Hinweisgeberschutzgesetz
Das neue Hinweisgeberschutzgesetz stärkt Whistleblower: Erfahren Sie, wie Ihr Unternehmen sich vorbereiten muss.
HinSchG: Richten Sie ein Meldesystem ein!
Wer das Wort Whistleblower hört, denkt sicherlich zunächst an Edward Snowden oder Chelsea Manning, vielleicht auch an Julian Assange. Whistleblower veröffentlichen Informationen aus ihrer beruflichen Tätigkeit, die ihre Arbeitgeber nicht gern in der Öffentlichkeit verbreitet sehen möchte, etwa über Missstände oder Rechtsbeugung.
Die genannten drei Personen haben interne Informationen aus dem US-Militär veröffentlicht und müssen nun mit drastischen Strafen rechnen. Aber Whistleblowing kann auch kleinere Formate haben. Das Umetikettieren abgelaufener Lebensmittel beispielsweise, die zeitliche Koinzidenz eines großen Auftrags und des neuen Fuhrparks des Unternehmenseigners, die Finanzierung eines Privaturlaubs über die Firma, Anweisungen zum Unterlaufen des Arbeitsschutzes – Verstöße gegen Recht und Gesetz im Arbeitsleben können viele Gesichter haben.
Die EU hat schon vor Jahren beschlossen, Hinweisgeber:innen auf solche Missstände besser zu schützen, sofern die Informationen der Wahrheit entsprechen (EU Whistleblowing Directive).
Mit einiger Verspätung verabschiedeten Bundestag und Bundesrat am 12. Mai 2023 das „Hinweisgeberschutzgesetz“, das für private Unternehmen wie auch für Kommunen ab 10.000 Einwohner, Behörden ab 50 Mitarbeitenden und für öffentliche Einrichtungen gilt. Das Gesetz wird für Unternehmen mit mehr als 249 Mitarbeiter:innen sofort bei Verkündung, das bedeutet etwa Mitte Juni, gültig sein, Unternehmen mit 50 bis 249 Mitarbeitenden haben eine Umsetzungsfrist bis zum 17. Dezember 2023. Als Arbeitgeber:in von mindestens 50 Mitarbeiter:innen (bei Finanzdienstleistern auch darunter) sind Sie also bereits jetzt gefragt, ein datenschutzkonformes internes Meldesystem und ein Schutzkonzept für Hinweisgeber:innen vorzubereiten, denn es sind einige Vorarbeiten sowie der Abschluss einer Betriebsvereinbarung mit dem Betriebsrat notwendig.
Nach einer gewissen Verzögerung haben der Bundestag und der Bundesrat am 12. Mai 2023 das Hinweisgeberschutzgesetz verabschiedet. Dieses Gesetz schützt Whistleblower in privaten Unternehmen, Kommunen ab 10.000 Einwohnern, Behörden mit mehr als 50 Mitarbeitern und öffentlichen Einrichtungen.
Das Hinweisgeberschutzgesetz tritt für Unternehmen mit mehr als 249 Mitarbeitern sofort in Kraft. Unternehmen mit 50 bis 249 Mitarbeitern haben bis zum 17. Dezember 2023 Zeit, die Anforderungen umzusetzen. Das Gesetz verpflichtet Arbeitgeber, interne Meldesysteme und Schutzkonzepte für Hinweisgeber zu implementieren, die den Datenschutzbestimmungen entsprechen.
Unternehmen sind aufgefordert, ein datenschutzkonformes internes Meldesystem sowie ein Schutzkonzept für Hinweisgeber einzurichten. Dies beinhaltet die Durchführung von Vorarbeiten und den Abschluss einer Betriebsvereinbarung mit dem Betriebsrat, um einen effektiven Schutz für Personen zu gewährleisten, die Missstände melden.
Wann kommt das HinSchG (Hinweisgeberschutzgesetz)?
Das Gesetz verpflichtet ab Mitte Juni 2023 alle Unternehmen und Dienststellen ab 250 Mitarbeiter:innen dazu, eine Meldestelle und ein System für Hinweise auf Fehlverhalten zu etablieren.
Bis zum 17. Dezember 2023 sind dann auch die kleineren Betriebe und Dienststellen ab 50 Mitarbeiter:innen mit solchen Meldemöglichkeiten auszustatten, sie dürfen ihre Meldesysteme – ebenso wie Konzerne – teilen.
Im Sinne dieses Gesetzes zählen alle intern Beschäftigten zu den Mitarbeiter:innen des Unternehmens – also auch geringfügig Beschäftigte, Praktikanten, Auszubildende, arbeitnehmerähnliche Beschäftigte, Teilzeitkräfte unabhängig von ihrer Stundenzahl und Geschäftsführer. Bei Konzernen, Filialbetrieben und Betrieben mit mehreren Standorten dürften die Mitarbeiter:innenzahlen zusammenzurechnen sein.
Hinweise auf welche Verstöße sind von EU-Whistleblower-Richtlinie gedeckt?
Vereinfacht gesagt umfasst der Anwendungsbereich Hinweise auf Straftaten jeder Form, auf schwere Ordnungswidrigkeiten und auf verfassungsfeindliche Äußerungen von Beamt:innen. Die folgende Liste ist leicht gekürzt aus dem aktuellen Gesetzentwurf übernommen, sie soll §2 des neuen Gesetzes bilden. Demnach schützt das Gesetz Whistleblower:innen, die Hinweise liefern auf
- Verstöße, die strafbewehrt sind,
- Verstöße, die bußgeldbewehrt sind, soweit die verletzte Vorschrift dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient,
- sonstige Verstöße gegen Rechtsvorschriften des Bundes und der Länder sowie unmittelbar geltende Rechtsakte der Europäischen Union und der Europäischen Atomgemeinschaft
- zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung,
- mit Vorgaben zur Produktsicherheit und -konformität,
- mit Vorgaben zur Sicherheit im Straßenverkehr
- mit Vorgaben zur Gewährleistung der Eisenbahnbetriebssicherheit,
- mit Vorgaben zur Sicherheit im Seeverkehr
- mit Vorgaben zur zivilen Luftverkehrssicherheit,
- mit Vorgaben zur sicheren Beförderung gefährlicher Güter auf der Straße, per Eisenbahn und per Binnenschiff,
- mit Vorgaben zum Umweltschutz,
- mit Vorgaben zum Strahlenschutz und zur kerntechnischen Sicherheit,
- zur Förderung der Nutzung von Energie aus erneuerbaren Quellen und der Energieeffizienz,
- zur Lebensmittel- und Futtermittelsicherheit, zur ökologischen Produktion und zur Kennzeichnung von ökologischen Erzeugnissen, zum Inverkehrbringen und Verwenden von Pflanzenschutzmitteln sowie zum Tierschutz,
- zu Qualitäts- und Sicherheitsstandards für Organe und Substanzen menschlichen Ursprungs, Human- und Tierarzneimittel, Medizinprodukte sowie die grenzüberschreitende Patientenversorgung,
- zur Herstellung, Aufmachung und zum Verkauf von Tabakerzeugnissen,
- zur Regelung der Verbraucherrechte und des Verbraucherschutzes,
- bei Preisangaben sowie vor unlauteren geschäftlichen Handlungen,
- zum Schutz der Privatsphäre in der elektronischen Kommunikation [und] zum Schutz personenbezogener Daten im Bereich der elektronischen Kommunikation zum Schutz personenbezogener Daten,
- zur Sicherheit in der Informationstechnik,
- zur Regelung der Rechte von Aktionären von Aktiengesellschaften,
- zur Abschlussprüfung bei Unternehmen von öffentlichem Interesse,
- zur Rechnungslegung einschließlich der Buchführung von Unternehmen, die […] kapitalmarktorientiert sind
- Verstöße gegen bundesrechtlich und einheitlich geltende Regelungen für Auftraggeber zum Verfahren der Vergabe von öffentlichen Aufträgen und Konzessionen,
- Verstöße gegen § 4d Absatz 1 Satz 1 des Finanzdienstleistungsaufsichtsgesetzes,
- Verstöße gegen für Körperschaften und Personenhandelsgesellschaften geltende steuerliche Rechtsnormen,
- Verstöße in Form von Vereinbarungen, die darauf abzielen, sich in missbräuchlicher Weise einen steuerlichen Vorteil zu verschaffen, der dem Ziel oder dem Zweck des für Körperschaften und Personenhandelsgesellschaften geltenden Steuerrechts zuwiderlauft,
- Verstöße gegen die Gesetze gegen Wettbewerbsbeschränkungen
sowie Verstöße gegen EU-Finanzierungsregeln, Binnenmarktvorschriften sowie Wettbewerbs- und Beihilferegeln umfassen.
Diese Liste könnte im Zuge der weiteren Gesetzgebung oder durch Gerichtsentscheidungen in den kommenden Monaten und Jahren noch erweitert werden, da sie derzeit beispielsweise keine Informationen unter ärztlicher oder anwaltlicher Schweigepflicht („Verschlusssachen“) umfasst.
Hinweisgebende dürfen nur Verstöße melden, die sich auf den eigenen Arbeitgeber oder auf eine andere Stelle, mit der die hinweisgebende Person beruflich im Kontakt stand, beziehen.
An wen erfolgt der Hinweis?
Hinweisgeber:innen können konkrete, sorgfältig geprüfte und belegbare Hinweise sowohl unternehmensintern als auch extern bei einer Landes- oder Bundeseinrichtung melden, die Wahl steht ihnen frei (§ 7 HinSchG). Dem Arbeitgeber dürfte es zumeist entgegenkommen, wenn ihm ein Missstand zunächst intern mitgeteilt wird, um diesen möglichst zu beseitigen. Die Meldung sollte auch anonym erfolgen können, auch anonyme Hinweise sind zu bearbeiten – ab 2025 soll dann auch die Annahme anonymer Hinweise verpflichtend werden.
Internes Meldesystem
Mit „internem System“ ist ein unternehmens- bzw. behördeninternes System gemeint, auch wenn dieses durch einen externen Dienstleister betreut wird. Das System muss mindestens allen intern Beschäftigten offenstehen.
Der Vorteil des internen Systems ist die schnellere Möglichkeit, den Missstand abzustellen, sowie die bessere Einordnung interner Beschreibungen. Dem gegenüber steht allerdings ein erhöhtes Kommunikationsaufkommen zu Sicherheit und Datenschutz, weil die Hinweisgeber:innen stärkere Befürchtungen haben werden, dass keine Anonymität besteht, sowie der Aufbau einer entsprechenden Fachkunde durch regelmäßige Schulungen der beauftragten Mitarbeiter:innen.
Hier kann ein externer Dienstleister mit unabhängiger Infrastruktur vertrauensbildend wirken. Die interne Meldestelle muss den Hinweis auf Stichhaltigkeit prüfen, den Vorgang untersuchen und das Verfahren abschließen oder ggf. an die zuständigen Behörden weiterleiten.
WICHTIG: Über die Einführung eines Hinweisgeberschutzsystems ist der Betriebsrat zu informieren, bei der Einführung eines elektronischen Systems ist er auch zu beteiligen. Es kann keine Betriebsvereinbarung über die Nichteinführung der Meldestelle geschlossen werden.
Externes Meldesystem
Die zentrale Annahmestelle für Hinweise wird beim Bundesamt für Justiz angesiedelt, das die Hinweise zentral annimmt und dann an die zuständigen Behörden weiterleitet. Dies werden landesbehördliche Stellen oder die schon existierenden Meldestellen bei der Bundesanstalt für Finanzdienstleistungsaufsicht und beim Bundeskartellamt sein, die unabhängig vom Unternehmen agieren können.
Die externe Meldung löst dann eine standardisierte behördliche Untersuchung aus, durch die das Unternehmen dann erst von einem internen Missstand erfährt.
Auf welchem Weg kann der Hinweis erfolgen?
Es ist keine mündliche oder schriftliche Form des Hinweises vorgegeben. Die Meldung kann also beispielsweise persönlich, per Telefon oder durch ein elektronisches System erfolgen, das allen datenschutzrechtlichen Vorgaben entspricht und zudem die Bestimmungen zur Anonymität (auch der IP-Adressen) einhält.
Sie als Unternehmen müssen gut zugänglich und verständlich – etwa auf Ihrer Webseite und in Ihrem Intranet – über die DSGVO-konformen Meldemöglichkeiten informieren und diese ggf. auch zugänglich machen (Bekanntgabe einer Kontakt-Telefonnummer, Link zur Hinweisgeberplattform…).
Zudem sollte ein unparteiischer Dritter ohne Interessenkonflikte, z. B. ein externer Anwalt bzw. eine Anwältin mit Schweigeverpflichtung, als persönliche:r Informationsmittler:in („Ombudsmann/-frau“) eingeschaltet werden, um eine fortgesetzt anonyme Kommunikation zu ermöglichen.
Ein Briefkastenmodell scheidet aus, da auf diesem Weg die vorgeschriebene Rückmeldung nicht erfolgen kann.
Wie schnell muss ein Hinweis bearbeitet werden?
Die EU-Richtlinie schreibt Ihnen vor, nachvollziehbare Melde- und Bearbeitungsstrukturen für Hinweise auf Unregelmäßigkeiten einzurichten. Zudem gibt sie folgende Bearbeitungsschritte und -fristen vor:
- Der Eingang der Meldung ist innerhalb von sieben Tagen zu bestätigen.
- Der Hinweisgeber bzw. die Hinweisgeberin ist spätestens nach drei Monaten darüber zu informieren, welche Maßnahmen aufgrund der Meldung ergriffen wurden.
Zudem muss das gesamte Verfahren protokolliert und dokumentiert werden. Zur dokumentierten Verwaltung der Hinweisvorgänge bietet sich z. B. ein DSGVO-konformes Compliance-Management-System an. Die Dokumentation muss zwei Jahre nach Abschluss des Verfahrens DSGVO-konform gelöscht werden.
Wie geht das Unternehmen mit dem Hinweis um?
Es gilt der Grundsatz der Vertraulichkeit, das bedeutet, die Identität des Hinweisgebers darf nur einem möglichst kleinen Kreis von Beteiligten bekannt werden.
Vom Schutz des Hinweisgeberschutzgesetzes werden neben Arbeitnehmer:innen und Beamt:innen auch Kund:innen und Lieferant:innen, Bewerber:innen, Freiwillige, Gesellschafter:innen, ausgeschiedene Mitarbeiter:innen sowie Leiharbeitnehmer:innen erfasst.
Whistleblower dürfen keine beruflichen Repressalien (Nachteile, Ausgrenzung, Kündigung) erfahren oder angedroht bekommen – anderenfalls drohen materieller und immaterieller Schadenersatz sowie eine Geldbuße von bis zu 100.000 Euro. Sofern der Hinweis nicht anonym erfolgt, muss die Identität des Hinweisgebers absolut vertraulich behandelt werden
Bei Whistleblowern gilt nach § 36 HinSchG eine arbeitsrechtliche Beweislastumkehr – der Arbeitgeber muss im Zweifel nachweisen können, dass personelle Maßnahmen nicht auf das Whistleblowing zurückführbar sind. Dies wird nur mit einer sehr guten, lückenlosen Dokumentation gelingen.
Dieser Whistleblowerschutz gilt nur, sofern der oder die Hinweisgeber:in nicht vorsätzlich oder grob fahrlässig unrichtige Informationen über Verstöße meldet. Die gemeldeten Hinweise müssen also zutreffend sein oder zumindest in gutem Glauben erfolgen und unter die oben genannten, vom Gesetz gedeckten Bereiche fallen, damit der Hinweisgeberschutz greift – anderenfalls droht ein Schadenersatz des zu Unrecht beschuldigten.
Welche Strafen drohen, wenn das Hinweisgeberschutzgesetz nicht umgesetzt wird?
Unternehmen mit mehr als 49 Mitarbeitenden, die keine interne Meldestelle einrichten oder betreiben, müssen mit einer Geldbuße von bis zu 20.000 Euro rechnen.
Wer die Abgabe von Hinweisen und die daraus folgende Kommunikation behindert, die Vertraulichkeit nicht wahrt oder Repressalien gegenüber Hinweisgebern ergreift, muss mit einer Geldstrafe von bis zu 50.000 Euro rechnen.
Außerdem steht es dem Hinweisgeber bzw. der Hinweisgeberin in diesem Fall frei, mit den Informationen straffrei an die Öffentlichkeit zu treten, ohne Repressionen befürchten zu müssen. Dies kann durch Information der Presse, aber auch über Social-Media-Kanäle und andere Wege öffentlicher Kommunikation erfolgen.
Parlabox hilft Unternehmen die Anforderungen des HinSchG zu erfüllen.
Parlabox Hinweisgebersystem entdecken
Die All-in-One Software für den Betrieb der internen Meldestelle für Unternehmen und Kommunen von 1 bis 9999 Mitarbeitende und beliebig viele Standorte.