wird, ist dies nicht weiter zu begründen, da es sich in diesem Fall nur um eine Anregung handelt.

Zusammenfassung Rechtslage Deutschland

Gerade Unternehmen des Finanzsektors sind dazu verpflichtet, ein Hinweisgebersystem einzuführen. Durch das Geldwäschegesetz trifft diese Verpflichtung darüber hinaus Unternehmen weiterer Branchen. Hinweisgebersysteme haben sich in Deutschland vermehrt zu einer anerkannten Maßnahme entwickelt und finden sich beispielsweise im Deutschen Corporate Governance Kodex oder auch als beispielhafte Maßnahme eines Complianceprogramms gemäß Prüfungsstandard 980 des Instituts der Wirtschaftsprüfer (IDW).
Der Hinweisgeberschutz hingegen ist in deutschem Recht bisher kaum geregelt. Mit dem Gesetz zum Schutz von Geschäftsgeheimnissen könnte hier ein erster Schritt getan werden, auch wenn sein Schutzziel ein völlig anderes ist. Allerdings gilt es zu berücksichtigen, dass das GeschGehG vor dem Hintergrund der EU-Hinweisgeberrichtlinie möglicherweise anzupassen sein wird.

EU-Hinweisgeberrichtlinie

Auch auf europäischer Ebene gab es lange Zeit keine kohärenten Regelungen mit Blick auf die Einrichtung von Hinweisgebersystemen und einen entsprechenden Hinweisgeberschutz. Dies könnte sich nun mit dem „Entwurf einer Richtlinie des Europäischen Parlaments und des Rates zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ ändern. Dieser wurde am 23.04.2018 von der Europäischen Kommission veröffentlicht und fußt auf der Empfehlung des Europarats zum Schutz von Whistleblowern aus dem Jahr 2014. Grundsätzlich unterstreichen einige jüngere europäische Gesetzesvorgaben die zunehmende Tendenz, das Thema Whistleblowing auch gesetzlich zu verankern, so beispielsweise in Frankreich oder Italien. Im angloamerikanischen Recht sind Hinweisgebersysteme bereits seit einem längeren Zeitraum etabliert, wie unter anderem der Sarbanes Oxley Act zeigt.

Allgemeines und Anwendungsbereich

Zunächst ist darauf hinzuweisen, dass sich die EU-Hinweisgeberrichtlinie zum Zeitpunkt der Erstellung dieses Artikels noch im Entwurfsstadium befindet. Sie muss also die weiteren EU-Ebenen noch durchlaufen. Änderungen sind daher nicht auszuschließen. Da es sich zudem um eine Richtlinie handelt, muss sie nach Wirksamwerden noch in das nationale Recht der EU-Mitgliedstaaten umgesetzt werden. Sie ist nicht, wie etwa eine EU-Verordnung, unmittelbar anwendbares Recht in den Mitgliedstaaten. Diese haben also vielmehr bei der Richtli-nienumsetzung einen gewissen Gestaltungsspielraum.
Im Vergleich zur bisherigen deutschen Gesetzgebung beziehungsweise den einschlägigen Gesetzgebungsverfahren wählt der EU-Gesetzgeber einen umfassenden Ansatz. So beabsichtigt die Richtlinie nicht nur die Einrichtung von Hinweisgebersystemen, sondern sieht auch Normen zum Schutz der Hinweisgeber vor. Die EU-Kommission machte in der zugehörigen Pressemitteilung (s. HIER) deutlich, dass die Richtlinie lediglich Mindeststandards vorge-be, und ermutigt die Mitgliedstaaten, darüber hinausgehende, umfassende Rahmenbedingungen für den Hinweisgeberschutz zu schaffen.
Dass die Regelungen noch nicht als abschließend betrachtet werden sollten, zeigt sich bereits am sachlichen Anwendungsbereich. Dieser nennt Hinweise in folgenden Bereichen:

  • öffentliches Auftragswesen
  • Finanzdienstleistungen sowie Verhütung von ­Geldwäsche und Terrorismusfinanzierung
  • Produktsicherheit
  • Verkehrssicherheit
  • Umweltschutz
  • kerntechnische Sicherheit
  • Lebensmittel- und Futtermittelsicherheit, Tiergesundheit und Tierschutz
  • öffentliche Gesundheit
  • Verbraucherschutz
  • Schutz der Privatsphäre und personenbezogener Daten sowie Sicherheit von Netz- und Informationssystemen
  • EU-Wettbewerbsvorschriften
  • Schädigungen finanzieller Interessen der EU
    Körperschaftsteuervorschriften

Meldungen mit Blick auf Verstöße gegen Arbeitnehmerrechte oder die Steuerhinterziehung von Einzelpersonen sind hingegen nicht erfasst und könnten individuell durch das Recht der einzelnen Mitgliedstaaten ergänzt werden.
Der Begriff des Hinweisgebers ist weit gefasst. So können sich neben Arbeitnehmern auch Selbständige, Anteilseigner, Leitungsorgane, Ehrenamtliche, unbezahlte Praktikanten oder Zulieferer auf die Schutzvorschriften der Richtlinie berufen. Im Vergleich zum Entwurf des Geschäftsgeheimnisgesetzes sieht die Richtlinie keine Gesinnungsprüfung vor. Öffentliche Interessen müssen somit nicht das herrschende Motiv potentieller Hinweisgeber sein.

Dreistufiges Meldekonzept

Mitgliedstaaten haben sicherzustellen, dass sowohl im privaten als auch im öffentlichen Sektor interne Kanäle und Verfahren zur Übermittlung und Weiterverfolgung von Meldungen eingerichtet werden. Im privaten Sektor gilt dies für Unternehmen mit 50 oder mehr Beschäftig-ten oder Unternehmen mit einem Jahresumsatz von mehr als 10 Millionen Euro oder den Finanzdienstleistungsbereich sowie für Geldwäsche und Terrorismusfinanzierung anfällige Unternehmen. Die Systeme können intern wie auch extern betrieben werden und müssen insbesondere gewährleisten, dass die Vertraulichkeit der Identität des Hinweisgebers gewahrt und unbefugter Zugriff verwehrt bleibt. Meldungen müssen in Papierform und elektronischer Form, telefonisch sowie auch durch physische Zusammenkunft möglich sein. Darüber hinaus muss sichergestellt sein, dass der Hinweisgeber innerhalb von maximal drei Monaten Rück-meldung über Folgemaßnahmen erhält und er über das Verfahren informiert wird.
Die Richtlinie sieht ein dreistufiges Meldeverfahren vor. Folgen Hinweisgeber diesem System nicht, können sie sich nicht auf die Vorschriften zu ihrem Schutz berufen. Dies wurde zum Teil kritisiert, da sich diese strikte Vorgabe in der Realität als Einschränkung des Hinweisgeberschutzes erweisen könnte. Schließlich sei es beispielsweise nur in absoluten Ausnahmefällen möglich, mit den Informationen unmittelbar an die Öffentlichkeit zu gehen.
Die erste Stufe besteht in der Meldung beim Unternehmen selbst. Diesem muss die Möglichkeit gegeben werden, dem Hinweis eigenständig nachzugehen. Allerdings ist das Unternehmen verpflichtet, dem Hinweisgeber innerhalb von drei Monaten Rückmeldung über die Maßnahmen infolge des Hinweises zu geben. Falls interne Meldekanäle nicht zur Verfügung standen, innerhalb des genannten Zeitrahmens keine geeigneten Maßnahmen ergriffen wurden oder sie etwa hinreichenden Grund zu der Annahme hatten, dass im Fall eines Rückgriffs auf interne Meldekanäle die Wirksamkeit etwaiger Ermittlungen der zuständigen Behörden beeinträchtigt werden könnte (Art. 13 der Richtlinie enthält weitere Ausnahmen), können sich Hinweisgeber in zweiter Stufe an die zuständigen Behörden wenden. Diese sind wiederum verpflichtet, ihnen innerhalb von drei oder in begründeten Ausnahmefällen innerhalb von sechs Monaten Rückmeldung zu erstatten. Werden auch auf dieser Stufe keine angemessenen Maßnahmen ergriffen oder besteht eine unmittelbare oder offenkundige Gefährdung des öffentlichen Interesses oder die Gefahr eines irreparablen Schadens, stellt die Meldung an die Öffentlichkeit die dritte Stufe des Meldekonzepts dar.

Maßnahmen zum Schutz von Hinweisgebern

Der Schutz des Hinweisgebers besteht in dem Verbot von Repressalien. Die Mitgliedstaaten haben die hierzu erforderlichen Maßnahmen zu ergreifen. Neben der Kündigung, dem Versagen einer Beförderung, der Gehaltskürzung oder auch der negativen Leistungsbeurteilung werden unter anderem auch Aspekte wie Diskriminierung, finanzielle und Reputationsschäden, der Entzug von Lizenzen oder Mobbing am Arbeitsplatz von der Richtlinie als Repressalie erfasst.
Zu den zu ergreifenden Maßnahmen zählen die Information über die zur Verfügung stehenden Abhilfemöglichkeiten und Verfahren gegen Repressalien sowie der Zugang zu Unterstützungsleistungen der zuständigen Behörden. Außerdem sieht die Richtlinie vor, dass Hinweisgeber in ihrem Handeln grundsätzlich keine gesetzlichen oder vertraglichen Offenlegungsbeschränkungen verletzen. In Gerichtsverfahren, in denen der Hinweisgeber glaubhaft machen kann, dass er infolge einer Meldung durch eine Vergeltungsmaßnahme benachteiligt wurde, soll die Beweislast fortan bei der Person liegen, welche die Vergeltungsmaßnahme ergriffen hat. Diese muss nachweisen, dass es hinreichende sonstige Gründe für die Benachteiligung gab.
Forciert wird dies durch ein Sanktionsregime. Mitgliedstaaten sollen wirksame, angemessene und abschreckende Sanktionen festlegen, falls eine natürliche oder juristische Person Meldungen behindert oder dies versucht, Repressalien gegen Hinweisgeber ergreift, mutwillig Gerichtsverfahren gegen Hinweisgeber anstrengt oder gegen die Pflicht verstößt, die Vertraulichkeit des Hinweisgebers zu wahren.
Es bleibt abzuwarten, inwieweit der Entwurf im weiteren EU-Gesetzgebungsverfahren noch Änderungen erfährt. Es ist jedenfalls davon auszugehen, dass in naher Zukunft die Grundlage für einen europaweit einheitlichen Hinweisgeberschutz geschaffen wird.

Fazit

Hinweisgebersysteme gehören inzwischen zur anerkannten und etablierten Compliancepraxis. Sie sind ein wichtiger Bestandteil der Compliancekultur eines jeden Unternehmens und bieten ihm die Möglichkeit, Wirtschaftskriminalität frühzeitig zu erkennen und zu unterbinden. Dabei haben nicht zuletzt die aufmerksamkeitswirksamen Veröffentlichungen der jüngeren Vergangenheit gezeigt, welche elementar wichtige Rolle Hinweisgeber bei der Aufdeckung von Verstößen spielen können. Allerdings sind Whistleblower nach wie vor großen Risiken in Form von Vergeltungsmaßnahmen ausgesetzt. Dies könnte sich mit einem gestärkten Hinweisgeberschutz durch die EU-Hinweisgeberrichtlinie ändern.

ageschonneck@kpmg.com

bscheben@kpmg.com

j-hgnaendiger@kpmg.com