Gibt es hier Spezialisten, die mit der Umsetzung bzw. Implementierung der EU-Whistleblower-Richtlinie (Richtlinie 2019/1937) schon weiter sind und Erfahrung haben?
Meines Wissens nach hat der deutsche Gesetzgeber die EU-Whistleblowing-Richtlinie nicht mehr rechtzeitig innerhalb der vorgegebenen Frist vom 17. Dezember 2021 in ein nationales Gesetz überführt.
Die Orientierungshilfe der DSK zu Whistleblowing-Hotlines aus 2018 ist mir, so wie die üblichen Internetseiten dazu natürlich schon bekannt.
Gibt es hier in der Community andere Informationen?
Gibt es praktikable Ansätze, wie mit der DSGVO, der Transparenz und notwendiger Informationspflicht (oder temporär gerade auch nicht), dem “Beschäftigtendatenschutz”, vielleicht auch mit dem Betriebsrat umgegangen werden muss, es wird ja eine gesetzliche Vorgabe werden?
Vielleicht hat jemand schon Kommunikation oder Austausch mit der Aufsichtsbehörde?
Wie wird es in der Praxis gemacht?
Aktuelle Infos, Ideen, Umsetzungsbeispiele, Hürden und Tipps sind gerne willkommen.
da sich Ende 2021 herauskristallisiert hat, dass, wie Du schon sagtest, keine Umsetzung in nationales Recht erfolgen wird, haben wir bereits ein Hinweisgebersystem implementiert um “Vorlauf” zu haben falls dann alles doch “ganz schnell” geschehen muss. Durch die somit entstandene Testphase können wir nun auch absehen, wie stark das Hinweisgebersystem genutzt wird, welche Kategorien von Anfragen eintreffen, wie zeitaufwändig der ganze Prozess insgesamt ist und wie wir somit weiter planen müssen.
Zu allen anderen Fragen kann ich leider nichts beitragen, da ich die Verantwortung nach der Implementierung abgegeben habe.
Durch die fehlende Umsetzung der WB-Richtlinie in deutsches Recht ist Deutschland auf EU-Ebene vertragsbrüchig geworden. Der EuGH nimmt in solchen Fällen unter gewissen Voraussetzungen eine unmittelbare Anwendung von Richtlinien an, damit sich Mitgliedstaaten nicht ihren Verpflichtungen entziehen können (Stichwort: effet utile bzw. “praktische Wirksamkeit”). Wichtig: es gilt nicht automatisch die gesamte Richtlinie unmittelbar, sondern diese Frage muss man für jede einzelne Norm beantworten. Eine Richtlinien-Norm muss für ihre unmittelbare Anwendung inhaltlich unbedingt und hinreichend bestimmt, also auch in der Praxis ohne Weiteres umsetzbar sein. Man spricht auf von einer sog. “self-executing-Norm”, d.h. auch ohne nationalen Umsetzungsakt kann der Normgehalt bestimmt werden. Wichtige weitere Voraussetzung der unmittelbaren Anwendung ist jedoch: Richtlinienvorgaben gelten niemals zuungsten von Privaten. Pflichten können erst durch die Umsetzung durch nationales Recht auferlegt werden.
Das bedeutet ganz praktisch, dass die Antwort lautet: Kommt drauf an. Unternehmen können sich noch etwas zurücklehnen, wenngleich es natürlich zu empfehlen ist, sich die Vorgaben bereits jetzt anzusehen und eine Umsetzung vorauszudenken. Denn in irgendeiner Form wird die Umsetzung ja kommen. Anders liegt es für den öffentlichen Sektor: also Behörden (auch Kommunen!) und öffentliche Unternehmen. Hier greift die Unmittelbarkeit bereits jetzt, so dass man sich genau ansehen muss, welche Vorgaben hinreichend bestimmt sind.
Art. 9 WB-RL verpflichtet zur Einrichtung eines internen Hinweisgebersystems. Diese Vorgaben sind hinreichend bestimmt, so dass auf jeden Fall ein internes Meldesystem implementiert werden sollte - bestenfalls bereits implementiert ist. Das externe Hinweisgebersystem in Art. 11 WB-RL lässt dagegen einen gewissen Umsetzungsspielraum des deutschen Gesetzgebers und ist nicht unmittelbar anwendbar.
Vielen Dank für Ihre Ausführungen.
Ich hoffe aber mal, dass trotz der unklaren Rechtslage, hier in der Community noch weitere Meinungen und Umsetzungsbeispiele vorliegen.
Kritisch ist es derzeit für Behörden. Solange der Bundesgesetzgeber nichts regelt, gilt für sie seit 17.12.2021 die EU-Richtlinie unmittelbar.
Sie sieht vor: dass ein nicht unbedingt anonymer, sicherer Meldeweg für Leute im Beschäftigungsverhältnis einschließlich Bewerber und Ehemalige eingerichtet wird, der gewährleistet, dass die Hinweisgeber keinerlei Nachteile erleiden und niemand Unbefugtes von den Hinweisen erfährt.
D.h.
Die Sache ist mitbestimmungspflichtig.
Eine DSFA ist erforderlich.
Das Verfahren muss ins VVT.
Die TOMs müssen stimmen, d.h. technische Zugangs und Zugriffsbegrenzung und praktische Beschränkung des Zugangs auf wenige Personen, am besten in der Compliance oder Innenrevision, die zu besonderer Verschwiegenheit verpflichtet werden.