Die Umsetzung der Europäischen Hinweisgeberrichtlinie (EU) 2019/1937 steht in Deutschland unmittelbar bevor. Eigentlich hätte die die Richtline bereits bis Dezember 2021 in deutsches Recht umgesetzt werden müssen. Über ein Jahr später gibt es zwar noch immer kein geltendes deutsches Hinweisgeberschutzgesetz (HinSchG), aber der Gesetzgebungsprozess ist fortgeschritten. Der Deutsche Bundestag hat einen Gesetzesentwurf beschlossen, der nun auf die Zustimmung des Bundesrates wartet. Die nächste Sitzung des Bundesrats findet am 10. Februar 2023 statt.

Dieser Beitrag gibt einen Blick über das Hinweisgeberschutzgesetz und zeigt auf, welche Pflichten zum Schutz von Whistleblowern für Unternehmen in Deutschland bald gelten werden.

Hinweisgeberschutzsystem

Hintergründe des Hinweisgeberschutzes

Wenn Beschäftigte oder andere Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit Einblicke in Unternehmensvorgänge gewinnen, interne Informationen über diese Unternehmen weitergeben, ist das für besagte Personen oft problematisch. Auch wenn die Intentionen gut sind, weil beispielsweise Gesetzesverstöße oder andere Missstände damit angeprangert werden sollen, können Repressalien oder Vergeltungsmaßnahmen für die hinweisgebenden Personen die Folge sein. Diese wirken sich potenziell vor allem wirtschaftlich, aber auch persönlich oder sogar gesundheitlich aus.

Insbesondere vor solchen Repressalien soll das Gesetz schützen. Außerdem soll eine Meldung für Hinweisgebende möglichst einfach gemacht werden, indem interne Meldestellen eingerichtet werden müssen, die auch anonyme Hinweise ermöglichen. Darüber hinaus werden Unternehmen verpflichtet, eingehende Meldungen zu untersuchen, die Missstände zu beheben und im Kontakt mit der hinweisgebenden Person zu bleiben.

Details zum Hinweisgeberschutzgesetz

Welche Unternehmen sind vom HinSchG betroffen?

Alle Unternehmen müssen sich an die Regelungen des Hinweisgeberschutzes halten und dürfen Whistleblowern keine Nachteile verschaffen. Unterschieden wird in der Pflicht zur Errichtung und dem Betrieb einer internen Meldestelle:

  • Bei allen Unternehmen wird eine Möglichkeit für Hinweisgebende existieren, sich an eine externe Meldestelle zu wenden. Dies ist in der Regel eine Stelle bei einer Bundes- oder Landesbehörde, die thematisch zuständig ist, wie z.B. das Bundesamt für Justiz, die BaFin oder das Bundeskartellamt.
  • Sobald Unternehmen in der Regel mindestens 50 Beschäftigte haben oder in speziellen Branchen tätig sind (z.B. Wertpapierhandel, Versicherungen) muss zudem eine interne Meldestelle errichtet und zur Verfügung gestellt werden, welche in der Folge auch weitere Pflichten nach sich zieht. Auf diese wird weiter unten eingegangen. Hier kann die meldende Person nun wählen, welcher Meldeweg eingeschlagen werden soll. Wenn 50 und 249 Beschäftigte im Unternehmen tätig sind, gibt es für diese noch eine verlängerte Frist zur Errichtung einer internen Meldestelle bis zum 17. Dezember 2023. Auch können diese kleineren Unternehmen eine gemeinsame Stelle betreiben.
  • Bei Unternehmen ab 250 Beschäftigten muss die Umsetzung mit Inkrafttreten des Gesetzes erfolgen.
  • In einigen Branchen und Sektoren ist ein Hinweisgebersystem unabhängig von der Anzahl der Beschäftigten vorgeschrieben. Unternehmen in Branchen wie Finanzdienstleistungen, Gesundheitswesen und Energie sowie sind verpflichtet ein Hinweisgebersystem bereit zu stellen. Gleiches gilt für Regierungen und den öffentlichen Dienst. 

Wir raten allen Unternehmen dazu, so früh wie möglich mit der Implementierung des Hinweisgebersystems zu beginnen. Schließlich hat ein funktionierendes internes Hinweisgebersystem vor allem Vorteile für das Unternehmen.

 

Aufgaben der internen Meldestelle

Eine interne Meldestelle hat eine Vielzahl von technischen, prozessualen und dokumentarischen Anforderungen zu erfüllen. Das HinSchG sieht vor, dass sowohl unabhängige und fachkundige Beschäftigte als auch externe Meldestellenbeauftragte mit dem gleichen Anforderungsprofil die Meldestelle betreiben können.

Zu den ersten Tätigkeiten des Meldestellenbeauftragten bei einem eingehenden Hinweis gehört die Einordnung des sachlichen Anwendungsbereiches. Das bedeutet es muss geklärt werden, ob die Meldung überhaupt einen möglichen Verstoß gegen eine Norm beinhaltet, für welche das Gesetz anwendbar ist (die also danach geschützt ist).

Meldekanäle müssen technisch und organisatorisch so sicher konzipiert, eingerichtet und betrieben werden, dass die Vertraulichkeit der Identität der hinweisgebenden Person und Dritter, die in der Meldung erwähnt werden, gewahrt bleibt. Nicht befugten Mitarbeitern muss der Zugriff darauf verwehrt werden (Vertraulichkeitsgebot). Hier sind also wirksame Verschlüsselungstechnologien und ein Rollen- und Berechtigungskonzept zu implementieren. Außerdem wurde in den Gesetzestext eine Pflicht zur Ermöglichung einer anonymen Meldung aufgenommen, was die technischen und organisatorischen Anforderungen an ein Meldesystem noch einmal erhöht hat. Die anonyme Meldemöglichkeit wird allerdings auch die Bereitschaft der Beschäftigten deutlich erhöhen, eine Meldung abzugeben. Für die anonyme Meldemöglichkeit sieht der Gesetzgeber eine Übergangsfrist bis zum 01.01.2025 vor.

Zu den Aufgaben der Meldestelle gehören:

  • Der hinweisgebenden Person ist der Eingang der Informationen zu Verstößen im Unternehmen innerhalb einer Frist von sieben Tagen zu bestätigen.
  • Die gemeldeten Verstöße müssen anhand der Informationen der hinweisgebenden Person untersucht und später wirksame Folgemaßnahmen getroffen werden.
  • Während des Prozesses muss mit der hinweisgebenden Person – wenn von dieser gewünscht – Kontakt gehalten werden.
  • Die interne Meldestelle ist verpflichtet, die hinweisgebende Person spätestens nach drei Monaten über die getroffenen Folgemaßnahmen zu informieren.
  • Die Meldungen müssen unter weiterer Wahrung des Vertraulichkeitsgebotes in dauerhaft abrufbarer Weise für zwei Jahre dokumentiert und anschließend sicher gelöscht werden.

 

Schutz der Whistleblower

Wesentlicher Inhalt des HinSchG ist, neben den Meldekanälen und der Vertraulichkeit, der Schutz der Hinweisgebenden vor Repressalien. Dafür sieht das Gesetz ein Verbot vor, das auch die Androhung oder den Versuch von Repressalien beinhaltet. Die Europäische Whistleblowing-Richtlinie nennt einige Beispiele für Repressalien, wie etwa: Kündigung, Herabstufung oder Versagung einer Beförderung, Aufgabenverlagerung, Änderung der Arbeitszeit, Versagung der Teilnahme an Weiterbildungsmaßnahmen, negative Leistungsbeurteilung, Disziplinarmaßnahmen, Nötigung, Mobbing, vorzeitige Kündigung oder Aufhebung eines Vertrags über Waren oder Dienstleistungen (für Geschäftspartner:innen).

Bei Benachteiligungen, die mit der beruflichen Tätigkeit zusammenhängen, gilt zudem eine Beweislastumkehr. Sollte einem Whistleblower also beispielsweise nach einem Hinweis gekündigt werden, wird davon ausgegangen, dass dies eine verbotene Repressalie im Sinne des Gesetzes sei. Das Unternehmen muss beweisen können, dass andere hinreichende Gründe für die Kündigung vorliegen.

Zusätzlich gibt es einen Schadensersatzanspruch für Whistleblower, denen dennoch eine Repressalie widerfahren ist.

 

Pflichten des Whistleblowers

Trotz umfassenden Schutzes, hat auch der Whistleblower diverse Pflichten und Risiken. Indem die hinweisgebende Person „hinreichenden Grund zu der Annahme“ haben muss, dass die Informationen über Verstöße zum Zeitpunkt der Meldung der Wahrheit entsprechen, werden der hinweisgebenden Person Sorgfaltspflichten auferlegt. Bei grob fahrlässiger oder vorsätzlich falscher Meldung macht er sich gegebenenfalls ebenso schadensersatzpflichtig. Der Öffentlichkeit zugänglich gemacht werden dürfen Informationen nur, wenn diese vorher ohne Reaktion oder Behebung des Missstandes über die internen oder externen Meldekanäle gemeldet wurden. Bei einer Offenlegung wissentlich falscher Informationen kann der meldenden Person außerdem ein Bußgeld auferlegt werden.

 

Unternehmen drohen Sanktionen

Das Gesetz sieht Bußgelder für Unternehmen vor, die gegen die Regelungen verstoßen. Das beinhaltet zum Beispiel ein Bußgeld in Höhe von 20.000 Euro, wenn trotz Verpflichtung kein interner Meldekanal zur Verfügung gestellt wird oder eines in Höhe von 100.000 Euro bei Repressalien gegenüber Whistleblowern. Durch einen Verweis auf § 30 OWiG können sich diese Bußgelder bei bestimmten Ordnungswidrigkeiten sogar noch verzehnfachen.

 

Was ist nun zu tun?

Das Hinweisgeberschutzgesetz wird 2023 mit hoher Wahrscheinlichkeit in geltendes Recht umgesetzt. Daher sollte sich jedes Unternehmen mit dem Thema auseinandersetzen und, sofern die Kriterien erfüllt sind, ein internes Meldesystem implementieren.

Für die meisten Unternehmen wird ein externer Anbieter für ein Meldesystem aufgrund von Know-how, Wirtschaftlichkeit und Risikoabwägungen die attraktivere Option sein. Die Datenschutzkanzlei bietet mit WhistleDesk ein Hinweisgebersystem an, mit welchem alle gesetzlichen Anforderungen, von der anonymen Meldung über die Unabhängigkeit und Fachkunde der beauftragten Personen, bis zur Wahrung der gesetzlichen Fristen, erfüllt werden können.

Gerne unterstützen wir Sie bei der rechtssicheren Umsetzung der Herausforderungen des HinSchG. Kommen Sie bei Interesse oder Fragen zur Umsetzung gern auf uns zu!

 

Philipp Lehmann ist Wirtschaftsjurist (LL.M) und Senior Legal Consultant bei der Datenschutzkanzlei.