Am 2. Juli ist das neue Gesetz zum Schutz von Hinweisgebern in Kraft getreten. Was Unternehmen wissen müssen.
Für das heiß diskutierte Hinweisgeberschutzgesetz wird es nach langen Verzögerungen nun ernst: Es ist am 02.07.2023 in Kraft getreten. Für viele Unternehmen besteht akuter Handlungsbedarf. Größere Unternehmen mit mindestens 250 Beschäftigten müssen unmittelbar den neuen Anforderungen entsprechen. Und: Auch kleinere Unternehmen mit 50 bis 249 Beschäftigten sollten aktiv werden, denn auch sie müssen die Vorgaben spätestens am 17. Dezember 2023 erfüllen. Es drohen empfindliche Bußgelder.
Das neue Gesetz zum besseren Schutz von hinweisgebenden Personen sieht vor, dass Personen geschützt werden, die im Zusammenhang mit ihrer beruflichen Tätigkeit Informationen über Rechtsverstöße erlangt haben und diese melden.
Das Gesetz verpflichtet Unternehmen mit mindestens 50 Beschäftigten zur Einrichtung einer internen Meldestelle, an die sich ihre Beschäftigten wenden können.
- Die interne Meldestelle muss den Empfang eines Hinweises gegenüber dem Hinweisgeber innerhalb von sieben Tagen bestätigen.
- Innerhalb von drei Monaten muss der Hinweisgeber über getroffene Maßnahmen informiert werden.
- Innerhalb des Unternehmens müssen „Meldestellen-Beauftragte“ bestimmt werden. Diese Personen können unter anderem sein: Compliance-Leiter, Legal Councel, Datenschutzbeauftragte, Finanzdirektoren, Auditverantwortliche. Geschäftsführer oder Personalverantwortliche können aufgrund bestehender Interessenskonflikte grundsätzlich nicht Meldestellen-Beauftragte sein. Auch externe Dienstleister können beauftragt werden.
- Hinweisgeber sind vor Repressalien geschützt. Zum Schutz des Hinweisgebers entsteht im Falle von Nachteilen im beruflichen Zusammenhang, die den Hinweisgeber nach einer erfolgten Meldung treffen, eine gesetzliche Vermutung dahingehend, dass diese als unzulässige Repressalien zu werten sind, sofern die hinweisgebende Person selbst aktiv wird und geltend macht, dass sie die Benachteiligung infolge der Meldung erlitten hat.
- Im Bundesministerium für Justiz soll eine externe Meldestelle eingerichtet werden. Dies ist auch für die Bundesländer möglich.
Wer kann Hinweisgeber sein und welche Verstöße können gemeldet werden?
Hinweisgeber sind diejenigen Personen, die Informationen über Verstöße melden. Dies können alle Personen sein, die im Zusammenhang mit ihrer beruflichen Tätigkeit Informationen über Verstöße erlangt haben. Dabei sind nicht alle möglichen Meldungen von Missständen von dem Gesetz geschützt, sondern nur solche, die speziell vom Gesetz aufgeführte Rechtsverstöße betreffen. Hierbei muss es sich entweder um Strafvorschriften oder bestimmte Ordnungswidrigkeiten handeln, sofern der Ordnungswidrigkeitentatbestand das Leben, den Leib, die Gesundheit oder aber die Rechte von Beschäftigten oder ihrer Vertretungsorgane schützt.
Zudem gibt es eine lange Liste von speziellen Verstößen, bei denen Meldungen ebenfalls zulässig sind.
Eine interne Meldestelle kann auch derart eingerichtet werden, dass ein Dritter mit den Aufgaben betraut wird. „Dritter“ soll nach derzeitiger Auffassung auch eine Gesellschaft aus der eigenen Unternehmensgruppe bzw. dem eigenen Konzern sein können. Dies bietet insbesondere für Konzerne und Unternehmensgruppen eine Erleichterung, denn so muss nicht jede einzelne Gesellschaft des Konzerns einen Compliance-Beauftragten oder eine ganze Abteilung erschaffen. Die Pflicht, Maßnahmen zu ergreifen, um den Verstoß abzustellen, und die Pflicht zur Rückmeldung an die hinweisgebende Person verbleiben aber bei dem einzelnen Unternehmen.
Die eingerichteten Meldekanäle müssen auch Leiharbeitnehmern offenstehen. Geschützt sind auch Personen, die den Hinweisgeber unterstützen sowie Personen, die zwar nicht selbst die Meldung erstatten, aber Gegenstand der Meldung oder sonst von der Meldung betroffen sind.
Es besteht keine Verpflichtung, die internen Meldekanäle so einzurichten, dass sie die Abgabe anonymer Meldungen ermöglichen. Im Gesetz wird lediglich erwähnt, dass auch anonym eingehende Meldungen bearbeitet werden sollten.
Die Meldestellen müssen die Vertraulichkeit wahren. Dies gilt insbesondere für die Identität der hinweisgebenden Person, der Personen, die Gegenstand einer Meldung sind sowie die Identität der sonstigen in der Meldung erwähnten Personen. Diese Identitäten dürfen nur den Personen, die für die Entgegennahme der Meldung sowie für das Ergreifen von Folgemaßnahmen zuständig sind und den sie bei der Erfüllung dieser Aufgaben unterstützenden Personen bekannt sein. Nur mit ausdrücklicher Einwilligung sowie in den im Gesetz genannten Ausnahmefällen (etwa in Strafverfahren auf Verlangen der Strafverfolgungsbehörden) darf deren Identität auch anderen Personen gegenüber offengelegt werden.
Bestenfalls sollten alle Personen, die Zugang zum internen Meldekanal haben oder in sonstiger Weise Kenntnis von den Meldungen erlangen, durch entsprechende Erklärungen zur besonderen Vertraulichkeit verpflichtet werden.
Bei all dem sind die datenschutzrechtlichen Vorschriften der DSGVO sowie des BDSG zu beachten. Die Einrichtung des Whistleblowing-Systems muss eingebettet sein in ein entsprechendes Datenschutzkonzept (ggf. inkl. Datenschutzfolgenabschätzung, Information an die Mitarbeiter etc.) mit Berechtigten-Matrix, Festlegung und Beschreibung evtl. technischer Schutzvorkehrungen, einem Löschkonzept, evtl. einer ordnungsgemäß vereinbarten Auftragsverarbeitung bei Einschaltung eines externen Dienstleisters.
Sofern Betriebsräte bestehen, kann die Einführung eines Whistleblowing-Systems mitbestimmungspflichtig sein. Die Einführung und Nutzung sind regelmäßig nur rechtswirksam, wenn mit dem zuständigen Betriebsrat zuvor eine Betriebsvereinbarung abgeschossen wurde. Insbesondere die Einführung und Anwendung eines IT-gestützten Meldesystems als technische Einrichtung kann der zwingenden Mitbestimmung des Betriebsrats unterliegen. Die Existenz und Reichweite der Mitbestimmung des Betriebsrats ist daher zwingend im Vorfeld einer Prüfung zu unterziehen. Unterlässt der Arbeitgeber die Beachtung von bestehenden Mitwirkungspflichten, droht die Anrufung einer Einigungsstelle oder sogar die Verhängung einer Unterlassungsverfügung.
Unternehmen mit in der Regel mindestens 250 Beschäftigten müssen die Vorgaben nach dem HinSchG jetzt umsetzen. Aber: Die Bußgeldvorschrift, wonach ein Bußgeld bis zu 20.000 Euro droht, wenn ein interner Meldekanal nicht eingerichtet wird, tritt erst am 1. Dezember 2023 in Kraft. Solange wird also kein Bußgeld wegen fehlender Einrichtung oder fehlendem Betrieb verhängt. Es besteht akuter Handlungsbedarf.
Checkliste
Diese Fragen sollten Unternehmen zeitnah klären:
- Existiert im Unternehmen bereits ein Hinweisgebersystem? Besteht Anpassungsbedarf?
- Welche Kanäle sollen eingerichtet werden (Telefon, E-Mail, Intranet, Briefkasten)?
- Wem soll der interne Meldekanal zur Verfügung stehen? Nur den eigenen Mitarbeitern oder weiteren Personen, die beruflich mit dem Unternehmen in Kontakt stehen?
- Wer ist innerhalb des Unternehmens zuständig für die Entgegennahme und Bearbeitung der Hinweise und erhält die Zugriffsrechte? Bestehen die Qualifizierung und Expertise sowie die Unabhängigkeit, um diese Tätigkeit zu übernehmen? Ist eine Schulung angebracht?
- Wie wird die Vertraulichkeit sichergestellt?
- Wie ist die Vorgehensweise nach einer Meldung?
- Soll ein externer Dienstleister mit der Entgegennahme und Bearbeitung der Meldungen beauftragt werden?
- Müssen der Datenschutzbeauftragte, die Personalabteilung, der Betriebsrat, die Rechtsabteilung und das Compliance eingebunden werden?
- Wie wird die Bearbeitung dokumentiert?