Kommt in 2023: Deutsches Hinweisgeberschutzgesetz im Bundestag beschlossen
Betroffenheit:
-> Unternehmen ab 50 Mitarbeitern
-> Unternehmen unter 50 Mitarbeitern im Bereich der Finanzdienstleistungen, Finanzprodukte und Finanzmärkte (bei Gefahr der Möglichkeit zur Geldwäsche und Terrorismusfinanzierung)
-> Unternehmen unter 50 Mitarbeitern nach einer Risikobewertung durch Mitgliedstaaten über ein Risiko für die öffentliche Gesundheit und die Umwelt
-> Juristische Personen des öffentlichen Rechts wie Verwaltungen oder Gemeinden
Am 16. Dezember 2019 trat die EU-Richtlinie 2019/1937 in Kraft. Oft als „Whistleblower-Richtlinie“ (WBRL) oder auch “Hinweisgeber-Richtlinie” (HGRL) bezeichnet, dient sie dem Aufdecken und Unterbinden von Verstößen gegen das Unionsrecht sowie dem Schutz von Personen, die diese Verstöße melden.
Eine Umsetzung der Richtlinie in deutsches Recht soll durch das Hinweisgeberschutzgesetz erfolgen, das nunmehr im Entwurf der Bundesregierung vorliegt.
ENTWURF HINWEISGEBERSCHUTZGESETZ
Von der Möglichkeit, bei der erforderlichen Umsetzung der Richtlinie in das jeweilige nationale Recht der Mitgliedsstaaten die europäischen Vorgaben zu verschärfen, hat der deutsche Gesetzgeber im Entwurf des Hinweisgeberschutzgesetzes (HinSchG-E) Gebrauch gemacht.
Anders als die Richtlinie bezieht sich der deutsche Gesetzentwurf der Bundesregierung nicht nur auf Verstöße gegen EU-Recht, sondern gilt auch für Verstöße gegen deutsches Recht. Umfasst werden sämtliche in diese Rechtsgebiete fallenden Gesetze, Rechtsverordnungen und sonstigen Vorschriften des Bundes und der Länder sowie sämtliche Verbotsnormen des Straf- und Ordnungswidrigkeitenrechts.
Nicht vom sachlichen Anwendungsbereich erfasst sind Verstöße gegen unternehmensinternes Recht, wenn sie nicht zugleich auch Verstöße i.S.v. § 2 Abs. 1 Nr. 1 HinSchG-E darstellen. Dazu gehören verschiedene in den Compliance-Bereich fallende interne Richtlinien wie zum Beispiel eine Unterschriften-, IT- oder Reisekostenrichtlinie.
Die interne Meldestelle sollte laut der Entwurfsbegründung zwar auch anonym eingehende Meldungen bearbeiten, soweit dadurch die vorrangige Bearbeitung nichtanonymer Meldungen nicht gefährdet wird. Allerdings besteht keine Verpflichtung, die Meldekanäle so zu gestalten, dass sie die Abgabe anonymer Meldungen ermöglichen.
Die Pflicht zur Einrichtung interner Meldestellen wird im Entwurf sowohl für Unternehmen als auch für Dienststellen auf Einrichtungen mit mindestens 50 Beschäftigten beschränkt (§ 12 Absatz 2). Unabhängig von der Zahl der Beschäftigten besteht eine Pflicht nur in den in § 12 Absatz 3 abschließend aufgeführten Fällen (zum Beispiel Wertpapierdienstleistungsunternehmer, Datenbereitstellungsdienste sowie Börsenträger).
Das Wahlrecht des Hinweisgebers zwischen einer internen sowie einer externen Meldestelle ist auch im Entwurf des Hinweisgeberschutzgesetzes ausdrücklich genannt. Ebenso besteht der Hinweis, dass ein Hinweisgeber sich, wenn einem intern gemeldeten Verstoß nicht abgeholfen wurde, anschließend an eine externe Meldestelle wenden kann (§ 7 Absatz 1).
Der Entwurf sieht zudem vor, dass zum Adressatenkreis gehörende Unternehmen und Dienststellen Anreize dafür schaffen sollen, dass sich Hinweisgeber vor einer Meldung an eine externe Meldestelle zunächst an die jeweilige interne Meldestelle wenden.
So wie die Richtlinie weist auch der Gesetzentwurf darauf hin, dass auf Ersuchen des Hinweisgebers eine persönliche Zusammenkunft mit der für die Meldung zuständigen Person möglich sein muss (§ 16 Absatz 3). Über die Regelungen der Richtlinie hinaus will der Entwurf auch die Vertraulichkeit der von den Hinweisen betroffenen Personen schützen, ohne dabei nähere Angaben zu machen, wie ein solcher Schutz aussehen soll (§ 8 Abs. 1). Auch eine Doppelfunktion einer beauftragten Person wird ausdrücklich nicht als Ausschlusskriterium angesehen, um unabhängig in einer internen Meldestelle tätig sein zu können. Darüber hinaus haben die Meldestellen die datenschutzrechtlichen Bestimmungen zu berücksichtigen, insbesondere bei der Verarbeitung personenbezogener Daten.
Zwar verzichtet der Gesetzentwurf im Gegensatz zur Richtlinie beim persönlichen Anwendungsbereich auf eine konkrete Auflistung der möglichen Personengruppen, ebenso schließt er die rein private Erlangung von Informationen vom Anwendungsbereich des Gesetzes aus. Dennoch gibt es vom Umfang der in Betracht kommenden Personen zwischen dem Entwurf des Hinweisgeberschutzgesetzes und der Richtlinie kaum Unterschiede.
Ausdrücklich regelt der Gesetzentwurf den Vorrang von Sicherheitsinteressen sowie Verschwiegenheits- und Geheimhaltungspflichten (§ 5). Ausgenommen vom Schutz des Hinweisgebers sind unter anderem Verschlusssachen und Informationen, die dem richterlichen Beratungsgeheimnis oder der ärztlichen oder anwaltlichen Schweigepflicht unterliegen. Auch müssen Hinweisgeber, die vorsätzlich oder grob fahrlässig unrichtige Informationen weitergeben, für den entstandenen Schaden aufkommen (§ 9).
Nach Artikel 26 der Richtlinie müssen Regelungen für Unternehmen ab 250 Mitarbeitern bis Ende 2021, Regelungen für Unternehmen mit 50 bis 249 Mitarbeitern bis 2023 in nationales Recht umgesetzt worden sein.
Handlungsempfehlung
eco COMPLIANCE hat mit Beitrag vom 14. April 2021 bereits unter der EU-Richtlinie 2019/1937 über den Entwurf berichtet. Die damals aufgeführten Handlungsempfehlungen gelten auch für den aktuellen Entwurf der Bundesregierung. Somit gilt weiterhin:
Beachten Sie, dass es zukünftig weitere Verpflichtungen für Unternehmen zum Schutz von Hinweisgebern geben wird.
Machen Sie sich frühzeitig mit den Voraussetzungen für die verpflichtende Einführung eines internen Meldesystems vertraut.
Sollten Sie (zum Beispiel im Rahmen eines Compliance-Programmes) bereits über ein internes Meldesystem verfügen, überprüfen Sie dieses und passen Sie es gegebenenfalls den zukünftigen Anforderungen entsprechend an.
Da sowohl die Einrichtung als auch die Anpassung einer bereits vorhandenen Meldestelle in der Regel einen erheblichen Zeit- und Arbeitsaufwand bedeutet, sollte im Hinblick auf die neuen Regeln frühzeitig mit Planungen begonnen werden.
Da Hinweisgeber zwischen dem internen und externen Meldesystem frei wählen können, erscheint es ratsam, das interne Meldesystem so anzulegen, dass aufgrund einer hohen Attraktivität für Meldende Missstände zunächst intern aufgeklärt und unterbunden werden können. Dazu sollten die internen Meldewege für potenzielle Hinweisgeber leicht zugänglich sein. Mitarbeiter sollten vorab über die Einführung des Meldesystems informiert werden und wie sie Fehlverhalten vertraulich melden können.
Darüber hinaus sollten Unternehmen die beauftragten Mitarbeiter, die entsprechende Meldungen entgegennehmen, im verantwortungsvollen Umgang mit den Hinweisgebern und Berichten zum Beispiel durch Seminare und Trainings schulen. Davon betroffen sind auch Mitarbeiter in Leitungsfunktionen oder zum Beispiel Mitarbeiter im Personalwesen sowie überall dort, wo erfahrungsgemäß häufig entsprechende Meldungen gemacht werden.
Der Hinweisgeber muss die Gelegenheit erhalten, die Dokumentation der Meldung zu prüfen, zu korrigieren und durch Unterschrift zu bestätigen.
Des Weiteren sollte gewährleistet sein, dass nach jeder Meldung unmittelbar Folgemaßnahmen ergriffen werden. Zudem ist es wichtig darauf zu achten, dass die zwingende Frist von sieben Tagen zur Bestätigung des Eingangs der Meldung und die Rückmeldefrist von drei Monaten eingehalten wird.
Tragen Sie dafür Sorge, dass Hinweisgeber und alle weiteren wichtigen Beteiligten nach der Meldung in die Folgemaßnahmen, wie etwa interne Untersuchungen, einbezogen werden.
Beachten Sie auch, dass auf Ersuchen des Hinweisgebers ein persönliches Treffen zur Erstattung einer Meldung ermöglicht werden muss. Es reicht nicht aus, ein rein elektronisch funktionierendes Meldesystem einzurichten, das keine persönliche Kontaktaufnahme ermöglicht.
Sollte es sich innerhalb des Unternehmens als schwierig herausstellen, die geforderte Unabhängigkeit und Vertraulichkeit zu gewährleisten, können Compliance-Ombudspersonen, zum Beispiel externe Rechtsanwälte, beauftragt werden. Auch haben Unternehmen mit 50 bis 249 Arbeitnehmern die Möglichkeit, die zur Entgegennahme einer Meldung und die Folgemaßnahmen betreffenden Ressourcen zu teilen. Verfügen Sie über eine Compliance-Abteilung oder einen Compliance-Officer, bieten sich diese als Ansprechpartner an.
Bitte beachten Sie zudem die gerichtliche Beweislastumkehr bei arbeitsrechtlichen Maßnahmen gegenüber dem Hinweisgeber während des Meldezeitraums (Beweislast liegt beim betroffenen Unternehmen).
Eine umfangreiche Dokumentation ist seitens des Arbeitgebers wichtig, um gegebenenfalls in einem späteren Kündigungsschutzprozess nachweisen zu können, dass arbeitsrechtliche Maßnahmen nicht im Zusammenhang mit der Meldung des Arbeitnehmers stehen. Es empfiehlt sich daher, Mitarbeiterbewertungen, Bonussysteme, Karriereentwicklungen, erteilte Abmahnungen sowie bereits vereinzelt aufgetretene Probleme und Konflikte für den Fall eines Rechtsstreits umfassend zu dokumentieren.
Beachten Sie bei der Einführung eines internen Meldesystems auch die Beteiligungsrechte des Betriebsrats. So kann ein Mitbestimmungsrecht des Betriebsrats nach den Vorschriften des Betriebsverfassungsgesetzes gegeben sein, wie dies zum Beispiel bei der Einführung oder Anwendung von technischen Einrichtungen zum Zwecke der Verhaltens- oder Leistungsüberwachung des Arbeitnehmers der Fall ist. Unter solche technischen Einrichtungen können im Einzelfall auch Hinweisgeber-Hotlines oder vergleichbare elektronische Systeme fallen, die im Zusammenhang mit den Meldeverfahren verwendet werden.
Da bei der Nutzung von Meldekanälen regelmäßig personenbezogene Daten erhoben und verarbeitet werden, müssen zudem die datenschutzrechtlichen Vorgaben der Datenschutzgrundverordnung (DSGVO) beachtet werden. Unklar ist dabei zum jetzigen Zeitpunkt noch, wie das Spannungsverhältnis zwischen dem Identitätsschutz des Hinweisgebers und der Pflicht aus der DSGVO, eine von einer Datenverarbeitung betroffene Person (hier die gemeldete Person) innerhalb eines Monats über die Quelle zu informieren, zu handhaben ist. Da die Regelungen der DSGVO ausdrücklich unter bestimmten Voraussetzungen durch Rechtsvorschriften der EU oder ihrer Mitgliedstaaten beschränkt werden können, ist eher davon auszugehen, dass die Vorschriften zum Schutz der Hinweisgeber denen der Datenschutzgrundverordnung vorgehen.
Bitte beachten Sie, dass es sich bei der Umsetzung der Hinweisgeber-Richtlinie bisher lediglich um den Entwurf eines Gesetzes handelt (hier Entwurf der Bundesregierung) und es bis zur Verabschiedung und dem Inkrafttreten des Gesetzes noch zu Änderungen, zum Beispiel in Form von Verschärfungen bestimmter Regelungen, kommen kann.
Über den endgültigen Inhalt des Gesetzes zum Schutz von Hinweisgebern werden Sie von eco COMPLIANCE nach dem Inkrafttreten der Vorschrift informiert.