Was ist die EU-Whistleblowing-Richtlinie?

Was ist die EU-Whistleblowing-Richtlinie?

Die EU-Whistleblowing-Richtlinie (Richtlinie (EU) 2019/1937) ist das wegweisende europaeische Gesetz zum Schutz von Hinweisgebern. Verabschiedet im Oktober 2019 und bis zum 17. Dezember 2021 in nationales Recht umzusetzen, legt sie verbindliche Mindeststandards fuer den Schutz von Personen fest, die Verstoesse gegen das EU-Recht in einem arbeitsbezogenen Kontext melden.

Die Richtlinie war eine direkte Reaktion auf aufsehenerregende Skandale wie Dieselgate, die Panama Papers und LuxLeaks. Alle 27 EU-Mitgliedstaaten haben die Richtlinie inzwischen in nationales Recht umgesetzt. Eine breitere Einfuehrung bietet unser vollstaendiger Leitfaden zu Was ist Whistleblowing.

Wen schuetzt die EU-Whistleblowing-Richtlinie?

Die Richtlinie legt einen bewusst weiten Schutzbereich fest. Geschuetzte Personen sind unter anderem Arbeitnehmer (Vollzeit, Teilzeit, befristet), Selbststaendige und Auftragnehmer, Aktionaere und Vorstandsmitglieder, Freiwillige und Praktikanten, Stellenbewerber, ehemalige Arbeitnehmer sowie Lieferanten mit einem arbeitsbezogenen Bezug zur Organisation.

Die Schutzschwelle ist, dass zum Zeitpunkt der Meldung vertretbare Gruende fuer die Richtigkeit der gemeldeten Informationen bestanden. Der Massstab ist guter Glaube, nicht Richtigkeit. Lesen Sie mehr ueber die 5 Bedingungen des Whistleblowings.

Wer muss die Richtlinie einhalten?

Private Organisationen mit 50 oder mehr Mitarbeitern muessen interne Meldekanaele einrichten. Hochrisikobranchen muessen die Vorschriften unabhaengig von der Mitarbeiterzahl einhalten. Oeffentliche Organisationen auf nationaler, regionaler und lokaler Ebene fallen unabhaengig von ihrer Groesse unter die Richtlinie. Staatliche Behoerden muessen ebenfalls externe Meldekanaele einrichten.

Zentrale Anforderungen: Was Organisationen tun muessen

1. Sichere interne Meldekanaele einrichten

Jede betroffene Organisation muss mindestens einen sicheren Meldekanal bereitstellen. Der Kanal muss die Vertraulichkeit der Identitaet des Hinweisgebers schuetzen. Generische E-Mail-Postfaecher erfuellen die Anforderungen der Richtlinie nicht. Organisationen muessen eine unparteiische Person benennen, die fuer die Bearbeitung von Meldungen zustaendig ist.

2. Eingangsbestaetigung innerhalb von 7 Tagen

Organisationen muessen den Eingang jeder Meldung innerhalb von 7 Tagen bestaetigen. Diese Frist ist eine gesetzliche Verpflichtung, keine blosse Best Practice.

3. Rueckmeldung innerhalb von 3 Monaten

Hinweisgeber muessen innerhalb von 3 Monaten nach der Eingangsbestaetigung eine Rueckmeldung erhalten. Meldungen, die ohne dokumentierten Fortschritt liegen gelassen werden, schaffen sowohl rechtliche Risiken als auch einen abschreckenden Effekt.

4. Strikte Vertraulichkeit wahren

Die Identitaet des Hinweisgebers muss waehrend des gesamten Prozesses streng vertraulich behandelt werden. Alle personenbezogenen Daten muessen der DSGVO entsprechen.

5. Vergeltung verbieten und verhindern

Vergeltungsmassnahmen gegen Hinweisgeber sind verboten. Ein entscheidendes Merkmal der Richtlinie ist die Beweislastumkehr: Wenn ein Hinweisgeber nach einer Meldung negative Behandlung erfaehrt, muss die Organisation nachweisen, dass diese nicht im Zusammenhang mit der Meldung steht.

6. Hinweisgeber ueber externe Kanaele informieren

Organisationen muessen Hinweisgeber ueber externe Meldekanaele informieren, die von nationalen Behoerden oder EU-Gremien wie OLAF, ESMA oder EIOPA betrieben werden. Hinweisgeber koennen externe Kanaele vor, anstelle von oder neben internen Kanaelen nutzen.

Nationale Umsetzungen: Deutschland und die Niederlande

Deutschland: Hinweisgeberschutzgesetz (HinSchG)

Das HinSchG trat am 2. Juli 2023 in Kraft. Organisationen mit 250 oder mehr Mitarbeitern mussten ab dem 2. Juli 2023 compliant sein; solche mit 50 bis 249 Mitarbeitern ab dem 17. Dezember 2023. Das HinSchG erweitert den Anwendungsbereich auf Verstoesse gegen deutsches Strafrecht. Organisationen riskieren Bussgelder von bis zu 50.000 Euro bei Vergeltungsmassnahmen und bis zu 20.000 Euro bei fehlendem Meldekanal.

Niederlande: Wet bescherming klokkenluiders

Die Wet bescherming klokkenluiders trat im Februar 2023 in Kraft und gilt fuer Organisationen mit 50 oder mehr Mitarbeitern. Das Gesetz fuehrt eine explizite Beweislastumkehr ein und erweitert den Schutzbereich auf Verstoesse gegen niederlaendisches Recht. Das Huis voor Klokkenluiders bleibt die zustaendige externe Behoerde.

Sanktionen bei Nichteinhaltung

• Bussgelder. In Deutschland koennen Bussgelder bei Vergeltungsmassnahmen bis zu 50.000 Euro und bei fehlenden Meldekanaelen bis zu 20.000 Euro betragen.
• Zivilrechtliche Haftung. Hinweisgeber haben Anspruch auf Rechtsmittel fuer Schaeden infolge von Vergeltungsmassnahmen.
• Beweislastumkehr. Die Organisation muss nachweisen, dass die nachteilige Behandlung nicht mit der Meldung zusammenhing.
• Reputationsschaeden. Faelle, die sich zu Regulierungsbehoerden oder Medien eskalieren, bergen erhebliche Reputationsrisiken.

Umsetzungsstand in der EU

Alle 27 EU-Mitgliedstaaten haben die erforderliche Gesetzgebung verabschiedet. Den aktuellen Umsetzungsstand koennen Sie beim EU Whistleblowing Monitor verfolgen. Weitere Informationen finden Sie in unserem Leitfaden zur EU-Whistleblowing-Richtlinie Compliance.

Wie Sie Ihre aktuelle Compliance bewerten

1. Kanalbeurteilung. Erfuellt Ihr aktueller Meldekanal die Vertraulichkeits- und Zugaenglichkeitsanforderungen?
2. Reaktions-Workflow. Liefert Ihr Prozess zuverlaessig eine Bestaetigung innerhalb von 7 Tagen und eine Rueckmeldung innerhalb von 3 Monaten?
3. Vertraulichkeitskontrollen. Sind die Zugriffsrechte auf autorisiertes Personal beschraenkt und ist Ihre DSGVO-Dokumentation aktuell?
4. Rahmen fuer Nicht-Vergeltung. Ist Ihre Richtlinie explizit, kommuniziert und aktiv ueberwacht?
5. Mitarbeiterbewusstsein. Wissen Mitarbeiter, dass der Meldekanal existiert und welche Schutzmassnahmen gelten?

Lesen Sie mehr darueber, wie Sie eine Speak-up-Kultur aufbauen, die ueber die minimale Compliance hinausgeht.

Wie SpeakUp Organisationen bei der Umsetzung hilft

Die Anforderungen der EU-Whistleblowing-Richtlinie in der Praxis zu erfuellen erfordert mehr als eine Richtlinienaktualisierung. Es braucht ein System, das Compliance fuer alle zum Weg des geringsten Widerstands macht.

SpeakUp Report ist auf die operativen Anforderungen der Richtlinie und nationaler Umsetzungen wie dem HinSchG ausgerichtet. Hinweisgeber koennen Bedenken ueber Web, mobile App, Telefon oder KI-Sprachagenten melden. Compliance-Teams erhalten automatisierte 7-Tage-Bestaetigung, strukturiertes Fallmanagement und integrierte DSGVO-Compliance. Mehr als 600 Organisationen in ueber 30 Laendern nutzen SpeakUp. Doing right, made easy.

Haeufig gestellte Fragen

Schreibt die EU-Whistleblowing-Richtlinie anonyme Meldungen vor?

Die Richtlinie verpflichtet Organisationen nicht, anonyme Meldungen zu akzeptieren, verbietet sie aber auch nicht. Viele nationale Umsetzungen, darunter das HinSchG, erlauben anonyme Meldungen ausdruecklich.

Koennen Hinweisgeber direkt an Regulierungsbehoerden herantreten?

Ja. Die Richtlinie schuetzt ausdruecklich Hinweisgeber, die externe Kanaele vor, anstelle von oder neben internen Kanaelen nutzen.

Gilt die Richtlinie auch fuer Nicht-EU-Organisationen?

Die Richtlinie gilt fuer alle in der EU taetigen Organisationen, einschliesslich Nicht-EU-Organisationen mit Mitarbeitern in EU-Mitgliedstaaten.

Wie verhaelt sich die EU-Whistleblowing-Richtlinie zur DSGVO?

Sie ergaenzen sich. Alle im Zusammenhang mit Meldungen verarbeiteten personenbezogenen Daten muessen der DSGVO entsprechen, einschliesslich Rechtsgrundlage, Datensparsamkeit und Aufbewahrungsfristen.