Kontroverse um Vorgaben der EU-Hinweisgeber-Richtlinie für Konzerne

Im Oktober 2019 haben der Rat und das Europäische Parlament eine Richtlinie zum Schutz von Hinweisgebern erlassen. Die Umsetzung in nationales Recht muss bis zum 17. Dezember 2021 erfolgen. Eine Umsetzung in der laufenden Legislaturperiode ist aufgrund von Unstimmigkeiten innerhalb der Koalition praktisch ausgeschlossen. Angesichts der Komplexität der Materie ist zudem unsicher, ob der neu gewählte Bundestag rechtzeitig ein Umsetzungsgesetz erlassen wird. Viele Unternehmen bereiten sich daher derzeit auf eine Situation erheblicher Rechtsunsicherheit vor.

Zentralisierter Ansatz unzulässig?

Zusätzlich zeichnet sich eine Kontroverse mit der EU-Kommission ab, wie die Richtlinie auszulegen ist. Dabei geht es im Kern um die Frage, ob die heute in Konzernstrukturen vielfach zentral organisierten Hinweisgebersysteme zumindest teilweise dezentralisiert werden müssen. Dies legt jedenfalls ein Schreiben der EU-Kommission von Anfang Juni nahe. Nach Auffassung der Kommission verlange die Richtlinie auch in Konzernstrukturen, dass jedes Konzernunternehmen mit mehr als 249 Mitarbeitern grundsätzlich über ein eigenes Hinweisgebersystem verfügen muss. Es soll zwar zulässig sein, dass im Einzelfall Dritte den Berichtskanal für das Unternehmen betreiben. Der Dritte sei dann jedoch darauf beschränkt, den Hinweis entgegenzunehmen und dessen Eingang gegenüber dem Hinweisgeber zu bestätigen. Sämtliche Folgemaßnahmen (Aufklärung etc.) müssten jedoch durch die zuständigen Stellen innerhalb des Konzernunternehmens, d.h. dezentral erfolgen. Die Ergebnisse der Aufklärungsmaßnahmen dürften dann nachträglich mit der Konzernmutter geteilt werden.

Gleichzeitig sollen jedoch zentral betriebene Hinweisgebersysteme nicht ausgeschlossen sein. Es stehe den Unternehmen vielmehr frei, zusätzlich auch zentrale Hinweisgebersysteme auf Ebene der Konzernmutter zu betreiben. Sollte ein Hinweisgeber aus einem Konzernunternehmen das zentrale Hinweisgebersystem nutzen, sollten die Hinweise dort entgegengenommen und entsprechende Aufklärungsmaßnahmen ergriffen werden. In dezentral gemeldeten Sachverhalten, die strukturelle Probleme erkennen ließen, mehrere Konzernunternehmen beträfen oder einen grenzüberschreitenden Aufklärungsansatz erforderten, soll es zudem zulässig sein, den Hinweis nach vorheriger Einwilligung des Hinweisgebers an die zentrale Compliance-Funktion weiterzugeben. Es läge an den Unternehmen, durch entsprechende Regelwerke Vertrauen in das zentrale Hinweisgebersystem zu schaffen. Informationskampagnen etc. könnten dazu beitragen, dass Hinweisgeber von vornherein das zentrale Hinweisgebersystem nutzen.

Schwächung vorhandener Compliance-Management-Systeme

Diese Auslegung der EU-Kommission würde indes die Wirksamkeit der vorhanden Compliance-Management-Systeme schwächen und zu einem erheblichen bürokratischen Mehraufwand führen. Gerade der europäische Normgeber nimmt bei Compliance-Pflichten und Haftungsfolgen von Compliance-Verstößen immer stärker auch verbundene Unternehmen in den Blick. Entsprechendes gilt für die deutsche Rechtspraxis, die zunehmend eine Konzernverantwortung betont. Würden nun lediglich die Ergebnisse der dezentral durchgeführten Folgemaßnahmen – u.U. mit erheblichem Zeitversatz – an die zentrale Compliance-Funktion gemeldet, würde dies die Wahrnehmung einer möglichen Konzernverantwortung deutlich erschweren.

Es wäre gerade vor diesem Hintergrund nicht überzeugend, die Weiterleitung des Hinweises an die zentrale Compliance-Funktion selbst bei Hinweisen auf strukturelle Probleme von der Einwilligung des Hinweisgebers abhängig zu machen. Diese Auslegung würde auch nicht zu einem höheren Schutzniveau für Hinweisgeber oder effektiveren Aufklärungsmaßnahmen führen. Je kleiner das Konzernunternehmen ist, das den Hinweis erhält und Folgemaßnahmen ergreifen muss, desto höher ist das Risiko für den Hinweisgeber, unbeabsichtigt identifiziert zu werden. Die Aufklärungsmaßnahmen ausschließlich dezentral auf Ebene des Konzernunternehmens zu konzentrieren, erschwert aufgrund der typischen Berichtsstrukturen angemessene Folgemaßnahmen durch eine unabhängige Stelle. Dies gilt insbesondere, falls Leitungsorgane des Konzernunternehmens betroffen sein können. Die EU-Kommission betont demgegenüber die Notwendigkeit niedrigschwelliger Angebote zur Meldung vor Ort und das Recht des Hinweisgebers auf physische Treffen. Dies steht jedoch einem zentral betriebenen Hinweisgebersystem nicht entgegen. Auch in einem zentral betriebenen System ist selbstverständlich, dass der Hinweiskanal für jeden Mitarbeiter der Konzerngesellschaften vor Ort leicht zugänglich ist und persönliche Treffen mit Compliance-Verantwortlichen erfolgen können.

Die nächsten Monate bis zum Ablauf der Umsetzungsfrist im Dezember werden zeigen, ob die derzeitigen Bemühungen der großen europäischen Unternehmen und Verbände erfolgreich sein werden, die Kommission und die nationalen Gesetzgeber für eine flexiblere Lösung zu gewinnen, die ohne unnötigen bürokratischen Mehraufwand ein hohes Schutzniveau für Hinweisgeber sicherstellt. 

Dieser Beitrag ist in der Juli/August 2021-Ausgabe des Magazins Compliance erschienen.