In unserer Serie WhistleBlog beantworten wir die wichtigsten FAQ rund um das Thema „Whistleblowing“ und Hinweisgeberschutz.
Hier finden Unternehmen alles, was sie zum Thema „Whistleblowing“ wissen müssen!
„Whistleblowing“ bedeutet wörtlich übersetzt die „Trillerpfeife blasen“. Dabei geht es um sogenannte Hinweisgeber, die Missstände in Unternehmen aufdecken.
Die Entscheidung, solche Missstände aufzudecken, erfordert häufig eine große Portion an Mut und Entschlossenheit. Gerade in Deutschland hat der Gesetzgeber diese Hinweisgeber bisher nur unzureichend geschützt.
Das ändert sich jetzt durch das neue Hinweisgeberschutzgesetz (HinSchG).
Am 16. Dezember 2019 ist die EU-Whistleblower Richtlinie in Kraft getreten (offizieller Name: EU-Direktive 2019/1937 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden). Diese soll Hinweisgeber besser vor Repressalien bei der Preisgabe von internen Missständen schützen und dafür einen EU-weiten Standard garantieren. Bisher war das in den einzelnen EU-Staaten nur rudimentär und unterschiedlich geregelt.
Die EU-Mitgliedsstatten müssen die EU-Whistleblower Richtlinie in nationales Recht umsetzen. Die Frist zur Umsetzung ist am 17. Dezember 2021 abgelaufen. Deutschland hat bisher kein nationales Gesetz zum Schutz von Hinweisgebern verabschiedet und somit die Frist zur Umsetzung verstreichen lassen. Die EU-Kommission hat deshalb im Februar 2022 ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet.
Mit dem Hinweisgeberschutzgesetz (HinSchG) wird Deutschland die EU-Whistleblower Richtlinie nun umsetzen.
Das deutsche Hinweisgeberschutzgesetz (HinSchG) setzt die EU-Whistleblower Richtlinie um.
Ziel des Gesetzes
Wie auch die zugrunde liegende EU-Whistleblower Richtlinie verfolgt das Hinweisgeberschutzgesetz (HinSchG) als primäres Ziel den Schutz von Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit Informationen über Verstöße erlangt haben und diese bei einer internen oder externen Meldestelle melden. Hinweisgeber sind dabei vor jeglichen Repressalien und Vergeltungsmaßnahmen geschützt. Darüber hinaus soll es der Stigmatisierung von Personen, die interne Geheimnisse offenlegen, entgegenwirken.
Dabei ist der Schutzbereich gegenüber der EU-Whistleblower Richtlinie weiter: Während nach der EU-Richtlinie nur die Aufdeckung von Verstößen gegen EU-Recht geschützt wird, schützt das deutsche Hinweisgeberschutzgesetz (HinSchG) auch die Aufdeckung von Verstößen gegen nationales Recht. Der Grund: So kann der Hinweisgeber auch in komplexen Sachverhalten mit Verstößen gegen EU-Recht sowie deutsches Recht sicher sein, keine Sanktionen erleiden zu müssen.
Konsequenzen für Unternehmen
Unternehmen in Deutschland ab einer gewissen Größe müssen das Hinweisgeberschutzgesetz (HinSchG) umsetzen. Die Einzelheiten erklären wir in Abschnitt 5 „Für welche Unternehmen gilt das neue Hinweisgeberschutzgesetz (HinSchG)?“
Nachfolgend beschreiben wir eine Chronologie der bisherigen Ereignisse:
- Dezember 2019 – EU-Whistleblower Richtlinie tritt in Kraft
Die Mitgliedsstaaten haben bis zum 17. Dezember 2021 Zeit, die EU-Richtlinie in ein nationales Gesetz umzusetzen. - Dezember 2021 – Frist zur Umsetzung der EU-Richtlinie läuft ohne Ergebnis ab
Die EU-Whistleblower Richtlinie hätte bis zum 17. Dezember 2021 in deutsches Recht umgesetzt werden müssen. Die damaligen Gesetzesentwürfe sind jedoch gescheitert. - Februar 2022 – Vertragsverletzungsverfahren gegen Deutschland
Nachdem der deutsche Gesetzgeber die EU-Richtlinie nicht innerhalb der Frist umgesetzt hat, leitete die EU-Kommission ein Vertragsverletzungsverfahren ein. - Juli 2022 –Bundesregierung beschließt einen Entwurf des Hinweisgeberschutzgesetzes (HinSchG)
- September 22 – Beratung über den Entwurf im Bundestag.
Bundestag und Bundesrat beraten zum Hinweisgeberschutzgesetz (HinSchG). - Dezember 22. Beschluss des Hinweisgeberschutzgesetzes (HinSchG) durch den Bundestag. Die Zustimmung des Bundesrates steht noch aus.
Das deutsche Hinweisgeberschutzgesetz (HinSchG) wird vermutlich in Q1 2023 verabschiedet werden. Nach Verabschiedung tritt es 3 Monate später in Kraft.
Unternehmen, die unter den Anwendungsbereich fallen, müssen sich also darauf einstellen, das Hinweisgeberschutzgesetz bis Q2 2023 umzusetzen.
Das deutsche Hinweisgeberschutzgesetz gilt (in Bezug auf die Verpflichtung zur Einrichtung einer „internen Meldestelle“)
- für Unternehmen ab 250 Beschäftigte ab in Kraft treten (voraussichtlich Ende Q4 2022 oder Q1 2023) und
- für Unternehmen ab 50 bis 249 Beschäftigte ab dem 17. Dezember 2023.
Darüber hinaus gilt das gilt das Hinweisgeberschutzgesetz für Einrichtungen des öffentlichen Sektors, Behörden sowie Gemeinden ab 10.000 Einwohnern.
Die Unternehmen, die unter den Anwendungsbereich des Hinweisgeberschutzgesetzes (HinSchG) fallen, müssen im Wesentlichen folgende Anforderungen umsetzen:
Einrichtung einer „internen Meldestelle“
Unternehmen müssen eine „interne Meldestelle“ einrichten, an die sich die Beschäftigten wenden können. Mit „Beschäftigte“ sind Arbeitnehmer:innen, Auszubildende und arbeitnehmerähnliche Personen gemeint.
Die interne Meldestelle betreibt Meldekanäle, führt das Meldeverfahren und ergreift angemessene Folgemaßnahmen im Falle von relevanten Meldungen. Die Einzelheiten werden in den Abschnitten „Anforderungen an die interne Meldestelle“ (Kapitel 7) und „Aufgaben der internen Meldestelle“ (Kapitel 8) behandelt.
Mehrere Unternehmen mit jeweils 50 bis 249 Beschäftigte können eine gemeinsame „interne Meldestelle“ einrichten. Dies dürfte insbesondere für Konzerne von Interesse sein.
Einrichtung von Meldekanälen
Unternehmen müssen interne Meldekanäle für die „interne Meldestelle“ einrichten, über die Verstöße gemeldet werden können. Gemeldet werden dürfen grundsätzlich straf- oder bußgeldbewehrte Verstöße sowie Verstöße gegen bestimmte nationale oder europäische Rechtsvorschriften.
Die Meldekanäle müssen Meldungen in mündlicher oder in Textform ermöglichen. Auf Ersuchen des Hinweisgebers ist für eine Meldung innerhalb einer angemessenen Zeit eine persönliche Zusammenkunft mit der internen Meldestelle zu ermöglichen.
Es besteht keine Verpflichtung, die Meldekanäle so zu gestalten, dass sie die Abgabe anonymer Meldungenermöglichen.
Das Hinweisgeberschutzgesetz (HinSchG) beschreibt folgende Anforderungen und Organisationsformen für die „interne Meldestelle“:
- Die interne Meldestelle kann mit einer bei dem Unternehmen beschäftigten Person (z.B. Compliance Officer oder General Counsel) oder durch einen externen Dritten (z.B. externer Rechtsanwalt als Ombudsperson) besetzt werden.
- Die entsprechende Person muss unabhängig agieren und über die notwendige Fachkunde verfügen, eingehende Meldungen (insb. hinsichtlich rechtlicher Relevanz)bewerten zu können. Derartige Einschätzungen erfordern in der Regel juristische Fachkenntnis.
Wichtig für Konzerne: Mehrere Unternehmen innerhalb eines Konzerns mit jeweils 50 bis 249 Beschäftigte können eine gemeinsame „interne Meldestelle“ (z.B. beim konzernübergreifenden Compliance-Office) einrichten.
Die „interne Meldestelle“ hat folgende Aufgaben:
Betrieb der internen Meldekanäle
Die „interne Meldestelle“ betreibt die internen Meldekanäle, über die sich die Beschäftigten wenden können, um Informationen über Verstöße zu melden.
Führen des Meldeverfahrens
Die interne Meldestelle führt das Meldeverfahren. Sie
- bestätigt dem Hinweisgeber den Eingang der Meldung spätestens nach 7 Tagen,
- prüft, ob der gemeldete Verstoß relevant ist,
- hält mit der hinweisgebenden Person Kontakt,
- prüft die Stichhaltigkeit der eingegangenen Meldung und
- ersucht die hinweisgebende Person erforderlichenfalls um weitere Informationen.
Ergreifen von Folgemaßnahmen
Die „interne Meldestelle“ ergreift angemessene Folgemaßnahmen. Dazu kann die „interne Meldestelle“ insbesondere
- interne Untersuchungen durchführen,
- das Verfahren aus Mangel an Beweisen oder aus anderen Gründen abschließen oder
- das Verfahren zwecks weiterer Untersuchungen an eine zuständige Behörde abgeben.
Das Hinweisgeberschutzgesetz (HinSchG) lässt den Unternehmen die Wahl, die „interne Meldestelle“ intern (z.B. durch eine beschäftigte Person oder Organisationseinheit innerhalb des Unternehmens) oder extern durch einen Dritten (z.B. externe Ombudsperson) zu besetzen.
Die Auslagerung einer derartigen Funktion auf einen externen Dienstleister bringen einige Vorteile mit:
Ein externer Dienstleister ist in der Regel günstiger und bringt bereits aufgrund seines Berufs die erforderliche Fachkunde, Erfahrung und Sensibilität mit.
Darüber hinaus besteht nicht das Risiko von möglichen Interessenkonflikten.
Zusätzlich hat das Unternehmen im Falle eines Schadens einen liquiden (versicherten) Schuldner.
Meldekanäle müssen Meldungen in mündlicher (z.B. Telefon) oder in Textform (z.B. digitales Hinweisgebersystem) ermöglichen.
Die Vertraulichkeit der Meldung und des Hinweisgebers muss dabei gewährleistet sein. Nur die „interne Meldestelle“ sowie unterstützenden Personen dürfen Zugriff auf die eingehenden Meldungen haben. Die Abgabe anonymer Meldungen muss ermöglicht werden.
In der Praxis haben sich insbesondere Hinweisgebersysteme auf der Basis digitaler Plattformen als Meldekanäle für die Abgabe von schriftlichen Meldungen bewährt. Bei der Auswahl eines entsprechenden Anbieters sollte darauf geachtet werden, dass die Plattform mindestens folgende Voraussetzungen erfüllt (Best Practices):
- Hosting des Systems innerhalb der EU und nicht auf Servern von US-amerikanischen Tochterunternehmen (um die datenschutzrechtlichen Anforderungen der DSGVO zu gewährleisten),
- Zertifiziertes Hochsicherheitsrechenzentrum (ISO 27001)
- Anonyme 2-Wege-Kommunikation
- Mehrsprachigkeit
- Ende-zu-Ende Verschlüsselung
- 2-Faktor-Authentifizierung
- Entfernung der Metadaten
Richtet ein Unternehmen eine interne Meldestelle nicht oder nicht fristgerecht ein, so drohen Bußgelder bis zu 20.000 Euro.