- 7. Juni 2023
- 8 Min. Lesezeit

Hinweisgeberschutzgesetz (HinSchG) – was müssen Unternehmen beachten?

Mit dem Hinweisgeberschutzgesetz tritt eine neue gesetzliche Verpflichtung in Kraft, die hinweisgebende Personen bei Meldung von illegalen Missständen vor Benachteiligungen schützen soll. Eine grundlegende Neuerung ist die Einführung von internen Meldestellen. Das HinSchG gilt für folgende Unternehmen:

Für Unternehmen mit mehr als 250 Mitarbeitenden. Die Maßnahmen treten sofort nach Einführen des Gesetzes, also ab dem 02. Juli 2023, in Kraft.
Kleinere Unternehmen mit zwischen 50 bis 249 Mitarbeitenden haben noch eine verlängerte Umsetzungsfrist, nämlich bis zum 17. Dezember 2023.

Was ist das Hinweisgeberschutzgesetz?

Mit dem Hinweisgeberschutzgesetz soll ein einheitliches Schutzsystem für hinweisgebende Personen umgesetzt und Hinweisgeber sollen im beruflichen Umfeld zukünftig umfassender geschützt werden. Hierfür sollen innerhalb der Unternehmen für Meldungen von Verstößen interne Meldestellen eingerichtet werden. Durch öffentliche Stellen werden außerdem noch zusätzliche externe Meldestellen eingerichtet. Hinweisgebende Personen (Whistleblower) können allerdings wertvolle Beiträge dazu leisten, Fehlverhalten von natürlichen oder juristischen Personen aufzudecken und die negativen Folgen dieses Fehlverhaltens einzudämmen bzw. zu korrigieren. In der Vergangenheit war es immer wieder zu Fällen gekommen, in denen hinweisgebende Personen Nachteile zu erleiden hatten. In anderen Fällen ist davon auszugehen, dass Personen mit Insiderwissen von einer Meldung abgesehen haben, weil sie Repressalien (Benachteiligungen) fürchteten. Repressalien und jedwede Vergeltungsmaßnahmen sind gegenüber der hinweisgebenden Person untersagt. In diesem Zusammenhang ist auch eine Regelung über eine Beweislastumkehr eingeführt worden. Arbeitgeber müssen demnach künftig nachweisen, dass Maßnahmen gegen Arbeitnehmer nicht im Zusammenhang mit der Aufdeckung von Missständen stehen. Die Vermutung, dass die Benachteiligung für den Hinweis ist, soll aber nur dann bestehen, wenn die hinweisgebende Person dies auch selbst geltend macht.

Welche Rechtsgebiete werden umfasst?

Das Hinweisgeberschutzgesetz umfasst zunächst alle Personen, die sowohl in ihrem beruflichen Umfeld Informationen über Verstöße erlangt haben als auch mit dem betroffenen Unternehmen selbst beruflich in Kontakt stehen. Folgende Rechtsgebiete fallen unter das HinSchG:

alle Meldungen und Offenlegungen von Verstößen, die strafbewehrt sind;
bußgeldbewehrte Verstöße „soweit die verletzte Vorschrift dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient“, z.B. beim Arbeitsschutz, Verstöße gegen das Mindestlohngesetz;
nicht nur das Aufdecken von Verstößen gegen das EU-Recht, sondern auch gegen bestimmte Bereiche des deutschen Rechts; z.B. bei Korruption, Geldwäsche oder Steuerbetrug aufgedeckt werden oder Verstöße gegen Vorgaben zum Umweltschutz oder zur Lebensmittelsicherheit.

Hinweisgeber müssen dabei allerdings ein genaues Verfahren einhalten und können sich nicht sofort an die Öffentlichkeit (z.B. über soziale Netzwerke oder weitere Medien) wenden. Sollte keine Rückmeldung des Unternehmens an die hinweisgebende Person gegeben werden, kann eine weitere Meldung direkt an die externe Meldestelle erfolgen.

Interne vs. Externe Meldestelle

Im Hinweisgeberschutzgesetz ist die Etablierung von Meldestellen ist ein zentraler Baustein. Bei einer Meldung haben hinweisgebende Personen stehts ein freies Wahlrecht, ob sie sich an eine „interne Meldestelle“ des Unternehmens oder eine „externe Meldestelle“ der Behörden wenden. In denjenigen Fällen, bei denen intern wirksam gegen den Verstoß vorgegangen werden kann und keine Repressalien zu befürchten sind, sollte von der meldenden Person eine interne Meldestelle bevorzugt werden. Denn auch die Rechtsprechung des Europäischen Gerichtshof für Menschenrechte bestätigte die Pflicht des Arbeitnehmers zu Loyalität, Zurückhaltung und Vertraulichkeit gegenüber seinem Arbeitgeber und bezeichnet daher den Gang an die Öffentlichkeit als „letztes Mittel“. Bei dem Aufbau einer internen Meldestelle, Anforderungen an die beschäftigten Mitarbeiter als auch zur Organisationsstruktur macht das HinSchG keine konkreten Vorgaben. Interne Meldestellen können sowohl durch interne Personen bzw. eine separate Abteilung oder auch durch einen externen Dritten betrieben werden. Der Vorteil von einer internen Meldestelle ist, dass Rechtsverstöße direkt untersucht, verfolgt und unterbunden werden können. Zugleich können bei internen Meldestellen die Unternehmen auch vor Haftungsansprüchen bewahrt und somit Imageschäden vermieden werden. Von externen Dritten betriebene interne Stellen sind von denen, durch das Gesetz eingeführten externen Meldestellen, abzugrenzen. Auf Grund der Begrifflichkeiten kann es hier jedoch leicht zu Missverständnissen kommen. Ist von einer externen Meldestelle die Rede, ist meist die Meldestelle des Bundesamtes für Justiz gemeint. Auch an diese externe Meldestelle können sich meldende Personen mit Hinweisen wenden. Zusätzlich sollen noch in einigen Wirtschaftsbereichen weitere spezielle Meldestellen eingerichtet werden.

Regelungen in Konzernen

Das HinSchG erlaubt es auch Dritte mit der Aufgabe einer internen Meldestelle zu beauftragen., somit können bei Konzerngesellschaften sowohl Mutter-, Schwester-, oder Tochtergesellschaft eine unabhängige und vertrauliche Stelle Dritter einrichten. Jedoch muss hierbei auf das konzernrechtliche Trennungsprinzip geachtet werden, denn die Verantwortung bleibt bei dem jeweiligen rechtlich selbstständigen Unternehmen bestehen und es kommt zu keinem Übergang der Verantwortung. Daher muss bei einem festgestellter Verstoß dieser direkt durch das betroffene Unternehmen behoben und weiterverfolgt werden.

Anforderungen und Verfahren von Meldestellen

Intuitiv wird wohl von den meisten Unternehmen zunächst eine interne und kostengünstige Lösung angestrebt. Auf Konfliktfelder stößt man jedoch, wenn man die Anforderungen des HinSchG näher betrachtet:

Interne Meldekanäle müssen Meldungen in mündlicher oder in Textform ermöglicht werden. Mündliche Meldungen müssen per Telefon oder mittels einer anderen Art der Sprachübermittlung möglich sein.

Meldekanäle sollten daher so gestaltet werden, dass nur die für die Entgegennahme und Bearbeitung der Meldungen zuständigen sowie die sie bei der Erfüllung dieser Aufgaben unterstützenden Personen Zugriff auf die eingehenden Meldungen haben und der Zugriff unberechtigten Personen sowohl auf die Identität der hinweisgebenden Person als auch auf den Hinweis selbst verwehrt werden. Auch sollte möglichst auf einen unverschlüsselter Versand von E-Mails verzichtet werden, nicht dass das Vertrauen von hinweisgebenden Personen in den Umgang mit der Meldung möglicherwiese geschwächt wird und somit die Wahrscheinlichkeit sinkt, dass Meldungen bei der internen Meldestelle eingehen.

Wird für die interne Meldestelle nur eine interne E-Mail-Adresse oder eine interne Telefonnummer vergeben, so kann eine vertrauliche Meldung von Hinweisen nicht völlig sichergestellt werden. Denn zumindest das IT-Personal mit administrativen Rechten kann sowohl auf das System als auch auf die Rufnummern zugreifen, so dass diese möglicherweise Kenntnis von den Meldungen als sogar auch über den Inhalt erlangen können.

Um dies zu unterbinden, könnte für die Einrichtung einer telefonischen internen Meldestelle eine kostenlose externe Nummer, wo beispielsweise die Erfassung der Rufnummer des Anrufers unterdrückt werden kann. Für den elektronischen Meldekanal könnte ein E-Mail-Anbieter außerhalb des Zugriffskreises des Unternehmens eingerichtet werden.

Bei der Verwaltung der eingehenden Meldungen sollte vorher gründlich abgewogen werden, ob auf eine interne Lösung zurückgegriffen werden kann oder ob ein externer IT-Dienstleister Anbieter eingesetzt werden sollte. Jedoch ist die Entwicklung einer internen Löschung, die allen gesetzlichen Anforderungen gerecht wird, nicht zu unterschätzen. Einige externe Anbieter haben bereits entsprechende technische Lösungen entwickelt. Dabei sollte insbesondere die Anforderungen an eine getrennte Datenverarbeitung für größere Tochtergesellschaften und insbesondere die Anforderungen der Datenschutzbehörden, zur Erstellung einer Datenschutzfolgeabschätzung, beachtet werden.

Eine weitere wesentliche Pflicht einer Meldestelle ist die Achtung des Vertraulichkeitsgebots, welche einen wirksamen Schutz der Identität der hinweisgebenden und sämtlicher von einer Meldung betroffenen Personen bieten soll. Die Identität darf dabei nur den für die Bearbeitung einer Meldung zuständigen Personen bekannt sein. Informationen über die Identität einer hinweisgebenden Person oder einer Person, die Gegenstand einer Meldung ist, sollen nur in Ausnahmefällen herausgegeben werden dürfen, wie beispielsweise bei Strafverfahren auf Verlangen der Strafverfolgungsbehörden.

Jedoch gibt es auch Ausnahmen von dem Vertraulichkeitsgebot, wenn die hinweisgebende Person in die Weitergabe von Informationen über ihre Identität oder über sonstige Umstände, welche einen Rückschluss auf die Identität erlauben, einwilligt. Aus Gründen der Nachweisbarkeit muss die Einwilligung in Textform vorliegen, lesbar und auf einem dauerhaften Datenträger nachweisbar. Die Einholung einer E-Mail mit einer solchen Einwilligung wäre ausreichend. Sollte die hinweisgebende Person eine persönliche Zusammenkunft wünschen, ist diese in einer angemessenen Zeit einzuräumen.

Die Meldestelle muss auch klare und leicht zugängliche Informationen bezüglich des externen Meldeverfahrens bereithalten.

Umgang mit anonymen Hinweisen

Es besteht keine Verpflichtung, Meldekanäle so zu gestalten, dass eine Abgabe von anonymen Meldungen möglich ist. Jedoch ist in einigen ISO-Normen, wie beispielsweise ISO 37301 bzw. ISO 37001 gefordert, dass auch anonym eingehende Meldungen bearbeitet werden sollten. Sollte Ihr Unternehmen eine Zertifizierung nach diesen ISO-Normen bereits besitzen oder künftig anstreben, empfehlen wir Ihnen, auch gleichzeitig eine Abgabe von anonymen Meldungen zu ermöglichen.

Herausforderung: personelle Ressourcen

Zweifellos wird sowohl die Einrichtung als auch der Unterhalt einer internen Meldestelle unternehmensseitig Ressourcen beanspruchen, beispielsweise müssen geeignete Mitarbeiter verfügbar sein, welche ggf. noch auf die notwendige Fachkunde geschult und auch die technische Ausrüstung zur Erfüllung der Aufgaben einer Meldestelle angeschafft werden müssen. Die mit den Aufgaben einer internen Meldestelle beauftragten Personen müssen bei der Ausübung ihrer Tätigkeit unabhängig sein. Zwar können sie neben ihrer Tätigkeit auch noch andere Aufgaben und Pflichten wahrnehmen, es ist aber sicherzustellen, dass dabei keine Interessenkonflikte vorliegen und auch entsprechend zeitliche Ressourcen vorliegen. Dies betrifft vor allem Teilzeitmitarbeitende. Ein Interessenskonflikt könnte schnell resultieren, wenn interne Datenschutzbeauftragte die Ergebnisse ihrer eigenen Arbeit in Funktion als interne Meldestelle ausüben und mit datenschutzrechtlichem Bezug kontrollieren müssen. Erfahrungsgemäß sollte folgende Fachkunde den beschäftigten Mitarbeitenden vorliegen: Erfahrungen in der Gesprächsführung, Erfahrungen mit der Bewertung der Glaubhaftigkeit sowohl des Hinweises selbst als auch der hinweisgebenden Person. Bei kleinen und mittleren Unternehmen stellt sich daher die Frage, ob bei der zu erwartenden geringen Anzahl von Hinweisen, die Beauftragung einer internen Person inkl. deren Qualifizierung zielführend ist oder ob ggf. eine externe Person als interne Meldestelle eingesetzt werden sollte.

Folgen einer falschen Meldung

Eine falsche Verdächtigung im Rahmen einer Meldung bzw. einer Offenlegung kann weitreichende Folgen für die betroffenen Personen nach sich ziehen. Unter Umständen lassen sich die Folgen nicht mehr gänzlich rückgängig machen. Jedoch sollten keine überhöhten Anforderungen an hinweisgebende Personen in Bezug auf die Überprüfung der Richtigkeit gestellt werden. Stellt sich der Hinweis nachträglich als nichtzutreffend heraus, die meldende Person jedoch zum Zeitpunkt der Meldung von deren Richtigkeit ausgehen konnte, wurde für die meldende Person ein Schutz vor rechtlicher Verfolgung eingerichtet. Handelt es sich jedoch um eine vorsätzliche oder grob fährlässige Weitergabe unrichtiger Informationen, ist die hinweisgebende Person sogar möglicherweise zum Schadensersatz verpflichtet.

Sanktionen und Bußgelder

Wenn eine Offenlegung unrichtiger Informationen über Verstöße von meldenden Personen wissentlich erfolgt, stellt dies eine Ordnungswidrigkeit dar und kann zu einem Bußgeld führen. Problematisch sind hierbei auch die Fälle, in denen zwar ein Verstoß vorliegt, dieser jedoch nicht in den sachlichen Anwendungsbereich des Hinweisgeberschutzgesetzes fällt. Unternehmensseitig kann ein Verstoß gegen die Pflicht eine interne Meldestelle einzurichten und zu betreiben, zu einem Bußgeld von 20.000 € führen. Ähnliches gilt auch für den zu unbedachten Betrieb einer internen Meldestelle. Beispielsweise wenn die Vertraulichkeit nicht gewahrt wird und so die Identität des Hinweisgebers oder Personen, die innerhalb der Meldung genannt werden, gegenüber unberechtigten Dritten offengelegt werden oder auch wenn Repressalien gegen die hinweisgebende Person ergriffen werden. In solchen Fällen droht sogar ein Bußgeld von 50.000 €. Bußgeldandrohungen werden voraussichtlich erst ab dem 01. November 2023 verhängt werden.

Der Datenschutzbeauftragte als Lösung?

Als geeignete Person, um Meldungen entgegenzunehmen und Folgemaßnahmen zu ergreifen, kann der externe Datenschutzbeauftragte eingesetzt werden, denn einem parallelen Einsetzung sowohl als Datenschutzbeauftragten als auch als interne Meldestelle steht grundsätzlich nichts entgegen. Unternehmen sollten daher Unternehmen prüfen, ob ihr Datenschutzbeauftragter zusätzlich als interne Meldestelle eingesetzt werden kann. Ein Interessenskonflikt entsteht nur äußerst selten, denn dieser entscheidet in der Regel nicht eigenständig über die Folgemaßnahmen und Konsequenzen für das Unternehmen. Vielmehr werden Verdachtsmomente oder Kenntnisse über (tatsächliche oder mögliche) Verstöße an einen zuständigen Personenkreis im Unternehmen weitergeleitet.

Fazit

Unternehmen mit in der Regel mehr als 50 Beschäftigten sollten sich:

mit der neuen Rechtslage auseinandersetzen,
klare Vorgaben im Unternehmen festlegen, wie mit Meldungen von Hinweisgebern zu verfahren sein wird. Soweit branchenspezifisch bereits ein Hinweisgeberschutzsystem (z.B. Verpflichtung aus dem Kreditwesengesetz (KWG)) besteht, sollte geprüft werden, ob dies im Einklang mit den Regelungen des neuen Hinweisgeberschutzgesetzes stehen.
Ist in Ihrem Unternehmen ein Betriebsrat vorhanden, stehen diesem bei der Ausgestaltung des Hinweisgebersystems Mitbestimmungsrechte zu. Das deutsche Hinweisgeberschutzgesetz tritt nun am 02. Juli 2023 in Kraft. Bereiten Sie sich deshalb zeitnah auf die Umsetzung vor.

Wir unterstützen Sie selbstverständlich bei der Planung, Umsetzung oder sonstigen Fragestellungen. Auch erstellen wir Ihnen gerne ein individuelles Angebot für den Betrieb einer internen Meldestelle – sprechen Sie uns an.

Ihr Team der RKM Data GmbH