Folgen der Nichtumsetzung von Whistleblowing-Richtlinien

Die Whistleblower-Richtlinie hat ihre Umsetzungsfristen lange überschritten. Unternehmen mit mindestens 50 Arbeitnehmerinnen und Arbeitnehmern mussten bis 17. Dezember 2023 rechtskonform werden. Finanzunternehmen, Behörden und börsennotierte Unternehmen waren bereits zwei Jahre zuvor im Geltungsbereich. Zwei Sanktionsregime laufen nun parallel ab. Der Gerichtshof der Europäischen Union verhängt Geldstrafen gegen Mitgliedstaaten, die ihre Umsetzungsverpflichtungen zu lange hinausgezögert haben. Nationale Staatsanwälte und Arbeitsgerichte setzen durch, welche strafrechtlichen, verwaltungsrechtlichen und zivilrechtlichen Sanktionen die daraus resultierenden Gesetze tatsächlich vorsehen - gegen natürliche Personen und Organisationen gleichermaßen.

Fünf Mitgliedstaaten haben bereits für ihre Verspätung bezahlt

Am 6. März 2025 urteilte der Gerichtshof der Europäischen Union gegen fünf Mitgliedstaaten, die zu lange gebraucht hatten oder in einigen Fällen noch gar nicht begonnen hatten, die Richtlinie 2019/1937 umzusetzen. Deutschland erhielt eine pauschale Geldstrafe von 34 Millionen Euro. Die Tschechische Republik wurde mit 2,3 Millionen Euro belegt, Ungarn mit 1,75 Millionen Euro, Luxemburg mit 375.000 Euro. Estland schuldet 500.000 Euro zuzüglich eines laufenden Tagesgeldes von 1.500 Euro, das so lange läuft, bis das Land sich rechtskonform erklärt.

Dies sind Sanktionen gegen nationale Haushalte, die von Steuerzahlern bezahlt werden und vom gleichen Gerichtshof angeordnet wurden, der die Unterlassungsklagen der Europäischen Kommission verhandelt hat. Die Rechnung kam zustande, weil die betroffenen Staaten entweder versäumt hatten, die Kommission über Umsetzungsmaßnahmen zu unterrichten, diese zu spät unterrichtet hatten oder dies unvollständig getan hatten. In der gesamten EU wird der Abstand zwischen Frist und vollständiger Einhaltung immer noch in Monaten gemessen, und die Kommission hat signalisiert, dass sie beabsichtigt, verspätete Umsetzungen weiterhin zu überwachen, bis alle Mitgliedstaaten auf dem Stand sind.

Liest man die Urteile zusammen, lässt sich ein Grundsatz nur schwer übersehen.

„Ein Mitgliedstaat kann sich nicht auf Bestimmungen, Gepflogenheiten oder Situationen in seiner innerstaatlichen Rechtsordnung berufen, um die Verletzung der sich aus dem Unionsrecht ergebenden Verpflichtungen zu rechtfertigen."
Gerichtshof der Europäischen Union, 6. März 2025

Sanktionen treffen benannte Personen, nicht „das Unternehmen"

Die nationalen Umsetzungen unterscheiden sich in den Details, aber das Gestaltungsmuster wiederholt sich in den meisten Teilen der EU. Vergeltung gegen einen Melder wird als strafrechtliche Straftat natürlicher Personen behandelt, nicht der juristischen Person. Die Offenlegung der Identität eines Whistleblowers ist eine separate Straftat. Die Einreichung eines wissentlich falschen Berichts zieht ein eigenes Strafverfahren nach sich, nach dem Grundsatz, dass der Schutz, der sachlich gehandelnden Meldern gewährt wird, durch Sanktionen gegen nicht sachlich handelnde ausgeglichen sein muss.

Die Nichteinrichtung eines internen Meldekanals liegt auf einem anderen Gleis. In den meisten Rechtsprechungen ist dies verwaltungsrechtlich oder quasi-verwaltungsrechtlich, mit Geldstrafen gegen die verantwortlichen Personen anstelle der Organisation. Die Sprache der Richtlinie spricht von natürlichen Personen, die für die Verletzung verantwortlich sind, und die Mitgliedstaaten haben sich dieser Formulierung weitgehend angeschlossen. Das Ergebnis ist, dass Compliance-Beauftrage, Leiterinnen und Leiter von Personalwesen und benannte Vorstandsmitglieder als Angeklagte in Erscheinung treten. Das Unternehmen selbst ist nicht der Angeklagte.

Umkehrung der Beweislast ändert das Spielfeld

Die Klausel, auf die Compliance-Berater am meisten achten, ist in das Durchsetzungskapitel der Richtlinie vergraben. Sobald ein Melder zeigt, dass er nach der Abgabe eines Berichts Nachteile erlitten hat, vermutet die Richtlinie, dass es sich um Vergeltung handelt. Der Arbeitgeber muss dann beweisen, dass die Maßnahme ohnehin stattgefunden hätte. Diese Umkehrung gilt für Entlassungen, Degradierungen, Leistungsbeurteilungen, vorenthaltene Weiterbildung, blockierte Beförderungen und jegliche nachteilige Behandlung im Zusammenhang mit dem Bericht.

Kombiniert man das mit dem breiten persönlichen Geltungsbereich der Richtlinie, wird die Beweislast schwerer. Der Schutz erstreckt sich auf Arbeitnehmer, Auftragnehmer, Lieferanten, Kandidaten, die wegen eines früheren Berichts abgelehnt wurden, ehemalige Arbeitnehmer, Freiwillige und Auszubildende. Eine Verteidigung, dass „wir nie einen Vertrag mit dieser Person hatten", hält sich selten gegen die eigenen Definitionen der Richtlinie.

Die Europäische Kommission prägt den Standard deutlich aus.

„Die Richtlinie ermöglicht es Personen, die in öffentlichen oder privaten Organisationen tätig sind oder mit ihnen zusammenarbeiten, Verstöße gegen Unionsrecht vertraulich zu melden, ohne Vergeltung befürchten zu müssen."
Europäische Kommission, Schutz für Whistleblower

Ein Ordner im Regal zählt nicht

Einige Mitgliedstaaten sind über das Minimum der Richtlinie hinausgegangen. Ihre Gesetze sanktionieren nicht nur das Fehlen eines internen Kanals, sondern auch einen, der gegen wesentliche gesetzliche Anforderungen verstößt. Ein ungelesener Eingangsbereich, den niemand überwacht. Ein Webformular, das Beschwerden an den Manager zurückleitet, der gemeldet wird. Ein Verfahren, das einmal bei der Einstellung verteilt und danach nie wieder erwähnt wird. Jedes dieser Szenarien kann auf der falschen Seite der Grenzlinie liegen.

Der praktische Effekt ist, dass die Bereitstellung eines Systems nicht mehr dort endet, wo die Arbeit aufhört. Prüfer erwarten, dass sie Zugriffsprotokolle, Reaktionszeitpläne, Vergeltungserfassung und eine saubere Trennung zwischen dem gemeldeten Manager und dem Kanal, der den Bericht überprüft, sehen. Die Implementierung des Kanals selbst ist der einfache Teil. Die Aufrechterhaltung der Brauchbarkeit, Vertraulichkeit und sichtbaren Aktivität ist das, was außerhalb der Verfolgungsspalte bleibt.

Die Richtlinie, die nationalen Umsetzungen und die Fälle, die jetzt nationale Gerichte und Arbeitsgerichte erreichen, deuten alle auf die gleiche Risikosituation hin. Die Höchststrafen unterscheiden sich je nach Rechtsordnung, aber die Adressaten sind gleich: der Direktor, der das Verfahren unterzeichnet hat, der Manager, der aufgrund eines Berichts tätig wurde, der Personalleiter, der die Akte verwaltet hat. Einige Gesetze beziehen Lieferanten und Auftragnehmer in den gleichen Rahmen ein.

Die Richtlinie hat sich eine Präzedenzsammlung hinzugesellt, um mit ihrem Regelwerk zu gehen: EUGH-Urteile gegen Mitgliedstaaten, strafrechtliche Verurteilungen gegen einzelne Manager, zivilrechtliche Schadensersatzanordnungen gegen Arbeitgeber. Für Organisationen in ihrem Geltungsbereich ist die Frage, was passiert, wenn sie das ignorieren, eine öffentliche dokumentierte Antwort.