Whistleblower: Nestbeschmutzer oder effektives Frühwarnsystem?

Whistleblowers: Nest Fouler or Effective Early Warning System?
>> english version below >>>

Obwohl sich die Regierungsparteien nicht auf den Entwurf des Hinweisgeberschutzgesetzes für Deutschland einigen konnten, gibt es neben den Regelungen der EU-Whistleblower-Richtlinie inzwischen auch im Lieferkettengesetz sowie im Geschäftsgeheimnisgesetz eindeutige Formulierungen zum Schutz von Whistleblowern und entsprechende Verpflichtungen für Unternehmen. Auch kleinere und mittelständische Unternehmen werden nicht darum herumkommen, ein Hinweisgebersystem einzurichten und weitere Anforderungen zu erfüllen. Wie Sie als Unternehmer oder Geschäftsführer dabei Fehler und unnötige Kosten  vermeiden können, erläutern die erfahrene Compliance-Expertin Nadine Jacobi, langjährige Chief Compliance Officerin und Rechtsanwältin, und Dr. Rainer Buchert, Rechtsanwalt und einer der bekanntesten Ombudsmänner Deutschlands, in ihrer gemeinsamen Blog-Serie. Teil 1.

(Zur besseren Lesbarkeit verwenden wir im Text das generische Maskulinum. Gemeint sind immer alle Geschlechter.)

Ob Gammelfleisch, Dieselgate oder die Enthüllungen um die „Panama-Papers“ – die Liste der Skandale, die durch Hinweise von Mitarbeiter aufgedeckt wurden, ist lang. Viele der Hinweisgeber, auch Whistleblower genannt, verloren wegen ihrer Enthüllungen ihren Arbeitsplatz. Damit soll am Ende dieses Jahres EU-weit Schluss sein: Hinweisgeber, die von Vorgesetzen, aber auch unter Kollegen häufig als „Nestbeschmutzer“ verunglimpft wurden, sollen ab dem 17. Dezember 2021 – wie in allen Mitgliedsstaaten der EU – auch in Deutschland einen einheitlich geregelten gesetzlichen Schutz vor Repressalien ihrer Arbeitgeber genießen. Diesen Stichtag hatte die EU bereits 2019 festgelegt.

SPD-Justizministerin Lamprecht legte pflichtgemäß einen Referentenentwurf für ein Hinweisgeberschutzgesetz vor und ging darin in einigen Punkten über die EU-Whistleblower-Richtlinie hinaus – sehr zum Missfallen von CDU/CSU. Strittig war vor allem, dass Hinweisgebern nicht nur besonderer Schutz gewährt werden sollte bei Hinweisen auf Verstöße gegen EU-Recht, sondern auch gegen einschlägige Straftatbestände des deutschen Wirtschaftsstrafrechts, wie zum Beispiel Korruption. Die Folge des Streits: Die Gesetzgebung ist blockiert und wird erst von der neuen Regierung nach den Neuwahlen im Herbst wieder in Angriff genommen. Auch wenn bis zum in der EU-Whistleblower-Richtlinie vorgegebenen Termin Mitte Dezember noch kein deutsches Hinweisgeberschutzgesetz verabschiedet worden ist, ist davon auszugehen, dass Gerichte die Anforderungen der EU-Whistleblower-Richtlinie zum Schutz des Hinweisgebers auch schon jetzt heranziehen werden. Daneben spielt der Hinweisgeberschutz auch im Geschäftsgeheimnisgesetz und ab 2023/24 auch im bereits verabschiedeten Lieferkettengesetz eine Rolle. Klar ist, das Hinweisgeberschutzgesetz wird auch in Deutschland zeitnah kommen. Was bedeutet das für Sie als Unternehmensentscheider?

Meldesystem für Hinweisgeber wird auch für kleinere Unternehmen zur Pflicht

Die EU-Whistleblower-Richtlinie sieht vor, dass Hinweisgebern grundsätzlich zwei Meldewege offenstehen: Sie können sich an die zuständige Stelle bei der Datenschutzbehörde, Polizei und Staatsanwaltschaft richten oder ihren Hinweis direkt beim Unternehmen abgeben. Hierfür sollen Unternehmen ein internes Meldesystem für Hinweisgeber installieren. Entweder in Form einer internen Meldestelle, durch Mandatierung von Ombudspersonen oder die Bereitstellung eines elektronischen Systems. Die EU-Whistleblower-Richtlinie gibt Unternehmen mit mehr als 250 Mitarbeitern oder 10 Millionen Euro Umsatz hierfür bis Mitte Dezember 2021 Zeit. Kleinere Betriebe mit 50 bis 249 Beschäftigten müssen bis Dezember 2023 nachziehen.

Kein Gesetz – kein Hinweisgebersystem?

Manche Unternehmen spielen auf Zeit, wenn es darum geht, ob sie ein Hinweisgebersystem installieren sollen. Begründung: „Solange es kein deutsches Hinweisgeberschutzgesetz gibt, müssen wir auch kein Hinweisgebersystem haben“. Aus juristischer Sicht ist das sogar zutreffend: Die Verpflichtungen aus der EU-Whistleblower-Richtlinie wirken ausschließlich im Verhältnis Bürger – Staat. Somit greift die Pflicht, ein Hinweisgebersystem einzurichten tatsächlich erst ab dem Zeitpunkt, an dem das Hinweisgeberschutzgesetz in Deutschland in Kraft tritt.

ABER: Selbst die schärfsten Kritiker des Gesetzes zweifeln nicht daran, dass es nach den Bundestagswahlen verabschiedet werden wird, mitsamt den Kernvorgaben der EU-Richtlinie. Bei arbeitsrechtlichen Prozessen ist zudem davon auszugehen, dass die Gerichte im Rahmen ihrer Entscheidung die EU-Richtline berücksichtigen werden.

Die bisherige Rechtsprechung zu effektiven Compliance-Management-Systemen und damit verbundenen Sanktionsmilderungen zeigen darüber hinaus, dass es bereits heute mehr als empfehlenswert ist, ein Hinweisgebersystem einzurichten. Die EU-Whistleblower-Richtlinie und der Referentenentwurf zum Hinweisgeberschutzgesetz verleihen der bereits im Corporate-Governance-Kodex enthaltenen Empfehlung, ein Meldesystem einzurichten, nur zusätzlichen Nachdruck. Gleiches gilt für das Lieferkettengesetz.

Hätte, hätte, Lieferkette…

Auch wenn die EU-Whistleblower-Richtlinie sowie die irgendwann daraus folgende deutsche Umsetzung in ein Gesetz aktuell keine Strafen für Unternehmen vorsieht, die kein Hinweisgebersystem einrichten: Spätestens mit dem Lieferkettengesetz wird die Einrichtung eines Hinweisgebersystems für Unternehmen mit mehr als 3.000 (ab 2023) bzw. 1.000 Mitarbeitern (ab 2024) verpflichtend. Für Unternehmen, die kein unternehmensinternes Beschwerdesystem einrichten, sieht das Lieferkettengesetz ein Bußgeld von bis zu 800.000 Euro vor.

Hinweisgeber-Schutz im Geschäftsgeheimnisgesetz

Einige Kritiker des Hinweisgeberschutzes „vergessen“ überdies, dass im bereits im Jahr 2019 in Kraft getretenen Geschäftsgeheimnisgesetz unter § 5 wichtige Regelungen enthalten sind, auf die sich Hinweisgeber auch jetzt schon berufen können, wenn sie wegen Offenlegung von Betriebs- und Geschäftsgeheimnissen von ihrem Arbeitgeber zur Rechenschaft gezogen werden. Nicht strafbar ist beispielsweise die Offenlegung eines Geschäftsgeheimnisses, wenn dies zur Aufdeckung einer rechtswidrigen Handlung oder eines beruflichen sonstigen Fehlverhaltens geschieht.

Erst Corona und jetzt noch ein Hinweisgebersystem?

Vor allem kleinere Unternehmen, die ohnehin schon unter den wirtschaftlichen Folgen der Corona-Krise leiden, sehen insbesondere den zusätzlichen Aufwand für ein Hinweisgebersystem kritisch. Aus Sicht vieler reichen die bestehenden gesetzlichen Schutzregelungen für Hinweisgeber völlig aus. Eine europaweite Angleichung des Hinweisgeberschutzes würde aus ihrer Sicht zu unnötig hohen Kosten, zusätzlicher Bürokratie und der Störung des Betriebsfriedens führen.

Fragen, Fragen und Frust

Hinzu kommt, dass viele Unternehmen Neuland betreten, was zusätzliche Verunsicherung, Fragen und Unmut auslöst:

Hinweise aus der Theorie…

Einen ersten Überblick zum Thema „Whistleblower- Managementsysteme“ gibt die am 26. Juli 2021 veröffentlichte ISO-Norm 37002. Die bis Redaktionsschluss nur in englischer und französischer Sprache publizierte Norm gibt auf 32 Seiten Hilfestellungen zu verschiedenen Aspekten eines Hinweisgebersystems. Angesichts des Umfangs eignet sich das Papier jedoch eher für Compliance-Beauftragte als für Unternehmer und kann wegen der eher allgemein gehaltenen Informationen eine individuelle Beratung nicht ersetzen.

… und Tipps und Empfehlungen aus der Praxis von Nadine Jacobi und Rainer Buchert

Sehr konkrete Antworten auf die oben genannten Fragen und Kommentare geben wir in dieser Blog-Serie. Hierzu bündeln wir unsere jahrzehntelange Compliance-Praxiserfahrung aus der Arbeit in und für Unternehmen:

Nadine Jacobi ist Volljuristin und hat 22 Jahre Erfahrung im Bereich Corporate Governance. Sie war sowohl unternehmensintern als Chief Compliance Officer als auch als forensische Beraterin bei zwei der „Big Four“- Wirtschaftsprüfungsgesellschaften tätig. Sie arbeitete für Unternehmen unterschiedlicher Größe und Branchen: vom mittelständischen Betrieb bis zum weltweit agierenden Konzern; unter anderem in den Branchen Medizintechnik, Rüstung, Agrargeschäft, Anlagenbau, Energieversorger, Automobil und Pharma. Zudem hat sie Unternehmen in leitender Position aus Krisen geführt und erfolgreich mit Ermittlungsbehörden zusammengearbeitet.

Heute berät sie als Inhaberin von Compliance Customized zusammen mit ihrem Team große und mittelständische Unternehmen zur Konzeption, Implementierung und Optimierung von Compliance- Management-Systemen, Durchführung von Compliance-Risiko-Analysen und sämtlichen Compliance Themen, wie z.B. der Durchführung von Due-Diligence-Prüfungen zum Einsatz von sog. Third Parties (z.B. Distributoren, Sales Agents, Berater), oder bei der Erstellung von Compliance-Statements für das Top-Management. Auch das Coachen von neu bestellten Chief Compliance Officern gehört zu ihren Beratungsschwerpunkten. Als Certified Fraud Examiner geht Nadine Jacobi im Auftrag von Unternehmensentscheidern Hinweisen nach und führt Interne Untersuchungen durch. Abhängig von der Komplexität der Untersuchung arbeitet Nadine Jacobi mit Kooperationspartnern zusammen und koordiniert bei Bedarf den Einsatz der eingesetzten Dienstleister.

Rechtsanwalt Dr. Rainer Buchert hat zunächst den Beruf des Polizeibeamten von der Pike auf gelernt. Nach dem juristischen Studium und einer besonders ausgezeichneten Promotion zu einem Thema der Inneren Sicherheit war er über 13 Jahre in verschiedenen leitenden Funktionen im Bundeskriminalamt (BKA) Wiesbaden tätig, zuletzt als Kriminaldirektor. Dem schloss sich eine zweijährige Arbeit als Landeskriminaldirektor und Leiter der Kriminalpolizei in Sachsen-Anhalt an. Anschließend wurde er zum Polizeipräsidenten von Stadt und Kreis Offenbach berufen. 1999 gründete er in Frankfurt am Main eine strafrechtlich ausgerichtete Anwaltskanzlei. Heute ist die Kanzlei Buchert Jacob Partner mit vier Anwälten auf Wirtschaftsstrafrecht und Criminal Compliance spezialisiert. Dr. Buchert ist von über 40 Konzernen und mittelständischen Unternehmen als Ombudsmann mandatiert. Aus den unterschiedlichen Branchen – Industrie, Handel, und Dienstleistungsunternehmen verschiedenster Art – resultiert ein über 20 Jahre gewachsener Erfahrungsschatz.

Mehrwert für betroffene Unternehmen schaffen

Dr. Rainer Buchert: „Viele Unternehmen verfügen bereits über ein oder sogar mehrere Meldesysteme für Hinweisgeber. Als Ombudsmann, wobei ich meine Rolle lieber als ‚Vertrauensanwalt‘ für Hinweisgeber und Unternehmen bezeichne, habe ich bereits zahlreiche Unternehmen bei der Einführung begleitet und bin Ansprechpartner für Hinweisgeber. Gemeinsam mit Nadine Jacobi ist nun die Idee entstanden, unser Fachwissen zu kombinieren und Unternehmen Praxistipps zu geben, wie sie mit den absehbaren neuen Anforderungen umgehen können, ohne gleich das ganz große Rad drehen zu müssen.“

Nadine Jacobi: „Zu den juristischen Details der EU-Richtlinie und des Hinweisgeberschutzgesetzes gibt es bereits viele Veröffentlichungen. Im Mittelpunkt unserer Blog-Serie stehen jedoch Informationen, Praxistipps und Empfehlungen speziell für den (mittelständischen) Unternehmer, für den Hinweisgebersysteme oftmals Neuland sind und der vor der Herausforderung steht, die Vorgaben praxisnah und lösungsorientiert umzusetzen. Der gemeinsame Austausch zu unseren langjährigen Praxiserfahrungen schafft Mehrwert für betroffene Unternehmen: Wir geben Entscheidungsträgern konkrete Dos and Don’ts an die Hand und erläutern diese auch für Nichtjuristen einfach, klar und verständlich.“

Unser beider Anspruch: Sie müssen nicht Klassenbester werden, um die Anforderungen des Gesetzgebers und der kontrollierenden Exekutive zu erfüllen. Es geht vielmehr darum, die Anforderungen zu kennen und sie mit Augenmaß, das heißt jeweils passend für die jeweilige Branche, Unternehmensgröße und konkreten Risikobereiche umzusetzen.

Whistleblower“ können als „Frühwarnsystem“ genutzt werden

Beim Thema „Hinweisgeber“ sind sich die Compliance-Expertin  und der erfahrene Ombudsmann einig: Whistleblower können als effektives „Frühwarnsystem“ von Unternehmen genutzt werden. Diese positive Wirkung kann sich dann entfalten, wenn Unternehmensentscheider Motivation und Schutzbedürfnis des Hinweisgebers verstehen und gleichzeitig das System zu ihrem Vorteil zu nutzen wissen.

Folgen Sie unserem Blog und Sie erhalten wertvolle Hinweise und Fallbeispiele aus der Praxis -angereichert mit Handlungsempfehlungen für Ihr Hinweisgeber-Meldesystem. An dieser Stelle! In zwei Wochen!

>>>> english version >>>>>

Part 1 of the blog series on the EU Whistleblower Directive: Practical tips for corporate decision-makers

Whistleblowers: Nest Fouler or Effective Early Warning System?

Although the governing parties were unable to agree on the draft of the Whistleblower Protection Act for Germany, in addition to the regulations of the EU Whistleblower Directive, there are now also clear formulations for the protection of whistleblowers and corresponding obligations for companies in the Supply Chain Act as well as in the Trade Secrets Act. Even small and medium-sized companies will not be able to avoid setting up a whistleblower system and fulfilling further requirements. In their joint blog series, experienced compliance expert Nadine Jacobi, long-time Chief Compliance Officer and lawyer, and Dr. Rainer Buchert, lawyer and one of Germany’s best-known ombudsmen, explain how you as an entrepreneur or managing director can avoid mistakes and unnecessary costs in the process. Part 1.

Whether it’s rotten meat, Dieselgate or the “Panama Papers” revelations – the list of scandals uncovered by employee tips is long. Many whistleblowers lost their jobs because of their revelations. This is to end throughout the EU at the end of this year: From December 17, 2021, whistleblowers who have often been denigrated by superiors, but also among colleagues, as „nest fouler“ are to enjoy uniformly regulated legal protection against retaliation by their employers in Germany as well – as in all EU member states. The EU had already set this deadline for 2019.

SPD Justice Minister Lamprecht dutifully submitted a draft bill for a whistleblower protection law and in it went beyond the EU Whistleblower Directive in some respects – much to the displeasure of the CDU/CSU. The main point of dispute was that whistleblowers should not only be granted special protection in the case of information about violations of EU law, but also against relevant criminal offenses under German white-collar crime law, such as corruption. As a result of the dispute, legislation is blocked and will only be tackled again by the new government after the new elections in fall. Even if no German whistleblower protection law has been passed by the mid-December deadline set by the EU Whistleblower Directive, it can be assumed that courts will already apply the requirements of the EU Whistleblower Directive (to protect whistleblowers). Whistleblower protection also plays a role in the Trade Secrets Act and, from 2023/24, in the Supply Chain Act, which has already been passed. It is clear that the Whistleblower Protection Legislation will also be introduced in Germany in the near future. What does this mean for you as a corporate decision maker?

Whistleblower reporting system also becomes mandatory for smaller companies

The EU Whistleblower Directive provides that whistleblowers basically can use two reporting channels: They can contact the responsible office at the data protection authority, police or public prosecutor’s office, or submit their report directly to the company. For this purpose, companies should install an internal reporting system for whistleblowers. Either in the form of an internal reporting office, by mandating ombudspersons or providing an electronic system. The EU Whistleblower Directive gives companies with more than 250 employees or 10 million euros turnover until mid-December 2021 to do this. Smaller companies with 50 to 249 employees must follow by December 2023

BUT: Even the harshest critics of the law have no doubt that it will be passed after the federal elections, including the core requirements of the EU Directive. In the case of labor lawsuits, it can also be assumed that the courts will take the EU Directive into account in their decision.

The case law to date on effective compliance management systems and the associated mitigation of sanctions also show that it is already more than advisable to set up a whistleblower system. The EU Whistleblower Directive and the draft bill on the Whistleblower Protection Act only provide additional emphasis to the recommendation already contained in the Corporate Governance Code to set up a reporting system. The same applies to the Supply Chain Act.

Coulda, woulda, shoulda, supply chain…

Even if the EU Whistleblower Directive and the German implementation of it into law at some point does not currently provide for any penalties for companies that do not set up a whistleblower system: At the latest with the Supply Chain Act, the establishment of a whistleblower system will become mandatory for companies with more than 3,000 (from 2023) or 1,000 employees (from 2024). For companies that do not set up an internal complaints system, the Supply Chain Act provides fines of up to 800,000 euros.

Whistleblower protection in the Trade Secrets Act

Some critics of whistleblower protection also „forget“ that Section 5 of the Trade Secrets Act, which will come into force in 2019, contains important provisions that whistleblowers can already invoke if they are called to account by their employer for disclosing trade and business secrets. For example, the disclosure of a trade secret is not punishable if it is made in order to uncover an illegal act or other professional misconduct.

First Corona and now whistleblower system?

Smaller companies in particular, which are already suffering from the economic consequences of the Corona crisis, are critical of the additional expense of a whistleblower system. In the view of many, the existing legal protection regulations for whistleblowers are completely sufficient. In their view, harmonizing whistleblower protection across Europe would lead to unnecessarily high costs, additional bureaucracy, and the disruption of industrial peace.

Questions, questions and frustration

In addition, many companies are entering uncharted territory, which triggers additional uncertainty, questions, and resentment:

Notes from theory…

An initial overview on the topic of „whistleblower management systems“ is provided by ISO standard 37002, which was published on July 26, 2021. The standard, which had only been published in English and French by the editorial deadline, provides 32 pages of assistance on various aspects of a whistleblower system. In view of its scope, however, the paper is more suitable for compliance officers than for entrepreneurs and, because the information is rather general, cannot replace individual advice.

… and tips and recommendations from practice by Nadine Jacobi and Rainer Buchert

In this blog series, we provide very practical answers to the above questions and comments. To achieve this, we combine our decades of practical compliance experience from working in and for companies:

Nadine Jacobi is a fully qualified lawyer with 22 years of experience in corporate governance. She has worked both in-house as Chief Compliance Officer and as a forensic consultant at two of the „Big Four“ auditing companies. She has worked for companies of various sizes and industries: from mid-sized businesses to global corporations; including the medical device, defense, agribusiness, plant engineering, utility, automotive and pharmaceutical industries. In addition, she has led companies out of crises in a managerial position and successfully cooperated with investigative authorities

Today, as the owner of Compliance Customized, she and her team advise large and medium-sized companies on the design, implementation and optimization of compliance management systems, the performance of compliance risk analyses and all compliance topics, such as the performance of due diligence reviews on the use of so-called third parties (e.g. distributors, sales agents, consultants), or the preparation of compliance statements for top management. Coaching newly appointed Chief Compliance Officers is also one of her consulting focuses. As a Certified Fraud Examiner, Nadine Jacobi follows up on leads and conducts internal investigations on behalf of corporate decision makers. Depending on the complexity of the investigation, Nadine Jacobi works with cooperation partners and, if necessary, coordinates the deployment of the service providers used.

Attorney Dr. Rainer Buchert first learned the profession of police officer from scratch. After studying law and obtaining a particularly excellent doctorate on a topic of internal security, he worked for more than 13 years in various management positions at the Federal Criminal Police Office (BKA) in Wiesbaden, most recently as a criminal director. This was followed by two years as state criminal director and head of the criminal police in Saxony-Anhalt. He was then appointed police chief of the city and district of Offenbach. In 1999, he founded a law firm in Frankfurt am Main with a focus on criminal law. Today, the law firm Buchert Jacob Partner has four attorneys specializing in white-collar criminal law and criminal compliance. Dr. Buchert has been mandated as an ombudsman by more than 40 corporate groups and medium-sized companies. From the different sectors – industry, trade and service companies of various kinds – results a pool of experience that has grown over 20 years.

Create added value for affected companies

Dr. Rainer Buchert: „Many companies already have one or even several reporting systems for whistleblowers. As an ombudsman, although I prefer to call my role a ‚lawyer of trust‘ for whistleblowers and companies, I have already accompanied numerous companies during the introduction and am the contact person for whistleblowers. Together with Nadine Jacobi, we have now come up with the idea of combining our expertise and giving companies practical tips on how they can deal with the foreseeable new requirements without having to turn it into a very big project right away.“

Nadine Jacobi: „There are already many publications on the legal details of the EU Directive and the Whistleblower Protection Act. However, our blog series focuses on information, practical tips and recommendations specifically for (medium-sized) entrepreneurs, for whom whistleblower systems are often uncharted territory and who are faced with the challenge of implementing the requirements in a practical and solution-oriented manner. The joint exchange of our many years of practical experience creates added value for the companies concerned: We provide decision-makers with concrete dos and don’ts and explain them in a simple, clear and understandable way, even for non-lawyers.“

Both our aspirations: You do not have to top of the class to meet the requirements of the legislator and the controlling executive. Rather, it is a matter of knowing the requirements and implementing them with a sense of proportion, i.e., in a way that is appropriate for the respective industry, company size and specific risk areas.

Whistleblowers can be used as an „early warning system”

When it comes to whistleblowers, the compliance expert and the experienced ombudsman agree: Whistleblowers can be used as an effective „early warning system“ by companies. This positive effect can unfold if corporate decision makers understand the motivation and need for protection of the whistleblower and at the same time know how to use the system to their advantage.

Follow our blog and you will receive valuable tips and case studies from practice – enriched with recommendations for action for your whistleblower reporting system. In this space! In a fortnight!