Angebot einholen
Logo Barth Datenschutz
Angebot einholen

Das sollten Sie zum neuen Hinweisgeberschutzgesetz wissen

8. November 2022

von Achim Barth

Spätestens ab dem 2. Quartal 2023 kommen auf Unternehmen und Behörden neue Vorgaben zu: Das neue Hinweisgeberschutzgesetz fordert das Einrichten eines Meldesystems für Rechtsverstöße. Dieser Beitrag beantwortet die wichtigsten Fragen rund um die Hinweisgeberrichtlinie.

Was steckt hinter dem Hinweisgeberschutzgesetz?

Das Hinweisgeberschutzgesetz, auch Hinweisgeberrichtlinie genannt, ist eine verspätete Umsetzung der EU-Whistleblower-Richtlinie auf nationaler Ebene. Letztere trat 2019 in Kraft und sollte bereits 2021 in Deutschland umgesetzt werden. Das Hinweisgeberschutzgesetz soll

a) Mitarbeiter vor Entlassung, Mobbing, Disziplinarverfahren, Abmahnung oder anderweitiger Benachteiligung schützen, wenn sie Verstöße gegen Compliance, jegliches EU-Recht oder deutsches Recht bemerken und diese melden und

b) das Melden dieser Verstöße erleichtern.

Am 19. Oktober 2022 fand eine öffentliche Anhörung zum Entwurf im Rechtsausschuss des Bundestages statt. Da das Gesetz vermutlich noch dieses Jahr verabsschiedet wird, können Sie davon ausgehen, dass das Gesetz spätestens im 2. Quartal 2023 verpflichtend wird. Die Zeit drängt also – doch was ist jetzt zu tun?

Im Folgenden finden Sie einen verständlichen Überblick, um sich auf die künftigen Anforderungen vorzubereiten.

Was ist ein Hinweisgeber?

Als Hinweisgeber versteht das neue Hinweisgeberschutzgesetz alle Beschäftigen eines Unternehmens oder eine Behörde. Hinweisgeber kann vom Festangestellten bis zum Freelancer jeder sein, der im Unternehmen beschäftigt ist. Darüber hinaus werden mit dem Gesetz auch Einwohner geschützt, aber ich werde mich in diesem Beitrag auf Unternehmen und Behörden beschränken.

Wer muss das Hinweisgeberschutzgesetz umsetzen?

Hier wird es jetzt etwas kompliziert. Für wen die Hinweisgeberrichtlinie zählt, hängt unter anderem von der Art der Einrichtung und der Zahl der Beschäftigten ab.

Ein eigenes Hinweisgebersystem, wie ich es im nächsten Absatz erläutere, benötigen mit Inkrafttreten des neuen Hinweisgeberschutzgesetzes:

  • Behörden und Unternehmen ab 50 Mitarbeitern
  • Nach § 12 des aktuellen Entwurfes unabhängig von der Mitarbeiterzahl
    o Wertpapierdienstleistungsunternehmen
    o Datenbereitstellungsdienste
    o Börsenträger
    o Kredit- und Wertpapierinstitute
    o Kapitalverwaltungsgesellschaften
    o Versicherer

Unternehmen zwischen 50 und 250 Mitarbeitern haben zunächst eine Schonfrist. Ab dem 17.12.2023 muss auch jedes Unternehmen ab 50 Mitarbeitern ein Meldesystem einrichten.

Sie sollten außerdem noch einige Besonderheiten in Bezug auf den Ort der Meldestelle kennen:

  • Für Behörden legen Bund oder Land (je nachdem, wer Arbeitgeber ist) die Meldestelle auf Bundes- oder Landesebene fest
  • Mehrere Unternehmen mit weniger als 250 Mitarbeitern können eine gemeinsame Meldestelle betreiben
  • Konzerne können die Meldestelle bei der Konzernmutter einrichten

Wie hat so ein Meldesystem im Sinne des Hinweisgeberschutzgesetzes auszusehen?

Grundsätzlich haben Hinweisgeber die Wahl, ob sie einen Verstoß direkt bei der „hauseigenen“ Meldestelle oder bei einer der drei externen Meldestellen des Bundes zu melden:

  • Bundesministerium für Justiz
  • Bundesanstalt für Finanzdienstleistungen
  • Bundeskartellamt

Wendet sich ein Hinweisgeber aber direkt an eine Bundesstelle, können direkt staatliche Kontrollen Ihres Unternehmens angeordnet werden. Ich rate Ihnen also dringend dazu, ein möglichst attraktives, leicht nutzbares Meldesystem einzurichten – besonders, da bei Verhinderung von Meldungen durch das Unternehmen ein Bußgeld von bis zu 100.000 Euro droht. Haben Sie bis drei Monate nach Inkrafttreten des Gesetzes trotz Verpflichtung keine Meldestelle eingerichtet, können Sie mit einem Bußgeld von 20.000 Euro rechnen.

Mit der Meldestelle Ihres Unternehmens verhält es sich ähnlich wie mit der Benennung eines Datenschutzbeauftragten: Sie muss unabhängig arbeiten und frei von Interessenskonflikten sein. Darüber hinaus sollte sich der Beauftragte nach einer grundlegenden Schulung regelmäßig weiterbilden. Mit einem eigenen Mitarbeiter als Vertrauensperson kann das zum Mammutprojekt heranwachsen. Das Hinweisgeberschutzgesetz hält deshalb auch die Möglichkeit offen, eine externen Meldestellen-Beauftragten als Ombudsmann für Hinweis-Entgegennahme, Ermittlung und Kommunikation mit dem Hinweisgeber einzustellen.

In jedem Fall gilt: Es muss dem Hinweisgeber möglich sein, Verstöße sowohl mündlich als auch schriftlich ohne Hürden zu melden. Richten Sie also eine Telefonhotline, eine E-Mail-Adresse oder ein Onlineportal ein, um Meldungen entgegenzunehmen.

Was ist nach einer Meldung zu tun?

Geht eine Meldung ein, hat erst einmal innerhalb von sieben Tagen nach Eingang eine Meldebestätigung an den Hinweisgeber zu erfolgen. Die Meldung wird dokumentiert und revisionssicher eingepflegt. Dann beginnt die Ermittlung im Unternehmen bzw. der jeweiligen Organisationseinheit. Die Meldestelle muss den Hinweis unparteiisch prüfen, mit den Betroffenen sprechen und den Hinweisgeber, wenn nötig, an andere zuständige Stellen verweisen. Dazu hat die Meldestelle drei Monate Zeit. Sie sollte in diesem Zeitraum außerdem den Hinweisgeber über das bisher erfolgte bzw. geplante Vorgehen informieren und dieses begründen.

Erfolgt keine Reaktion, kann der Hinweisgeber als letztes Mittel natürlich immer noch an die Öffentlichkeit gehen.

Wie ist datenschutzrechtlich mit Meldungen umzugehen?

Der aktuelle Entwurf sieht nicht vor, dass Sie ein anonymes Meldesystem anbieten. Im Sinne von DSGVO und BDSG sind die Daten der Hinweisgeber also in jedem Fall vor dem Einblick unbefugter Dritter zu schützen.

Konkret schreibt § 8 des Hinweisgeberschutzgesetzes:
(1) Die Meldestellen haben die Vertraulichkeit der Identität der folgenden Personen zuwahren:

  1. der hinweisgebenden Person, sofern die gemeldeten Informationen Verstöße betreffen, die in den Anwendungsbereich dieses Gesetzes fallen, oder die hinweisgebende Person zum Zeitpunkt der Meldung hinreichenden Grund zu der Annahme hatte, dass dies der Fall sei,
  2. der Personen, die Gegenstand einer Meldung sind, und
  3. der sonstigen in der Meldung genannten Personen.

Die Identität der in Satz 1 genannten Personen darf ausschließlich den Personen, die für die Entgegennahme von Meldungen oder für das Ergreifen von Folgemaßnahmen zuständig sind, sowie den sie bei der Erfüllung dieser Aufgaben unterstützenden Personen bekannt werden.

(2) Das Gebot der Vertraulichkeit der Identität gilt unabhängig davon, ob die Melde-stelle für die eingehende Meldung zuständig ist.

Muss ich als Unternehmer jetzt mit Schäden durch Falschmeldungen rechnen?

Unternehmer sollten das neue Hinweisgeberschutzgesetz nicht als Strafe sehen. Begehen Sie keine bewussten Verstöße, haben Sie nichts zu befürchten. Begehen Sie unwissentlich einen Verstoß, können Sie das Meldesystem als eine Art Frühwarnsystem betrachten: Mitarbeiter können hier Missstände aufzeigen, bevor Behörden darauf aufmerksam werden.

Nun kann es natürlich immer sein, dass ein Mitarbeiter Ihnen eins auswischen will und falsche Hinweise liefert. Stellt eine Meldestelle eine Falschmeldung fest und ist dadurch schon ein Schaden entstanden, muss der Hinweisgeber für diesen Schaden aufkommen. Als Unternehmer sind Sie der Hinweisgeberrichtlinie also nicht schutzlos ausgeliefert, was besonders wichtig ist, da für das Melderecht mitunter auch Verschwiegenheits- oder Geheimhaltungspflichten umgangen werden dürfen.

Mein Fazit: Mit der Hinweisgeberrichtlinie kommt wieder Einiges auf Unternehmen zu

Für Hinweisgeber ist der erweiterte Schutz und die damit verbundene Erleichterung bei Verfolgen von Missständen natürlich zu begrüßen. Auf Unternehmen kommt damit aber wieder einiges an Arbeit zu.

Ähnlich wie bei der Frage nach dem Datenschutzbeauftragten empfehle ich deshalb auch hier: Machen Sie es sich nicht unnötig schwer und geben Sie die Sache an einen externen Partner ab, sobald das neue Hinweisgeberschutzgesetz in Kraft tritt. So sparen Sie Zeit und Nerven, die Sie sonst in das Einrichten und Pflegen des Hinweissystems investieren müssten.

Kategorien: Whistleblower

Diese Blogbeiträge dürften Sie ebenfalls interessieren