Whistleblowing in Konzernen - kann die Muttergesellschaft alle Fälle bearbeiten?
Visselblåsning i koncerner – får moderbolaget hantera alla ärenden? Det är en av de vanligaste frågorna i internationella koncerner: Kan moderbolaget hantera alla visselblåsarrapporter för hela koncernen? Svaret är: Ja – men inte utan förutsättningar. Utgångspunkten finns i EU-direktiv (EU) 2019/1937. 1. Skyldigheten gäller per juridisk enhet Direktivet anger att rättsliga enheter i den privata sektorn med 50 eller fler arbetstagare ska inrätta interna kanaler och förfaranden för rapportering (artikel 8). Detta gäller per rättslig enhet. Det innebär att: Ett dotterbolag med 60 anställda omfattas av skyldigheten. Ett moderbolag med 10 anställda omfattas inte enbart på grund av koncernens totala storlek. Direktivet talar inte om ”koncerner” som en gemensam juridisk skyldighetsbärare. Skyldigheten är kopplad till varje enskild juridisk person. 2. Får koncernen centralisera funktionen? Ja. Direktivet förbjuder inte att rapporteringsfunktionen organiseras gemensamt inom en koncern. I praktiken kan det innebära att: Ett moderbolag tar emot rapporter för dotterbolag. En gemensam koncernplattform används. En central compliance- eller legal-funktion hanterar ärenden. Men detta förändrar inte det grundläggande ansvaret. Varje juridisk enhet måste kunna säkerställa att: Rapportering är möjlig. Kraven på konfidentialitet uppfylls. Återkoppling sker inom föreskriven tid. Uppföljning genomförs korrekt. Centralisering får inte urholka dessa krav. 3. Konfidentialitet och oberoende Direktivet ställer tydliga krav på: Sekretess kring den rapporterande personens identitet. Begränsad åtkomst till uppgifter. Skydd mot repressalier. Vid koncernlösningar uppstår särskilda frågor: Vem har tillgång till informationen? Kan lokal ledning få insyn i känsliga ärenden? Hur hanteras ärenden som rör moderbolagets ledning? En central funktion kan stärka oberoendet – men bara om strukturen är genomtänkt. 4. Små dotterbolag i stora koncerner En vanlig situation är: Koncernen har tusentals anställda. Ett dotterbolag har 20 anställda. Om dotterbolaget har färre än 50 anställda omfattas det i normalfallet inte av skyldigheten att inrätta en egen intern kanal enligt direktivet. Men: Om koncernen väljer att erbjuda en gemensam funktion kan även dessa bolag omfattas praktiskt. Det är tillåtet – och ofta klokt – men det är ett frivilligt organisatoriskt val snarare än ett direkt lagkrav på EU-nivå. 5. Vem bär ansvaret vid brister? Det är en avgörande fråga. Även om mottagandet sker centralt måste varje juridisk enhet kunna visa att: Kraven enligt direktivet är uppfyllda. Uppföljning sker korrekt. Skyddet mot repressalier säkerställs lokalt. En koncernstruktur förändrar inte det juridiska ansvaret på enhetsnivå. Slutsats Får moderbolaget hantera alla visselblåsarrapporter? Ja – det är möjligt att centralisera funktionen inom en koncern. Men: Skyldigheten att ha en funktion gäller per juridisk enhet. Centralisering får inte minska kraven på konfidentialitet, återkoppling och uppföljning. Ansvar kan inte helt ”flyttas upp” till koncernnivå. En koncernlösning kräver därför tydlig struktur, klara mandat och dokumenterad ansvarsfördelning.
Wie sollte ein Whistleblowing-Kanal organisiert sein?
Hur ska en visselblåsarkanal vara uppbyggd? Att inrätta en visselblåsarkanal är idag en självklar del av modern bolagsstyrning. Men många organisationer stannar vid tekniken. En korrekt uppbyggd visselblåsarfunktion handlar inte bara om att ta emot rapporter – utan om hur de hanteras när de blir obekväma. Utgångspunkten finns i EU-direktiv (EU) 2019/1937, men direktivet reglerar främst minimikraven. Det är i genomförandet som riskerna uppstår. Här är vad som faktiskt krävs – och var de vanligaste svagheterna finns. 1. En säker och konfidentiell rapporteringskanal Rapportering ska kunna ske: Skriftligt Muntligt Vid begäran genom fysiskt möte Systemet ska säkerställa konfidentialitet och begränsad åtkomst. Men här gör många misstag. En teknisk plattform utan tydlig ägare och process skapar en falsk trygghet. Frågan är inte bara om rapporten kan skickas in – utan vad som händer därefter. 2. Oberoende mottagarfunktion Det ska finnas en tydligt utsedd funktion som: Tar emot rapporter Bekräftar mottagandet Bedömer om ärendet faller inom tillämpningsområdet Initierar utredning I mindre och medelstora bolag hamnar detta ofta hos: HR CFO VD Det är här den praktiska utmaningen uppstår. Vad händer när rapporten rör: Ledningen? Styrelsen? Ekonomifunktionen? En intern funktion kan snabbt hamna i intressekonflikt – även om ingen agerar felaktigt. Oberoende är inte en formell fråga. Det är en förtroendefråga. 3. Bekräftelse inom 7 dagar Den rapporterande personen ska få bekräftelse på mottagandet. Detta är enkelt att uppfylla i teorin. I praktiken missas det när: Ansvar är otydligt Ärenden faller mellan stolar Ingen har operativt ansvar Struktur krävs – inte bara vilja. 4. Objektiv och professionell utredning En rapport ska bedömas sakligt och proportionerligt. Det kräver: Juridisk förståelse Dokumentationsdisciplin Kännedom om bevisvärdering Förmåga att hantera känsliga intervjuer Det är här den största risken ligger. En bristfällig intern utredning kan: Förvärra situationen Skapa nya rättsliga problem Underminera förtroendet för funktionen 5. Återkoppling inom tre månader Återkoppling är ett lagkrav – men också avgörande för legitimiteten. En organisation som inte kan visa: Att ärenden tas på allvar Att de hanteras konsekvent Att beslut fattas strukturerat riskerar att funktionen uppfattas som symbolisk. 6. Skydd mot repressalier Det räcker inte med en policy som säger att repressalier är förbjudna. Organisationen måste kunna: Identifiera subtila repressalier Bedöma samband Dokumentera beslut Säkerställa objektivitet Detta är särskilt känsligt när rapporteringen gäller personer i ledande ställning. 7. Dokumentation och spårbarhet Varje steg i processen ska kunna redovisas: När rapporten inkom Vem som hanterade den Vilka bedömningar som gjordes Vilka åtgärder som vidtogs Bristande dokumentation är en av de vanligaste svagheterna vid granskning. Varför intern hantering ofta inte räcker En intern funktion kan fungera väl i vissa organisationer. Men i praktiken uppstår ofta tre problem: 1. Intressekonflikter När rapporten rör ledningen saknas verkligt oberoende. 2. Kompetensbrist Utredning av komplexa regelöverträdelser kräver juridisk och processuell erfarenhet. 3. Förtroendeproblem Anställda och leverantörer tvekar att rapportera om de inte upplever funktionen som neutral. En extern, juridiskt förankrad funktion kan därför: Skapa reellt oberoende Säkerställa professionell utredning Öka viljan att rapportera internt istället för externt Det handlar inte om att misstro den egna organisationen. Det handlar om att bygga en struktur som håller även när trycket ökar. Slutsats En korrekt uppbyggd visselblåsarfunktion kräver: Säker kanal Oberoende mottagare Strukturerad utredningsprocess Tydlig återkoppling Dokumenterad spårbarhet Teknik är en komponent. Men det är styrningen och det juridiska hantverket som avgör om funktionen fungerar i praktiken.
Was gilt als Whistleblowing?
Vad räknas som en visselblåsning? Begreppet visselblåsning är harmoniserat på EU-nivå – men inte helt enhetligt i praktiken. Grunden finns i EU-direktiv (EU) 2019/1937, men medlemsstaterna har haft möjlighet att gå längre än minimikraven. För företag som verkar i flera länder är det avgörande att förstå skillnaden mellan: EU:s miniminivå Nationella utvidgningar Den praktiska riskbilden Här är strukturen. Nivå 1 – EU:s gemensamma miniminivå Direktivet skyddar rapportering av information om: Överträdelser av unionsrätten Inom särskilt angivna områden När rapporteringen sker i ett arbetsrelaterat sammanhang De områden som omfattas inkluderar bland annat: Offentlig upphandling Finansiella tjänster och marknadsmissbruk Penningtvätt och finansiering av terrorism Produktsäkerhet Transport- och kärnsäkerhet Miljöskydd Folkhälsa Konsumentskydd Dataskydd Skydd av unionens finansiella intressen Konkurrens- och statsstödsregler Skyddet gäller även: Försök att dölja överträdelser Handlande som motverkar syftet med EU-regler Det krävs inte att överträdelsen är bevisad. Det räcker att personen hade rimliga skäl att tro att informationen var korrekt. Detta är den gemensamma EU-kärnan. Nivå 2 – Nationella variationer Direktivet är ett minimidirektiv. Medlemsstaterna har fått möjlighet att utvidga skyddet. Här uppstår skillnader. 🇸🇪 Sverige Sverige har infört ett bredare skydd än direktivet genom att även omfatta: Missförhållanden som det finns ett allmänintresse av att de kommer fram. Det innebär att även allvarliga nationella missförhållanden kan omfattas, även om de inte rör EU-rätt. 🇫🇷 Frankrike Frankrike hade redan före direktivet ett system (Sapin II) med bredare skydd. Implementeringen innebär i praktiken att skyddet omfattar fler typer av allvarliga oegentligheter än endast de som uttryckligen rör EU-rätt. 🇮🇹 Italien Italien kopplar visselblåsarskyddet till sin etablerade compliance-modell (bl.a. 231-regelverket). Det innebär att rapportering av vissa nationella brott och företagsrelaterade oegentligheter kan omfattas även utanför direktivets snäva EU-områden. 🇩🇪 Tyskland Tyskland har i huvudsak följt direktivets struktur men har även öppnat för att nationella regelöverträdelser kan omfattas inom ramen för den inhemska lagen. Sammanfattning av nivå 2 I praktiken finns tre modeller i Europa: Strikt EU-modell – Skydd endast för EU-områdena. Utvidgad nationell modell – Skydd även för allvarliga nationella missförhållanden. Hybridmodell – EU-kärna + vissa nationella brottstyper. Detta innebär att definitionen av ”visselblåsning” inte är helt identisk i alla medlemsstater. Nivå 3 – Vad betyder detta för ditt företag? För företag med verksamhet i flera länder uppstår en viktig fråga: Ska man bygga sin visselblåsarfunktion efter miniminivån – eller efter den bredaste modellen? Den praktiska verkligheten är att: Din visselblåsarfunktion såsom din policy måste följa minimiskyddet i den nationella lagstiftningen. Däremot så gör anställda ingen juridisk EU-analys innan de rapporterar. Leverantörer bryr sig inte om direktivets tekniska tillämpningsområde. Intressenter förväntar sig att allvarliga missförhållanden kan rapporteras. Slutsats På EU-nivå är visselblåsning kopplad till överträdelser inom särskilt angivna rättsområden. Men i flera medlemsstater har skyddet utvidgats till att omfatta bredare kategorier av allvarliga missförhållanden. För internationella företag är det därför klokt att: Förstå den gemensamma EU-kärnan Identifiera nationella variationer Bygga en funktion som tål den bredaste tillämpningen Det skapar juridisk robusthet – och förtroende.
Kann sich ein Mitarbeiter direkt an die Medien wenden?
Kan en anställd gå direkt till media? Ja – i vissa situationer. Men inte alltid. EU:s visselblåsardirektiv, EU-direktiv (EU) 2019/1937, ger skydd för personer som rapporterar överträdelser av unionsrätten. Skyddet omfattar inte bara intern och extern rapportering – utan även offentliggörande, vilket i praktiken kan innebära att vända sig till media. Frågan är under vilka förutsättningar. Tre nivåer av rapportering Direktivet bygger på en struktur i tre steg: Intern rapportering – inom organisationen Extern rapportering – till behörig myndighet Offentliggörande – exempelvis till media Skyddet är starkast vid intern och extern rapportering. Offentliggörande är möjligt – men endast under vissa villkor. När är det tillåtet att gå direkt till media? En anställd kan omfattas av skydd vid offentliggörande om något av följande föreligger: Personen har först rapporterat internt och/eller externt utan att lämpliga åtgärder vidtagits inom rimlig tid. Det finns rimliga skäl att tro att överträdelsen innebär en överhängande eller uppenbar fara för allmänintresset. Det finns risk för repressalier eller att bevis kan förstöras om rapportering sker via interna eller externa kanaler. Det avgörande är att personen hade rimliga skäl att tro att informationen var korrekt och att villkoren för offentliggörande var uppfyllda. Motivet bakom offentliggörandet är i princip irrelevant. Det centrala är om kriterierna är uppfyllda. Hur förhåller sig detta till lojalitetsplikten? Ett anställningsförhållande bygger på en grundläggande lojalitetsplikt. Lojalitetsplikten innebär i sin kärna att arbetstagaren ska: tillvarata arbetsgivarens intressen inte skada verksamheten inte sprida skadlig information utan saklig grund Att gå direkt till media kan i många situationer uppfattas som ett brott mot denna lojalitetsplikt. Men visselblåsardirektivet innebär att lojalitetsplikten inte är absolut. När de angivna kriterierna är uppfyllda väger skyddet för rapportering av överträdelser som rör allmänintresset tyngre än arbetsgivarens intresse av intern kontroll över information. Det betyder inte att lojalitetsplikten försvinner. Det betyder att den måste balanseras mot rätten att slå larm om allvarliga överträdelser. Vad händer om kriterierna inte är uppfyllda? Om en anställd går direkt till media utan att villkoren i direktivet är uppfyllda kan personen stå utan det särskilda skydd som direktivet ger. I en sådan situation aktualiseras åter den allmänna lojalitetsplikten i anställningsförhållandet. Det är alltså inte så att en anställd alltid är skyddad bara för att information lämnas till media. Skyddet är villkorat. Sammanfattning Kan en anställd gå direkt till media? Ja – men endast om: det finns rimliga skäl att tro att informationen är korrekt, och förutsättningarna för offentliggörande enligt direktivet är uppfyllda. Visselblåsardirektivet skapar en möjlighet att bryta tystnaden när allmänintresset kräver det. Men det är inte en generell rätt att åsidosätta lojalitetsplikten i anställningsavtalet.
Welche Unternehmen werden im Jahr 2026 verpflichtet sein, einen Whistleblowing-Kanal einzurichten?
Vilka företag måste ha visselblåsarkanaler 2026? Nej. Alla företag i EU måste inte ha en intern visselblåsarkanal. Men många fler än man tror omfattas av kravet. Här är vad som gäller 2026. Grundregeln i EU Enligt EU-direktiv (EU) 2019/1937 ska privata företag med 50 eller fler arbetstagare ha interna kanaler och rutiner för rapportering. Detta är huvudregeln i samtliga medlemsstater. Det är alltså antalet anställda per juridisk enhet som är avgörande – inte koncernens totala storlek. Måste företag med färre än 50 anställda ha en kanal? Som huvudregel: nej. Men direktivet ger medlemsstater möjlighet att införa krav även för företag med färre än 50 anställda, efter en riskbedömning – särskilt om verksamheten innebär risk för miljö eller folkhälsa. Det innebär att vissa länder har valt att gå längre än miniminivån. Finns det länder med undantag under 50? Ja – men det gäller i regel särskilda sektorer, inte alla företag. Exempel: Italien – företag som omfattas av särskilda compliance-krav (bl.a. enligt den s.k. 231-lagstiftningen) måste ha rapporteringskanaler oavsett storlek. Tyskland – företag inom vissa finansiella sektorer omfattas oavsett antal anställda. Österrike – vissa reglerade verksamheter, särskilt inom finans, omfattas även under 50. De flesta medlemsstater har dock hållit fast vid 50-gränsen som generell tröskel. Hur är det i Sverige? I Sverige gäller huvudregeln: 50 eller fler anställda → intern visselblåsarkanal krävs. Färre än 50 anställda → inget generellt lagkrav. Det finns i dagsläget inget generellt krav i Sverige på att mindre företag ska inrätta interna kanaler enbart på grund av riskbedömning. Så – måste alla ha en visselblåsarkanal 2026? Nej. Men: Alla företag med 50+ anställda måste. Företag i vissa reglerade sektorer kan behöva, även om de är mindre. Reglerna skiljer sig något mellan medlemsstater. Vårt råd Oavsett om ditt företag omfattas av ett formellt krav eller inte, är vår rekommendation tydlig: Ha en intern visselblåsarkanal. Det: bygger förtroende hos personalen signalerar transparens mot leverantörer stärker relationen till investerare minskar risken att ärenden går direkt till myndighet eller media En visselblåsarfunktion är inte bara en juridisk fråga. Det är en fråga om förtroende och bolagsstyrning.
Warum Arbeitnehmer die Stille wählen
Varför väljer anställda tystnad? De flesta organisationer har idag ett visselblåsarsystem på plats. Policyer finns. Kanaler är tillgängliga. Ändå är antalet rapporter lågt. Det beror inte på att missförhållanden saknas – utan på att anställda inte litar på det system som är tänkt att fånga upp dem. Tillgänglighet är inte detsamma som förtroende Anställda frågar sig inte om rapporteringskanalen är formellt regelefterlevande. De frågar sig om den är säker. Vem kommer att läsa rapporten? Vad händer sedan? Kommer detta att drabba mig i efterhand? Om de frågorna saknar tydliga svar blir tystnad det rationella valet. Anonymitet upplevs som skör Anonymitet är avgörande – men ofta missförstådd. Ur den anställdes perspektiv är anonymitet sällan absolut. Skrivsätt, sammanhang, tidpunkt och intern kunskap kan upplevas som identifierande. Även små tvivel kan räcka för att en rapport aldrig skickas in. Om anonymiteten uppfattas som teoretisk snarare än praktisk försvinner förtroendet. Intern hantering skapar upplevda intressekonflikter När rapporter hanteras internt – ofta av HR eller compliance – kan anställda ifrågasätta oberoendet, oavsett goda avsikter. Oron handlar inte om kompetens. Den handlar om upplevd lojalitet. När oberoendet är oklart urholkas förtroendet. Tidigare ärenden väger tyngre än policyer Anställda bedömer rapporteringssystem utifrån erfarenhet – inte dokumentation. Om tidigare rapporter inte lett till åtgärder, eller om visselblåsare tyst marginaliserats, blir tystnad ett inlärt beteende. Ett enda felhanterat ärende kan underminera år av policyarbete. Rädsla är rationell Att inte rapportera beskrivs ofta som kulturellt eller känslomässigt. I praktiken är det en riskbedömning. När den personliga risken är konkret och organisationens uppföljning osäker är det logiskt att avstå. Varför juridisk involvering spelar roll Oberoende juridisk medverkan förändrar dynamiken. Jurister omfattas av sekretess, processuell disciplin och professionellt oberoende. Det skapar en trovärdig motvikt till interna intressen – och en starkare förtroendesignal än teknik i sig kan ge. Tystnad är inte framgång Låga rapporteringsnivåer tolkas ofta som ett tecken på en sund kultur. I själva verket är tystnad tvetydig. Utan förtroende förlorar organisationer tidiga varningssignaler och möter problemen först när skadan redan är skedd. Förtroende måste konstrueras Ett effektivt visselblåsarsystem definieras inte av plattformar eller policyer. Det definieras av om anställda faktiskt tror att systemet skyddar dem när det verkligen gäller.