1. Was bedeutet Whistleblowing

„Whistleblowing“ bedeutet wörtlich übersetzt die „Trillerpfeife blasen“. Dabei geht es um sogenannte Hinweisgeber, die Missstände in Unternehmen aufdecken.

Die Entscheidung, solche Missstände aufzudecken, erfordert häufig eine große Portion an Mut und Entschlossenheit. Gerade in Deutschland hat der Gesetzgeber diese Hinweisgeber bisher nur unzureichend geschützt.

Das ändert sich jetzt durch das neue Hinweisgeberschutzgesetz (HinSchG).
 

2. Was ist die EU-Whistleblower Richtlinie

Am 16. Dezember 2019 ist die EU-Whistleblower Richtlinie in Kraft getreten (offizieller Name: EU-Direktive 2019/1937 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden). Diese soll Hinweisgeber besser vor Repressalien bei der Preisgabe von internen Missständen schützen und dafür einen EU-weiten Standard garantieren. Bisher war das in den einzelnen EU-Staaten nur rudimentär und unterschiedlich geregelt.

Die EU-Mitgliedsstaaten müssen die EU-Whistleblower Richtlinie in nationales Recht umsetzen. Die Frist zur Umsetzung ist am 17. Dezember 2021 abgelaufen. Deutschland hat bisher kein nationales Gesetz zum Schutz von Hinweisgebern verabschiedet und somit die Frist zur Umsetzung verstreichen lassen. Die EU-Kommission hat deshalb im Februar 2022 ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet.

Mit dem Hinweisgeberschutzgesetz (HinSchG) wird Deutschland die EU-Whistleblower Richtlinie nun umsetzen.

3. Was ist das deutsche Hinweisgeberschutzgesetz?

Das deutsche Hinweisgeberschutzgesetz (HinSchG) setzt die EU-Whistleblower Richtlinie um.

Ziel des Gesetzes
Wie auch die zugrunde liegende EU-Whistleblower Richtlinie verfolgt das Hinweisgeberschutzgesetz (HinSchG) als primäres Ziel den Schutz von Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit Informationen über Verstöße erlangt haben und diese bei einer internen oder externen Meldestelle melden. Hinweisgeber sind dabei vor jeglichen Repressalien und Vergeltungsmaßnahmen geschützt. Darüber hinaus soll es der Stigmatisierung von Personen, die interne Geheimnisse offenlegen, entgegenwirken.

Dabei ist der Schutzbereich gegenüber der EU-Whistleblower Richtlinie weiter: Während nach der EU-Richtlinie nur die Aufdeckung von Verstößen gegen EU-Recht geschützt wird, schützt das deutsche Hinweisgeberschutzgesetz (HinSchG) auch die Aufdeckung von Verstößen gegen nationales Recht. Der Grund: So kann der Hinweisgeber auch in komplexen Sachverhalten mit Verstößen gegen EU-Recht sowie deutsches Recht sicher sein, keine Sanktionen erleiden zu müssen.

Konsequenzen für Unternehmen
Unternehmen in Deutschland ab einer gewissen Größe müssen das Hinweisgeberschutzgesetz (HinSchG) umsetzen. Die Einzelheiten erklären wir in Abschnitt 5 „Für welche Unternehmen gilt das neue Hinweisgeberschutzgesetz (HinSchG)?“

4. Wann tritt das Hinweisgeberschutzgesetz (HinSchG) in Kraft? Wie ist der Stand des Gesetzgebungsverfahren?

Nachfolgend beschreiben wir eine Chronologie der bisherigen Ereignisse:

• Dezember 2019 – EU-Whistleblower Richtlinie tritt in Kraft
  Die Mitgliedsstaaten haben bis zum 17. Dezember 2021 Zeit, die EU-Richtlinie in ein nationales Gesetz umzusetzen.
• Dezember 2021 – Frist zur Umsetzung der EU-Richtlinie läuft ohne Ergebnis ab
  Die EU-Whistleblower Richtlinie hätte bis zum 17. Dezember 2021 in deutsches Recht umgesetzt werden müssen. Die damaligen Gesetzesentwürfe sind jedoch gescheitert.
• Februar 2022 – Vertragsverletzungsverfahren gegen Deutschland
  Nachdem der deutsche Gesetzgeber die EU-Richtlinie nicht innerhalb der Frist umgesetzt hat, leitete die EU-Kommission ein Vertragsverletzungsverfahren ein.
• Juli 2022 –Bundesregierung beschließt einen Entwurf des Hinweisgeberschutzgesetzes (HinSchG)
• September 22 – Beratung über den Entwurf im Bundestag.
  Bundestag und Bundesrat beraten zum Hinweisgeberschutzgesetz (HinSchG).
• Dezember 22. Beschluss des Hinweisgeberschutzgesetzes (HinSchG) durch den Bundestag. Die Zustimmung des Bundesrates wurde verweigert.
• März 2023 - Rechtsausschuss berät über Gesetzesentwurf
• Am 12. Mai 2023 hat der Bundesrat dem Gesetzesentwurf zugestimmt
• Am 2. Juli 2023 tritt das HinSchG in Kraft

5. Für welche Unternehmen gilt das neue Hinweisgeberschutzgesetz (HinSchG)?

Das deutsche Hinweisgeberschutzgesetz gilt (in Bezug auf die Verpflichtung zur Einrichtung einer „internen Meldestelle“)

• für Unternehmen ab 250 Beschäftigte ab in Kraft treten (2. Juli 2023) und
• für Unternehmen ab 50 bis 249 Beschäftigte ab dem 17. Dezember 2023.

6. Was sind die Anforderungen des Hinweisgeberschutzgesetzes (HinSchG)? Was müssen Unternehmen tun, um das Hinweisgeberschutzgesetz (HinSchG) umzusetzen?

Die Unternehmen, die unter den Anwendungsbereich des Hinweisgeberschutzgesetzes (HinSchG) fallen, müssen im Wesentlichen folgende Anforderungen umsetzen:

Einrichtung einer „internen Meldestelle“
Unternehmen müssen eine „interne Meldestelle“ einrichten, an die sich die Beschäftigten wenden können. Mit „Beschäftigte“ sind Arbeitnehmer:innen, Auszubildende und arbeitnehmerähnliche Personen gemeint.

Die interne Meldestelle betreibt Meldekanäle, führt das Meldeverfahren und ergreift angemessene Folgemaßnahmen im Falle von relevanten Meldungen. Die Einzelheiten werden in den Abschnitten „Anforderungen an die interne Meldestelle“ (Kapitel 7) und „Aufgaben der internen Meldestelle“ (Kapitel 8) behandelt.

Mehrere Unternehmen mit jeweils 50 bis 249 Beschäftigte können eine gemeinsame „interne Meldestelle“ einrichten. Dies dürfte insbesondere für Konzerne von Interesse sein.

Einrichtung von Meldekanälen
Unternehmen müssen interne Meldekanäle für die „interne Meldestelle“ einrichten, über die Verstöße gemeldet werden können. Gemeldet werden dürfen grundsätzlich straf- oder bußgeldbewehrte Verstöße sowie Verstöße gegen bestimmte nationale oder europäische Rechtsvorschriften.

Die Meldekanäle müssen Meldungen in mündlicher oder in Textform ermöglichen. Auf Ersuchen des Hinweisgebers ist für eine Meldung innerhalb einer angemessenen Zeit eine persönliche Zusammenkunft mit der internen Meldestelle zu ermöglichen.

Es besteht keine Verpflichtung, die Meldekanäle so zu gestalten, dass sie die Abgabe anonymer Meldungen ermöglichen.

7. Was sind die Anforderungen an die "interne Meldestelle"? Welche Organisationsformen kommen in Betracht?

Das Hinweisgeberschutzgesetz (HinSchG) beschreibt folgende Anforderungen und Organisationsformen für die „interne Meldestelle“:

• Die interne Meldestelle kann mit einer bei dem Unternehmen beschäftigten Person (z.B. Compliance Officer oder General Counsel) oder durch einen externen Dritten (z.B. externer Rechtsanwalt als Ombudsperson) besetzt werden.
• Die entsprechende Person muss unabhängig agieren und über die notwendige Fachkunde verfügen, eingehende Meldungen (insb. hinsichtlich rechtlicher Relevanz) bewerten zu können. Derartige Einschätzungen erfordern in der Regel juristische Fachkenntnis.

Wichtig für Konzerne: Mehrere Unternehmen innerhalb eines Konzerns mit jeweils 50 bis 249 Beschäftigte können eine gemeinsame „interne Meldestelle“ (z.B. beim konzernübergreifenden Compliance-Office) einrichten.

8. Was sind die Aufgaben der "internen Meldestelle"?

Die „interne Meldestelle“ hat folgende Aufgaben:

Betrieb der internen Meldekanäle
Die „interne Meldestelle“ betreibt die internen Meldekanäle, über die sich die Beschäftigten wenden können, um Informationen über Verstöße zu melden.

Führen des Meldeverfahrens
Die interne Meldestelle führt das Meldeverfahren. Sie

• bestätigt dem Hinweisgeber den Eingang der Meldung spätestens nach 7 Tagen,
• prüft, ob der gemeldete Verstoß relevant ist,
• hält mit der hinweisgebenden Person Kontakt,
• prüft die Stichhaltigkeit der eingegangenen Meldung und
• ersucht die hinweisgebende Person erforderlichenfalls um weitere Informationen.

Ergreifen von Folgemaßnahmen
Die „interne Meldestelle“ ergreift angemessene Folgemaßnahmen. Dazu kann die „interne Meldestelle“ insbesondere

• interne Untersuchungen durchführen,
• das Verfahren aus Mangel an Beweisen oder aus anderen Gründen abschließen oder
• das Verfahren zwecks weiterer Untersuchungen an eine zuständige Behörde abgeben.

9. "Interne Meldestelle" - intern oder extern?

Das Hinweisgeberschutzgesetz (HinSchG) lässt den Unternehmen die Wahl, die „interne Meldestelle“ intern (z.B. durch eine beschäftigte Person oder Organisationseinheit innerhalb des Unternehmens) oder extern durch einen Dritten (z.B. externe Ombudsperson) zu besetzen.

Die Auslagerung einer derartigen Funktion auf einen externen Dienstleister bringen einige Vorteile mit:

Ein externer Dienstleister ist in der Regel günstiger und bringt bereits aufgrund seines Berufs die erforderliche Fachkunde, Erfahrung und Sensibilität mit.
Darüber hinaus besteht nicht das Risiko von möglichen Interessenkonflikten.
Zusätzlich hat das Unternehmen im Falle eines Schadens einen liquiden (versicherten) Schuldner.

10. Was sind die Anforderungen an die Meldekanäle?

Meldekanäle müssen Meldungen in mündlicher (z.B. Telefon) oder in Textform (z.B. digitales Hinweisgebersystem) ermöglichen.

Die Vertraulichkeit der Meldung und des Hinweisgebers muss dabei gewährleistet sein. Nur die „interne Meldestelle“ sowie unterstützenden Personen dürfen Zugriff auf die eingehenden Meldungen haben. Die Abgabe anonymer Meldungen muss ermöglicht werden.

In der Praxis haben sich insbesondere Hinweisgebersysteme auf der Basis digitaler Plattformen als Meldekanäle für die Abgabe von schriftlichen Meldungen bewährt. Bei der Auswahl eines entsprechenden Anbieters sollte darauf geachtet werden, dass die Plattform mindestens folgende Voraussetzungen erfüllt (Best Practices):

• Hosting des Systems innerhalb der EU und nicht auf Servern von US-amerikanischen Tochterunternehmen (um die datenschutzrechtlichen Anforderungen der DSGVO zu gewährleisten),
• Zertifiziertes Hochsicherheitsrechenzentrum (ISO 27001)
• Anonyme 2-Wege-Kommunikation
• Mehrsprachigkeit
• Ende-zu-Ende Verschlüsselung
• 2-Faktor-Authentifizierung
• Entfernung der Metadaten

11. Was bedeutet die fehlende Umsetzung für die betroffenen Unternehmen?

Richtet ein Unternehmen eine interne Meldestelle nicht oder nicht fristgerecht ein, so drohen Bußgelder bis zu 20.000 Euro.