Update Februar 22: Der deutsche Gesetzgeber hat die EU-Whistleblowing-Richtlinie nicht rechtzeitig innerhalb der vorgegebenen Frist am 17. Dezember 2021 in ein nationales Gesetz überführt.

Was bedeutet die fehlende Umsetzung für die betroffenen Unternehmen, Behörden und Whistleblower?

Einzelne Vorgaben der Richtlinie sind trotzdem unmittelbar anwendbar, auch wenn sie regierungsseitig nicht oder noch nicht ordnungsgemäß umgesetzt wurden. Unternehmen sollte auf keinen Fall bis zur offiziellen Umsetzung eines Hinweisgeberschutzgesetzes warten. Sinnvoll ist es, die gewonnene Zeit für die Einführung geeigneter Prozesse und Verfahren zum Umgang mit Hinweisen nutzen. Die Anforderungen sind komplex und erfordern Know-how und ein wenig Vorlauf.

Der öffentliche Sektor ist trotz fehlender Umstzung durch den Gesetzgeber seit Dezember 2021 betroffen: Seit dem 18. Dezember 2021 sind staatliche Stellen dazu verpflichtet, interne Hinweisgebersysteme anzubieten. Lediglich Kommunen mit weniger als 10.000 Einwohnern haben hier noch ein wenig Spielraum.

Was ist das deutsche Hinweisgeberschutzgesetz (HinSchG)?

Am 17.12.21 ist Stichtag für die sogenannte EU-Whistleblowing Richtlinie. Das bedeutet: Ab diesem Tag sollen die sogenannten Hinweisgeber im Unternehmen zusätzlichen Schutz erhalten. Das Hinweisgeberschutzgesetz (HinSchG) ist die deutsche Umsetzung der EU-“Whistleblowing”- Richtlinie. Es ist davon auszugehen, dass der deutsche Gesetzgeber für das kommende Hinweisgeberschutzgesetz (HinSchg) die wesentlichen Anforderungen der Richtlinie des Europäischen Parlaments übernehmen wird. Sollte der deutsche Gesetzentwurf nicht bis zur Deadline verabschiedet werden, dann gilt die EU-Richtlinie ohne nationale Anpassung 1:1. Es kommen also einige Herausforderungen auf uns alle zu!

Hintergrund der EU-Whistleblowing-Richtlinie

Hinweisgeber sind für den Erhalt einer offenen und transparenten Gesellschaft besonders wichtig, da sie mit ihren Meldungen Missstände aufdecken. Häufig wird unter „Whistleblowing“ noch unerwünschtes Denunziantentum verstanden. Dabei ist ein Hinweisgebersystem einer der grundlegenden Bausteine eines funktionierenden Compliance Management Systems. Mit dem frühzeitigen Aufdecken von Verstößen sollen Hinweisgeber ihren Arbeitgebern helfen, Strafzahlungen sowie Sanktionen zu verringern oder gar ganz zu vermeiden. Hinweisgeber machen es den Unternehmen überhaupt erst möglich, Risiken zu identifizieren und Probleme frühzeitig auszuräumen – so viel erstmal zum Grundgedanken des neuen Gesetzes.

Ziel der neuen Richtlinie ist es,

  • Verstöße aufzudecken und zu unterbinden,
  • die Abwicklung von Meldungen zu erleichtern und Hemmschwellen für Hinweisgeber zu senken, indem effektive, vertrauliche und sichere Meldekanäle eingerichtet werden,
  • die Hinweisgeber vor Repressalien wie Kündigung, Versetzung, Degradierung, Einschüchterung oder Mobbing zu schützen,
  • dass Hinweisgeber weder zivil-, straf- oder verwaltungsrechtlich noch in Bezug auf ihre Beschäftigung haftbar gemacht werden können.

 

Einrichtung eines Hinweisgebersystems wird Pflicht

Der deutsche Umsetzungsentwurf schreibt vor, dass sämtliche Unternehmen

  • ab 50 Beschäftigte oder
  • mit einem jährlichen Umsatz ab 10 Mio. Euro sowie
  • alle Finanzdienstleister und
  • die öffentlichen Arbeitgeber

künftig verpflichtet sind, ein internes Meldesystem für Arbeitnehmerinnen und Arbeitnehmer zu errichten und bereitzustellen.

Die Frist läuft für Unternehmen ab 250 Mitarbeitern schon zum 31.12.2021 aus, Unternehmen zwischen 50 und 250 Mitarbeitern haben eine Übergangsfrist. Warum man aber trotzdem schon tätig werden sollte und warum auch Arbeitgeber unter 50 Beschäftigten die ein Meldesystem einführen sollte beschreibe ich im weiteren Kontext.

 

Was kann alles gemeldet werden?

Gemeldet werden können alle Missstände und Verstöße aus den Bereichen

  • Steuerbetrug, Geldwäsche oder Auffälligkeiten im Zusammenhang mit öffentlichen Aufträgen
  • Produktsicherheit und -konformität
  • Sicherheit auf allen Verkehrswegen und bei der Beförderung gefährlicher Güter
  • Umwelt- und Strahlenschutz, öffentliche Gesundheit
  • Schutz der Privatsphäre und personenbezogener Daten
  • Sicherheit von Netz- und Informationssystemen.
  • Verbraucherschutz
  • Datenschutz
  • ……

 

Wer kann alles Hinweisgeber sein?

Der Anwendungsbereich der EU-Whistleblower-Richtlinie wurde bewusst sehr weit gefasst. Hinweisgeber können z. B. sein:

  • Aktuelle Arbeitnehmer, Azubis, Praktikanten, Ehemalige sowie Bewerber.
  • Personen, die zwar kein Beschäftigungsverhältnis haben, aber mit dem Unternehmen zu tun haben, wie z. B.  Lieferanten, Auftragnehmer, Freiberufler, Anbieter, Bewerber um Aufträge und Aktionäre.
  • Ehrenamtliche.
  • Bei öffentlichen Stellen: auch Bürgerinnen und Bürger, die einen Verstoß melden möchten.

 

Was bedeutet das Hinweisgeberschutzgesetz für Unternehmen?

Unabhängig vom deutschen Gesetzentwurf sollten Unternehmen bereits jetzt auf das kommende Hinweisgeberschutzgesetz reagieren und sich aktiv darauf vorbereiten, schnellstmöglich Meldesysteme einzuführen und anzubieten, da die EU-Richtlinie auf jeden Fall Rechtskraft erhält. Findet ein Hinweisgeber intern kein geeignetes Meldesystem vor, darf und wird er sich aus Mangel an Alternativen direkt an die zuständigen Behörden oder die Öffentlichkeit wenden. Behörden sind dabei verpflichtet, etwaige Missstände weiter zu melden (Bsp. Strafverfolgung, Finanzbehörde…)!

Unternehmen mit über 50 Mitarbeitern müssen sichere, interne Hinweisgebersysteme einführen. Kleinere Unternehmen sollten dies ebenfalls tun, denn der Anwendungsbereich der Richtlinie gilt auch für Mitarbeiter von Unternehmen mit weniger als 50 Arbeitnehmern.

 

Was ist bei der Einführung eines Systems zu beachten?

Unternehmen müssen ein internes Meldesystem einrichten. Der Hinweisgeber hat grundsätzlich zwei Möglichkeiten: eine interne Meldung über das intern eingerichtete Meldesystem oder eine externe Meldung an die zuständige Behörde (die sogenannte externe Meldestelle). Wichtig zu wissen ist, dass der Hinweisgeber nicht zur Einhaltung einer bestimmten Hierarchie verpflichtet ist. Aufgrund der Möglichkeit einer Meldung auch bei einer externen Meldestelle, sollten interne Meldestellen besonders attraktiv und einfach erreichbar gestaltet werden. Schließlich wird es im Sinne jedes Unternehmers sein, Verstöße zunächst intern aufklären zu können, ohne dass eine Behörde eingeschaltet wird.

 

Das interne Hinweisgebersystem muss dabei gewisse Mindestvorgaben erfüllen. Hierzu gehören unter anderem:

  • Uneingeschränkter Zugang für alle Beschäftigten;
  • Betreuung durch unabhängige und qualifizierte Personen (z. B. den externen Datenschutzbeauftragten als sog. Ombudsmann);
  • Dokumentation der eingehenden Meldungen;
  • Schutz der Vertraulichkeit und Anonymität sowie Beachtung des Datenschutzes;
  • Möglichkeit einer anonymen oder nicht anonymen Meldung. Wichtig! Der Hinweisgeber muss auch anonym melden können, ohne dass sein Name dem Arbeitgeber bekannt wird. Als anonymer Hinweisgeber muss er aber auch innerhalb der vorgeschriebenen Fristen Antwort und Information zu seiner Meldung erhalten.
  • Die Meldung muss elektronisch oder per Sprachaufzeichnung möglich sein;
  • Eingangsbestätigung innerhalb von sieben Tagen;
  • Innerhalb von drei Monaten: Rückmeldung an den Hinweisgeber und Information über die ergriffenen (Folge-)Maßnahmen.

 

Es gilt folgender Ablauf: Vorfall wird über sichere Meldestelle (z.B. über ein Online-Portal an den beauftragten Ombudsmann) gemeldet  ð Meldestelle nimmt den Vorgang auf, bestätigt innerhalb 7 Tage den Eingang der Meldung an den Hinweisgeber ð gibt sie an vereinbarte Fachbereiche bzw. Geschäftsleitung weiter ð Analyse des Vorgangs und Rückmeldung an Hinweisgeber innerhalb einer Frist von 3 Monaten über den Status.

 

Vergeltungsmaßnahmen sind verboten

Ziel der Richtlinie ist der Schutz von Personen, die auf Missstände in Unternehmen und Behörden aufmerksam machen. Hierfür enthält die Richtlinie eine Vielzahl von unzulässigen Vergeltungsmaßnahmen gegenüber dem Hinweisgeber wie etwa:

  • Kündigung
  • Versagung einer Beförderung
  • Gehaltskürzung
  • Mobbing
  • Diskriminierung
  • Schädigung in den sozialen Medien
  • Entzug einer Lizenz oder Genehmigung
  • Negative Leistungsbeurteilung
  • usw.

Sobald die Voraussetzungen (Einhaltung des Verfahrens und wahrheitsgemäße Information) vorliegen, ist ein Hinweisgeber vor Repressalien geschützt.

 

Das neue Gesetz und der Datenschutz

Da durch Hinweisgeber Daten weitergegeben werden, spielt hierbei auch der Datenschutz eine wichtige Rolle:

  1. Hinweise, die aufgrund von Datenschutzverstößen gemacht werden und
  2. Hinweise, in denen der Datenschutz aufgrund der Meldung an sich eine große Rolle spielt:
  • Hinweisgeber können nicht nur Verstöße gegen datenschutzrechtliche Bestimmungen melden. Meldungen und Folgemaßnahmen selbst führen wiederum zur Verarbeitung personenbezogener Daten.
  • Die Einrichtung der Meldestellen sowie der Prozess an sich stellt Verarbeitungstätigkeiten dar, die dokumentiert werden müssen.

 

Warum ist es wichtig, schon jetzt etwas zu tun, obwohl das Gesetz noch nicht verabschiedet ist

Die Deadline der EU endet am 17.12.21 und falls die EU-Richtlinie bis dahin nicht in deutsches Recht umgesetzt wurde, kann sich der Hinweisgeber auf die EU-Richtlinie beziehen. Der 17.12.2021 ist somit ein fester Termin!