Das neue Hinweisgeberschutzgesetz – Implementierungspflicht eines Systems für Whistleblowing im Unternehmen

Wer betroffen ist

Zur Einrichtung eines Hinweisgeberschutzsystems sollen grundsätzlich Unternehmen und Organisationen mit mindestens 50 Beschäftigten verpflichtet werden. Hierbei gilt jedoch eine Schonfrist für Institutionen mit bis zu 249 Beschäftigten. Diese sind erst ab dem 17. Dezember 2023 zur Implementierung eines Hinweisgeberschutzsystems verpflichtet.

Unabhängig von der Beschäftigtenanzahl ist die Implementierung für Kapitalverwaltungsgesellschaften, Wertpapierdienstleister, Kreditinstitute und Versicherungen verpflichtend.

Staatliche Einrichtungen sind bereits seit dem 17. Dezember 2021 zur Einrichtung eines Hinweisgebersystems verpflichtet, denn für sie gilt die EU-Richtlinie zum Whistleblowing unmittelbar.

Welche Rechtsverletzungen relevant sind

Hinweisgeber*innen sollen nach dem neuen Gesetzesentwurf geschützt werden, wenn sie Meldungen abgeben, die Verstöße gegen folgende Gesetze betreffen:

• Straftaten nach deutschem Recht
• bußgeldbewehrte Verstöße, soweit die verletzte Vorschrift dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient. Hierzu zählen z. B. Normen aus den folgenden Bereichen:
  • Arbeitsschutz
  • Mindestlohngesetz
  • Gesundheitsschutz
  • Arbeitnehmerüberlassungsgesetz
  • Aufklärungs- und Auskunftspflichten gegenüber Organen wie z. B. dem Betriebsrat oder Wirtschaftsausschüssen

Auch Hinweise zu Verstößen gegen europäische Regelungen und deren nationale Umsetzung u. a. aus den folgenden Rechtsgebieten fallen unter den Schutz des neuen Hinweisgeberschutzgesetzes:

• Geldwäsche und Terrorismusfinanzierung
• Vorgaben zur Produktsicherheit und -konformität
• Umweltschutz
• Verbraucherschutz und -rechte
• DSGVO
• Sicherheit in der Informationstechnik
• Aktionärsrechte
• Regelungen zur Rechnungslegung bei Kapitalgesellschaften
• Vergaberecht

Der Gesetzesentwurf geht insbesondere über die bisherigen Vorgaben des GWG sowie des Aufsichtsrechts (VAG, KWG) hinaus, indem er strengere Anforderungen an das Meldesystem stellt und einen weitaus größeren Kreis an Rechtsverstößen erfasst. Für Unternehmen, die bereits ein Hinweisgebersystem haben, besteht daher ebenfalls Anpassungsbedarf, um die neuen Anforderungen zu erfüllen.

Wie das System zu gestalten ist

Der Gesetzentwurf will Whistleblowing in geregelte Bahnen lenken; vor allem sollen Hinweise zunächst intern bearbeitet und nicht etwa an Medien gespielt werden.

Whistleblower sollen zwischen einem unternehmensinternen System und externen Meldestellen des Bundes bzw. der Bundesländer sowie der Bundesanstalt für Finanzdienstleistungsaufsicht und des Bundeskartellamtes wählen können. Nach § 16 des Gesetzesentwurfs sind die internen Meldekanäle so zu gestalten, dass nur denjenigen Personen Zugriff erteilt wird, die für die Entgegennahme und Bearbeitung der Meldungen zuständig sind. Es muss also sichergestellt werden, dass keine unberechtigten Personen Zugriff auf die Identität der hinweisgebenden Person oder den Hinweis selbst haben.

Beschäftigten soll die Möglichkeit eingeräumt werden, Hinweise mündlich, schriftlich oder auf Wunsch auch persönlich abzugeben. Bei der Einrichtung eines internen Systems stehen Ihnen daher folgende Möglichkeiten offen:

• Einrichtung einer Hotline
• Möglichkeit eines persönlichen Treffens
• Implementierung eines schriftlichen Hinweisgebersystems, ggf. unter Zuhilfenahme digitaler Lösungen

Wird ein Hinweis abgegeben, hat die interne Meldestelle dies dem*der Hinweisgeber*in innerhalb von sieben Tagen zu bestätigen. Binnen drei Monaten nach der Bestätigung muss die interne Meldestelle den Whistleblower über die ergriffenen und geplanten Maßnahmen informieren, z. B. über die Einleitung interner Compliance-Untersuchungen oder die Weiterleitung einer Meldung an eine Strafverfolgungsbehörde.

Nach § 15 des Gesetzesentwurfs müssen die Personen, die Hinweise bei der internen Meldestelle entgegennehmen, hierbei unabhängig sein und die notwendige Fachkunde aufweisen. Diese Personen müssen nicht ausschließlich in der Meldestelle tätig sein, sondern können auch andere Aufgaben im Unternehmen wahrnehmen. Es ist allerdings sicherzustellen, dass dies nicht zu Interessenkonflikten führt.

Konzerne sind nach dem neuen Gesetzesentwurf nicht verpflichtet, in jedem Tochterunternehmen ein eigenes Meldesystem zu implementieren.

Hier unterscheidet sich der Entwurf stark von der umzusetzenden EU-Richtlinie. Diese sieht für jede Konzerngesellschaft eine eigene interne Meldestelle vor, damit z. B. keine Barrieren wie Sprache bei internationalen Konzernen im Wege stehen. Beim deutschen Gesetzgeber haben sich demgegenüber Praktikabilitäts- und Wirtschaftlichkeitsargumente durchgesetzt. Der Einrichtung eines Konzernmeldewegs für deutsche Unternehmen steht somit vorerst nichts im Wege.

Kleinere Unternehmen mit jeweils bis zu 249 Beschäftigten wird es ermöglicht, mit anderen Firmen eine gemeinsame Meldestelle einzurichten.

Im Übrigen steht es jedem Unternehmen offen, die Implementierung und das Betreiben einer internen Meldestelle durch einen externen Dienstleister vornehmen zu lassen.

Wer sich weigert, ein unternehmensinternes Hinweisgebersystem zu implementieren, riskiert in Zukunft eine Geldbuße i. H. v. 20.000 € gem. § 40 Abs. 2 Nr. 2 des Gesetzesentwurfs.

Schutz der Hinweisgeber*innen

Grundsätzlich sollten Hinweisgeber*innen wählen können, ob sie Vorfälle anonym oder unter Angabe ihres Namens melden. Für Unternehmen besteht nach dem aktuellen Entwurf des Gesetzes jedoch keine Verpflichtung, auch einen internen Meldekanal für anonyme Hinweise einzurichten. Ob sich diese Regelung im Laufe des Gesetzgebungsverfahrens noch ändert, bleibt abzuwarten. Anerkannt ist in jedem Fall, dass das Vorhalten eines Systems, das anonyme Meldungen ermöglicht, vertrauensbildend wirkt und die Bereitschaft der Beschäftigten fördert, ein solches System auch zu nutzen.

Für alle Arten der Meldewege gilt, dass Daten der Hinweisgeber* innen, aber auch von anderen betroffenen Personen, vertraulich zu behandeln sind.

Es ist jedoch Vorsicht bei der Einrichtung einer kostengünstigen Lösung geboten: Bei der Einrichtung einer internen E-Mail-Adresse oder Telefonnummer für die vertrauliche Meldung von Hinweisen kann nicht garantiert werden, dass Personen (z. B. aus der IT-Abteilung mit administrativen Rechten), die nicht für die Annahme von Hinweisen zuständig sind, in das System eingreifen können und Kenntnis über den Whistleblower oder den Inhalt des Hinweises erhalten. Dies steht jedoch im Widerspruch zur zukünftigen Regelung, dass ausschließlich zuständige Personen der Meldestelle Zugriff auf das System und die übermittelten Meldungen haben dürfen. Es empfiehlt sich daher die Nutzung einer externen Telefonnummer einer Ombudsperson, einer E-Mail-Adresse außerhalb des eigenen Unternehmenssystems oder eines digitalen Whistleblowersystems eines externen Anbieters.

Der Schutz des Hinweisgebersystems gilt nicht für Personen, die vorsätzlich oder zumindest grob fahrlässig unrichtige Informationen zu vermeintlichen Verstößen melden und somit das System missbrauchen. Gegen diese wird sogar eine Möglichkeit der Schadensersatzforderung durch § 38 des Gesetzesentwurfs eröffnet.

Sofern Whistleblower ihre Identität offenlegen, ist in Bezug auf Personalmaßnahmen Vorsicht geboten:

Zum Schutz der Whistleblower vor Repressalien wie Kündigung oder Mobbing sieht das Gesetz in § 36 des Gesetzesentwurfs eine weitgehende Beweislastumkehr vor: Sofern Hinweisgeber*innen im Zusammenhang mit der beruflichen Tätigkeit benachteiligt werden, tritt eine Vermutung ein, dass diese Benachteiligung eine Repressalie darstellt. Hierzu können potenzielle Schadensersatzansprüche der Hinweisgeber* innen dazukommen. Bei arbeitsrechtlichen Maßnahmen, die Whistleblower betreffen, müssen Arbeitgeber daher künftig nachweisen, dass die Maßnahmen gegen diese nicht im Zusammenhang mit der Aufdeckung von Missständen stehen.

Im Übrigen kann eine hinweisgebende Person nicht für die Beschaffung von Informationen, die sie gemeldet hat, rechtlich verantwortlich gemacht werden, sofern dies keine Straftat darstellt.

Wenn Sie weitere Fragen zur Einrichtung eines Hinweisgebersystems haben, nehmen Sie gern Kontakt zu uns auf. Wir helfen Ihnen gern bei der Umsetzung der gesetzlichen Vorgaben, u. a. mit folgenden Dienstleistungen:

• Wir erstellen Ihnen auf Wunsch eine unternehmensinterne Richtlinie zum Whistleblowing oder in einem größeren Umfang zur Compliance.
• Wir übernehmen gern die Funktion der Ombudsperson/des externen Vertrauensanwalts und nehmen Meldungen Ihrer Beschäftigten, ggf. vertraulich, entgegen.
• Bei Meldungen führen wir Vorprüfungen und eine damit einhergehende Plausibilitätskontrolle durch.
• Wir unterstützen Sie bei Ermittlungen, auch durch IT-gesteuerte Recherchen, und beraten Sie zu juristischen Fragestellungen.
• Wir bieten Schulungen für Sie und Ihre Beschäftigten zum Whistleblowing und zur Compliance an.
• Wir verfügen über eine eigene digitale Lösung für Ihr Hinweisgeberschutzsystem, in der wir eine 24/7-Erreichbarkeit, Anonymität und End-to-End-Verschlüsselung der gesamten Kommunikation anbieten.

Haben Sie Fragen oder weiteren Informationsbedarf?

Sprechen Sie uns an