Bald kommen auf Unternehmen und Behörden neue Vorgaben zu: Das neue Hinweisgeberschutzgesetz fordert das Einrichten eines Meldesystems für Rechtsverstöße. Dieser Beitrag beantwortet die wichtigsten Fragen rund um die Hinweisgeberrichtlinie.
Dieser Beitrag wurde am 28.02.2023 aktualisiert.
Was steckt hinter dem Hinweisgeberschutzgesetz?
Das Hinweisgeberschutzgesetz, auch Hinweisgeberrichtlinie genannt, ist eine verspätete Umsetzung der EU-Whistleblower-Richtlinie auf nationaler Ebene. Letztere trat 2019 in Kraft und sollte bereits 2021 in Deutschland umgesetzt werden. Das Hinweisgeberschutzgesetz soll
a) Mitarbeiter vor Entlassung, Mobbing, Disziplinarverfahren, Abmahnung oder anderweitiger Benachteiligung schützen, wenn sie Verstöße gegen Compliance, jegliches EU-Recht oder deutsches Recht oder verfassungsfeindliche Äußerungen bei Beamten bemerken und diese melden und
b) das Melden dieser Verstöße erleichtern.
Im Folgenden finden Sie einen verständlichen Überblick, zur Umsetzung der Richtlinie (EU) 2019/1937 – oder auf Deutsch: Wie Sie die Hinweisgeberrichtlinie umsetzen.
Wann tritt die Hinweisgeber-Richtlinie bzw. das Hinweisgeberschutzgesetz in Kraft?
Das steht bislang in den Sternen. Am 19. Oktober 2022 fand eine öffentliche Anhörung zum Entwurf im Rechtsausschuss des Bundestages statt; seitdem dreht sich die Sache im Kreis. Der aktuelle Stand: Am 10. Februar 2023 wurde die Hinweisgeber-Richtlinie vom Bundesrat abgelehnt und kann also nicht, wie erst geplant, im April 2023 in Kraft treten.
Was ist ein Hinweisgeber?
Als Hinweisgeber versteht das neue Hinweisgeberschutzgesetz alle Beschäftigen eines Unternehmens oder eine Behörde. Hinweisgeber kann vom Festangestellten bis zum Freelancer jeder sein, der im Unternehmen beschäftigt ist. Darüber hinaus werden mit dem Gesetz auch Einwohner geschützt, aber ich werde mich in diesem Beitrag auf Unternehmen und Behörden beschränken.
Wer muss das Hinweisgeberschutzgesetz umsetzen?
Hier wird es jetzt etwas kompliziert. Für wen die Hinweisgeberrichtlinie gilt, hängt unter anderem von der Art der Einrichtung und der Zahl der Beschäftigten ab.
Ein eigenes Hinweisgebersystem, wie ich es im nächsten Absatz erläutere, benötigen mit Inkrafttreten des neuen Hinweisgeberschutzgesetzes:
- Behörden und Unternehmen ab 50 Mitarbeitern
- Nach § 12 des aktuellen Entwurfes unabhängig von der Mitarbeiterzahl
- Wertpapierdienstleistungsunternehmen
- Datenbereitstellungsdienste
- Börsenträger
- Kredit- und Wertpapierinstitute
- Kapitalverwaltungsgesellschaften
- Versicherer
Unternehmen zwischen 50 und 250 Mitarbeitern haben zunächst eine Schonfrist. Ab dem 17.12.2023 muss auch jedes Unternehmen ab 50 Mitarbeitern ein Meldesystem einrichten.
Sie sollten außerdem noch einige Besonderheiten in Bezug auf den Ort der Meldestelle kennen:
- Für Behörden legen Bund oder Land (je nachdem, wer Arbeitgeber ist) die Meldestelle auf Bundes- oder Landesebene fest
- Mehrere Unternehmen mit weniger als 250 Mitarbeitern können eine gemeinsame Meldestelle betreiben
- Konzerne können die Meldestelle bei der Konzernmutter einrichten
Das Hinweisgeberschutzgesetz kommt: Achim Barth im Interview bei Hamburg 1 „Gut beraten“
Wie hat so ein Meldesystem im Sinne des Hinweisgeberschutzgesetzes auszusehen?
Sie wissen nun, wer ein Hinweisgebersystem einrichten muss. Nun stellt sich noch die Frage: Wie soll das aussehen? Grundsätzlich haben Hinweisgeber laut Hinweisgeber-Richtlinie die Wahl, ob sie einen Verstoß direkt bei der „hauseigenen“ Meldestelle oder bei einer der drei externen Meldestellen des Bundes melden:
- Bundesministerium für Justiz
- Bundesanstalt für Finanzdienstleistungen
- Bundeskartellamt
Wendet sich ein Hinweisgeber aber direkt an eine Bundesstelle, können direkt staatliche Kontrollen Ihres Unternehmens angeordnet werden. Ich rate Ihnen also dringend dazu, ein möglichst attraktives, leicht nutzbares Meldesystem einzurichten – besonders, da bei Verhinderung von Meldungen durch das Unternehmen ein Bußgeld von bis zu 100.000 Euro droht. Haben Sie bis drei Monate nach Inkrafttreten des Gesetzes trotz Verpflichtung keine Meldestelle eingerichtet, können Sie mit einem Bußgeld von 20.000 Euro rechnen.
Mit der Meldestelle Ihres Unternehmens verhält es sich ähnlich wie mit der Benennung eines Datenschutzbeauftragten: Sie muss unabhängig arbeiten und frei von Interessenskonflikten sein. Darüber hinaus sollte sich der Beauftragte nach einer grundlegenden Schulung regelmäßig weiterbilden. Mit einem eigenen Mitarbeiter als Vertrauensperson kann das zum Mammutprojekt heranwachsen. Das Hinweisgeberschutzgesetz hält deshalb auch die Möglichkeit offen, eine externen Meldestellen-Beauftragten als Ombudsmann für Hinweis-Entgegennahme, Ermittlung und Kommunikation mit dem Hinweisgeber einzustellen.
In jedem Fall gilt: Es muss dem Hinweisgeber möglich sein, Verstöße sowohl mündlich als auch schriftlich ohne Hürden zu melden. Richten Sie also eine Telefonhotline, eine E-Mail-Adresse oder ein Onlineportal ein, um Meldungen entgegenzunehmen.
Was ist nach einer Meldung zu tun?
Geht eine Meldung ein, hat erst einmal innerhalb von sieben Tagen nach Eingang eine Meldebestätigung an den Hinweisgeber zu erfolgen. Die Meldung wird dokumentiert und revisionssicher eingepflegt. Dann beginnt die Ermittlung im Unternehmen bzw. der jeweiligen Organisationseinheit. Die Meldestelle muss den Hinweis unparteiisch prüfen, mit den Betroffenen sprechen und den Hinweisgeber, wenn nötig, an andere zuständige Stellen verweisen. Dazu hat die Meldestelle drei Monate Zeit. Sie sollte in diesem Zeitraum außerdem den Hinweisgeber über das bisher erfolgte bzw. geplante Vorgehen informieren und dieses begründen.
Erfolgt keine Reaktion, kann der Hinweisgeber als letztes Mittel natürlich immer noch an die Öffentlichkeit gehen.
Wie verhält es sich bei der Umsetzung der EU-Hinweisgeberrichtlinie mit dem Datenschutz?
Der aktuelle Entwurf der Hinweisgeberrichtlinie sieht nicht vor, dass Sie ein anonymes Meldesystem anbieten. Im Sinne von DSGVO und BDSG sind die Daten der Hinweisgeber also in jedem Fall vor dem Einblick unbefugter Dritter zu schützen.
Konkret schreibt § 8 des Hinweisgeberschutzgesetzes:
(1) Die Meldestellen haben die Vertraulichkeit der Identität der folgenden Personen zuwahren:
- der hinweisgebenden Person, sofern die gemeldeten Informationen Verstöße betreffen, die in den Anwendungsbereich dieses Gesetzes fallen, oder die hinweisgebende Person zum Zeitpunkt der Meldung hinreichenden Grund zu der Annahme hatte, dass dies der Fall sei,
- der Personen, die Gegenstand einer Meldung sind, und
- der sonstigen in der Meldung genannten Personen.
Die Identität der in Satz 1 genannten Personen darf ausschließlich den Personen, die für die Entgegennahme von Meldungen oder für das Ergreifen von Folgemaßnahmen zuständig sind, sowie den sie bei der Erfüllung dieser Aufgaben unterstützenden Personen bekannt werden.
(2) Das Gebot der Vertraulichkeit der Identität gilt unabhängig davon, ob die Melde-stelle für die eingehende Meldung zuständig ist.
Muss ich als Unternehmer jetzt mit Schäden durch Falschmeldungen rechnen?
Unternehmer sollten das neue Hinweisgeberschutzgesetz nicht als Strafe sehen. Begehen Sie keine bewussten Verstöße, haben Sie nichts zu befürchten. Begehen Sie unwissentlich einen Verstoß, können Sie das Meldesystem als eine Art Frühwarnsystem betrachten: Mitarbeiter können hier Missstände aufzeigen, bevor Behörden darauf aufmerksam werden.
Nun kann es natürlich immer sein, dass ein Mitarbeiter Ihnen eins auswischen will und falsche Hinweise liefert. Stellt eine Meldestelle eine Falschmeldung fest und ist dadurch schon ein Schaden entstanden, muss der Hinweisgeber für diesen Schaden aufkommen. Als Unternehmer sind Sie der Hinweisgeberrichtlinie also nicht schutzlos ausgeliefert, was besonders wichtig ist, da für das Melderecht mitunter auch Verschwiegenheits- oder Geheimhaltungspflichten umgangen werden dürfen.
Mein Fazit: Mit der Hinweisgeberrichtlinie kommt wieder Einiges auf Unternehmen zu
Für Hinweisgeber ist der erweiterte Schutz und die damit verbundene Erleichterung bei Verfolgen von Missständen natürlich zu begrüßen. Auf Unternehmen kommt damit aber wieder einiges an Arbeit zu.
Ähnlich wie bei der Frage nach dem Datenschutzbeauftragten empfehle ich deshalb auch hier: Machen Sie es sich nicht unnötig schwer und geben Sie die Sache an einen externen Partner ab, sobald das neue Hinweisgeberschutzgesetz in Kraft tritt. So sparen Sie Zeit und Nerven, die Sie sonst in das Einrichten und Pflegen des Hinweissystems investieren müssten.
Laden Sie sich gerne noch meine kostenlose Kurz-Übersicht zum Hinweisgeberschutzgesetz herunter!
