EU-Whistleblower-Richtlinie

Die Europäische Union hat ihr erstes Hinweisgeberschutzsystem auf Blockebene mit der Richtlinie (EU) 2019/1937 des Europäischen Parlaments und des Rates zum Schutz von Personen, die Verstöße gegen Unionsrecht melden, abgeschlossen. Bis zum Ende 2024 hatten alle 27 Mitgliedstaaten die Richtlinie in nationale Rechtsvorschriften umgesetzt, aber die meisten kamen Jahre zu spät an, einige nur nach Geldstrafen durch den Gerichtshof, und die Europäische Kommission hat nun eine Überprüfung der Richtlinie selbst eingeleitet, die bis Q4 2026 andauern wird. Den Stand der Umsetzung Land für Land verfolgen wir in einer separaten Übersicht der nationalen Hinweisgebergesetze in Europa. Jedes Unternehmen mit mindestens 50 Mitarbeitern ist heute gesetzlich verpflichtet, ein internes Meldeverfahren für Hinweisgeber einzurichten.

Das Berlaymont in Brüssel, Sitz der Europäischen Kommission, der Institution, die die Richtlinie verfasst hat und nun ihre Umsetzung überwacht
© Matthias v.d. Elbe (CC BY-SA 3.0)

Wer muss einen internen Meldekanal betreiben

Die Richtlinie identifiziert drei Gruppen von Organisationen, die verpflichtet sind, vertrauliche interne Meldekanäle und Verfahren einzurichten. Behörden des öffentlichen Sektors sind unabhängig von ihrer Größe erfasst, mit einer engen Ausnahmeregelung, die es Mitgliedstaaten ermöglicht, Gemeinden mit weniger als 10.000 Einwohnern auszunehmen. Privatwirtschaftliche Unternehmen mit 50 oder mehr Mitarbeitern sind unabhängig von ihrer Tätigkeit erfasst. Kleinere Privatunternehmen (unter 50 Mitarbeitern) sind einbezogen, wenn sie in geregelten Branchen tätig sind, in denen die Kosten von Fehlverhalten strukturell höher sind: Finanzdienstleistungen, Geldwäschebekämpfung, Verkehrssicherheit, Umweltschutz und jedes Unternehmen, das in größerem Umfang um öffentliche Aufträge konkurriert.

Die Schwelle von 50 Mitarbeitern ist die Untergrenze der Richtlinie, nicht ihre Obergrenze. Jeder Mitgliedstaat konnte bei der Umsetzung weiter gehen, und mehrere taten das auch. Das polnische Umsetzungsgesetz gilt für einen breiteren Katalog von Verstößen als die eigene Liste der Richtlinie, einschließlich innerer Korruption und bestimmter Verstöße gegen Grundrechte. Frankreichs Sapin-II-Rahmen, geändert zur Angleichung an die Richtlinie, behielt strengere Regeln gegen Vergeltungsmaßnahmen, die Unternehmen unterhalb der EU-Schwelle erreichen. Jeder, der den Text der Richtlinie liest und davon ausgeht, dass dieser Text in jedem Mitgliedstaat geltende Rechtsvorschriften ist, wird etwas falsch verstehen.

Probieren Sie das Whistleblowing-System kostenlos

Die Frist, die niemand einhielt

Die Richtlinie setzte eine Umsetzungsfrist von 17. Dezember 2021 für den öffentlichen Sektor und privatwirtschaftliche Unternehmen mit 250 oder mehr Mitarbeitern fest. Eine gestaffelte zweite Frist von 17. Dezember 2023 galt für privatwirtschaftliche Unternehmen mit 50 bis 249 Mitarbeitern. Die erste Frist kam und nur drei Staaten (Dänemark, Schweden und Portugal) hatten Umsetzungsgesetze verabschiedet. Die meisten der anderen 24 verfehlten es. Mitte 2023 hatte die Europäische Kommission gegen acht Staaten Verletzungsverfahren eingeleitet, und bis Ende 2024 hatte sie schließlich alle 27 über die Linie gebracht. Die Spätzügler brauchten durchschnittlich zweieinhalb Jahre mehr, um das zu tun, was sie sich zu Weihnachten 2021 verpflichtet hatten.

Das Hemicycle des Europäischen Parlaments in Straßburg, wo die Richtlinie mit dem Rat im Oktober 2019 mitverabschiedet wurde
© jeffowenphotos (CC BY 2.0)

Polen ist der kanonische Spätzügler-Fall. Das polnische Parlament verabschiedete das Gesetz zum Schutz von Hinweisgebern am 14. Juni 2024; das Gesetz trat am 25. September 2024 in Kraft, fast drei Jahre nach der ursprünglichen Frist von 2021. Die öffentlichen Stellen erhielten eine zusätzliche Karenzzeit bis 25. Dezember 2024, um die externen Meldekanäle einzurichten, die sie bereits zu Weihnachten 2021 betreiben sollten. Polnische Unternehmen, die während des Wartens einen richtlinienkonformen Kanal aufgebaut hatten, mussten ihn dann gegen den tatsächlichen nationalen Text überprüfen, der (wie in vielen Mitgliedstaaten) den Katalog der meldepflichtigen Verstöße über die eigene Liste der Richtlinie hinaus verbreiterte.

Überprüfung der Konformität der Kommission 2024

Am 3. Juli 2024 veröffentlichte die Europäische Kommission ihren gesetzlichen Konformitätsbericht zur Richtlinie, COM(2024) 269 endgültig. Alle 27 Staaten hatten umgesetzt, als der Bericht fertiggestellt wurde, und die wichtigste Erkenntnis war, dass alle von ihnen die Hauptbestimmungen der Richtlinie umgesetzt hatten. Der Text des Berichts ist jedoch nüchterner: Nichtkonformitätsprobleme wurden in etwa der Hälfte der Mitgliedstaaten identifiziert, konzentriert auf vier Bereiche.

Eine Besorgnis ist der sachliche Geltungsbereich, das heißt der Katalog dessen, was als meldepflichtige Verletzung gilt. Mehrere Staaten setzten die Liste der Richtlinie eng um und ließen Kategorien aus, die die Richtlinie abdecken sollte. Ein zweites ist die Schutzvoraussetzungen, die Regeln, die entscheiden, wann ein Reporter überhaupt als Hinweisgeber gilt. Einige nationale Gesetze setzen die Latte höher als die Richtlinie, zum Beispiel durch Hinzufügung eines öffentlichen Interesses-Tests auf der Grundlage begründeten Verdachts, was es schwieriger macht, sich zu qualifizieren und leichter, marginale Berichte auszuschließen.

Ein dritter Grund zur Sorge sind Schutzmaßnahmen gegen Vergeltungsmaßnahmen. Die Vermutung von Vergeltungsmaßnahmen in der Richtlinie ist ein Beweismittel, das die Last auf den Arbeitgeber verlagert, wenn ein Hinweisgeber kurz nach der Meldung entlassen wird; in einigen Umsetzungen wurde sie verwässert oder ganz weggelassen. Schließlich weist der Bericht auf Sanktionen hin: Einige nationale Strafrahmen fallen unter der Benchmark „wirksam, verhältnismäßig und abschreckend" der Richtlinie, mit Höchststrafen, die auf der Bilanz eines mittelständischen Unternehmens eher symbolisch als abschreckend aussehen.

Der Bericht nennt und beschämt nicht Staat für Staat. Er kennzeichnet, welche Bestimmungen Bedenken aufwerfen, und signalisiert, dass Verletzungsverfahren auf dem Tisch bleiben. Die Kommission hat klargemacht, dass sie beabsichtigt, sie weiterhin einzusetzen.

März 2025: Der Gerichtshof verhängt Geldstrafen gegen fünf Staaten in Höhe von 38 Millionen Euro

Am 6. März 2025 entschied der Gerichtshof der Europäischen Union in einer Reihe verbundener Verfahren (C-147/23 und C-149/23 bis C-155/23), dass fünf Mitgliedstaaten ihren Verpflichtungen gemäß der Richtlinie nicht nachgekommen waren. Der Gerichtshof lehnte jede Verteidigung ab und verhängte Geldstrafen in Höhe von insgesamt mehr als 38 Millionen Euro. Deutschland wurde mit einer Geldstrafe von 34 Millionen Euro belegt, bei weitem die höchste. Die Tschechische Republik erhielt eine Pauschalgeldstrafe von 2,3 Millionen Euro, Ungarn 1,75 Millionen, Luxemburg 375.000. Estland, wo die Umsetzung am Tag des Urteils noch unvollständig war, erhielt eine Pauschalgeldstrafe von 500.000 Euro plus eine Tagesgeldstrafe von 1.500 Euro, die bis zur Bescheinigung der vollständigen Einhaltung durch die Kommission weiterläuft.

Kirchberg in Luxemburg, Sitz des Gerichtshofs der Europäischen Union. Am 6. März 2025 verhängte der Gerichtshof Geldstrafen gegen fünf Mitgliedstaaten wegen verspäteter Umsetzung der Richtlinie
© Cayambe (CC BY-SA 4.0)

Die Urteile belegen, jenseits der Schlagzeilenzahlen, dass die Umsetzungsfristen der Richtlinie mit Geldstrafen durchzusetzen sind. Die eigene Seite zum Schutz von Hinweisgebern der Kommission listet nun die Urteile neben einer Zusammenfassung der Richtlinie auf, ein stilles Signal, dass die Institution beabsichtigt, sie als Präzedenzfall zu nutzen. Eine zweite Welle von Verletzungsverfahren, diesmal auf Nichtkonformität statt Nichtumset zung abzielend, wird seit dem Bericht von 2024 offen erwogen.

Was das Gesetz tatsächlich in Unternehmen verlangt

Die Compliance-Verpflichtungen der Richtlinie für einen abgedeckten Arbeitgeber fallen in vier Kategorien, und ein nationales Umsetzungsgesetz kann keine von ihnen verwässern, sondern nur zu ihnen hinzufügen. Die wichtigste Verpflichtung ist ein sicherer und vertraulicher Meldekanal: ein interner Weg, durch den ein Arbeitnehmer einen Verstoß melden kann, ohne dass seine Identität über die zur Bearbeitung der Meldung bestimmten Personen hinaus bekannt wird. Die Richtlinie ist technologieneutral; sie schreibt kein bestimmtes Tool vor, aber der Kanal muss schriftliche und mündliche Meldungen akzeptieren, muss den Eingang innerhalb von sieben Tagen bestätigen und muss eine sachliche Folgeantwort innerhalb von drei Monaten liefern.

Neben dem Kanal kommt Schutz vor Vergeltungsmaßnahmen. Entlassung, Herabstufung, Vorenthalt von Schulung, Versetzung von Aufgaben, Änderung der Arbeitszeiten, Vorenthalt von Referenzen, Disziplinarmaßnahmen und alle anderen negativen Folgen der Meldung sind verboten. Die Richtlinie begründet eine Vermutung von Vergeltungsmaßnahmen: Wenn eine nachteilige Maßnahme gegen einen Arbeitnehmer nach der Meldung ergriffen wird, trägt der Arbeitgeber die Last zu zeigen, dass die Maßnahme nichts mit der Meldung zu tun hatte. Vertragliche Verzichte auf das Melderecht (die Art, die manchmal in NDAs oder Vergleichsabsprachen eingebettet sind) sind nicht durchsetzbar.

Dann gibt es Aufzeichnungs- und Nachverfolgungspflichten. Der Empfänger einer Meldung muss diese aufzeichnen, bewerten, wo angemessen Maßnahmen ergreifen und den Melder bei der Dreimonats-Marke über das Ergebnis informieren. Die Aufbewahrungsregeln sind durch DSGVO-Datenminimierprinzipien begrenzt, so dass Aufzeichnungen nicht unbegrenzt aufbewahrt werden können. Die vierte Verpflichtung ist Zugang zu externen Kanälen, typischerweise eine vom Umsetzungsgesetz bestimmte nationale Behörde, die der Arbeitnehmer direkt nutzen kann, ohne zunächst den internen Weg zu gehen, ohne Schutzgefährdung.

In der Praxis: Eine generische E-Mail-Adresse, die an ein HR-Postfach eines Unternehmens geleitet wird, ist kein richtlinienkonformer Kanal. Auch nicht eine Telefonleitung, die niemand vertraglich überwachen muss. Ein konformes Set-up erfordert bestimmte Handler, dokumentierte Verfahren, Aufbewahrungsregeln und einen klaren Eskalationspfad, bemannt von einem internen Team, einem Outsourcing-Anbieter oder einem Datenschutzbeauftragten mit der Kapazität, die Arbeit tatsächlich auszuführen.

Die Evaluierung 2026 und was sich ändern könnte

Artikel 27(3) der Richtlinie selbst verlangte von der Europäischen Kommission, bis 17. Dezember 2025 über die Funktionsweise der Richtlinie und über die Frage, ob ihr Geltungsbereich ausgeweitet werden sollte, an Parlament und Rat zu berichten. Im Rahmen dieser Arbeit eröffnete die Kommission eine öffentliche Konsultation „Sagen Sie uns Ihre Meinung", die vom 25. August bis 18. September 2025 lief und in einen umfassenderen Aktionsplan zum Schutz von Hinweisgebern floss, dessen vollständige Evaluierung bis Q4 2026 vorgesehen ist.

Eine Position, die sich in den Stellungnahmen der Konsultation abzeichnet, wird von Beobachtern der Zivilgesellschaft wie dem European Whistleblowing Institute artikuliert: Der Text der Richtlinie ist sicher und die Ausfälle liegen in der Umsetzung. Der Exekutivdirektor des Instituts, Vigjilenca Abazi, hat festgestellt, dass einige der sehr Institutionen, die mit dem Schutz beauftragt sind, mit politischen Eingriffen konfrontiert waren, die ihre Glaubwürdigkeit untergraben, und hat sich für unabhängige nationale Behörden ausgesprochen, die Befugnis haben, zu überwachen, zu sanktionieren und durchzusetzen. Nach dieser Lesart ist die Antwort, stärker auf Konformität zu drängen, statt einen hart umkämpften Text wieder zu öffnen.

Die andere Argumentationslinie antizipiert Druck aus der entgegengesetzten Richtung. Kommentatoren der Zivilgesellschaft haben das Risiko gekennzeichnet, dass Geschäftsakteure die Evaluierung in Richtung schwächerer Schutzvorschriften drängen: Erhöhung der Schwelle für den internen Kanal von 50 auf 250 Mitarbeiter, Verengung des Geltungsbereichs der Verstöße, die Schutz auslösen, alles im Rahmen der „Vereinfachung". Nichts davon ist noch ein Kommissionsvorschlag. Aber für jedes Unternehmen, das einen konformen Kanal unter dem aktuellen Text aufgebaut hat, zählt die Möglichkeit: Ein 60-Personen-Unternehmen, das heute einen internen Kanal betreiben muss, könnte nach einem anderen Entwurf der Richtlinie befreit sein, und der politische Kampf wird sich neben der Evaluierung selbst abspielen.

Flaggen der Mitgliedstaaten vor dem Europäischen Parlament in Brüssel. Bis Ende 2024 hatten alle 27 die Richtlinie in sehr unterschiedliche nationale Texte umgesetzt
© Marek Ślusarczyk (CC BY 3.0)

Das Umsetzungsgesetz, das tatsächlich Ihre Organisation bindet, ist der nationale Rechtsakt in Ihrem Land, und er unterscheidet sich fast sicher davon, was die Zusammenfassung der Richtlinie in Schlagzeilen beschreibt. Wenn Sie noch kein richtlinienkonformes Hinweisgebersystem eingeführt haben, sollten die Geldstrafen vom März 2025 als unmissverständliches Signal ankommen, dass die Durchsetzung real ist und dass „Wir arbeiten noch daran" keine verteidigbare Position mehr ist. Wir stellen ein vollständig richtlinienkonformes Hinweisgebersystem mit eintägiger Implementierung bereit; sehen Sie, wie das Whistleblowing-System funktioniert.