Regulierungswelle: Was jetzt auf Compliance-Manager zukommt

Beitrag als PDF (Download)

Complianceverantwortliche müssen sich auf zwei neue Richtlinien und ein neues Gesetz einstellen – mit weitreichenden Pflichten für Unternehmen. Wir sagen, was jetzt auf Sie zukommt.
EU-Whistleblowingrichtlinie und die nationale Umsetzung
Um einen EU-weiten Standard zum Schutz von Hinweisgebern zu garantieren, hat sich die Europäische Union im Dezember 2019 auf eine Whistleblowerrichtlinie (EU Whistleblowing Directive) geeinigt. Bis 17.12.2021 haben die EU-Mitgliedstaaten Zeit, die Vorgaben in einer eigenen Gesetzgebung umzusetzen. Das deutsche Justizministerium hatte Anfang dieses Jahres einen entsprechenden Referentenentwurf vorgestellt, doch sind die Verhandlungen innerhalb der Koalition vorerst gescheitert. Der größte Streitpunkt: Sollen Whistleblower nur dann geschützt werden, wenn es um Verstöße gegen EU-Recht geht oder auch bei Verstößen gegen deutsches Recht? Die Meinungen von SPD und Union gehen hier auseinander. Die Verabschiedung eines deutschen Hinweisgeberschutzgesetzes innerhalb der Frist wird damit unwahrscheinlich. Allerdings könnten sich Beschäftigte dennoch auf die EU-Richtlinie berufen.

Was bedeutet das für Unternehmen?
Die EU-Whistleblowingrichtlinie soll den Schutz von Hinweisgebern verbessern. Die Direktive sieht unter anderem vor, dass Unternehmen mit mehr als 250 Mitarbeitenden ab 17.12.2021 ein Hinweisgebersystem installieren, über das Mitarbeitende und Dritte Missstände melden können. Für Unternehmen von 50-249 Mitarbeitenden gilt eine Übergangsfrist bis 2023. Auch auf juristische Personen des öffentlichen Sektors findet die Richtlinie Anwendung. Dazu zählen Behörden, öffentliche Einrichtungen sowie Städte und Kommunen ab 10.000 Einwohnern.

Weitere Kernpunkte der Direktive:

  • Geschützt werden nicht nur Mitarbeiter, die Missstände melden, sondern auch Bewerber, ehemalige Mitarbeitende, Unterstützer des Hinweisgebers oder Journalisten. Diese Personen sind vor Entlassungen, Degradierungen und sonstigen Diskriminierungen zu schützen.
  • Der Schutz bezieht sich lediglich auf das Melden von Missständen mit Bezug auf EU-Recht, wie etwa Steuerbetrug, Geldwäsche oder Delikte im Zusammenhang mit öffentlichen Aufträgen, Produkt- und Verkehrssicherheit, Umweltschutz, öffentlicher Gesundheit sowie Verbraucher- und Datenschutz (die EU ermuntert die nationalen Gesetzgeber jedoch, diesen Anwendungsbereich im nationalen Gesetz zu erweitern).
  • Der Hinweisgeber hat die Wahl, ob er einen Missstand zunächst intern im Unternehmen oder direkt bei der zuständigen Aufsichtsbehörde meldet. Wenn auf eine solche Meldung hin nichts geschieht oder der Hinweisgeber Grund zur Annahme hat, dass ein öffentliches Interesse besteht, kann er auch direkt an die Öffentlichkeit gehen. Geschützt ist er in jedem Fall.

Die nächsten Schritte für Unternehmen
Von höchster Bedeutung für Unternehmen ist die Wahlfreiheit für Hinweisgeber. Findet der Whistleblower intern keine geeigneten Meldekanäle vor, wird er sich direkt an die zuständige Aufsicht oder gar die Öffentlichkeit wenden – für Unternehmen immer die schlechtere Option. Wie lässt sich das verhindern?

  • Geeignete interne Hinweisgebersysteme (auch unter dem Begriff Whistleblowingsystem bekannt) sind deshalb unabdingbar. Diese sollten ständig verfügbar sein, eine Option auf Anonymität bieten, in den relevanten Sprachen angeboten werden, mit verständlichen Erklärtexten ausgestattet sein und von einer guten internen Kommunikationsstrategie begleitet werden.
  • Dabei haben sich digitale Hinweisgebersysteme mittlerweile als Best Practice etabliert. Sie sorgen für eine rechtssichere Umsetzung der EU-Richtlinie, erfüllen die Anforderungen der DSGVO, erinnern an die gesetzlichen Fristen und erlauben eine einfache, effiziente und vertrauliche Fallbearbeitung. Sie lassen sich leicht je nach Unternehmensgröße skalieren und an verschiedene Sprachen anpassen und eignen sich daher gleichermaßen für kleine und mittelständische Unternehmen wie Großkonzerne. Bei Bedarf lassen sie sich auch gut mit Ombudspersonen oder Telefonhotlines kombinieren.

Verbraucherschutz-Compliancerichtlinie
Noch bevor im Dezember 2021 die Frist für die Umsetzung der EU-Whistleblowingrichtlinie auf nationaler Ebene abläuft, wird für Unternehmen eine weitere Deadline wichtig: Bis zum 28.11.2021 muss die Verbraucherschutz-Compliance-richtlinie (VC-RL) in deutsches Recht umgesetzt werden.

Was ist die Verbraucherschutz-Compliancerichtlinie?
Mit der Verbraucherschutz-Compliancerichtlinie sollen Verbraucherrechte auf nationaler Ebene modernisiert und der E-Commerce gestärkt werden. Die VC-RL integriert den Verbraucherschutz in das deutsche Ordnungswidrigkeitsrecht – und macht ihn damit zu einem wichtigen Compliancethema für Unternehmen.
Bisher mussten Unternehmen bei Verstößen gegen Verbraucherschutznormen nur zivilrechtliche Unterlassungsverfahren oder Abmahnungen fürchten. Die Verbraucherschutz-Compliancerichtlinie gibt nun vor, dass EU-Mitgliedstaaten auf nationaler Ebene Sanktionen einführen müssen. Sie schreibt bei Verstößen eine Mindestharmonisierung vor: mindestens vier Prozent des Jahresumsatzes oder – falls der Umsatz nicht als Bemessungsgrundlage ermittelt werden kann – mindestens zwei Millionen Euro.
Die Festlegung des Bußgelds bemisst sich an einer Reihe von Umständen, die die VC-LR ebenfalls vorgibt, zum Beispiel Art, Schwere und Dauer des Verstoßes. Auch Umstände wie eine Wiederholungstäterschaft, Wiedergutmachung oder die Erlangung finanzieller Vorteile spielen bei der Bemessung der Sanktionen eine Rolle. Die Verbraucherschutz-Compliancerichtlinie stellt den Nationalstaaten frei, weitere Kriterien zu definieren.

Was müssen Unternehmen jetzt beachten?
Weil die VC-LR in das deutsche Ordnungswidrigkeitsrecht rückt, wird sie für Unternehmen Compliance-relevant. Im ersten Schritt empfiehlt es sich, die Allgemeinen Geschäftsbedingungen im B2C-Bereich auf Konformität zu prüfen. Auch bei den Angebotspraktiken muss kontrolliert werden, ob sie Richtlinien-konform sind. Unternehmen sollten Verbraucherschutz deshalb in ihr Compliancemanagementsystem integrieren. Insbesondere bei der Schulung und Überwachung von Vertrieb und Marketing im Bereich E-Commerce spielen die neuen Vorschriften eine Rolle.
Durch die VC-LR ergeben sich auch neue Rollen- und Aufgabenverteilungen: Bisher kümmerten sich Vertragsjuristen in der Rechtsabteilung um die Einhaltung des Verbraucherschutzes und die Vorschriften für Allgemeine Geschäftsbedingungen. Nach Umsetzung der VC-LR sollten Unternehmen diese Aufgaben an die Compliance anbinden und die Prozesse und Aufgaben zum Teil der Überwachungs- und Kontrollmechanismen aller operativen Geschäftsprozesse machen.

Lieferkettengesetz
Die Bundesregierung hat sich auf einen Entwurf für das Lieferkettengesetz verständigt; dieses soll noch vor der Sommerpause verabschiedet werden und Anfang 2023 in Kraft treten. Es verpflichtet zunächst Konzerne ab 3.000, ein Jahr später ab 1.000 Beschäftigten.
Unternehmen müssen damit die Einhaltung von Menschenrechten sowie des Gesundheits- und Arbeitsschutzes bei ihren Zulieferern sicherstellen. Missstände wie Zwangs- und Kinderarbeit, unangemessene Niedriglöhne oder umweltschädliche Arbeits- und Produktionsbedingungen sollen verhindert werden. Wer seine Sorgfaltspflicht verletzt, dem drohen Bußgelder von bis zu zwei Prozent des Jahresumsatzes und der Ausschluss von öffentlichen Aufträgen.
Zusätzlich ist bereits ein EU-Lieferkettengesetz in Arbeit, das deutlich härter ausfallen könnte und auch kleine und mittlere Unternehmen erfassen soll, wenn sie börsennotiert oder in sogenannten Hochrisikobereichen tätig sind.

Risiken minimieren mit Compliance
Präventive Maßnahmen im Unternehmen, wie die Einrichtung eines ComplianceManagementsystems oder eines Hinweisgebersystems minimieren nicht nur die Risiken, sondern wirken sich im Schadensfall auch strafmildernd aus. Unternehmen sollten daher frühzeitig ihre Compliance­prozesse anpassen. Zur Best Practice gehören digitale Hinweisgebersysteme, denn nur diese erfüllen alle Anforderungen an eine sichere und anonyme Kommunikation und bieten ein effizientes Case-Management. Damit setzen Unternehmen die EU-Hinweisgeberrichtlinie rechtssicher um und erfüllen bereits eine der Mindestanforderungen an effektives ­Compliancemanagementsystem.

www.eqs.com

Aktuelle Beiträge