Was wird durch die EU-Whistleblower-Richtlinie geregelt?
Die EU-Richtlinie 2019/1937 (sog. EU-Whistleblower-Richtlinie bzw. EU Whistleblowing Directive, nachfolgend «EU-Richtlinie») trat am 16. Dezember 2019 in Kraft. Bis zum 17. Dezember 2021 müssen die EU-Mitgliedstaaten die sich aus der EU- Richtlinie ergebenden Vorgaben in nationales Recht umgesetzt haben. Die EU-Richtlinie bezweckt den Schutz von Personen, welche Verstösse gegen das Unionsrecht melden (nachstehend «Hinweisgebern» oder «Whistleblower») vor Entlassung, Degradierung und anderweitigen Diskriminierungen. Unter dem Begriff Hinweisgeber sind nicht nur gegenwärtige Angestellte der von betreffenden Unternehmen zu verstehen. Als Hinweisgeber im Sinne von Art. 4 der EU-Richtlinie gelten vielmehr auch ehemalige Mitarbeitende, Selbstständige, Berater, Bewerber, Freiwillige, etc. Der Schutz von solchen Hinweisgebern muss sich dabei mindestens in Bezug auf das Melden von Missständen in Bezug auf das EU-Recht ergeben. Den einzelnen Mitgliedstaaten steht es aber zu, den Schutz auf Meldungen in Bezug auf das nationale Recht zu erweitern.
Bei der Meldung von Missständen haben Whistleblower künftig die Wahl zwischen einer internen Meldung über die vom Unternehmen bereitgestellten Meldekanäle oder einer Meldung bei der zuständigen Aufsichtsbehörde. Innerhalb von sieben Tagen muss das Unternehmen gegenüber dem Hinweisgeber den Eingang der Meldung bestätigen. Innerhalb von drei Monaten ist diese Rückmeldung zu erteilen über die zwischenzeitlich unternommenen Schritte. Erfolgt keine Reaktion auf die Meldung oder besteht für den Hinweisgeber Grund zur Annahme, dass ein öffentliches Interesse an der Kenntnis der Missstände besteht, ist auch ein direkter Gang an die Öffentlichkeit zulässig.
Die Pflicht zur Bereitstellung eines geeigneten internen - mit der EU- Richtlinie und der EU-Datenschutzgrundverordnung (EU-DSGVO) konformen - Meldekanals für Hinweisgeber gilt für Unternehmen des privaten und öffentlichen Sektors ab 250 Mitarbeitenden bereits ab dem 17. Dezember 2021. Unternehmen mit einer Grösse von 50-249 Mitarbeitenden wird hierfür eine Übergangsfrist bis Dezember 2023 gewährt.
16 EU-Mitgliedstaaten, darunter auch Deutschland, Italien und Österreich, haben die Frist zur Umsetzung der EU-Richtlinie bis zum 17. Dezember 2021 verstreichen lassen. Gegenüber diesen EU-Mitgliedstaaten leitete die EU-Kommission daraufhin ein Verfahren betreffend Vertragsverletzung ein. Am 27. Juli 2022 wurde in Deutschland der Gesetzesentwurf (Hinweisgeberschutzgesetz, HinSchG) zur Umsetzung der EU-Richtlinie vom Bundeskabinett vorgelegt. Das neue Gesetz soll nun im Herbst 2022 verabschiedet und drei Monate danach, also voraussichtlich Januar 2023, in Kraft treten. Auch in den restlichen Ländern, abgesehen von Ungarn, wurden die ersten Schritte des Umsetzungsprozesses vorgenommen. So veröffentlichte der Gesetzgeber in Österreich einen neuen Gesetzesentwurf am 3. Juni 2022, welcher in der Gesellschaft allerdings bislang auf Kritik stösst.
Die Schweiz ist kein EU-Mitglied, weshalb muss sich ein Schweizer Unternehmen möglicherweise dennoch an die EU-Richtlinie halten?
Die EU- Richtlinie ist in der Schweiz nicht direkt anwendbar. Da die Schweiz kein EU-Mitgliedstaat ist, muss sie deren Vorgaben auch nicht in nationales Recht umsetzen. Eine vergleichbare Regelung zum Schutz von Whistleblowern gibt es in der Schweiz bisher nicht, denn die Vorlage des Bundesrats zum «Schutz bei Meldung von Unregelmässigkeiten am Arbeitsplatz» ist am 5. März 2020 im Parlament definitiv gescheitert (vgl. mehr hierzu).
Schweizer Unternehmen mit Geschäftstätigkeit bzw. geschäftlichem Bezug zum EU-Raum sind aber dem Risiko ausgesetzt, in den Anwendungsbereich der EU-Richtlinie zu fallen. Die EU-Richtlinie ist insbesondere für Schweizer Unternehmen relevant, die über Geschäftsniederlassungen in der EU verfügen, die im Grundsatz mindestens 50 Mitarbeitende beschäftigen. Die EU-Richtlinie ist auch anwendbar auf Hinweisgeber, die zwar nicht an einem EU-Standort eines in der EU tätigen Konzerns angestellt sind, die gemeldeten Missstände bzw. das kritisierte Fehlverhalten aber einen Unternehmensstandort in der EU betreffen. Insbesondere solche Schweizer Unternehmen mit einer Niederlassung in der EU sind daher gut beraten, die Einhaltung der EU-Richtlinie 2019/1937 im Grundsatz zu gewährleisten, indem eine interne DSGVO-konforme Meldemöglichkeit und Untersuchung sichergestellt wird.
Was muss ein Schweizer Unternehmen bei der Ausgestaltung des Meldesystems und bei der Durchführung von internen Untersuchungen beachten?
Die gewählte Meldestelle von privaten Unternehmen muss Informationen über Missstände bzw. Verstösse von den Hinweisgebern entweder schriftlich oder mündlich empfangen können. Die Zusicherung der Anonymität ist nach der EU-Richtlinie entgegen der weit verbreiteten Ansicht jedoch nicht Pflicht. Ungeachtet dessen muss aber die Identität des Hinweisgebers möglichst geheim gehalten werden, um diesen vor Repressalien zu schützen.
In der Praxis ist es weit verbreitet, dass verbundene Konzernunternehmen des privaten Sektors sich für die Entgegennahme von Meldungen und möglicherweise durchzuführende Untersuchungen die Ressourcen teilen. Nach Art. 8 Ziff. 6 der EU-Richtlinie soll dies für juristische Personen des privaten Sektors mit 50 bis 249 Mitarbeitenden weiterhin möglich sein. Dem Wortlaut dieses Artikels nach dürfte es somit den einzelnen Unternehmen mit 250 oder mehr Mitarbeitenden nicht mehr gestattet sein, die Entgegennahme von Meldungen und möglicherweise durchzuführenden Untersuchungen über dieselbe Ressource abzuwickeln. Diese müssen die Meldungen eigenhändig entgegennehmen und aufarbeiten oder eigene Verträge mit entsprechenden Dienstleistungsanbietern abschliessen müssen. Dabei müssen sie sicherstellen, dass die eingehenden Meldungen pro Unternehmen aufgearbeitet werden und auch die internen Untersuchungen unabhängig von den anderen Unternehmen geführt werden.
Die Krux bei der Pflicht zur Bereitstellung eines internen Meldesystems ist es jedenfalls, dass die einzelnen Mitgliedstaaten auch strengere Umsetzungsvorgaben der EU- Richtlinie beschliessen können und somit immer eine Einzelfallbeurteilung erfolgen muss, ob ein Meldesystem und der Umgang mit den gemeldeten Hinweisen den geltenden Anforderungen nach dem jeweils anwendbaren EU und nationalem Recht genügt. Auch muss ein besonderes Augenmerk auf die datenschutzrechtlichen Anforderungen gemäss der EU-DSGVO und nationalen Gesetzen in Bezug auf die Behandlung von gemeldeten Fehlverhalten und Missständen gelegt werden. Denn die Sanktionen nach der EU-DSGVO übersteigen dabei mit vier Prozent des weltweiten Jahresumsatzes die Sanktionen nach der EU-Whistleblower Richtlinie in der Regel um ein Vielfaches. Letztere sind für jeden EU-Mitgliedstaat von diesem selbst festzulegen. Sodann muss sichergestellt sein, dass die Hinweisgeber korrekte Informationen erhalten, an welche nationale Aufsichtsbehörde sie sich alternativ zur internen Meldestelle wenden können.
Die betroffenen Unternehmen sollten daher alsbald möglich abklären, welche nationalen Regelungen und Anlaufstellen aufgrund ihrer Geschäftstätigkeit im EU-Raum potenziell massgebend sind.
Fazit
Insbesondere Schweizer Unternehmen mit Bezug zu einer Geschäftstätigkeit im EU-Raum sind dazu gehalten, ein internes EU-konformes Meldesystem bereitzustellen und sich an die EU-Vorgaben in Bezug auf interne Untersuchungen zu halten. Aber auch anderen Schweizer Unternehmen mit internationaler Ausrichtung ihrer Tätigkeit, die über keine Niederlassung in der EU verfügen wird die Bereitstellung von internen Meldesystemen empfohlen. Denn aufgrund der fehlenden gesetzlichen Regelung ist es an den Schweizer Arbeitgebern, die Prozesse für die Meldung von Missständen am Arbeitsplatz anhand von Betriebsrichtlinien intern zu regeln und somit mehr Rechtssicherheit in Bezug auf die Frage der Zulässigkeit von Whistleblowing-Meldungen zu schaffen und ihre Corporate Governance zu stärken. International tätige Unternehmen in der Schweiz sind daher gut beraten, die interne Umsetzung der EU-Richtlinie – nicht nur im EU-Raum – genau zu prüfen. Die dabei zu beachtenden grundlegenden arbeits- und datenschutzrechtlichen Aspekte von Whistleblowing-Systemen und internen Untersuchungen in der Schweiz sind hier genauer beschrieben.
Gerne unterstützen wir Sie bei der Beurteilung der auf Ihr Unternehmen anwendbaren nationalen und europäischen rechtlichen Vorgaben und bei der Ausgestaltung eines solchen Meldesystems und bei internen Untersuchungen der gemeldeten Missständen.
