09.08.2022Fachbeitrag

Update Compliance 18/2022

Verabschiedung des deutschen Hinweisgeberschutzgesetzes steht bevor - was das für private und öffentliche Unternehmen bedeutet

Die Bundesregierung hat Anfang August den Entwurf eines Hinweisgeberschutzgesetzes beschlossen. Der vom Bundesministerium der Justiz ursprünglich vorgelegte Referentenentwurf wurde nur geringfügig angepasst. Nach der Sommerpause wird der Bundestag den Regierungsentwurf voraussichtlich mit den Stimmen der Regierungskoalition verabschieden. Nach der erforderlichen Zustimmung des Bundesrates und der Verkündung im Bundesgesetzblatt haben Unternehmen noch drei Monate Zeit, ein Hinweisgebersystem einzurichten. Öffentliche Stellen unterliegen dieser Pflicht schon heute.

Noch steht nicht fest, wann der Bundestag über den Regierungsentwurf beschließen wird. Nach seiner Sommerpause tritt er in der ersten Septemberwoche wieder zusammen. Damit ist noch nicht konkret absehbar, ab wann Unternehmen verpflichtet sein werden, Hinweisgebersysteme einzuführen. Spätestens Anfang 2023 dürfte es aber so weit sein.

Stufenmodell: kleinere Unternehmen haben länger Zeit

Der Entwurf sieht ein Stufenmodell vor: Privatwirtschaftliche Unternehmen mit 250 oder mehr Mitarbeitern müssen drei Monate nach Inkrafttreten des Gesetzes ein Hinweisgebersystem haben. Für Unternehmen mit 50 bis zu 249 Mitarbeitern gilt eine Karenzzeit bis zum 17. Dezember 2023.

Öffentliche Einrichtungen, auch kommunale Unternehmen und Behörden, müssen bereits heute Hinweisgebersysteme haben, für diese gilt die EU-Whistleblower-Richtlinie seit dem 17. Dezember 2021 nach herrschender Meinung nämlich unmittelbar (siehe Update Compliance Nr. 19/2021).

Konzernweite Meldestelle möglich

Der Entwurf sieht vor, dass konzernverbundene Unternehmen eine einheitliche interne Meldestelle nutzen dürfen. Er stellt sich damit gegen die Auslegung der EU-Richtlinie durch die EU-Kommission, die eine konzernweite Meldestelle gerade nicht ausreichen lässt.

Meldungen

Ziel des Gesetzes ist der Schutz von Whistleblowern, die im Zusammenhang mit ihrer beruflichen Tätigkeit Informationen über Verstöße erlangt haben und diese u.a. der internen Meldestelle melden. Sachlich sind Hinweise auf Straftaten und schwerwiegende Ordnungswidrigkeiten erfasst, darüber hinaus Verstöße gegen weitere wichtige Rechtsvorschriften. Der Entwurf geht damit über die Vorgaben der EU-Whistleblower-Richtlinie hinaus.

Erfasste Verstöße

In der Praxis wird man gegenüber den Mitarbeitern ohnehin nicht hinreichend konkret differenzieren können zwischen Meldungen, die dem Hinweisgeberschutzgesetz unterfallen und solchen, bei denen dies nicht der Fall ist. Es empfiehlt sich, in der internen Kommunikation eine Negativabgrenzung insbesondere zu reinen Bagatellen und vor allem vorsätzlichen Falschmeldungen zu ziehen. Zu beachten ist, dass die Einrichtung der Meldestelle und ihr Anwendungsbereich vor allem auch datenschutzrechtlich abgesichert ist: Die Befugnis zur Verarbeitung personenbezogener Daten liegt jedenfalls vor, soweit der Anwendungsbereich des Hinweisgeberschutzgesetzes berührt ist. Meldungen, die dem Gesetz nicht unterfallen, unterliegen allgemeinen datenschutzrechtlichen Vorgaben und müssen entsprechend geprüft und behandelt werden.

Aufgaben der Meldestelle 

Eingehende Meldungen sollen durch eine unabhängige Meldestelle vertraulich behandelt werden. Das Gesetz bezieht auch anonyme Meldungen in seinen Schutzbereich ein, diese sollen aber nachrangig behandelt werden, wenn namentliche Meldungen auf dem Tisch liegen.

Hinweisgeber haben die Wahl, ob sie sich an die unternehmensinterne Meldestelle wenden oder an sog. externe Meldestellen, die bei Behörden eingerichtet sind. Da Unternehmen und öffentliche Einrichtung ein hohes Eigeninteresse daran haben, frühzeitig Kenntnis von internen Missständen zu haben, sind sie gut beraten, ihre Mitarbeiter dazu zu motivieren, Hinweise auf Verstöße an die interne Stelle zu melden und angemessen darauf zu reagieren.

Die Meldungen sollen mündlich oder schriftlich abgegeben werden können. In der Praxis empfiehlt sich die Bereitstellung verschiedener Meldekanäle – Telefon, Telefax, postalisch, E-Mail, Webformular (Beispiel eines Webformulars „Mustermann AG“ ).

Die Anforderungen an die Meldestelle sind nicht eben gering: Sie nimmt Hinweise entgegen, bestätigt der hinweisgebenden Person den Eingang der Meldung, prüft den sachlichen Anwendungsbereich einschlägiger Gesetze, hält mit der hinweisgebenden Person Kontakt, prüft die Stichhaltigkeit der Meldung, ersucht die hinweisgebende Person erforderlichenfalls um weitere Informationen und ergreift angemessene Folgemaßnahmen.

Als mögliche Folgemaßnahmen nennt der Entwurf die Durchführung von internen Untersuchungen, den Verweis an eine zuständige Stelle (z.B. Personalabteilung oder Datenschutzbeauftragter), den Verfahrensabschluss oder die Abgabe an eine andere Stelle, etwa die Staatsanwaltschaft.

Bei der Einrichtung sind auch Anforderungen anderer einschlägiger Gesetze zu beachten, etwa des Lieferkettensorgfaltspflichtengesetzes.

Ergänzung der internen Compliance

Die konkrete Einrichtung der internen Meldestelle sollten Unternehmen in einer Compliance-Richtlinie niederlegen. Zu beachten sind etwaige Mitbestimmungspflichten, die zur Einbindung der Arbeitnehmervertretung führen. Auch die Datenschutzhinweise müssen ggf. angepasst werden.

Auslagerung der internen Meldestelle

Mit der Wahrnehmung der Aufgaben der internen Meldestelle können auch Externe beauftragt werden. In Betracht kommen insoweit vor allem Rechtsanwaltskanzleien und Ombudspersonen. Als Vorteile einer Auslagerung wird regelmäßig die Möglichkeit persönlicher Kommunikation zwischen Whistleblower und Meldestelle außerhalb des Unternehmens gesehen. Mit der Aufnahme und der Prüfung eingehender Meldungen beauftragte Rechtsanwälte sind in der Lage, die Hinweise umgehend rechtlich einzuordnen und entsprechende Folgemaßnahmen zu empfehlen. Das hat insbesondere dann Vorteile, wenn die Meldung nicht „klassische“ eindeutige Straftaten enthält, sondern nicht ohne weiteres erkennbare Verstöße anderer Rechtsgebiete, etwa aus dem Kartellrecht, dem Datenschutzrecht oder dem Wettbewerbsrecht. Die Meldestelle sollte entsprechend breite Prüfungskompetenz aufweisen.

Bei der Auslagerung der internen Meldestelle ist zu definieren, welche Aufgaben der Externe hat und welche interne Unternehmensstellen übernehmen. Auch dies sollte in einer Compliance-Richtlinie niedergelegt werden.

Praxishinweis

Das bald in Kraft tretende Hinweisgeberschutzgesetz stellt gewisse inhaltliche Anforderungen an die Einrichtung eines Hinweisgebersystems bzw. die Anpassung einer bereits bestehenden Whistleblower-Hotline. Sie muss in die Compliance-Landschaft des Unternehmens integriert und auch datenschutz- und mitbestimmungsrechtliche Aspekte berücksichtigen. Für international operierende Unternehmen stellen sich besondere Aufgaben, da die Hinweisgebersysteme unterschiedlichen Jurisdiktionen unterfallen können.

Unternehmen sind gut beraten, sich auf diese Aufgaben vorzubereiten und nicht bis kurz vor Toresschluss zu warten.
 

Als PDF herunterladen

Ansprechpartner

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.