Am 12.05.2023 wurde das neue Hinweisgeberschschutzgesetz (HinSchG) vom Bundesrat bestätigt. Es wird Mitte Juni 2023 in Kraft treten und setzt hohe Anforderungen an Unternehmen. Die Fristen für die Umsetzung sind eng, und die Bußgelder für die Nichtumsetzung sind hoch.

 Im Folgenden erläutern wir daher für Sie, welche Unternehmen und andere Organisationen die Vorschriften für Whistleblowing beachten müssen, und geben Tipps zur Umsetzung des Hinweisgeberschutzgesetzes in der Praxis.

Um was geht es?

 Kurz: Unternehmen müssen umgehend eine sichere Möglichkeit für Beschäftigte einrichten („Meldestelle“), um Hinweise auf Gesetzesverstöße geben zu können, ohne dass ihnen Nachteile drohen. Bußgelder drohen für Missachtung dieser Verpflichtung.

 Das Hinweisgeberschutzgesetz implementiert die EU-Whistleblower-Richtlinie in das deutsche Rechtssystem. Das Gesetz zielt darauf ab, den Schutz von Personen zu regeln, die während ihrer beruflichen Tätigkeit Kenntnis von Rechtsverstößen erlangen und diese an speziell dafür vorgesehene Meldestellen weitergeben, auch bekannt als Hinweisgeber oder Whistleblower. Das Hinweisgeberschutzgesetz verbietet jegliche Form von Repressalien gegenüber Whistleblowern, wie zum Beispiel Abmahnungen, Verweigerung von Beförderungen, disziplinarische Maßnahmen oder Mobbing.

Gleichzeitig sollen Unternehmen durch die Einführung interner Meldesysteme von den Möglichkeiten profitieren, die das Gesetz bietet. Diese Meldungen können als Frühwarnsysteme dienen, die Unternehmen ermöglichen, die erhaltenen Informationen zu prüfen und entsprechend zu handeln, bevor Missstände an die Öffentlichkeit gelangen.

 Bisher war der Schutz von Hinweisgebern in Deutschland hauptsächlich durch die Rechtsprechung geprägt und nicht durch Gesetze. Ein Hinweisgeber musste damit rechnen, dass seine Meldung sich nachteilig für ihn auswirken kann, da eine klare Rechtsgrundlage fehlte, es keinen garantierten Schutz gab und ihm ggfs. sogar Geheimnisverrat vorgeworfen werden konnte. Ohne Rechtsgrundlage konnte zudem die Verarbeitung der Daten eines Beschuldigten immer nur im sog. „berechtigten Interesse“ des Unternehmens stattfinden, bei dem auch die Interessen des Beschuldigten abzuwägen waren.

 Das Hinweisgeberschutzgesetz bringt nun Sicherheit für Hinweisgeber, indem klar geregelt wird, was ein Hinweisgeber darf, wie mit seiner Meldung umgegangen werden muss und wie er bei der Meldung geschützt wird. Das Gesetz enthält auch Regelungen zum Umgang mit missbräuchlichen Meldungen und beschreibt, welche Maßnahmen ein Unternehmen umzusetzen hat.

Wer muss aktiv werden?

• Die Verpflichtung zur Umsetzung betrifft Unternehmen mit einer Gesamtmitarbeiterzahl über 49 Personen.
•  Bei einer Größe von 50 - 249 Mitarbeiter muss die Meldestelle bis zum 16.12.2023 eingerichtet sein.
•  Bei Unternehmensgrößen von über 250 Beschäftigten muss die Meldestelle einen Monat nach Verkündung des Gesetzes eingerichtet sein (Mitte Juni 2023).
•  ACHTUNG: Tochtergesellschaften von Unternehmen mit > 250 Mitarbeitern unterliegen der Regelung der Muttergesellschaft, auch wenn sie kleiner sind
• Auch gilt für Wertpapierdienstleistungsunternehmen im Sinne des § 2 Abs. 10 des Wertpapierhandelsgesetzes keine Mindestgröße.

Wie kann man eine Meldestelle einrichten?

 Kurz: Eine interne Meldestelle muss garantieren, dass die übermittelte Meldung sicher verarbeitet wird. Sie darf deshalb nicht auf Systemen des Unternehmens betrieben werden (z.B. internes Mailpostfach oder interne Telefondurchwahl). Die Identität des Meldenden muss unter allen Umständen geschützt werden, die Meldung soll auch anonym erfolgen können.

 Gemäß § 16 des Hinweisgeberschutzgesetzes müssen die Meldekanäle so gestaltet sein, dass nur die dafür zuständigen Personen sowie jene, die bei der Bearbeitung der Meldungen unterstützen, Zugriff auf die eingehenden Hinweise haben. Dies bedeutet, dass gewährleistet werden muss, dass unberechtigte Personen keinen Zugriff auf die Identität des Hinweisgebers oder den Inhalt des Hinweises haben. Diese Anforderung hat Auswirkungen auf die technische Umsetzung des internen Meldekanals.

 Interne Meldekanäle müssen sowohl mündliche als auch schriftliche Meldungen ermöglichen. Mündliche Meldungen können beispielsweise per Telefon oder über andere Sprachübermittlungsmethoden erfolgen. Auf Wunsch des Hinweisgebers muss eine persönliche Zusammenkunft mit einer dafür zuständigen Person der internen Meldestelle innerhalb einer angemessenen Frist ermöglicht werden, um eine Meldung persönlich vorzubringen.

Besonders wichtig ist der Schutz der Vertraulichkeit der Identität des Hinweisgebers. Die Akzeptanz des Hinweisgebersystems hängt maßgeblich von einem effektiven Schutz der Identität des Hinweisgebers und aller Personen, die Gegenstand einer Meldung sind, ab. Grundsätzlich sollte die Identität nur den Personen bekannt sein, die für die Bearbeitung der Meldung zuständig sind. Informationen über die Identität eines Hinweisgebers oder einer in einer Meldung betroffenen Person sollten nur in Ausnahmefällen weitergegeben werden, beispielsweise auf Anforderung von Strafverfolgungsbehörden im Rahmen von Strafverfahren.

Anforderung an die Personen, die die Meldungen entgegennehmen

Kurz: Die Person(en) müssen unabhängig sein und es darf kein Interessenskonflikt zu übrigen Tätigkeiten bestehen. Die Person kann zugleich Meldestelle für mehrere Unternehmen sein. Außerdem muss die Person über die notwendige Fachkunde verfügen. Die Person kann ein interner Mitarbeiter sein, es wird jedoch aufgrund der Anforderungen hinsichtlich Unabhängigkeit und Interessenskonflikt empfohlen, eine externe „Ombudsperson“ zu etablieren. Das Gesetz empfiehlt dazu ausdrücklich auch Datenschutzbeauftragte des Unternehmens.

 Es ist dafür Sorge zu tragen, dass die Unabhängigkeit der internen Meldestelle gewährleis- tet wird und so Interessenkonflikte vermieden werden. Denkbar wäre es insofern beispiels- weise bei kleineren Beschäftigungsgebern, den Leiter der Complianceabteilung, eine Integritätsbeauftragte, Datenschutzbeauftragte oder Auditverantwortliche mit der Aufgabe zu betrauen.

Außerdem muss die Person über die erforderliche Fachkunde verfügen. Diese Fachkunde ist nicht näher definiert, es wird jedoch davon ausgegangen, dass die Person zum einen über Erfahrung in der Gesprächsführung verfügen soll und über weitreichende Erfahrung in der Beurteilung und Behandlung von geheimhaltungspflichtigen Informationen zu Datenverarbeitungen hat und im Umgang mit Whistleblowing geschult ist.

 Für kleine oder mittlere Unternehmen stellt sich die Frage, ob es sinnvoll ist, eine interne Person mit der Bearbeitung von Hinweisen zu betrauen und diese entsprechend zu qualifizieren, insbesondere vor dem Hintergrund einer erwarteten geringen Anzahl von Hinweisen. In der Regel ist es effizienter, eine erfahrene externe Ombudsperson mit der Entgegennahme und ersten Bearbeitung von eingehenden Hinweisen zu beauftragen.

Was können wir für Sie tun?

 Wir bieten Ihnen im Rahmen unserer Tätigkeit als Datenschutz- und Informationssicherheitsbeauftragte die Beratung und Einrichtung einer unabhängigen Meldestelle an und übernehmen die Funktion der Ombudsperson für Ihr Unternehmen. Durch unsere langjährige Erfahrung bei der Einführung von Whistleblowingsystemen im Rahmen unserer Datenschutzmandate, kennen wir die Herausforderungen und bieten praxisgerechte und einfache Lösungen.

 Sprechen Sie uns an, wenn Sie weitere Informationen oder Unterstützung benötigen!