Strengere Compliance-Regeln auch für KMU

Am 16. Dezember 2019 ist die Whistleblower-Richtlinie (Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden) in Kraft getreten. Die Mitgliedsstaaten der EU sind dazu verpflichtet, deren Vorgaben bis zum 17. Dezember 2021 in nationales Recht umzusetzen. Die Whistleblower-Richtlinie verfolgt im Wesentlichen zwei Ziele. Erstens sollen Hinweisgeber (Whistleblower), die auf Verletzungen des EU-Rechts aufmerksam machen, besser geschützt werden. Zweitens soll durch vermehrte Hinweise auf Rechtsverletzungen für eine bessere Durchsetzung des EU-Rechts gesorgt werden.

Die Whistleblower-Richtlinie gilt sowohl für Hinweisgeber in privaten als auch öffentlichen Organisationen. Sie bezieht sich auf Missstände im Zusammenhang mit EU-Recht. Das EU-Recht ist vor allem für die Bereiche öffentliche Auftragsvergabe, Finanzdienstleistungen, Gesundheitswesen, Produkt- und Verkehrssicherheit und Verbraucher- und Datenschutz relevant. Die Mitgliedsstaaten können allerdings darüber hinausgehen und den Anwendungsbereich auf nationales Recht erweitern.

Voraussetzung für den Schutz von Hinweisgebern ist allerdings, dass für den Hinweisgeber ein hinreichender Grund zu der Annahme bestand, dass die gemeldeten Informationen zum Zeitpunkt der Meldung der Wahrheit entsprachen. Damit soll die Gefahr von Denunziation ausgeschlossen werden.

Die Mitgliedstaaten der EU werden verpflichtet sicherzustellen, dass Unternehmen und andere juristische Personen interne Kanäle und Verfahren für Meldungen von Hinweisgebern einrichten. Unternehmen müssen dem Hinweisgeber innerhalb von sieben Tagen bestätigen, dass die Meldung eingegangen ist. Innerhalb von drei Monaten muss der Hinweisgeber über getroffene Maßnahmen und den Stand der Ermittlungen informiert werden. Die Meldekanäle sind so zu konzipieren, dass die Vertraulichkeit der Identität des Hinweisgebers gewahrt bleibt.

Die neue Richtlinie verpflichtet die Mitgliedstaaten dazu, Sanktionen gegen Unternehmen zu verhängen, die das Melden von Missständen behindern. Die Mitgliedstaaten sollen ferner auch Sanktionen für den Fall vorsehen, dass Hinweise von Hinweisgebern von Unternehmen nicht vertraulich behandelt werden. Die genaue Ausgestaltung der Sanktionen ist jedoch den Mitgliedsstaaten überlassen.

Neben der Erfüllung einer Rechtspflicht gibt es für Unternehmen weitere Gründe, Mitarbeitern zu ermöglichen, Missstände im Unternehmen ungehindert zu melden. Dadurch kann eben auch verhindert werden, dass der Missstand externen Stellen bekannt wird. Wird ein Missstand öffentlich, kann eine negative Berichterstattung über das Unternehmen zu einem Imageschaden und sich daran anschließenden wirtschaftlichen Schäden führen. Außerdem können durch das Aufdecken von Missständen Haftungsfälle oder Sanktionen durch Behörden vermieden werden. Die internen Meldekanäle von Unternehmen sollten deshalb am besten im Rahmen eines umfassenden Compliance-Systems eingerichtet werden.

Eine weitere kleine Revolution bahnt sich derzeit durch die geplante Einführung des Verbandssanktionengesetzes an. Diese im aktuellen Koalitionsvertrag vereinbarte Initiative bedeutet im Grundsatz nichts anderes als die Einführung einer Art „Unternehmensstrafrecht“. Die Sanktionierung von Unternehmen soll damit eine eigene gesetzliche Grundlage erhalten. Maßgeblich ist in diesem Zusammenhang die Einführung des sogenannten Legalitätsprinzips für Verstöße auf Unternehmensebene. Das Gesetz soll allerdings auch nicht nur für Unternehmen, sondern auch für sämtliche private und öffentlichrechtliche Verbände gelten. Betroffen sind damit nicht nur Konzerne, sondern auch Mittelständler und Kleinstbetriebe.

Anders als bisher können Staatsanwaltschaften nun nicht mehr nach dem Opportunitätsprinzip entscheiden, ob sie ein Verfahren gegen den betroffenen Verband einleiten, sie sind durch das Legalitätsprinzip dazu verpflichtet.

Als Sanktion ist bis zu zehn Prozent des jährlichen weltweiten Jahresumsatzes des Unternehmens vorgesehen. Dies trifft Unternehmen mit einem jährlichen Umsatz von über 100 Millionen Euro, eine Dimension, die auch der eine oder andere Mittelständler erreicht. Kleineren Unternehmen droht immerhin eine Geldbuße von bis zu zehn Millionen Euro.

Positiv hervorzuheben ist, dass der Gesetzesentwurf Anreize für die Einführung von Compliance-Maßnahmen und die Durchführung von eigenen internen Untersuchungen setzt. Unternehmen, die Compliance-Systeme zur Vermeidung von Rechtsverstößen einführen und an diesen beziehungsweise deren Aufklärung selbst mitarbeiten, sollen durch verminderte Strafen oder gar Absehen der Verfolgung honoriert werden. Für die Durchführung solcher internen Untersuchungen liefert der Entwurf zudem klare Kriterien.

Für Unternehmen jeder Größenordnung, gerade auch für Mittelständler, kommen damit in den kommenden Jahren deutlich erhöhte regulatorische Anforderungen zu. Es kann in diesem Zusammenhang nur dringend geraten werden, frühzeitig in die Einführung eines Compliance-Managementsystems zu investieren. Alles andere verspricht, vor dem Hintergrund der aktuellen gesetzgeberischen Bestrebungen, bestenfalls unabsehbare Folgen.

• Das Problem für Hinweisgeber besteht in der Regel darin, dass sie große Hemmungen haben, ihnen bekannt gewordene Missstände in einem Unternehmen anzusprechen oder aufzudecken, weil sie berufliche Nachteile befürchten. Die Whistleblower-Richtlinie soll dem entgegenwirken

• Es sind Sanktionen bis zu zehn Prozent des jährlichen weltweiten Jahresumsatzes des Unternehmens vorgesehen

• Unternehmen, die Compliance-Systeme einführen und an deren Aufklärung selbst mitarbeiten, sollen durch verminderte Strafen oder Absehen der Verfolgung honoriert werden

• Unternehmen sollten frühzeitig in die Einführung eines Compliance-Managementsystems investieren

Prof. Dr. Benjamin Weiler Rechtsanwalt

Dr. S. Dennis Engbrink Rechtsanwalt ZIRNGIBL Rechtsanwälte Partnerschaft mbB BVMW-Mitglied