Abpfiff durch EU-Kommission: Rote Karte für zentrale Whistleblower-Meldesysteme ist kein Grund zur Panik

Final whistle by the EU Commission: Red card for central whistleblower reporting systems is no reason to panic
>>> english version below >>>

Groß war die Aufregung in vielen juristischen Blogs, nachdem die EU-Kommission auf Anfrage großer Konzerne in zwei Stellungnahmen bekräftigte, dass die Entgegennahme von „Whistleblower“-Hinweisen sowie die danach vorzunehmenden internen Untersuchungen in der jeweils betroffenen Tochtergesellschaft stattfinden müssen und nicht von der Konzernzentrale übernommen werden dürfen. Im Klartext: Ein einziges, gruppenweit eingesetztes Hinweisgeber-Meldesystem für sämtliche Konzerngesellschaften reicht nicht aus. Die Ängste vor dem Aufbau von Doppelstrukturen und zusätzlichen personellen Ressourcen sowie die Furcht, dass künftig nicht mehr alle notwendigen Informationen zu möglichen internen Verstößen in der Zentrale ankommen, sind verständlich – für Panik ist es jedoch zu früh. Erst wenn das entsprechende deutsche Gesetz verabschiedet ist, wird Klarheit bestehen. Bis es soweit ist, habe ich gemeinsam mit Dr. Rainer Buchert in Teil 5 unserer Blog-Serie zur EU-Whistleblower-Richtlinie darüber diskutiert, welche Lösungsansätze es für deutsche Unternehmen geben könnte.

(Zur besseren Lesbarkeit verwenden wir im Text das generische Maskulinum. Gemeint sind immer alle Geschlechter.)

Viele Unternehmen „verstecken“ ihr Meldesystem für Hinweisgeber noch immer hinter undurchsichtigen Bezeichnungen im konzernweiten Intranet und lassen Hinweisgeber im Unklaren, wo ihr Hinweis landet – wir haben darüber in Folge 4 unserer Blog-Serie berichtet. Diese Unsicherheit auf Seiten des Hinweisgebers bemängelt die EU-Kommission und untermauert den Sachverhalt mit einer eigens in Auftrag gegebenen Studie. Darüber hinaus belässt es die EU-Kommission nicht bei der Feststellung, sondern zieht in ihrer Whistleblower-Richtlinie Konsequenzen: (Tochter-)Gesellschaften innerhalb der EU mit mehr als 250 Beschäftigten müssen laut Art. 8 Abs. 3 der EU-Whistleblower-Richtlinie ab dem 17.12.2021 einen eigenen Meldekanal für Hinweisgeber vorweisen. Sie begründet dies damit, dass die Verpflichtung zur Einrichtung interner Meldekanäle in einem angemessenen Verhältnis zu ihrer Größe und dem Ausmaß des Risikos ihrer Tätigkeiten für das öffentliche Interesse stehen soll. Dies hat die EU-Kommission auf Anfragen von Konzernen in zwei Stellungnahmen im Juni dieses Jahres noch einmal bekräftigt.

Zentraler und dezentraler Meldekanal dürfen parallel betrieben werden…

Parallel zu diesem eigenen Meldekanal darf ein Konzern jedoch auch einen zentralen Meldekanal anbieten. Hinweisgeber können damit einen der beiden Meldekanäle wählen.

… und sind bei vielen Unternehmen bereits „state of the art“

Gute Meldesysteme erlauben es dem Unternehmen bereits heute, jeweils unterschiedliche Empfänger einzurichten – je nachdem, ob ein Hinweisgeber die Meldung bei der Zentrale oder der Tochtergesellschaft abgeben will. Zahlreiche Unternehmen nutzen jetzt schon diese Möglichkeit: Der Hinweisgeber bestimmt, ob der Hinweis an eine lokale oder eine zentrale Meldestelle weitergeleitet wird. Die Anschaffung eines separaten elektronischen Hinweisgebersystems für jede Tochtergesellschaft ist demnach nicht nötig. Wichtig ist, dass ein Hinweisgeber über seine Wahlmöglichkeit leicht verständlich informiert wird. Das Unternehmen kann diese Aufklärung mit einer klugen Kommunikation verbinden, in der hervorgehoben wird, welche Vorteile eine Meldung an das konzernweite (zentrale) Meldesystem hat.

Die Kombination mit einer Ombudsperson hat viele Vorteile

Es hat viele Vorteile, wenn es eine Ombudsperson ist, die den Hinweisgeber bei dieser Wahlmöglichkeit begleitet und dann die Weiterleitung an den gewählten Empfänger übernimmt.

So ist es beispielsweise möglich, die Zuständigkeit einer bereits für den Konzern tätigen Ombudsperson auch auf die Tochtergesellschaften auszuweiten, am besten eingebettet in ein digitales Meldesystem, das in allen Tochtergesellschaften verfügbar ist. Die Ombudsperson kann dann den vom Hinweisgeber gewünschten Empfänger kontaktieren – entweder den dezentralen oder den zentralen. Damit kann ein Konzern den zentralen und dezentralen Meldekanal miteinander kombinieren. Diese Lösung entspricht den Anforderungen der EU-Kommission, solange der Hinweisgeber bewusst entscheiden kann, welchen Meldekanal er nutzen möchte. Aber auch hier gilt: Die Tücke liegt im Detail. Eine Ombudsperson darf Hinweise aus einer Tochtergesellschaft mit personenbezogenen Daten selbst auf Wunsch des Hinweisgebers nur dann an die Zentrale weiterleiten, wenn eine betriebsinterne Datenschutzrichtlinie die Weitergabe personenbezogener Daten ausdrücklich gestattet. Aber dies ist keine neue Regelung, sondern ergibt sich aus bestehenden datenschutzrechtlichen Regelungen.

Ombudsperson kann für mehrere Tochtergesellschaften beauftragt werden

Dies erfordert eine klare vertragliche Regelung, die jedoch ohne großen Aufwand zu leisten ist: Die Holding muss lediglich für jede Tochtergesellschaft einen eigenen Vertrag schließen bzw. diese Gesellschaften einzeln im Vertrag mit der Ombudsperson nennen. Diese Vereinbarung muss demnach auch von jedem Geschäftsführer der jeweiligen Tochtergesellschaften unterschrieben werden.

Die Vertretung aller Tochtergesellschaften durch eine Ombudsperson hat einen weiteren Vorteil: Sie kann einen Hinweisgeber bereits im ersten persönlichen Telefongespräch darauf hinweisen, dass sein Hinweis wahlweise an die Tochtergesellschaft oder die Zentrale weitergegeben werden kann. Und die Ombudsperson kann den Hinweisgeber beraten, wo denn sein Hinweis das Höchstmaß an Vertraulichkeit genießen wird.

Praxiserfahrung widerspricht These der EU-Kommission:

99% aller Hinweisgeber wollen lieber den zentralen Meldekanal nutzen

Einen echten Widerspruch zur These der EU-Kommission, der zufolge Hinweisgeber eher geneigt sind, Hinweise gegenüber der lokalen Tochtergesellschaft offen zu legen, haben wir in unserer langjährigen Praxis erlebt: Demnach wünschen sich 99% aller Hinweisgeber, dass ihr Hinweis direkt an die Zentrale weitergegeben werden soll. Der Grund ist so einfach wie einleuchtend: Zum einen besteht die berechtigte Sorge des Hinweisgebers, dass die Wahrung seiner Identität innerhalb der kleineren Gesellschaft schwieriger zu gewährleisten ist. Zum anderen befürchten viele Hinweisgeber, dass der an einem Verstoß möglicherweise beteiligte Geschäftsführer der Tochtergesellschaft eine angemessene Untersuchung des Vorwurfs verhindern und versuchen könnten, den Vorgang schlichtweg zu vertuschen.

Auch für den Konzern hat es Vorteile, wenn die zentrale Compliance-Abteilung Hinweise aus Tochtergesellschaften erhält. Bestes Beispiel: Mehrere Hinweise aus Tochtergesellschaften in unterschiedlichen Ländern führen zum gleichen Sachverhalt – und haben damit konzernweite Bedeutung. Dieser Zusammenhang kann in einer rein dezentralen Untersuchung in der Natur der Sache nicht hergestellt werden. Die ausschließlich lokale Bearbeitung von Hinweisen kann also die Sachaufklärung im Hinblick auf die Identifizierung von regionalen oder konzernübergreifenden Mustern erheblich erschweren. Das deutsche Geldwäschegesetz (GWG) fordert übrigens schon seit langer Zeit die Sachaufklärung durch eine „Zentrale Stelle“.

EU-Kommission erlaubt Pool-Lösungen für Meldesysteme…

Für Tochterfirmen und konzernangehörige Gesellschaften mit 50 bis 249 Beschäftigten sieht die EU-Kommission gewisse Erleichterungen vor. Sie dürfen, zum Beispiel in geographischen Regionen wie Europa, Südamerika oder Asien, ein gemeinsames „lokales“ Hinweisgebersystem parallel zum zentralen Konzernsystem betreiben. In der Praxis bedeutet dies, dass dann eine dieser Gesellschaften für die anderen Gesellschaften der Region als Anlaufstelle für die Entgegennahme von Hinweisen agieren darf.

…und Untersuchungen bei mittelgroßen Tochterfirmen

Auch beim Thema „Interne Untersuchungen“ macht die EU-Kommission Zugeständnisse: Zum einen dürfen Tochtergesellschaften mit 50 bis 249 Beschäftigten für Untersuchungen von Hinweisen auf gemeinsame regionale Ressourcen zurückgreifen (Art. 8 Abs. 6 der EU Whistleblower-Richtlinie). Für Gesellschaften mit mehr als 250 Mitarbeitern gelten diese Erleichterungen hingegen nicht.

Auch die Übergabe der Untersuchung an Zentrale bleibt möglich, …

Eine weitere Erleichterung von internen Untersuchungen in Tochter-Gesellschaften mit 50 bis 249 Beschäftigten: Unter bestimmten Voraussetzungen darf die Konzernzentrale die interne Untersuchung durchführen. Unserer Ansicht nach ist dies immer dann möglich, wenn die Tochtergesellschaft feststellt, dass sie den Anforderungen an eine fachgerechte Untersuchung nicht gewachsen ist. Wir empfehlen ausdrücklich, dieses Vorgehen vertraglich zu fixieren. Dies kann zum Beispiel dadurch gelingen, dass die Tochtergesellschaft die Zentralfunktion zumindest über den Sachverhalt eines Hinweises informiert, jedoch keine personenbezogenen Daten übermittelt. Dadurch erhält die Zentrale letztlich doch Kenntnis vom Sachverhalt, was ihr eine angemessene Reaktion ermöglicht. Gesellschaften mit mehr als 250 Mitarbeitern profitieren nicht von dieser Möglichkeit.

… wenn EU-Auflagen befolgt werden

Die EU-Kommission erlaubt eine Übergabe der internen Untersuchung an die Zentrale jedoch nur dann, wenn die Gruppe bereits eine zentrale, unternehmensübergreifende Compliance-Struktur eingerichtet hat. Und die Übergabe ist mit weiteren Auflagen verbunden: Die Tochtergesellschaft muss über einen eigenen Meldekanal verfügen und über diesen den Hinweisgeber über die Weitergabe an die Zentrale informieren sowie dessen Einverständnis einholen. Außerdem, so legt es die EU Kommission fest, sollen Folgemaßnahmen und Rückfragen gegenüber dem Hinweisgeber durch die Tochtergesellschaft erfolgen.

Ist ein Hinweisgeber nicht damit einverstanden, dass sein Hinweis von der Konzernzentrale untersucht wird, muss dies innerhalb der Tochtergesellschaft erfolgen. Das Ergebnis der Untersuchung, jedoch keine weiteren, insbesondere personenbezogene Informationen, darf die Tochtergesellschaft aber auch ohne Einverständnis des Hinweisgebers an die Zentrale kommunizieren.

Whistleblower muss Weitergabe an Zentrale zustimmen

Eine andere Regelung definiert die EU-Kommission, wenn ein Hinweis auf einen konzernweiten Verstoß hindeutet. In diesem Fall darf die Untersuchung durch die zentrale Compliance-Abteilung oder eine andere hierfür vorgesehene Instanz in der Zentrale erfolgen. Einzige Einschränkung: Auch hier muss der Whistleblower gegenüber der Ombudsperson oder über das elektronische Meldesystem explizit zustimmen. Tut er dies nicht, darf er seinen Hinweis zurückziehen und kann seine Informationen an eine externe Ermittlungs-Behörde weiterleiten.

EU-Whistleblower-Richtlinie vs. Deutsches Aktiengesetz

In diesem Punkt besteht unseres Erachtens ein Widerspruch zwischen der Auffassung der EU-Kommission und dem deutschen Aktiengesetz. Wir erwarten daher mit Spannung, wie diese Regelung im Rahmen eines deutschen Gesetzes umgesetzt werden wird.

Fazit: Unbequem – aber kein Grund zur Panik!

Auch wenn einige Regelungen unbequem und wenig praxistauglich sind, Grund zur Panik besteht nicht. Große Unternehmen mit Tochtergesellschaften im In- und Ausland können die Auflagen der EU-Kommission auch ohne überbordende Investitionen und Restrukturierungen erfüllen. Es kommt darauf an, maßgeschneiderte Lösungen zu finden, die den individuellen Anforderungen und Bedürfnissen der jeweiligen Branche und bereits vorhandenen Strukturen entsprechen. Dazu bedarf es in erster Linie einer guten Beratung.

Folgen sie auch weiterhin unserem Blog. An dieser Stelle! In zwei Wochen!

>>>>> english version >>>>>

Part 5 of the blog series on the EU Whistleblower Directive: Practical tips for corporate decision-makers

Final whistle by the EU Commission: Red card for central whistleblower reporting systems is no reason to panic

The excitement in many legal blogs was great after the EU Commission, at the request of large corporations, confirmed in two statements that the receipt of whistleblower tips and the internal investigations to be carried out afterwards must take place in the respective subsidiary and may not be taken over by the corporate headquarters. In plain language: A single, group-wide whistleblower reporting system for all group companies is not sufficient. The fears of setting up duplicate structures and additional personnel resources, as well as the fear that in future not all the necessary information on possible internal violations will reach headquarters, are understandable – but it is too early to panic. Only when the corresponding German law is passed will there be clarity. Until then, I discussed with Dr Rainer Buchert in Part 5 of our blog series on the EU Whistleblower Directive what solutions might be available to German companies.

Many companies still „hide“ their reporting system for whistleblowers behind opaque names on the company-wide intranet and leave whistleblowers in the dark as to where their tip ends up – we reported on this in episode 4 of our blog series. The EU Commission criticises this uncertainty on the part of the whistleblower and substantiates the facts with a specially commissioned study. Moreover, the EU Commission does not leave it at that, but draws consequences in its Whistleblower Directive: (Subsidiary) companies within the EU with more than 250 employees must, according to Art. 8 para. 3 of the EU Whistleblower Directive, have their own reporting channel for whistleblowers from 17 December 2021. It justifies this by stating that the obligation to establish internal reporting channels should be proportionate to their size and the extent of the risk of their activities to the public interest. This was reaffirmed by the EU Commission in two statements in June this year in response to requests from corporate groups.

Central and decentralised reporting channel can be operated simultaneously…

However, in parallel to this own reporting channel, a corporation may also offer a central reporting channel. Whistleblowers can thus choose one of the two reporting channels.

… and are already „state of the art“ in many organisations.

Good reporting systems already allow the company to set up different recipients in each case – depending on whether a whistleblower wants to submit the report to the head office or the subsidiary. Many companies already use this option: the whistleblower determines whether the report is forwarded to a local or a central reporting office. The acquisition of a separate electronic whistleblowing system for each subsidiary is therefore not necessary. It is important that a whistleblower is informed about his or her choice in a way that is easy to understand. The company can combine this information with a clever communication highlighting the advantages of reporting to the group-wide (central) reporting system.

The combination with an ombudsperson has many advantages

There are many advantages to having an ombudsperson who accompanies the whistleblower in this choice and then takes over the transfer to the chosen recipient.

For example, it is possible to extend the jurisdiction of an ombudsperson already working for the group to the subsidiaries as well, preferably embedded in a digital reporting system available in all subsidiaries. The ombudsperson can then contact the recipient requested by the whistleblower – either the decentralised or the centralised one. This allows a group to combine the centralised and decentralised reporting channels. This solution meets the requirements of the EU Commission as long as the whistleblower can consciously decide which reporting channel to use. But here, too, the pitfall is in the detail. An ombudsperson may only forward tips from a subsidiary with personal data to the head office, even at the whistleblower’s request, if an internal company data protection policy explicitly allows the forwarding of personal data. But this is not a new regulation, this results from already existing data protection regulations.

Ombudsperson can be appointed for several subsidiaries

This requires a clear contractual arrangement, which, however, can be achieved without much effort: The holding company only has to conclude a separate agreement for each subsidiary or name these companies individually in the contract with the ombudsperson. Accordingly, this agreement must also be signed by each managing director of the respective subsidiaries.

The representation of all subsidiaries by an ombudsperson has a further advantage: the ombudsperson can already inform a whistleblower in the first personal telephone conversation that his or her tip can be passed on to either the subsidiary or the head office. And the ombudsperson can advise the whistleblower where his or her information will be given the highest level of confidentiality.

Practical experience contradicts the EU Commission’s thesis:

 99% of all whistleblowers prefer to use the central reporting channel

We have experienced a real contradiction to the thesis of the EU Commission, according to which whistleblowers are more inclined to disclose information to the local subsidiary, in our many years of practice: according to this, 99% of all whistleblowers want their information to be passed on directly to the head office. The reason is as simple as it is obvious: On the one hand, the whistleblower has a legitimate concern that it is more difficult to guarantee the protection of his identity within the smaller company. On the other hand, many whistleblowers fear that the managing director of the subsidiary who may be involved in a violation could prevent a proper investigation of the allegation and simply try to cover up the matter.

It is also advantageous for the group if the central compliance department receives information from subsidiaries. The best example: several tips from subsidiaries in different countries lead to the same issue – and thus have group-wide significance. This connection cannot be established in a purely decentralised investigation by its very nature. The exclusively local processing of tips can therefore complicate the clarification of the facts with regard to the identification of regional or group-wide patterns considerably. Incidentally, the German Money Laundering Act (GWG) has long called for fact-finding by a „central office“.

EU Commission allows pool solutions for reporting systems…

For subsidiaries and affiliated companies with 50 to 249 employees, the EU Commission provides for certain facilitations. For example, in geographical regions such as Europe, South America or Asia, they may operate a joint „local“ whistleblowing system parallel to the central group system. In practice, this means that one of these companies can act as a contact point for the other companies in the region.

…and investigations at medium-sized subsidiaries

The EU Commission also makes concessions on the topic of „internal investigations“: On the one hand, subsidiaries with 50 to 249 employees are allowed to use common regional resources for investigations of whistleblowing (Art. 8 para. 6 of the EU Whistleblower Directive). However, these facilitations do not apply to companies with more than 250 employees.

It also remains possible to hand over the investigation to headquarters, …

Another facilitation of internal investigations in subsidiary companies with 50 to 249 employees: Under certain conditions, the group headquarter may conduct the internal investigation. In our view, this is always possible if the subsidiary finds that it is not up to the requirements of a professional investigation. We expressly recommend that this procedure be contractually fixed. This can be achieved, for example, by the subsidiary at least informing the central function about the facts of a tip-off, but not transmitting any personal data. In this way, the head office ultimately becomes aware of the facts of the case, which enables it to react appropriately. Companies with more than 250 employees do not benefit from this possibility.

… if EU requirements are followed

However, the EU Commission only allows the internal investigation to be handed over to headquarters if the group has already established a central, cross-company compliance structure. And the handover is linked to further requirements: The subsidiary must have its own reporting channel and use it to inform the whistleblower about the transfer to headquarters and obtain his or her consent. In addition, the EU Commission stipulates that follow-up measures and queries towards the whistleblower should be carried out by the subsidiary.

If a whistleblower does not agree to his or her information being investigated by the headquarter, this must be done within the subsidiary. However, the subsidiary may communicate the result of the investigation, but no further information, in particular personal information, to the headquarter even without the whistleblower’s consent.

Whistleblower must agree to disclosure to headquarters

The EU Commission defines a different regulation if an indication points to a Group-wide violation. In this case, the investigation may be conducted by the central compliance department or another designated body at headquarters. The only restriction: Here, too, the whistleblower must give explicit consent to the ombudsperson or via the electronic reporting system. If he does not do so, he may withdraw his whistleblowing and forward his information to an external investigating authority.

EU Whistleblower Directive vs. German Stock Corporation Act

In our opinion, there is a contradiction between the EU Commission’s view and the German Stock Corporation Act on this matter. We therefore eagerly await how this regulation will be implemented within the framework of a German law.

Conclusion: Uncomfortable – but no reason to panic!

Even if some regulations are inconvenient and not very practical, there is no reason to panic. Large companies with subsidiaries at home and abroad can meet the requirements of the EU Commission without excessive investments and restructuring. The important thing is to find customised solutions that meet the individual requirements and needs of the respective industry and already existing structures. This requires first and foremost good advice.

Continue to follow our blog. In this space! In a fortnight!