Hinweisgeberschutzgesetz: Was kommt auf Unternehmen zu?

Fachbeitrag

Hinweisgebende Personen sollen auf einen Schutz vertrauen können, wenn sie erhebliche Verstöße gegen Vorschriften melden. Die Europäische Hinweisgeberrichtlinie hierzu wurde bis heute nicht in deutsches Recht umgesetzt. Doch es tut sich was. Wir fassen den aktuellen Regierungsentwurf zum Hinweisgeberschutzgesetz zusammen.

Hintergrund zum Hinweisgeberschutzgesetz

Die Hinweisgeberrichtlinie (EU) 2019/1937 war gemäß Artikel 26 Abs. 1 bis zum 17. Dezember 2021 in nationales Recht umzusetzen.

Nachdem 24 EU-Mitgliedsstaaten die Richtlinie nicht oder nur teilweise umgesetzt hatten, hat die Europäische Kommission am Ende Januar 2022 ein Aufforderungsschreiben an die 24 säumigen Regierungen der Unionsmitgliedstaaten versandt und Vertragsverletzungsverfahren eingeleitet.

Die deutsche Regierung veröffentlichte erst am 27.07.2022 einen Regierungsentwurf des Hinweisgeberschutzgesetzes. Der Bundestag hat am 29.09.2022 über den Entwurf beraten (20/344220/3709).

Schutz für Whistleblower

Die Bundesregierung will Hinweisgebern (umgangssprachlich „Whistleblower“) im beruflichen Umfeld künftig umfassender schützen. Mit dem Hinweisgeberschutzgesetz soll hierfür ein einheitliches Schutzsystem für hinweisgebende Personen umgesetzt werden. Hierfür sollen für Meldungen von Verstößen im Unternehmen interne und durch öffentliche Stellen zusätzlich externe Meldestellen eingerichtet werden. Wesentlich ist der Schutz von Whistleblowern vor beruflichen Repressalien. Unter Repressalien versteht das Gesetz die nach einer Meldung erfolgte „Benachteiligungen“ einer hinweisgebenden Person „im Zusammenhang mit ihrer beruflichen Tätigkeit“. Findet eine solche statt, besteht eine Vermutungswirkung, dass es sich um eine Repressalie handelt. Es ist dann Sache des Arbeitgebers zu beweisen, dass die Benachteiligung auf hinreichend gerechtfertigten Gründen basiert oder dass sie nicht auf der Meldung oder Offenlegung beruht.

Sachlicher Anwendungsbereich

Der sachliche Anwendungsbereich des Gesetzes soll eröffnet sein bei

  • Strafgesetzen, deren Verstöße nach dem ausdrücklichen Willen des Gesetzgebers stets erheblich sein sollen,
  • Bußgeldbewährten Verstößen gegen ordnungsrechtliche Vorschriften, die dann als erheblich gelten, wenn die Vorschrift dem Schutz hochrangiger Rechtsgüter wie Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient
  • Sonstigen Verstößen, die in Umsetzung der HinSch-RL zwingend vom sachlichen Anwendungsbereich zu erfassen sind und unter § 2 Abs.1 Nr. 3 des Entwurfs untergliedert nach Rechtsbereichen aufgezählt werden. Hierzu gehören dann beispielsweise Verstöße gegen das Geldwäschegesetz u.ä.

Der Entwurf sieht auch Ausnahmen für bestimmte Meldungen vor, etwa über Informationen,

„die die nationale Sicherheit oder wesentliche Sicherheitsinteressen des Staates, insbesondere militärische oder sonstige sicherheitsempfindliche Belange des Geschäftsbereiches des Bundesministeriums der Verteidigung oder Kritische Infrastrukturen im Sinne der BSI-Kritisverordnung betreffen“.

Welche Unternehmen müssen eine Meldestelle einrichten?

Der Entwurf sieht vor, dass grundsätzlich alle Unternehmen mit mindestens 50 Mitarbeiterinnen und Mitarbeitern eine interne Meldestelle einrichten, Unternehmen mit bis zu 249 Mitarbeitenden können dabei Meldestellen gemeinsam aufbauen.

Als externe Meldestelle soll grundsätzlich das Bundesamt für Justiz dienen, für einige Wirtschaftsbereiche sind spezielle Meldestellen vorgesehen.

Der meldenden Person steht nach § 7 des Entwurfs ein freies Wahlrecht zu, ob sie an eine interne Meldestelle im Unternehmen oder an eine der in § 19 bis 23 benannten externen Meldestellen meldet. Dies wurde etwa von der Bundesrechtsanwaltskammer (BRAK) kritisiert, die in ihrer Stellungnahme zum Gesetzesentwurf darauf hinwies, dass die EU-Richtlinie noch in Art.7 vorsah, dass die Meldung „bevorzugt“ (Art.7) bzw. „zuerst“ (Art. 10) über die interne Meldestelle erfolgen sollte. Hiervon findet sich im Entwurf nichts mehr, der Gesetzgeber baue nach Auffassung der BRAK damit auf eine „Sanktionslösung“.

Was müssen Meldestellen beachten?

Wesentliche Pflicht einer Meldestelle ist nach § 9 des Entwurfs die Achtung des Vertraulichkeitsgebots. Dies bedeutet, dass insbesondere über die Identität der hinweisgebenden Person, der Personen, die Gegenstand einer Meldung sind und sonstiger in der Meldung benannter Personen. Das Gebot der Vertraulichkeit gilt auch unabhängig davon, ob die Meldestelle für die eingehende Meldung zuständig ist. Nach dem Gesetzesentwurf sind interne (§ 16 Abs.1) und externe (§ 27 Abs.1) Meldestellen nicht verpflichtet, anonymen Hinweisen nachzugehen.

Es gibt auch Ausnahmen von dem Vertraulichkeitsgebot, etwa wenn die hinweisgebende Person Ihre Einwilligung zur Weitergabe von Informationen über ihre Identität oder über sonstige Umstände, die Rückschlüsse auf die Identität erlauben, gibt. Die Einwilligung muss in Textform vorliegen, daher lesbar und auf einem dauerhaften Datenträger abzugeben sein. Eine E-Mail wäre demnach schon für die Einholung einer solchen Einwilligung ausreichend.
Eine weitere wesentliche Pflicht ist die Dokumentation der Meldung (siehe § 11 des Entwurfs).

Hier gilt:

  • Die Personen, die in einer Meldestelle für die Entgegennahme von Meldungen zuständig sind, dokumentieren alle eingehenden Meldungen in dauerhaft abrufbarer Weise unter Beachtung des Vertraulichkeitsgebots.
  • Bei telefonischen Meldungen oder Meldungen mittels einer anderen Art der Sprachübermittlung darf eine dauerhaft abrufbare Tonaufzeichnung des Gesprächs oder dessen vollständige und genaue Niederschrift (Wortprotokoll) nur mit Einwilligung der hinweisgebenden Person erfolgen.
  • Liegt eine solche Einwilligung nicht vor, ist die Meldung durch eine von der für die Bearbeitung der Meldung verantwortlichen Person zu erstellende Zusammenfassung ihres Inhalts (Inhaltsprotokoll) zu dokumentieren.
  • Der hinweisgebenden Person ist Gelegenheit zu geben, das Protokoll zu überprüfen, gegebenenfalls zu korrigieren und es durch ihre Unterschrift oder in elektronischer Form zu bestätigen.
  • Wird eine Tonaufzeichnung zur Anfertigung eines Protokolls verwendet, so ist sie zu löschen, sobald das Protokoll fertiggestellt ist.
  • Die Dokumentation wird zwei Jahre nach Abschluss des Verfahrens gelöscht.

Prüfpflicht des Hinweisgebers

Das „Offenlegen unrichtiger Informationen über Verstöße“ ist gemäß § 32 Abs. 2 des Entwurfs verboten und stellt eine Ordnungswidrigkeit nach § 40 Abs. 1 dar, wenn es wissentlich erfolgt. Damit stellt sich auch die Frage nach der Prüfpflicht des Hinweisgebers und dessen Grenzen. Auch können der hinweisgebenden Person Schadensersatzansprüche drohen, wenn sie wissentlich unrichtige Informationen über Verstöße meldet.

Problematisch gestalten sich auch die Fälle, in denen zwar ein Verstoß vorliegt, der jedoch noch nicht in den sachlichen Anwendungsbereich des Hinweisgeberschutzgesetzes fällt, denn wie schon dargestellt fällt nicht jeder Verstoß unter den Regelungsbereich des Hinweisgeberschutzgesetzes, sondern nur erhebliche Verstöße.

§33 gibt hier zumindest eine Erleichterung, wonach es für den sachlichen Anwendungsbereich ausreichen soll, wenn die hinweisgebende Person zum Zeitpunkt der Meldung zumindest hinreichenden Grund zu der Annahme hatte, dass es sich um einen erheblichen Verstoß im Sinne des Gesetzes handelt.

Warum das alles für den Hinweisgebenden eine große Rolle spielen kann zeigt ein vom EGMR am 16.02.2021 entschiedener Whistleblowing-Fall:

Der dort eine Anzeige erstattende Arzt – so in den Entscheidungsgründen – hätte vorher sorgfältig prüfen müssen, ob sein Verdacht einer unzulässigen (aktiven) Sterbehilfe seines Vorgesetzten „genau und zuverlässig“ sei. Auch wenn man in diesem Fall ebenfalls ein öffentliches Interesse an solchen Informationen hätte annehmen können, sei es von ihm zu erwarten gewesen, die Fakten gründlicher auf ihre inhaltliche Richtigkeit und Zuverlässigkeit zu überprüfen, was in dem Fall jedoch unterblieben war. Seine Meldung war nach Ansicht des EGMR damit nicht mehr von dem Recht auf freie Meinungsäußerung gedeckt und die fristlose Kündigung damit gerechtfertigt. Im Kern war dies auf die Verletzung der Prüfpflicht zurückzuführen.

Abwarten bis das Hinweisgeberschutzgesetz verabschiedet ist

Diese kurze Darstellung zeigt, dass die Errichtung einer internen Meldestelle und Bearbeitung von Hinweisen durchaus kniffelig ist und einige gesetzliche Vorgaben einzuhalten sind. Auch ist zu beachten, dass noch nicht sicher ist, dass das Hinweisgeberschutzgesetz in der hier besprochenen Form tatsächlich verabschiedet wird. Wir halten Sie hier natürlich auf dem Laufenden. Im Zweifel sollte man alle Prozesse rund um das zu etablierende Whistleblower System im Unternehmen eng mit dem Datenschutzbeauftragten begleiten.

Update 15.12.2022:
Nach Angaben von LTO ist der Entwurf für das Hinweisgeberschutzgesetz auf den letzten Metern vor der Verabschiedung noch einmal hinsichtlich anonymer Tipps und Hinweisen zu Verfassungsfeinden sowie Tierschutzskandalen angepasst worden.

Update 20.12.2022:
Die Abgeordneten des Deutschen Bundestages haben am 16. Dezember 2022, einen „besseren Schutz hinweisgebender Personen“ im beruflichen Umfeld beschlossen. Diese Beschlussfassung des Bundestages enthält einige wesentliche Abweichungen vom hier besprochenen Regierungsentwurf. Die einzelnen Änderungen sind hier umfassend dargestellt.

Die für Arbeitgeber wichtigsten Änderungen in der neuen Fassung sind:

  • Die im Artikel erwähnte Kritik der Bundesrechtsanwaltskammer, wonach externe und interne Meldestelle gleichrangig behandelt werden, wurde nunmehr in § 7 Abs.3 des Beschlussentwurfes adressiert: Hiernach gilt nun, dass Beschäftigungsgeber Anreize dafürschaffen sollen, dass sich hinweisgebende Personenvor einer Meldung an eine externe Meldestellezunächst an die jeweilige interne Meldestelle Hierfür sollen sie ihren Beschäftigten klare und leicht zugängliche Informationen über die Nutzung des internen Meldeverfahrens bereitstellen. Diese Regelung entspricht nun auch eher dem Willen des Verordnungsgesetzgebers.
  • Nach § 10 des Beschlussentwurfs dürfen nun auch besondere Kategorien personenbezogener Daten i.S.d. Art. 9 DSGVO durch die Meldestelle verarbeitet werden. Dies kann etwa bei einem Sachverhalt relevant sein, in dem der Vorgang Gesundheitsdaten betrifft oder eine Betriebsratszugehörigkeit.
  • Interne und externe Meldestellen sind nunmehr verpflichtet, auch anonymen Hinweisen nachzugehen.
intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

2 Kommentare zu diesem Beitrag

    • Sie können unseren Newsletter auch jederzeit täglich abonnieren, dann hätten Sie die Info am 15.12 und nicht im Wochenrückblick am 19.12 bekommen. ;)

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.