Die Zähne der EU-Whistleblower-Richtlinie stecken in Artikel 23. Meldekanäle, Fristen, der Katalog der geschützten Meldepersonen - alles hängt letztlich davon ab, ob jemand tatsächlich Schaden erleidet, weil die Regeln gebrochen wurden. Die meiste öffentliche Diskussion über Richtlinie 2019/1937 konzentriert sich noch immer auf die betrieblichen Verpflichtungen und überspringt das Bußgeldregime, welches der Teil ist, der Arbeitgeber interessieren sollte, weil es entscheidet, wer bezahlt, wie viel, und ob der Manager, der Vergeltung übt, persönlich auf dem Prüfstand landet, anstatt das Unternehmen.
Justitia am Antwerpener Rathaus
© belgianchocolate (CC BY 2.0)
Was Artikel 23 tatsächlich ahndet
Die Richtlinie ist ungewöhnlich konkret darüber, was ein ahndungsfähiger Akt ist. Sie nennt vier Kategorien auf der Arbeitgeberseite und eine auf der Meldepersonenseite. Der Text ist kurz genug, um vollständig gelesen zu werden:
„Die Mitgliedstaaten sehen wirksame, angemessene und abschreckende Sanktionen vor, die auf natürliche oder juristische Personen anwendbar sind, die: (a) die Meldung behindern oder zu behindern versuchen; (b) sich gegen Personen, auf die sich Artikel 4 bezieht, vergeltend auswirken; (c) gegen Personen, auf die sich Artikel 4 bezieht, Vexationsverfahren einleiten; (d) gegen die Pflicht verstoßen, die Identität von Meldepersonen vertraulich zu behandeln, wie in Artikel 16 vorgegeben."
Artikel 23 Absatz 1, Richtlinie (EU) 2019/1937
Absatz 2 schließt die Schleife in der anderen Richtung. Eine Person, die vorsätzlich falsche Informationen meldet oder öffentlich macht, muss sich auch einer wirksamen und abschreckenden Strafe stellen, plus einer Möglichkeit für die fälschlicherweise Beschuldigten, Schadensersatz zu fordern. Die vier Teile von Absatz 1 decken die Masse des alltäglichen Risikos für einen Arbeitgeber ab. Behinderung ist breiter als einfaches Blockieren. Sie umfasst Druck, manipulierte Verfahren, fabrizierte Arbeitslast und alles andere, das eine Meldung wesentlich schwerer macht. Vergeltung reicht nicht nur die Meldeperson, sondern auch Unterstützer, Kollegen und Angehörige. Vexationsverfahren deckt SLAPP-ähnliche Verleumdungsklagen und belästigende Arbeitsgerichtsfälle gegen die Meldeperson. Verstoß gegen Vertraulichkeit gilt auch für eine einzige nachlässige Offenlegung, wer die Meldung eingereicht hat. Der vollständige Text ist auf EUR-Lex verfügbar.
Die Richtlinie verlangt auch, dass die Beweislast bei Vergeltungsfällen umgekehrt wird. Sobald die Meldeperson einen prima-facie-Zusammenhang zwischen der Meldung und einem Nachteil zeigt, muss der Arbeitgeber beweisen, dass die Maßnahme ohnehin stattgefunden hätte. Die nationalen Umsetzungen variieren in den verfahrensrechtlichen Details, aber die zugrunde liegende Mechanik ist eindeutig und die Kommission hat die Einhaltung bei diesem speziellen Punkt hart verfolgt. Der praktische Effekt besteht darin, dass ein Arbeitsgerichtsfall über eine „leistungsgestützte" Entlassung, die zwei Monate nach einer Meldung erfolgt, zum Fall des Arbeitgebers wird, nicht zum Fall der Meldeperson.
„Wirksam, angemessen und abschreckend" leistet echte Arbeit
Die Drei-Adjektiv-Formel in Artikel 23 ist keine Vorlage. Jedes Wort ist ein eigener Compliance-Test, und der Gerichtshof hat nationale Umsetzungen zurückgewiesen, die ein Wort in anderen Richtlinien nicht erfüllen. Wirksam bedeutet, dass die Strafe tatsächlich angewendet werden muss, nicht nur auf dem Papier existieren. Angemessen bedeutet, dass sie mit der Schwere des Verhaltens skalieren muss, so dass eine pauschale Geldbuße für eine Unternehmens-Vergeltungskampagne nicht ausreicht. Abschreckend bedeutet, dass ein rationaler Arbeitgeber die Einhaltung den erwarteten Kosten der Strafe vorziehen muss. Die Richtlinie ist explizit darüber, warum dies wichtig ist:
„Wenn Vergeltung ungehindert und ungestraft erfolgt, hat sie eine lähmende Wirkung auf potenzielle Meldepersonen. Ein klares Rechtsverbot der Vergeltung hätte eine wichtige abschreckende Wirkung, und würde durch Bestimmungen zur persönlichen Haftung und Strafen für die Perpetratoren der Vergeltung weiter gestärkt."
Begründung 88, Richtlinie (EU) 2019/1937
Die Begründung ist der Grund, warum die meisten nationalen Umsetzungen persönliche Haftung für Einzelpersonen erreichen, nicht nur administrative Geldstrafen gegen das Unternehmen. Ein Unternehmen kann eine Geldbuße absorbieren. Ein Manager, der sich vergeltend verhält und sich persönlich in einem Strafverfahren wiedererkennt, steht vor einer ganz anderen Berechnung. ISO 37002:2021, der internationale Leitfaden für Whistleblower-Managementsysteme, stützt sich auf die gleiche Logik. Seine drei Grundsätze von Vertrauen, Unparteilichkeit und Schutz funktionieren nur, wenn die Konsequenzen des Verstoßes innerhalb der Organisation sichtbar sind. Die veröffentlichte Version befindet sich auf der ISO-Website.
Bußgeldregime der Mitgliedstaaten sind uneinheitlich
Die Richtlinie setzt das Minimum und lässt jeden Mitgliedstaat die Architektur wählen, was zu sehr uneinheitlichen Ergebnissen geführt hat. Deutschlands HinSchG, seit Juli 2023 in Kraft, begrenzt administrative Geldstrafen auf EUR 50.000 für die schlimmsten Verhaltenskategorien, Versäumnis, einen Meldekanal einzurichten, Vergeltung und Verstoß gegen Vertraulichkeit. Die Geldbuße bezieht sich auf juristische Personen und auf verantwortliche Einzelpersonen, nicht auf die Meldeperson.
Frankreich ging weiter. Sapin II, wie nach der Umsetzung 2022 geändert, macht die Behinderung einer Meldung zu einer Straftat, die mit zwei Jahren Freiheitsstrafe und einer Geldbuße von EUR 30.000 geahndet wird. Die Offenlegung der Identität einer Meldeperson ohne Zustimmung unterliegt denselben Strafstrafen. Eine separate Bestimmung sieht eine einjährige Freiheitsstrafe und eine EUR 15.000 Geldbuße für jede Person vor, die die Übermittlung einer Warnung „in irgendeiner Weise" behindert. Auf der Unternehmensseite können Unternehmen, die die Sapin-II-Compliance-Verpflichtungen nicht erfüllen, Geldstrafen von bis zu EUR 10 Millionen riskieren.
Italien sitzt in der Mitte. Die Verwaltungsstrafspanne für Vergeltung, Behinderung, Verstoß gegen Vertraulichkeit oder Versäumnis, Kanäle einzurichten, beträgt EUR 10.000 bis EUR 50.000 und wird von ANAC durchgesetzt. Der italienische Regulator koordinierte auch seine Whistleblower-Richtlinien von 2025 mit der Datenschutzbehörde Garante, was bedeutet, dass ein einziger fehlbehandelter Bericht parallele Verfahren auf Whistleblower-Gründen und auf DSGVO-Gründen auslösen kann. Luxemburg liegt am unteren Ende und führt eine EUR 1.500 bis EUR 25.000 Spanne für Vergeltungsmaßnahmen und missbräuchliche Verfahren gegen Meldepersonen. Ein Land-für-Land-Überblick der Regime der Mitgliedstaaten zeigt, wie inkonsistent die Böden tatsächlich sind, und der Abstand zwischen den billigsten und teuersten Jurisdiktionen ist groß genug, dass multinationale Arbeitgeber die Frage jetzt als bewusste Betriebskostenentscheidung behandeln, anstatt als verfahrensrechtliche Fußnote.
Das Urteil der Kommission 2024: zu schwach zur Abschreckung
Die Europäische Kommission veröffentlichte ihren Konformitätsbericht zur Richtlinie im Juli 2024. Die Erkenntnisse zu Strafen waren eindeutig:
„Mehrere Mitgliedstaaten: (i) definierten das sanktionierte Verhalten in vagen Begriffen, z. B. durch die Ahndung von Verstößen oder Missbräuchen der nationalen Umsetzungsgesetze allgemein; oder (ii) führten Strafen ein, die zu gering erscheinen, um als abschreckend zu gelten."
Bericht der Kommission an das Europäische Parlament und den Rat, COM(2024) 269 final
Der Bericht kennzeichnete drei spezifische Ausfallmuster. Strafen für „Versuche" der Behinderung der Meldung fehlten manchmal oder wurden durch erschöpfende Listen eingeengt. Vergeltungsstrafen erreichten manchmal nur die Meldeperson und nicht Unterstützer oder Angehörige. Und Strafbestimmungen für Vexationsverfahren wurden manchmal ohne spezifische Querverweise auf Durchsetzungsgesetze durchgeführt. Die Kommission verpflichtete sich, die Überwachung fortzusetzen und Verletzungsverfahren einzuleiten, wenn die Umsetzung nicht korrigiert wird.
Wenn Mitgliedstaaten nicht umsetzen, kommt die Rechnung aus Luxemburg
Mitgliedstaaten, die die Richtlinie überhaupt nicht umsetzen, zahlen, bevor ihre Arbeitgeber es tun. Am 6. März 2025 verhängte der Gerichtshof Geldstrafen gegen fünf Staaten für die Unterlassung, die Richtlinie rechtzeitig in nationales Recht umzusetzen. Deutschland wurde mit einer EUR 34-Millionen-Pauschalgebühr getroffen, die Tschechische Republik mit EUR 2,3 Millionen, Ungarn mit EUR 1,75 Millionen, Luxemburg mit EUR 375.000 und Estland mit einer EUR 500.000 Pauschalgebühr plus einer EUR 1.500 Tagesstrafe für anhaltende Nichterfüllung.
Polen durchlief bereits dasselbe Verfahren am 25. April 2024, angewiesen zu zahlen eine EUR 7-Millionen-Pauschalgebühr plus EUR 40.000 pro Tag bis zur Umsetzung. Der Gerichtshof wies Polens Argument zurück, dass die COVID-19-Störung und der Zustrom von Flüchtlingen aus der Ukraine die Verzögerung rechtfertigten. Die Regel besagt, dass inländische politische Umstände eine versäumte Umsetzungsfrist nicht entschuldigen können. Die eucrim-Zusammenfassung der März-2025-Urteile führt durch jeden Fall.
Der Gerichtshof der Europäischen Union in Luxemburg
© Cédric Puisney (CC BY 2.0)
Was das für einen Arbeitgeber in der Praxis bedeutet
Ein interner Compliance-Audit, das nur überprüft, ob das Unternehmen „einen Meldekanal hat", ist nicht mehr ausreichend. Das Audit muss testen, ob der Kanal unparteiisch ist, ob die Vertraulichkeit in Betrieb hält und ob das Verfahren Mitarbeiter bestraft, die es brechen. Die Erkenntnisse der Kommission zu vager Umsetzung bedeuten, dass mehrere nationale Gesetze in der nächsten Runde verschärft werden, und die Audit-Baseline bewegt sich mit ihnen.
Die persönliche-Haftungsschicht ändert auch, wer das Risiko tatsächlich trägt. Ein Linienmanager, der sich gegen eine Meldeperson vergeltend verhält, ein HR-Direktor, der den Namen der Meldeperson mit dem genannten Subjekt teilt, ein Vorstandsmitglied, das eine Untersuchung blockiert, ist nun jedem nationalen Straf- oder Verwaltungsverfahren in seinem eigenen Namen ausgesetzt. Versicherung deckt Strafrechtliche Haftung nicht ab, und Unternehmenshaftung erstreckt sich nicht auf bösgläubiges Verhalten. Was eine Organisation mit einem Bericht macht, ist jetzt eine persönliche Risikofrage für die beteiligten Personen.
Der Fall, dass die Aufnahme an einen externen Betreiber übergeben wird, wird stärker, je höher ein Mitgliedstaat seine Bußgeldgrenze setzt. Artikel 8 erlaubt die Vereinbarung ausdrücklich, ISO 37002 befürwortet externe Ermittler in umstrittenen Fällen, und die Audit-Position ist sauberer, weil die Verpflichtungen des Betreibers in einen Vertrag geschrieben sind, anstatt aus internen Verfahren hergeleitet zu werden. Es gibt mehrere Gründe, in dedizierte Whistleblower-Software zu investieren, und das Bußgeldregime ist einer davon.
Holzrichterhammer und Gerichtsprotokolle
© Jonathunder (CC BY-SA 4.0)
Das billigste Bußgeldregime zu betreiben ist eines, das ein Unternehmen nie auslöst. Das Whistleblowing-System unterstützt seine Kunden bei der Implementierung der Plattform und bei der Behandlung von Berichten durch die Zusammenarbeit mit Spezialisten von SPG Legal Sawicki i Wspólnicy sp.k.
