Nach mehrjährigen Verhandlungen wurde am 11. Mai 2023 endlich die sogenannte Whistleblowing-Richtlinie der Europäischen Union (Richtlinie (EU) 2019/1937) in das deutsche Recht umgesetzt und das „Hinweisgeberschutzgesetz“ („HinSchG“) soll noch im Juni verkündet werden und tritt dann unmittelbar in Kraft. Was bedeutet dies konkret für Unternehmen?
1. Was ist das Ziel des Hinweisgeberschutzgesetzes („HinSchG“)?
Das HinSchG soll die Aufdeckung von Verstößen gegen geltendes Recht, Missstände etc. unterstützen und innerhalb der EU einen einheitlichen Standard zum Schutz der hinweisgebenden Personen und weiteren beteiligten Personen (z. B. Zeugen, Unterstützern oder den vom Hinweis Betroffenen) gewährleisten. Es umfasst Regelungen zum Schutz vor Repressalien, zum Schadenersatz oder zum Umgang mit gutgläubigen Meldungen. Das Gesetz enthält auch detaillierte Regelungen zur Ausgestaltung von Meldeverfahren sowie Mindeststandards, die von Unternehmen bei deren Einrichtung einzuhalten sind, damit einerseits sichergestellt werden kann, dass Missstände ungefährdet gemeldet werden und andererseits Unschuldige nicht ins Visier von Falschmeldenden geraten. Wenn Unternehmen diese Anforderungen nicht einhalten, drohen Bußgelder.
2. Für wen und für welche Fälle ist das HinSchG anwendbar?
Der persönliche Anwendungsbereich umfasst natürliche Personen (= Beschäftigte), die im Zusammenhang mit ihrer beruflichen Tätigkeit oder in deren Vorfeld Informationen über Verstöße erlangt haben und diese über Meldestellen melden bzw. offenlegen (sogenannte hinweisgebende Personen). Zudem werden auch Personen geschützt, die Gegenstand einer Meldung sind oder die in sonstiger Weise von ihr betroffen sind, wie beteiligte Personen oder auch Unterstützer.
Der sachliche Anwendungsbereich wird in § 2 HinSchG definiert bzw. dort werden Verstöße katalogartig aufgelistet, die gemeldet werden können. Umfasst sind z. B. Informationen über strafbewehrte Handlungen, Verstöße gegen Vorschriften zum Schutz von Leben, Leib oder Gesundheit, der Rechte von Beschäftigten oder auch gegen Vorschriften bestimmter Rechtsgebiete (z. B. Geldwäsche, Terrorismusfinanzierung, Vorgaben zum Umweltschutz, Regelungen zum Verbraucherschutz, Vorgaben zur IT-Sicherheit oder Regelungen zum Datenschutz).
Die Meldungen müssen im Zusammenhang mit rechtswidrigen Handlungen oder Unterlassungen im Rahmen von beruflichen, unternehmerischen oder dienstlichen Tätigkeiten stehen
3. Wer muss eine Meldestelle bis wann einrichten?
Unternehmen (auch natürliche Personen mit einem Beschäftigten) sind verpflichtet, eine interne Meldestelle einzurichten, wenn bei ihnen in der Regel mindestens 50 Beschäftigte tätig sind oder sie einem bestimmten Bereich, wie Wertpapierdienstleistungen oder Kreditwesen, zuzuordnen sind. Die Umsetzung muss ab Inkrafttreten des Gesetzes erfolgen; eine Ausnahme ergibt sich für private Beschäftigungsgeber mit zwischen 50 und 249 Beschäftigten – diese müssen erst zum 17. Dezember 2023 die interne Meldestelle einrichten.
Die interne Meldestelle kann direkt bei dem Beschäftigungsgeber eingerichtet werden oder er kann einen Dritten damit beauftragen. Daher können Externe (z. B. externe Anwälte als Ombudspersonen) beauftragt werden oder eine zentrale Meldestelle in einer Konzerngruppe. Die interne Meldestelle muss unabhängig sein und es dürfen sich keine Interessenkonflikte ergeben, sodass hier genau geprüft werden sollte, wer diese betreibt. Der Beschäftigungsgeber bleibt dafür verantwortlich, den Verstoß abzustellen.
Der Bund richtet bei dem Bundesamt für Justiz eine externe Meldestelle ein; daneben sollen in speziellen Bereichen (z. B. bei dem Bundeskartellamt) eigene externe Meldestellen eingerichtet werden.
4. Welche Meldewege sind einzuhalten?
Grundsätzlich soll sich die hinweisgebende Person erst dann an die externe Meldestelle wenden, wenn ihrer Meldung intern nicht abgeholfen wird. Dies gilt insbesondere in den Fällen, in denen intern wirksam gegen den Verstoß vorgegangen werden kann und sie keine Repressalien befürchten muss. Es steht ihr aber frei, den Meldeweg für die Erstmeldung zu wählen. Interne Meldestellen müssen ihre Beschäftigten zudem über externe Meldeverfahren etc. transparent und leicht zugänglich informieren. Dies erfolgt idealerweise in einer Richtlinie, die über das gesamte Meldeverfahren informiert. Die hinweisgebende Person kann die Meldung auch offenlegen, d. h. öffentlich machen und z. B. die Medien einbinden; dies kann für sie zu einem dezimierten Schutz bei Falschmeldungen führen.
5. Welche Meldekanäle muss das Unternehmen anbieten?
Meldungen können mündlich, elektronisch oder schriftlich erfolgen. Üblich ist es z. B., für interne Meldestellen eine Online-Plattform zu nutzen (ein „Hinweisgebersystem“) oder eine Telefonhotline. Alternativ kann auch auf Ersuchen der hinweisgebenden Person eine persönliche oder digitale (mittels Bild-, Tonübertragung) Zusammenkunft erfolgen
Werden die Plattformen etc. von externen Anbietern betrieben, kommt es darauf an, ob diese als eigenständige externe Dritte zur Verfügung stehen (z. B. als unabhängiger Anwalt) oder ob der Beschäftigungsgeber gegenüber den hinweisgebenden Personen als Verantwortlicher auftritt. Setzt er den externen Anbieter nur als Auftragsverarbeiter ein, muss er mit diesem u. a. einen Auftragsverarbeitungsvertrag nach Art. 28 Datenschutzgrundverordnung (DSGVO) abschließen.
Die Meldekanäle sollten auch anonyme Meldungen bzw. eine anonyme Kommunikation ermöglichen; dies ist allerdings nicht verpflichtend.
6. Wie ist das Verfahren zu gestalten?
So transparent wie möglich – den Beschäftigten sollte in einer Richtlinie erläutert werden, was sie wie an wen melden können, wie das Meldeverfahren abläuft und was im Anschluss passiert. Das HinSchG sieht zudem diverse Vorgaben für dessen Ausgestaltung vor. Diese Richtlinie sollte mitsamt den Informationen zu den Meldekanälen an die Beschäftigten kommuniziert werden.
Ergänzend ist – vorausgesetzt, es existiert ein Betriebsrat – eine Betriebsvereinbarung über das Verfahren bzw. die Prozesse abzuschließen, da entsprechende Hinweisgebersysteme, Hotlines etc. eine technische Einrichtung im Sinne des § 87 Abs. 1 Nr. 6 BetrVG darstellen. Werden zudem über die geplanten gesetzlichen Regelungen hinaus spezielle Meldepflichten für Beschäftigte eingeführt, ist dies in der Regel als „Frage des Verhaltens der Arbeitnehmer im Betrieb“ nach § 87 Abs. 1 Nr. 1 BetrVG einzuordnen und daher ebenfalls mitbestimmungspflichtig. Diese Betriebsvereinbarungen sind vor Implementierung des Meldekanals abzuschließen.
Die Richtlinie sollte die Anforderungen an die Richtigkeit, Verdachtshöhe, Gegenstand etc. der Meldung, den Umgang mit Falschmeldungen oder anonymen Hinweisen definieren.
Das Verfahren sieht vor, dass die interne Meldestelle innerhalb von sieben Tagen nach Zugang der Meldung eine Bestätigung über deren Eingang an die hinweisgebende Person senden muss. Dabei erfolgt eine erste Prüfung der Meldung. Die interne Meldestelle ergreift dann Folgemaßnahmen, wie die Durchführung weiterer interner Untersuchungen oder die Einschaltung einer anderen zuständigen Stelle (z. B. Compliance oder die Behörden). Die hinweisgebende Person ist über den Fortlauf des Verfahrens bzw. die Folgemaßnahmen maximal drei Monate nach Bestätigung des Eingangs der Meldung bzw. – sollte in Ausnahmefällen keine Bestätigung erfolgt sein – drei Monate nach Ablauf der Frist von sieben Tagen nach Eingang der Meldung zu informieren. Die Rückmeldung kann unterbleiben, wenn dadurch die internen Nachforschungen oder Ermittlungen gefährdet würden oder die Rechte der gemeldeten Person beeinträchtigt würden.
7. Welche Dokumentationspflichten sind einzuhalten?
Die interne Meldestelle ist zur umfassenden Dokumentation von schriftlichen und elektronischen Meldungen (Textform) verpflichtet. Diese sind unter Berücksichtigung des geltenden Datenschutzrechts zugriffsgeschützt zu speichern. Für mündliche Meldungen sind spezielle Regelungen für die Anfertigung von Tonaufzeichnungen oder Wortprotokollen vorgesehen, die u. a. der Einwilligung bzw. Prüfung der hinweisgebenden Person bedürfen. Gleiches gilt für persönliche oder digitale Zusammenkünfte.
Dokumentationen sind grundsätzlich drei Jahre nach Abschluss des Verfahrens zu löschen, können aber aufgrund von gesetzlichen oder rechtlichen Vorgaben auch länger aufbewahrt werden.
8. Wie wird der Schutz der hinweisgebenden Person und anderer Beteiligter gewährleistet?
Die interne Meldestelle bzw. die dort tätigen Personen sind zur Vertraulichkeit über die Identität der hinweisgebenden Person, der von der Meldung betroffenen Personen oder auch sonstiger genannter Personen verpflichtet. Informationen dürfen nur in bestimmten, gesetzlich definierten Fällen weitergegeben werden; teilweise nur mit Einwilligung des jeweils Betroffenen.
Das HinSchG sieht ausdrückliche Regelungen zum Schutz der hinweisgebenden Personen und weiterer Beteiligter vor. Diese dürfen nicht – wie auch die anderen Regelungen des HinSchG – vertraglich abbedungen werden
Jegliche Repressalien, ihre Androhung oder der Versuch, diese auszuüben, sind generell verboten. Als Repressalien gelten grundsätzlich alle Benachteiligungen, die Folge einer Meldung oder einer Offenlegung sind. Das HinSchG stellt die Vermutung auf, dass eine berufliche Benachteiligung nach einer Meldung oder Offenlegung eine Repressalie ist (z. B. eine Abmahnung, Gehaltskürzung, Kündigung, Befristung oder auch das Unterlassen begünstigender Maßnahmen). Macht die hinweisgebende Person geltend, dass sie zeitlich nach der Meldung eine Benachteiligung erlitten hat, greift die Vermutung der Benachteiligung. Der Beschäftigungsgeber muss dann beweisen, dass die Benachteiligung nicht ursächlich auf die Meldung zurückgeht und die Benachteiligung gerechtfertigt war. Ausreichend ist, dass die hinweisgebende Person zum Zeitpunkt der Meldung hinreichenden Grund zur Annahme hatte, dass diese auch wahr ist.
Verstöße können zu Schadenersatzansprüchen führen oder mit Bußgeldern bis zu 50.000 Euro geahndet werden (z. B. wenn keine interne Meldestelle eingerichtet wird, Meldungen behindert, gegen das Vertraulichkeitsgebot verstoßen wird oder Repressalien verhängt werden).
Auch die hinweisgebende Person kann zum Schadenersatz oder zu Bußgeldern bis zu 20.000 Euro verpflichtet sein, wenn aus einer vorsätzlichen oder grob fahrlässigen Meldung oder Offenlegung unrichtiger Information ein Schaden entsteht oder sie wissentlich eine unrichtige Information offenlegt.
9. Was ist datenschutzrechtlich zu beachten?
Unternehmen als Betreiber des Hinweisgebersystems bzw. der internen Meldestelle müssen die datenschutzrechtlichen Prinzipien des Art. 5 Datenschutzgrundverordnung („DSGVO“) umsetzen und sicherstellen, dass die Verarbeitung (inklusive der Weitergabe der Daten) rechtmäßig erfolgt, die erforderlichen Berechtigungsund Löschkonzepte umgesetzt werden, die Transparenzpflichten der DSGVO und nicht zuletzt die umfassenden Rechte der Betroffenen auf Auskunft, Löschung etc. gemäß Art. 12 ff. DSGVO umgesetzt werden – auch dies kann zu Interessenkonflikten führen. Das HinSchG sieht datenschutzrechtlich nur vor, dass die Meldestellen Daten (auch besondere personenbezogene Kategorien) verarbeiten dürfen, soweit dies für die Durchführung ihrer Aufgaben erforderlich ist. Im Übrigen gilt die DSGVO.
Daher ist insbesondere sicherzustellen, dass die Datenschutzinformation nach Art. 13 DSGVO jedem Beschäftigten und auch weiteren Betroffenen z. B. als Anhang zu oben beschriebener Richtlinie zur Verfügung gestellt wird. Wann und wie z. B. die beschuldigte Person nach Art. 14 DSGVO über die Herkunft der Daten und damit auch über die hinweisgebende Person informiert werden muss, ist im Einzelfall abzuwägen. Es sind interne Prozesse zu schaffen, die den Umgang mit diesen Herausforderungen regeln.
Gleiches gilt für Auskunftsbegehren nach Art. 15 DSGVO: Die deutsche Rechtsprechung bejaht umfassende Auskunftsansprüche der vom Hinweis betroffenen Person, die allerdings durch das Bundesdatenschutzgesetz bzw. das Vertraulichkeitsgebot des HinSchG ggf. verweigert werden können. Hier ist eine Abwägung im Einzelfall erforderlich. Empfehlenswert ist auch die Umsetzung eines Löschkonzeptes, das neben den Dokumentationsanforderungen des HinSchG, Archivierungspflichten etc. auch den Umgang mit Fehlmeldungen regelt.
10. Fazit
Die neuen Anforderungen sollten – sofern noch nicht erfolgt – kurzfristig umgesetzt werden bzw. bestehende Prozesse geprüft werden. Es ist nicht damit getan, auf der Webseite Kontaktdaten der neuen internen Meldestelle zu veröffentlichen, sondern diese muss auch in die Lage versetzt werden, ihre Aufgaben im Einklang mit den geltenden Regelungen umzusetzen.
Die Prozesse sind komplex. Sie müssen dokumentiert, implementiert und transparent kommuniziert werden. Dies sollte in einer Richtlinie, die die verschiedenen Anforderungen konkretisiert und über die Rechte, Pflichten und Risiken, die sich für die einzelnen Beteiligten ergeben, informiert, erfolgen. Themen wie z. B. die Vertraulichkeit, die Dokumentation des Meldeverfahrens bzw. der Folgemaßnahmen, die Zugriffsberechtigungen, technisch-organisatorische Maßnahmen, der Umgang mit Einwilligungen in die Weitergabe von Informationen, die Information der Betroffenen und der Umgang mit ihren Rechten oder auch die Umsetzung der Löschkonzepte sind zu regeln. Sofern ein Dritter mit dem Betrieb der internen Meldestelle beauftragt wird, sind geeignete Vereinbarungen zur Umsetzung des HinSchG und des Datenschutzrechts abzuschließen. Zudem ist ggf. eine Betriebsvereinbarung abzuschließen, die das Thema arbeitsrechtlich korrekt abbildet.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
