Die Richtlinie der Europäischen Union 2019/1937 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden („EU-Hinweisgeberschutzrichtlinie“), sieht vor, dass Unternehmen mit mehr als 250 Mitarbeitern[1] Meldewege und Abläufe für die Bearbeitung von Hinweisen auf mögliche Verstöße gegen EU-Recht einrichten.
Die EU-Hinweisgeberschutzrichtlinie war bis zum 17.12.2021 von den Mitgliedstaaten in nationales Recht umzusetzen. Die Umsetzung erfolgte in Deutschland – wie in diversen anderen EU-Ländern – nicht fristgerecht. Zwar hat das Bundesjustizministerium bereits im Dezember 2020 einen Referentenentwurf vorgelegt. Der Entwurf konnte jedoch bis zum Ende der letzten Legislaturperiode nicht verabschiedet werden. Auch nach der Bundestagswahl 2021 war mit Blick auf die Regierungsbildung und Koalitionsverhandlungen eine Umsetzung bislang nicht möglich. Der Koalitionsvertrag der sogenannten Ampel-Koalition sieht vor, dass eine „rechtssichere und praktikable“ Umsetzung voraussichtlich im ersten Quartal des Jahres 2022 stattfinden soll. Ein Schutz von Whistleblowern soll nicht nur bei der Meldung von Verstößen gegen EU-Recht, sondern auch bei der Meldung von „sonstigem erheblichem Fehlverhalten, dessen Aufdeckung im besonderen öffentlichen Interesse steht“, garantiert werden. Zudem soll der Schutz von Ansprüchen der Hinweisgeber wegen Repressalien ausgeweitet werden.
Was bedeutet diese Situation für Unternehmen? Können sich Unternehmen darauf zurückziehen, dass aufgrund der fehlenden Umsetzung aktuell keine Rechtswirkungen von der Richtlinie ausgehen oder sind Unternehmen bereits jetzt zur Einrichtung und Unterhaltung eines Hinweisgebersystems verpflichtet?
Grundsätzlich entfalten EU-Richtlinien keine Direktwirkung gegenüber Privaten (siehe Art. 288 Abs. 3 AEUV). Allerdings kann eine nicht umgesetzte Richtlinie ausnahmsweise unmittelbare Wirkung entfalten. Für das Eintreten einer unmittelbaren Wirkung bestehen nach der Rechtsprechung des EuGH drei kumulative Voraussetzungen: (i) Die Umsetzung der Richtlinie durch den Mitgliedstaat ist nicht, nicht fristgemäß oder nur unzulänglich erfolgt, (ii) die fragliche Vorschrift der Richtlinie ist inhaltlich hinreichend bestimmt und (iii) die Vorschrift ist inhaltlich unbedingt. Letzteres ist der Fall, wenn die Regelung vorbehaltlos und ohne Bedingung anwendbar ist und es keiner weiteren Maßnahme der Organe der Mitgliedstaaten oder der Union bedarf. Es sprechen gute Gründe dafür, dass diese Voraussetzungen für die EU-Whistleblower-Richtlinie erfüllt sind. Die Richtlinie wurde nicht fristgemäß umgesetzt, die Verfahrensvoraussetzungen für die Einrichtung eines Hinweisgebersystems sind hinreichend bestimmt (siehe insb. Art. 9 der Richtlinie) und die Richtlinie enthält auch keinen Vorbehalt.
Die unmittelbare Wirkung der Richtlinie kommt somit als vertikale Drittwirkung in Betracht, d.h. einzelne Personen können sich gegenüber dem Staat und dessen Untergliederungen auf die Richtlinie berufen. Dies kann Auswirkungen beispielsweise in arbeitsrechtlichen Auseinandersetzungen haben, wenn es um Repressalien oder den Schutz des Whistleblowers geht.
Für alle juristischen Personen des öffentlichen Sektors (einschließlich juristischer Personen, die im Eigentum oder unter der Kontrolle der öffentlichen Hand stehen) ergeben sich unmittelbare Pflichten aus Art. 8 Abs. 9, 1 der EU-Hinweisgeberschutzrichtlinie. Das heißt diese Unternehmen bzw. Stellen müssen die EU-Hinweisgeberschutzrichtlinie seit dem 18.12.2021 zwingend beachten und haben entsprechende Meldekanäle und Verfahren einzurichten. Die Verfahrensvorgaben des Art. 9 der Richtlinie sind dabei so konkret, dass eine Verpflichtung auch ohne Umsetzung in nationales Recht möglich ist. Solange der deutsche Gesetzgeber nicht von der Ausnahmeregelung in Art. 8 Abs. 9 Unterabs. 2 der Richtlinie Gebrauch macht, was nur durch eine nationale Umsetzung erfolgen könnte, gilt diese Verpflichtung somit auch für Kommunen mit weniger als 10.000 Einwohnern oder sonstige staatliche Stellen mit weniger als 50 Arbeitnehmern. Auch die Einschränkung für Unternehmen mit weniger als 250 Mitarbeitern gilt nur für den privaten Sektor.
Eine umgekehrte vertikale Direktwirkung, d.h. der Staat verlangt von einzelnen Personen die Einhaltung einer nicht umgesetzten Richtlinie, wird zumindest gegenüber dem privaten Sektor abgelehnt.
Eine unmittelbare Wirkung von Richtlinien zwischen Privaten (sog. horizontale Drittwirkung) ist grundsätzlich ebenfalls ausgeschlossen. Eine solche Wirkung wird zwar insbesondere in der deutschen Literatur umfassend diskutiert, vom EuGH in ständiger Rechtsprechung jedoch abgelehnt. Denn Richtlinienbestimmungen wird die Fähigkeit abgesprochen, Privaten objektive Pflichten aufzuerlegen. Eine horizontale Drittwirkung der verspätet umgesetzten EU-Hinweisgeberschutzrichtlinie dürfte daher ausscheiden.
Europarechtskonforme Auslegung der gesetzlichen Legalitätskontrollpflicht
Im Verhältnis zwischen Privaten erhalten Richtlinien jedoch im Wege der richtlinienkonformen Auslegung mittelbar erhebliche Bedeutung. Die Pflicht zur richtlinienkonformen Auslegung für nationale Gerichte beginnt bereits mit dem Ablauf der Umsetzungsfrist. Den Zielen, Strukturen und prägenden Begriffen einer Richtlinie kommt eine „Maßstabsfunktion“ für die Auslegung des nationalen Rechts zu. Vor diesem Hintergrund ist die Einrichtung eines Meldesystems im Sinne der EU-Hinweisgeberschutzrichtlinie (bzw. zur Anpassung eines bereits vorhandenen Meldesystems an die von der Whistleblower-Richtlinie aufgestellten konkreten Strukturanforderungen) dringend anzuraten, um einer richtlinienkonformen Auslegung der sich aus § 76 Abs. 1 AktG bzw. § 93 AktG ergebenden Legalitäts- bzw. Legalitätskontrollpflichten zu entsprechen.
Zum Aufgabenbereich des Vorstands gehört, durch entsprechende Organisation für rechtmäßiges Verhalten innerhalb der Gesellschaft zu sorgen. Dies beinhaltet, dass entsprechende Risiken erfasst und bestmöglich minimiert werden. In Abgrenzung von der Legalitätspflicht des einzelnen Vorstandsmitglieds spricht man hier von einer Legalitätskontroll- oder Legalitätsdurchsetzungspflicht. Dies ist eine wesentliche Ausprägung der „Compliance“-Verantwortung des Vorstands. Die Einrichtung und Ingangsetzung eines Kontrollsystems genügen dafür nicht; Bestandteil der gesetzlichen Organisationspflicht ist vielmehr, das implementierte System regelmäßig – auch anlassunabhängig – zu überprüfen und gegebenenfalls nachzubessern.
Zwar wird dem Vorstand in der Literatur hinsichtlich der konkreten Ausgestaltung und wohl auch der Zielrichtung der Compliance-Vorkehrungen ein weiter Ermessensspielraum zuerkannt. Die herrschende Auffassung spricht sich insoweit für das Eingreifen der sog. business judgment rule des § 93 Abs. 1 S. 2 AktG aus. Andererseits unterliegen die strukturellen Voraussetzungen eines wirksamen Compliance-Management-Systems (CMS) einer strengen Inhaltskontrolle durch die Rechtsprechung, die neben unternehmensinternen und -externen Faktoren (insbesondere der Exponiertheit auf bestimmten Märkten oder der Involvierung von Drittparteien) auch von der „anerkannten Expertenauffassung“ bestimmt wird. Hierbei spielen z.B. der IDW Prüfungsstandard IDW PS 980 oder der DICO Standard zu Compliance-Management-Systemen eine Rolle. Der Deutsche Corporate Governance Kodex (DCGK) enthält seit 2017 in A.2 S.2 DCGK die Empfehlung, ein Whistleblower System einzuführen und zu unterhalten, welches Mitarbeitern die Möglichkeit gibt, geschützt Hinweise auf Rechtsverstöße im Unternehmen zu geben. Hinsichtlich Dritter gilt dies zumindest als Anregung. Die EU-Hinweisgeberschutzrichtlinie steht in Einklang mit den seit Jahren relevanten Compliance Standards und Leitlinien nationaler und internationaler Organisationen, welche die Einrichtung solcher Systeme als elementaren Bestandteil eines effektiven Compliance-Management-Systems sehen[2].
Die der EU-Hinweisgeberschutzrichtlinie unterfallenden juristischen Personen bzw. deren Organe sollten die von der Whistleblower-Richtlinie aufgestellten Strukturanforderungen an Meldesysteme trotz der bislang fehlenden nationalen Transformation der Richtlinie zeitnah umsetzen. Diese Strukturanforderungen werden zukünftig „Maßstabsanforderungen“ an Hinweisgebersysteme sein. Die Implementierung empfiehlt sich nicht zuletzt, um das Risiko eines strukturellen Defizits des CMS und eine Verletzung der Legalitätskontrollpflicht zu vermeiden. Denn darin kann eine haftungsauslösende Pflichtverletzung nach § 93 AktG liegen.
Einzelne Anforderungen an das Hinweisgebersystem
Generell gilt, dass nach der EU-Hinweisgeberschutzrichtlinie Unternehmen mit mehr als 250 Mitarbeitern verpflichtet sind, Meldewege und Abläufe für die Bearbeitung von Hinweisen auf mögliche Verstöße von Unionsrecht einzurichten. Die EU-Hinweisgeberschutzrichtlinie sieht in den Kapiteln II und III sowohl interne (von den jeweiligen Unternehmen eingerichtete Systeme) als auch externe (vom Mitgliedstaat benannte Behörden) Meldekanäle vor. Im Rahmen des internen Meldesystems ist es dem jeweiligen Unternehmen überlassen, dieses intern oder extern zu betreiben. Öffentliche Mitteilungen, z.B. an die Presse, sollen jedoch nur in Ausnahmefällen erfolgen.
Ein Verfahren für interne Meldungen muss folgende Anforderungen erfüllen:
- Der Meldekanal ist so zu konzipieren, dass die Vertraulichkeit der Identität des Hinweisgebers und Dritter gewahrt ist und unbefugte Mitarbeiter keinen Zugriff auf die Meldungen haben.
- Spätestens sieben Tage nach Eingang der Meldung muss dem Hinweisgeber der Eingang des Hinweises bestätigt werden.
- Benennung einer Person, die für Folgemaßnahmen zuständig ist.
- Rückmeldung nach maximal drei Monaten.
- Meldungen sollen in schriftlicher und / oder mündlicher Form möglich sein.
Die EU-Hinweisgeberschutzrichtlinie fordert keine zwingende Zulassung anonymer Meldungen. Vielmehr soll lediglich die Möglichkeit zur Abgabe vertraulicher Mitteilungen bestehen. Ein absoluter Identitätsschutz ist dabei nicht erforderlich. Folglich bleibt den Mitgliedstaaten eine Regelung über die Zulassung anonymer Meldungen überlassen. Um den Schutz der Hinweisgeber zu gewährleisten, dürfen diesen infolge der Meldung keine Nachteile (etwa durch Repressalien) entstehen.
Fazit
Unternehmen, die der EU-Hinweisgeberschutzrichtlinie unterfallen, und ihren Leitungsorganen ist zu empfehlen, die von der EU-Hinweisgeberschutzrichtlinie aufgestellten Strukturanforderungen an Meldesysteme schon jetzt zu erfüllen. Dies gilt ungeachtet der bislang nicht erfolgten nationalen Umsetzung der Richtlinie. Die in der Richtlinie definierten Vorgaben werden mit großer Wahrscheinlichkeit künftig „Maßstabsanforderungen“ sein. Die Implementierung des Meldesystems empfiehlt sich, um das Risiko einer Verletzung der Legalitätskontrollpflicht und damit eine haftungsauslösende Pflichtverletzung der Organe nach § 93 AktG zu vermeiden. Denn ohne ein diesen Anforderungen genügendes Meldesystem liegt die Annahme struktureller Defizite des CMS zumindest nahe.
Bei Rückfragen wenden Sie sich bitte an unsere Partner. COMINDIS ist spezialisiert auf Compliance, Insurance und Dispute Resolution.
************
Dr. Eric Decker Dr. Ingo Kühl
COMINDIS Partnerschaft von Rechtsanwälten mbB
Steinstraße 27
40210 Düsseldorf
Germany
T +49 211 542249 20
F +49 211 542249 29
eric.decker@comindis.com
ingo.kuehl@comindis.com
www.comindis.com
[1] ab Ende 2023 mit mehr als 50 Mitarbeitern
[2] Moosmayer, Compliance Praxisleitfaden für Unternehmen, 4. Aufl. 2021, §4 B. IV. m.w.N.