Zum Inhalt springen Zur Navigation springen
Hinweisgeberschutzgesetz: Das müssen Unternehmen tun

Hinweisgeberschutzgesetz: Das müssen Unternehmen tun

Artikel von Maximilian Mertin·16. Mai 2023

Wurde Whistleblowing in der Vergangenheit durch den deutschen Gesetzgeber nur stiefmütterlich behandelt und gegen diesen sogar ein Vertragsverletzungsverfahren wegen mangelnder Umsetzung der EU-Whistleblower-Richtlinie (WBRL) eingeleitet, ist es nun da, das Hinweisgeberschutzgesetz. Im Vermittlungsausschuss, einem gemeinsamen Gremium des Deutschen Bundestages und des Bundesrates, konnte letzte Woche nach einigen weiteren Änderungen die notwendige Einigung erzielt werden. Wir zeigen, was Unternehmen nun tun müssen.

Welche Unternehmen trifft das Hinweisgeberschutzgesetz?

Vor allem Unternehmen mit in der Regel mehr als 50 Beschäftigten sind vom Hinweisgeberschutzgesetz (genauer „Gesetz für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ oder kurz „HinSchG“) betroffen. Diese müssen ab dem Inkrafttreten interne Meldestellen einrichten und betreiben (§ 12 HinSchG). Zudem gilt diese Pflicht unabhängig von der Beschäftigtenzahl für viele Unternehmen aus der Finanzbranche.

Interne Meldestellen für Whistleblower müssen eingerichtet werden

Die Etablierung von Meldestellen ist ein zentraler Baustein des Hinweisgeberschutzgesetzes. Diese sollen dafür sorgen, dass Rechtsverstöße untersucht, verfolgt und unterbunden und Whistleblower insoweit vor Benachteiligungen geschützt werden, die ihnen wegen ihrer Meldung drohen oder diese bereits zuvor von einer solchen abschrecken können. Zugleich werden es die internen Meldestellen aber auch Unternehmen ermöglichen, Haftungsansprüche und Imageschäden zu vermeiden.

Das Hinweisgeberschutzgesetz macht Unternehmen bei dem Aufbau ihrer internen Meldestelle keine konkreten Vorgaben zur Person oder Organisationsstruktur. Möglich ist die Ausübung durch eine interne Person bzw. Abteilung oder auch durch einen externen Dritten (§ 14 Abs. 1 HinSchG), der mit den Aufgaben der internen Meldestelle betraut wird. Konzernverbundene Unternehmen können daher überlegen, eine gemeinsame Stelle einzurichten und zu betreiben.

Von diesen durch externe Dritten betriebenen internen Stellen sind die durch das Gesetz eingeführten externen Meldestellen abzugrenzen. Hier kann aufgrund der Begrifflichkeiten leicht zu Missverständnissen kommen. Wenn von einer externen Meldestelle die Rede ist, ist meist die Meldestelle gemeint, die der Bund beim Bundesamt für Justiz einrichtet und an die sich Beschäftigte auch mit Hinweisen wenden können. Denn diese wird für die meisten Fälle zuständig sein. Zudem kann jedes Land eine eigene externe Meldestelle für Meldungen einrichten, die die jeweilige Landesverwaltung und die jeweiligen Kommunalverwaltungen betreffen.

Warum sollten Unternehmen diese Pflicht ernst nehmen?

Unternehmen sollten die Pflicht zur Etablierung von Meldestellen insbesondere ernst nehmen, da sich Hinweisgeber zwar ausweislich des Gesetzes vorrangig an die eingerichteten, internen Meldestellen der Unternehmen, die Meldungen zu Betrügereien oder Korruption entgegennehmen, wenden sollen. Aber am Ende haben Whistleblower ein Wahlrecht, ob sie (vermutete) Verstöße an eine interne Meldestelle oder eine externe staatliche Meldestelle (des Bundes) melden.

Die internen Meldestellen sollten daher entsprechend vertrauensvoll und niederschwellig aufgebaut sein – der Gesetzgeber spricht insoweit ausdrücklich davon

„Anreize dafür [zu] schaffen, dass sich hinweisgebende Personen vor einer Meldung an eine externe Meldestelle zunächst an die jeweilige interne Meldestelle wenden.“

Dies ist auch im Sinne der Unternehmen. Sie sollten den Meldeprozess möglichst „ansprechend“ ausgestalten. Auf diese Weise hat das betroffene Unternehmen die Chance, etwaige Verstöße abzustellen, bevor diese nach außen dringen und so deren potenzielle Auswirkungen auf ein Minimum zu beschränken.

Des Weiteren ist ein Verstoß gegen die Pflicht, eine interne Meldestelle einzurichten und zu betreiben, mit 20.000 € bußgeldbewehrt. Und auch der allzu unbedachte Betrieb einer internen Meldestelle kann Konsequenzen haben. Etwa wenn dadurch leichtfertig die Vertraulichkeit nicht gewahrt und so die Identität des Hinweisgebers oder Personen, die in dessen Meldung genannt werden, gegenüber Nichtberechtigten offenbart wird. In solchen Fällen droht ein Bußgeld von 50.000 €.

Bis wann müssen die Meldestellen eingerichtet sein?

Aufgrund der abgelaufenen Umsetzungsfrist der EU-Whistleblower-Richtlinie und dem Hin und Her im Gesetzgebungsverfahren ist die Umsetzungsfrist sehr kurz. Zumindest kleinere Unternehmen mit in der Regel 50 bis 249 Beschäftigten haben für die Einrichtung der Meldestellen bis zum 17. Dezember 2023 (§ 42 HinSchG). Größere Unternehmen haben die Vorgaben unverzüglich umzusetzen. Bußgelder für den Nichtbetrieb einer internen Meldestellen werden aber voraussichtlich erst ab dem 1. November 2023 verhängt.

Anforderungen und Aufgaben der internen Meldestelle

An die mit den Aufgaben beauftragte Personen knüpft der Gesetzgeber verschiedene Anforderungen. Vorrangig hat diese bei der Ausübung ihrer Tätigkeit unabhängig zu sein. Gleichwohl ist es ihr gestattet, neben ihrer Tätigkeit für die interne Meldestelle, andere Aufgaben und Pflichten wahrnehmen. Dabei muss aber stets sichergestellt sein, dass derartige Aufgaben und Pflichten nicht zu Interessenkonflikten führen (§ 15 Abs. 1 HinSchG). Zudem hat das Unternehmen sicherzustellen, dass die mit den Aufgaben einer internen Meldestelle beauftragte Person über die dafür notwendige Fachkunde verfügt (§ 15 Abs. 2 HinSchG).

Der Betrieb des Meldekanals gehört zu den Aufgaben der beauftragten Person wie auch das Führen des Verfahrens bei internen Meldungen und auch das Ergreifen von Folgemaßnahmen (u.a. Durchführung von internen Untersuchungen und das Kontaktieren von betroffenen Personen und Arbeitseinheiten). Die internen Meldekanäle müssen Meldungen in mündlicher oder in Textform ermöglichen. Zudem muss die interne Meldestelle betreffend externe Meldeverfahren klare und leicht zugängliche Informationen bereithalten. Auf Wunsch des Hinweisgebers kann auch ein Treffen zu realisieren sein (§§ 16 Abs. 3 HinSchG).

Herausforderung: Ressourcen

Zweifellos wird die Einrichtung und der Unterhalt der internen Meldestelle auf Unternehmensseite Ressourcen beanspruchen. So müssen insbesondere geeignete Mitarbeiter verfügbar sein, welche ggf. mit Blick auf die notwendige Fachkunde geschult werden und auch auf (technische) Ausrüstung zur Erfüllung der Aufgaben zurückgreifen können. So dürfte bspw. das Bereitstellen einer bestimmten E-Mail-Adresse für Hinweisgeber Sicherheitsrisiken bei unverschlüsseltem Versand begründen und dadurch das Vertrauen von hinweisgebenden Personen schwächen, sodass die Wahrscheinlichkeit sinkt, dass die Meldung bei der internen Meldestelle eingeht.

Der Datenschutzbeauftragte als Lösung?

Bereits in der europäischen Whistleblower-Richtlinie (EWG 56) wird insoweit als geeignete Person, um Meldungen entgegenzunehmen und Folgemaßnahmen zu ergreifen, der Datenschutzbeauftragte aufgeführt. Dies überrascht angesichts der Parallelen bei den Anforderungen kaum, schaut man sich die funktionalen sowie inhaltlichen Parallelen im Anforderungsprofil an:

  • Sicherstellung der Unabhängigkeit der Tätigkeit;
  • Vertraulichkeit bzw. die Wahrung der Geheimhaltung oder der Vertraulichkeit;
  • Untersuchung möglicher Verstöße bzw. Meldungen und diese ggf. aufzuklären und auf eine Abstellung etwaiger Verstöße hinzuwirken.

Unternehmen sollten daher prüfen, ob ihr Datenschutzbeauftragter zugleich als interne Meldestelle eingesetzt werden sollte. Einer parallelen Einsetzung eines außenstehenden Dritten als externer Datenschutzbeauftragter einerseits und als interne Meldestelle andererseits steht daher weder die DSGVO noch die WBRL grundsätzlich entgegen (Arg. § 15 Abs. 1 S. 2 HinSchG, Art. 38 Abs. 6 DSGVO). Bei internen Datenschutzbeauftragten ist, besonders wenn diese ihr Amt nur in Teilzeit wahrnehmen, ein wenig Vorsicht geboten. Einerseits kann sich hier die Einsparung von Ressourcen schnell als Trugschluss erweisen. Denn der Verantwortliche ist gesetzlich verpflichtet, diesem dann auch ausreichend (zeitliche) Ressourcen zur Verfügung zu stellen, um beiden Aufgaben nachzukommen.

Interessenkonflikt als Risiko

Anderseits sollte insbesondere auch der Anschein vermieden werden, dass ein Interessenskonflikt durch parallele Ausübung der Funktionen als Datenschutzbeauftragter und interne Meldestelle vorliegen könnte. Soweit Datenschutzbeauftragte die Ergebnisse ihrer eigenen Arbeit in Ausübung der Tätigkeit der internen Meldestelle mit datenschutzrechtlichem Bezug kontrollieren müssen, droht schnell ein Interessenkonflikt, beispielsweise, wenn sich der Hinweis (auch) auf die Umsetzung und Einhaltung datenschutzrechtlicher Vorgaben bezieht.

Bei externen Beauftragten für eine internen Meldestelle dürfte dies nicht in Betracht kommen. Denn dieser entscheidet in der Regel nicht eigenständig über die Folgemaßnahmen und Konsequenzen für das Unternehmen, vielmehr werden Verdachtsmomente oder Kenntnisse über (tatsächliche oder mögliche) Verstöße an einen bei dem Unternehmen zuständigen Personenkreis weitergeleitet.

Whistleblower-Hinweise: Vorhandene Erfahrung & Expertise nutzen

Die Expertise des Datenschutzbeauftragten erstreckt sich typischerweise auf Anforderungen bei der Vertraulichkeit, dem Umgang mit personenbezogenen Daten und die Überwachung der Tätigkeit des Verantwortlichen. Auch wurde die Materie, der Umgang mit unternehmensinternen Whistleblowing-Kanälen, bereits 2018 seitens der Aufsichtsbehörden aufgegriffen und ist daher insbesondere erfahrenen Datenschutzbeauftragten und spezialisierten Beratungsunternehmen nicht gänzlich neu. Es kann sich durchaus lohnen, auf dieses Wissen zurückzugreifen. Das Risiko von Interessenkollisionen kann dabei durch Beauftragung eines Externen mangels organisatorischer Verflechtung mit dem Unternehmen für die Meldestelle nahezu ausgeschlossen werden.

Suchen Sie noch nach einem Dienstleister? Gerne betreuen wir auch Ihren Meldekanal.

In jedem Fall sollten sich Unternehmen mit in der Regel mehr als 50 Beschäftigten

  • mit der neuen Rechtslage auseinandersetzen,
  • dabei berücksichtigen, dass dem Betriebsrat bei der Ausgestaltung des Hinweisgebersystems Mitbestimmungsrechte zustehen und
  • klare Vorgaben im Unternehmen erlassen werden, wie mit Meldungen von Hinweisgebern zu verfahren sein wird. Soweit branchenspezifisch bereits ein Hinweisgeberschutzsystem besteht (z.B. Verpflichtung aus dem KWG) sollte geprüft werden, ob diese im Einklang mit den Regelungen des neuen Hinweisgeberschutzgesetzes stehen.
Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.