Stand: Mai 2023

Whistleblowing: Das Hinweisgeberschutzgesetz kommt

Das Hinweisgeberschutzgesetz befindet sich auf der Zielgeraden. Wir haben die wichtigsten Informationen zu den aktuellen Entwicklungen für Unternehmen zusammengefasst.

Aktueller Stand

Die „EU-Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ (2019/1937) gibt Mindestvorgaben für den Schutz von Hinweisgebern (sog. Whistleblowern) vor. Sie soll Anreize schaffen, Rechtsverstöße zu melden und verpflichtet öffentliche und private Organisationen dazu, sichere Kanäle für die Meldung von Missständen einzurichten.
Die EU-Richtlinie hätte bis zum 17. Dezember 2021 in deutsches Recht umgesetzt werden müssen.
Update Mai 2023:
Nachdem der Bundesrat in der Sitzung vom 10. Februar 2023 dem vom Bundestag beschlossenen Entwurf eines Hinweisgeberschutzgesetzes (HinSchG) nicht zugestimmt hatte, haben die Koalitionsfraktionen den Gesetzentwurf in zwei Teile aufgespalten. Über diese beiden Gesetzentwürfe hätte am 30. März 2023 in zweiter und dritter Lesung im Bundestag beraten werden sollen, der Tagesordnungspunkt wurde aber kurzfristig abgesetzt. Grund hierfür war, dass der Vermittlungsausschuss doch noch angerufen wurde, der am 9. Mai 2023 getagt hat.
Im Vermittlungsausschuss konnte nun eine Einigung erzielt werden. Der ausgehandelte Kompromiss beinhaltet einige Änderungen gegenüber der vorherigen Fassung: Unternehmen werden nicht mehr zur Einrichtung anonymer Meldekanäle verpflichtet. Zudem sollen hinweisgebende Personen die Meldung bei der internen Meldestelle bevorzugen, wenn intern wirksam gegen den Verstoß vorgegangen werden kann und keine Repressalien befürchtet werden. Zudem wurde der Bußgeldrahmen in Fällen, dass eine Meldung behindert oder Repressalien ergriffen werden, von 100.000 Euro auf 50.000 Euro herabgesetzt.
Diesem Kompromiss haben der Bundestag am 11. Mai 2023 und der Bundesrat am 12. Mai 2023 zugestimmt. Das Gesetz muss nur noch vom Bundespräsidenten unterzeichnet und im Bundesgesetzblatt veröffentlicht werden. Das Gesetz wird einen Monat nach der Veröffentlichung im Bundesgesetzblatt in Kraft treten, also voraussichtlich Mitte/Ende Juni 2023.
Weitere Informationen finden Sie im nachfolgenden Text.

Welche Verstöße können von Hinweisgebern gemeldet werden?

Die EU-Richtlinie sieht vor, dass Personen geschützt werden, die Verstöße gegen das EU-Recht in bestimmten Bereichen melden – etwa wenn es um öffentliche Aufträge, Finanzdienstleistungen, Produktsicherheit, Verkehrssicherheit, Umweltschutz, Lebensmittel, öffentliche Gesundheit, Verbraucher- und Datenschutz geht.
Das HinSchG geht weit darüber hinaus und bezieht das deutsche Recht mit ein. Nach dem HinSchG fallen folgende Verstöße in den sachlichen Anwendungsgereich:
  • Verstöße gegen Strafvorschriften: Dies umfasst jede Strafnorm nach deutschem Recht.
  • Verstöße, die bußgeldbewehrt sind, soweit sie dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient. Darunter fallen beispielswese Vorschriften aus den Bereichen des Arbeits- und Gesundheitsschutzes, Verstöße gegen das Mindestlohngesetz, Bußgeldvorschriften, die Verstöße gegen Aufklärungs- und Auskunftspflichten gegenüber Organen der Betriebsverfassung wie Betriebsräten sanktionieren.
  • Zudem alle Verstöße gegen Rechtsvorschriften des Bundes und der Länder sowie unmittelbar geltende EU-Rechtsakte in einer Vielzahl verschiedener Bereiche, etwa: Regelungen zur Bekämpfung der Geldwäsche, Vorgaben zur Produktsicherheit, Vorgaben zur Verkehrssicherheit, Vorgaben zur Beförderung gefährlicher Güter, Vorgaben zum Umwelt- und Strahlenschutz, Lebensmittel- und Fleischmittelsicherheit, Qualitäts- und Sicherheitsstandards bei Arzneimitteln und Medizinprodukten, Regelungen des Verbraucherschutzes, Vorgaben des Datenschutzes und der Sicherheit in der Informationstechnik, Vergaberecht, Regelungen zur Rechnungslegung bei Kapitalgesellschaften, Regelungen im Bereich des Wettbewerbsrechts etc.
  • Zuletzt wurde der sachliche Anwendungsbereich auf Äußerungen von Beamtinnen und Beamten ausgeweitet, die einen Verstoß gegen die Pflicht zur Verfassungstreue darstellen (wohl aufgrund der Geschehnisse um die “Reichsbürger-Razzia”).
Update Mai 2023: Der Kompromiss des Vermittlungsausschusses enthält die Klarstellung, dass Verstöße nur dann in den Anwendungsbereich fallen, wenn sie sich auf den Beschäftigungsgeber oder eine andere Stelle beziehen, mit der die hinweisgebende Person selbst in beruflichem Kontakt stand oder steht.

Wer kann Hinweisgeber sein?

Hinweisgeber sind Personen, die Informationen über Verstöße melden oder offenlegen. Der persönliche Anwendungsbereich soll weit gefasst sein und umfasst alle Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit Informationen über Verstöße erlangt haben, insbesondere:
  • Arbeitnehmer, auch Arbeitnehmer, deren Arbeitsverhältnis bereits beendet ist, Stellenbewerber, Praktikanten, Leiharbeitnehmer
  • Selbstständige, die Dienstleistungen erbringen, Freiberufler, Auftragnehmer, Unterauftragnehmer, Lieferanten und deren Mitarbeiter
  • Anteilseigner und Personen in Leitungsgremien
Nach dem HinSchG müssen die internen Meldekanäle mindestens den eigenen Beschäftigten sowie Leiharbeitnehmern offenstehen, die dem Unternehmen überlassen sind. Die zur Einrichtung verpflichteten Unternehmen können selbst entscheiden, ob das Meldeverfahren darüber hinaus auch (außenstehenden) Personen, die im Kontakt zum Unternehmen stehen, offenstehen soll.

Welche Unternehmen müssen zu welchem Zeitpunkt interne Meldekanäle einrichten?

Unternehmen mit mindestens 250 Beschäftigten müssen spätestens innerhalb von einem Monaten nach Verkündung des HinSchG die Vorgaben umsetzen. Die Bußgeldvorschrift, wonach ein Bußgeld bis zu 20.000 Euro droht, wenn ein interner Kanal nicht eingerichtet oder betrieben wird (hierzu siehe unten “Welche Sanktionen drohen bei Verstößen gegen das HinSchG?”), tritt aber erst sechs Monate nach Verkündung des HinSchG in Kraft. Solange wird also kein Bußgeld wegen fehlender Einrichtung verhängt.
Gleiches gilt auch für Unternehmen im Finanzdienstleistungsbereich unabhängig von der Zahl der Beschäftigten.
Für Unternehmen mit 50 bis 249 Beschäftigten sieht der Gesetzentwurf eine verlängerte Einrichtungsfrist bis zum 17. Dezember 2023 vor. Diesen Unternehmen ist es zudem erlaubt, Ressourcen zu teilen und mit anderen Unternehmen eine „gemeinsame Meldestelle“ zu betreiben.

Was ist bei der Einrichtung und beim Betrieb interner Meldekanäle zu beachten?

Folgende 10 Punkte sollten berücksichtigt werden:

1. Die internen Meldekanäle müssen Meldungen in mündlicher oder in Textform sowie auf Wunsch in persönlicher Weise ermöglichen:

  • Meldekanäle, die Meldungen in Textform ermöglichen, können sein: IT-gestütztes Hinweisgebersystem wie etwa eine Plattform im Internet oder Intranet oder eine eigens für die Entgegennahme und Bearbeitung von Hinweisen eingerichtete E-Mail-Adresse; Meldekanäle, die Meldungen ausschließlich in Schriftform ermöglichen (z.B. ein Beschwerde-Briefkasten oder Meldungen über den Postweg) dürften nicht ausreichen
  • Mündliche Meldekanäle können sein: Whistleblower-Hotline, Anrufbeantwortersystem
  • Auf Wunsch des Hinweisgebers sollte es über diese Kanäle auch möglich sein, innerhalb eines angemessenen Zeitraums Hinweise in einem persönlichen Treffen zu besprechen, das mit Einwilligung des Hinweisgebers auch in Form einer Videokonferenz erfolgen kann
Für die Abgabe von Meldungen können die Unternehmen mehrere Kanäle zur Verfügung stellen.
Update Mai 2023: Es besteht keine Verpflichtung, die internen Meldekanäle so einzurichten, dass sie die Abgabe anonymer Meldungen ermöglichen . Es wird lediglich vorgegeben, dass die internen Meldestellen auch anonym eingehende Meldungen bearbeiten sollen.

2. Bei allen Meldewegen muss die Vertraulichkeit des Hinweisgebers sowie Dritter geschützt sein:

  • Die internen Meldekanäle müssen so konzipiert sein, dass die Vertraulichkeit der Integrität des Hinweisgebers und Dritter, die in der Meldung erwähnt werden, gewahrt bleibt und nicht befugten Mitarbeitern der Zugriff darauf verwehrt wird.
  • Vertraulichkeit bedeutet, dass die Integrität des Hinweisgebers ohne dessen ausdrückliche Zustimmung grundsätzlich keinen anderen Personen als gegenüber den befugten Mitarbeitern, die für die Entgegennahme von Meldungen oder für das Ergreifen von Folgemaßnahmen zu Meldungen zuständig sind, offengelegt werden darf.
Update Mai 2023: Vertraulichkeit bedeutet nicht Anonymität. Es besteht keine Verpflichtung, anonyme Meldekanäle einzurichten.

3. Bestimmung der Zuständigkeit innerhalb des Unternehmens mit einer sehr eingeschränkten Zugriffsrechte-Zuweisung:

  • Innerhalb des Unternehmens müssen „Meldestellen-Beauftragte“ bestimmt werden (eine/mehrere Person/en oder Abteilung), die die Meldungen entgegennehmen, dem Hinweisgeber innerhalb der 7-Tage-Frist den Eingang der Meldung bestätigen, die Meldung prüfen, entsprechende Folgemaßnahmen in die Wege leiten und dem Hinweisgeber innerhalb von 3 Monaten über ergriffene Folgemaßnahmen informieren.
  • Konkrete Vorgaben gibt es nicht. Maßgeblich ist die jeweilige Organisationsstruktur, Größe und Art der ausgeübten Unternehmenstätigkeit.
  • Diese Personen können insbesondere sein: Compliance-Leiter, Legal Councel, Datenschutzbeauftragter, Finanzdirektor, Auditverantwortlicher
  • Diese Personen können neben ihrer Tätigkeit für die interne Meldestelle andere Aufgaben und Pflichten wahrnehmen. Wichtig ist aber, sicherzustellen, dass derartige Aufgaben und Pflichten nicht zu Interessenskonflikten führen, diese Personen unabhängig handeln können und die notwendige Fachkunde besitzen. Hierzu wird es in der Regel erforderlich sein, die betreffenden Personen im Hinblick auf die mit der Übernahme der Funktion verbundene Verantwortung zu schulen.
Alternative: Auch Dritte können als interne Meldestellen beauftragt werden. Die Entgegennahme und Bearbeitung von Hinweisen kann auch auf externe Anbieter von Meldeplattformen bzw. auf Ombudspersonen (etwa Rechtsanwälten) ausgelagert werden, sofern diese entsprechende Garantien für die Wahrung der Unabhängigkeit und Vertraulichkeit, des Datenschutzes und der Geheimhaltung bieten.

4. Bei (internationalen) Konzernstrukturen:

Im Konzern sind verschiedene Gestaltungsmöglichkeiten denkbar. Zum einen eine lokale Organisation, in der jedes Konzernunternehmen ein eigenes Hinweisgeberschutzsystem unterhält. Denkbar ist auch eine regionale Organisation in der Form, dass einzelne Konzerngesellschaften für eine bestimmte Region ein Hinweisgebersystem betreiben. Auch eine zentrale Lösung kommt in Betracht in der Form, dass die Meldestelle zentral in einer Einheit (in der Regel bei der Konzernmutter) angesiedelt ist.
Rechtlicher Hintergrund: Das HinSchG erlaubt es, auch einen „Dritten“ mit der Aufgabe einer internen Meldestelle zu beauftragen. Nach der Begründung des HinSchG kann auch bei einer anderen Konzerngesellschaft (zum Beispiel Mutter-, Schwester-, oder Tochtergesellschaft) eine unabhängige und vertrauliche Stelle als „Dritter“ eingerichtet werden, die auch für mehrere selbstständige Unternehmen in dem Konzern tätig sein kann. Dabei ist es aber notwendig, dass die originäre Verantwortung dafür, einen festgestellten Verstoß zu beheben und weiterzuverfolgen, immer bei dem jeweiligen beauftragenden Unternehmen verbleibt. Das HinSchG unterscheidet nicht zwischen Konzerngesellschaften mit mehr oder weniger als 249 Mitarbeitern, sondern die Option der Einrichtung einer zentralen Meldestelle im Konzern ist wohl unterschiedslos für alle Konzerngesellschaften möglich.
Hinweis: Es wird darauf hingewiesen, dass eine gewisse Rechtsunsicherheit besteht. Denn nach früheren Aussagen der EU-Kommission müsse jedes Unternehmen, welches mehr als 249 Mitarbeiter beschäftigt, ein eigenes Hinweisgebersystem einrichten. Ein zentrales Hinweisgebersystem im Konzern solle nach der EU-Kommission nicht ausreichen. In Deutschland wird man die Konzernregelung sanktionslos umsetzen können. Mit Blick auf etwaige Umsetzungsunterschiede in den einzelnen EU-Mitgliedsstaaten sollte bei international tätigen Konzernen auch das Recht des jeweiligen Staates geprüft werden.

5. Bearbeitungsfristen müssen beachtet werden:

  • Innerhalb von sieben Tagen muss dem Hinweisgeber bestätigt werden, dass seine Meldung eingegangen ist.
  • Innerhalb von spätestens drei Monaten nach der Bestätigung des Eingangs der Meldung muss der Hinweisgeber über geplante oder bereits ergriffene Folgemaßnahmen sowie die Gründe für diese informiert werden.

6. Von der im Unternehmen zuständigen Person oder Abteilung müssen ordnungsgemäße Folgemaßnahmen ergriffen werden, diese können beispielsweise sein:

  • Einleitung interner Nachforschungen
  • Mögliche Maßnahmen zur Behebung des Problems
  • Verweis auf andere Kanäle oder Verfahren bei Meldungen
  • Abschluss des Verfahrens aufgrund mangelnder Beweise oder anderer Gründe
  • Befassung einer zuständigen Behörde

7. Dokumentation der Meldungen und Datenaufbewahrung:

  • Alle eingehenden Meldungen müssen im Einklang mit den Vertraulichkeitspflichten dokumentiert werden.
  • Wie die Meldungen dokumentiert werden müssen, hängt davon ab, über welchen Kanal die Meldung eingegangen ist.
  • Das gewählte Meldesystem sollte entsprechende Anwendungen haben, dass Meldungen und Folgemaßnahmen so dokumentiert werden, dass sie gegebenenfalls als Beweismittel verwendet werden können.
  • Nach dem aktuellen Gesetzentwurf müssen die Dokumentationen drei Jahre nach Abschluss des Verfahrens gelöscht werden.
Update Mai 2023: Nach der im Vermittlungsausschuss ausgehandelten Regelung kann die Dokumentation auch länger als drei Jahre aufbewahrt werden, um die Anforderungen nach dem HinSchG oder nach anderen Rechtsvorschriften zu erfüllen, solange dies erforderlich und verhältnismäßig ist.

8. Informationspflicht über Meldeverfahren:

  • Unternehmen müssen Informationen über den internen Meldeprozess und über alternative externe Meldeverfahren an die jeweils zuständigen Behörden bereitstellen.
  • Diese Informationen müssen leicht verständlich und zugänglich sein, zum Beispiel über die Unternehmens-Website, im Intranet oder am Schwarzen Brett.

9. Datenschutz:

  • Im Hinweisgebersystem werden personenbezogene Daten verarbeitet. Bei der Einrichtung und Durchführung des internen Meldeverfahrens sind alle rechtlichen Bedingungen des Datenschutzes einzuhalten. Alle personenbezogenen Daten, sowohl die des Hinweisgebers als auch etwaiger beschuldigter Personen, müssen im Einklang mit der EU-Datenschutzgrundverordnung sowie des Bundesdatenschutzgesetzes verarbeitet werden.
  • Aufbewahrungs-/Löschfristen müssen festgelegt werden (siehe hierzu oben unter 7.).
  • Die Erstellung einer Datenschutzerklärung für Hinweisgeber wird erforderlich sein.
  • Wenn externe Anbieter als interne Meldestellen beauftragt werden, wird der Abschluss einer Auftragsdatenverarbeitung erforderlich sein.
  • Der Prozess über den internen Meldekanal muss im Verzeichnis der Verarbeitungstätigkeiten aufgenommen werden.
  • In der Regel wird die Durchführung einer Datenschutz-Folgeabschätzung erforderlich sein.
  • Eine sichere Datenverarbeitung verlangt geeignete technische und organisatorische Maßnahmen.
  • Der (externe) Datenschutzbeauftragte sollte daher frühzeitig eingebunden werden. Zur Klärung von Zweifelsfragen stehen auch die Datenschutzbehörden zur Verfügung.

10. Bei der Einrichtung des Verfahrens für interne Meldungen sind Mitbestimmungsrechtliche des Betriebsrats zu beachten:

  • Zunächst haben Betriebsräte gemäß § 80 Absatz 2 Betriebsverfassungsgesetz (BetrVG) einen Anspruch auf Unterrichtung vor der geplanten Einrichtung eines Hinweisgeberschutzsystems.
  • Bei der Frage des „Ob“, also ob ein Hinweisgebersystem überhaupt eingerichtet werden soll, hat der Betriebsrat kein Mitbestimmungsrecht. Auch bei der Frage, welche Stelle (intern oder extern) mit dem Betrieb des Hinweisgebersystems betraut wird, gibt es keine zwingende Mitbestimmung.
  • Bei der Frage des „Wie“, also im Hinblick auf die Ausgestaltung von Meldekanälen und Meldeverfahren könnten Mitbestimmungsrechte des Betriebsrats ausgelöst werden. Insbesondere das Mitbestimmungsrecht aus § 87 Absatz 1 Nummer 6 BetrVG, nämlich im Falle der Einrichtung und Anwendung technischer Einrichtungen, kommt in Betracht, sofern die Identifikation des Hinweisgebers möglich ist.
  • Sofern der Arbeitgeber ein über die gesetzlichen Vorgaben hinausgehendes Verfahren zur Meldung und zum Umgang mit Verstößen einführt (bspw. ein Verhaltenskodex, Compliance-Richtlinien etc.), wird in der Regel auch ein Mitbestimmungsrecht aus § 87 Absatz 1 Nummer 1 BetrVG zu bejahen sein, weil Fragen der Ordnung des Betriebs und des Verhaltens der Beschäftigten im Betrieb betroffen sind.
  • Beteiligungsrechte des Betriebsrats ergeben sich auch aus §§ 96 ff. BetrVG hinsichtlich Schulungsmaßnahmen für die im Unternehmen zuständigen Fallbearbeiter und/oder für die Beschäftigten.
  • Es empfiehlt sich die frühzeitige Einbindung des Betriebsrats im Rahmen eines Gesprächs.

Welche Möglichkeiten der Meldung hat der Hinweisgeber?

Es wird zwischen internen und externen Meldestellen unterschieden.
Die internen Meldestellen müssen in Unternehmen eingerichtet.
Die externen Meldestellen müssen von der öffentlichen Hand eingerichtet werden. Eine zentrale externe Meldestellen soll beim Bundesamt für Justiz (BfJ) eingerichtet werden. Daneben sollen die bestehenden Meldesysteme bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sowie beim Bundeskartellamt als weitere externe Meldestelle mit Sonderzuständigkeiten weitergeführt werden. Den Ländern steht es frei, für die Meldungen, die die jeweiligen Landesverwaltung und die jeweiligen Kommunalverwaltungen betreffen, eigene externe Meldestellen einzurichten.
Der Hinweisgeber hat grundsätzlich die freie Wahl, ob er sich an eine interne Meldestelle des Unternehmens oder an eine externe Meldestelle der Behörden wendet.
Update Mai 2023: Im Vermittlungsausschuss hat man sich darauf geeinigt, einen Anreiz zur bevorzugten Nutzung der internen Meldekanäle zu schaffen: Hinweisgeber sollten in den Fällen, in denen intern wirksam gegen den Verstoß vorgegangen werden kann und sie keine Repressalien befürchten, die Meldung an eine interne Meldestelle bevorzugen.
Darüber hinaus können sich hinweisgebende Personen mit ihren Informationen über Verstöße auch an die Öffentlichkeit (etwa an die Presse) wenden, dies jedoch nur unter engen Voraussetzungen. Die hinweisgebende Person ist nach dem letzten Gesetzentwurf im Falle der Meldung eines Verstoßen an die Öffentlichkeit nur dann durch das HinSchG geschützt, wenn sie sich zuvor erfolglos an eine externe Meldestelle gewendet hat oder Gefahr für die Allgemeinheit droht.

Wie werden Hinweisgeber geschützt?

Ziel der EU-Richtlinie ist der Schutz von Personen, die auf Missstände in Unternehmen und Behörden aufmerksam machen, und sicherzustellen, dass ihnen keine Benachteiligungen drohen. Hinweisgeber genießen Haftungsprivilegien und umfangreichen Schutz:
  • Zentrales Element ist das Verbot von Repressalien. Unternehmen müssen beachten, dass sämtliche Repressalien einschließlich der Androhung und des Versuchs von Repressalien untersagt sind. Verboten sind insbesondere: Suspendierung, Kündigung, Herabstufung oder Versagung von Beförderung, Nötigung, Einschüchterung, Mobbing oder Aussetzung, aber auch Nichtverlängerung befristeter Arbeitsverträge, Rufschädigung, Entzug einer Lizenz oder Genehmigung, negative Leistungsbeurteilung etc.
  • Um die Durchsetzbarkeit von Ansprüchen gegen Repressalien gegen den Schädiger zu verbessern, enthält das HinSchG in Umsetzung der EU-Richtlinie eine Beweislastumkehr zugunsten der geschützten Person. Bisher musste der Arbeitnehmer bzw. der Hinweisgeber den Zusammenhang zwischen Meldung und Benachteiligung im Streitfall nachweisen. Künftig muss der Arbeitgeber / das Unternehmen den (abweichenden) Grund für eine vermeintliche Benachteiligung darlegen und ggf. beweisen, wenn die Benachteiligung nach der Meldung erfolgt. Tipp: Vor diesem Hintergrund sollten Personalverantwortliche künftig die Gründe für arbeitsrechtliche Maßnahmen sorgfältig dokumentieren.
Update Mai 2023: Hinsichtlich der Beweislast wurde nun beschlossen, dass die Beweislastregelung wie oben beschrieben erhalten bleibt. Diese soll aber mit der Einschränkung gelten, dass der Hinweisgeber selbst aktiv werden und geltend machen muss, dass er die Benachteiligung infolge der Meldung erlitten hat.
  • Hinweisgeber, die sich Repressalien ausgesetzt sehen, sollen Zugang zu Rechtsbehelfen haben.
  • Bei einem Verstoß gegen das Repressalienverbot ist zudem der hinweisgebenden Person der daraus entstehende Schaden zu ersetzen.
Update Mai 2023: In den bisherigen Gesetzentwürfen war geregelt, dass die hinweisgebende Person auch immateriellen Schadensersatz (also Schmerzensgeld) verlangen kann. Im Rahmen der Einigung im Vermittlungsausschuss wurde diese Regelung gestrichen.
Um diesen Schutz zu genießen, muss der Hinweis zutreffend sein und die Meldung muss Verstöße treffen, die in den Anwendungsbereich des HinSchG fallen. Ausreichend ist aber auch, wenn der Hinweisgeber zum Zeitpunkt der Meldung oder Offenlegung hinreichenden Grund zu solcher Annahme hatte.
Ein Schutz für Hinweisgeber besteht aber nicht, wenn es sich um eine vorsätzliche oder grob fahrlässige Falschmeldung handelt. In solchen Fällen ist der bösgläubige Hinweisgeber sogar zum Ersatz des dadurch entstehenden Schadens verpflichtet.

Welche Sanktionen drohen bei Verstößen gegen das HinSchG?

Verstöße gegen die wesentlichen Vorgaben des HinSchG werden als Ordnungswidrigkeiten mit einer Geldbuße geahndet. Die Höhe des Bußgeldrahmens hängt vom jeweiligen Verstoß ab:
  • Mit einem Bußgeld in Höhe von bis zu 50.000 Euro kann belegt werden, wer eine Meldung oder die darauffolgende Kommunikation verhindert (oder dies versucht), wer eine verbotene Repressalie ergreift (oder dies versucht) oder wer vorsätzlich oder leichtfertig das Vertraulichkeitsgebot missachtet.
Update Mai 2023: Für die oben genannten Verstöße drohten nach den bisherigen Gesetzentwürfen Bußgelder bis zu 100.000 Euro. Im Rahmen des Vermittlungsausschusses wurde die Einigung erzielt, den Bußgeldrahmen auf 50.000 Euro herabzusetzen.
  • Wenn fahrlässig das Vertraulichkeitsgebot missachtet wird, droht ein Bußgeld in Höhe bis zu 10.000 Euro.
  • Für Unternehmen, die ihrer Pflicht zur Einführung und zum Betrieb einer internen Meldestelle nicht nachkommen, droht eine Geldbuße in Höhe bis zu 20.000 Euro.
Update Mai 2023: Bundesrat und Bundestag haben sich darauf geeinigt, dass die Bußgeldvorschrift im Falle der Nichteinhaltung und den Nichtbetrieb interner Meldekanäle (hierfür droht eine Geldbuße bis zu 20.000 Euro) erst sechs Monate nach Verkündung des Gesetzes Anwendung finden soll.
Unternehmen ohne Hinweisgebersystem riskieren zudem, dass Hinweise an Behörden oder die Öffentlichkeit gelangen, wodurch Reputationsrisiken und Haftungsrisiken für das Unternehmen steigen. Aus diesem Grund dürfte es im eigenen Interesse liegen, Kenntnis von Missständen zu erlangen, ehe Ermittlungsbehörden oder die Medien davon erfahren.

Was sollten Unternehmen jetzt tun?

Unternehmen mit mindestens 250 Beschäftigten müssen die obigen Vorgaben innerhalb von einem Monat nach Verkündigung des Gesetzes umsetzen.
Unternehmen mit 50 bis 249 Beschäftigten haben noch bis zum 17. Dezember 2023 Zeit, sollten aber schon Vorbereitungen treffen, damit dann die erforderlichen Hinweisgebersysteme schnell funktionsfähig sein werden.
Checkliste – Folgende Punkte sollten Unternehmen jetzt klären:
  • GAP-Analyse: Existiert im Unternehmen bereits ein Hinweisgebersystem? Wenn ja, besteht Anpassungsbedarf?
  • Welche Kanäle sollen eingerichtet werden? Telefonisch, E-Mail, webbasierte Lösung, Ombudsperson? Soll eine webbasierte Lösung gewählt werden, die auch anonyme Meldungen ermöglicht (ist nicht Pflicht)?
  • Soll der interne Meldekanal nur den eigenen Beschäftigten sowie überlassenen Leiharbeitnehmern offenstehen oder allen Personen, die im Rahmen ihrer beruflichen Tätigkeit mit dem Unternehmen in Kontakt stehen?
  • Wie sollen Mitarbeiter und ggf. sonstige hinweisgebende Personen über mögliche Meldestellen informiert werden? Unternehmenswebsite, Unternehmens-Intranet, Schwarzes Brett?
  • Wie soll die Vertraulichkeit sichergestellt werden?
  • Wer soll innerhalb des Unternehmens zuständig sein für die Entgegennahme und Bearbeitung der Hinweise? Wer erhält die eingeschränkten Zugriffsrechte? Es darf jedenfalls nicht passieren, dass bei Eingang eines Hinweises erstmal im Unternehmen an verschiedenen Stellen nachgefragt wird, wer sich weiter um die Meldung kümmert, da dies mit dem Vertraulichkeitsgebot nicht vereinbar wäre.
  • Wie soll bei Eingang einer Meldung konkret vorgegangen werden? Wer versendet fristgerecht die Eingangsbestätigung an den Hinweisgeber?
  • Sind die Personen im Unternehmen, die für die Entgegennahme und Bearbeitung der Hinweise zuständig sein werden, unabhängig und ausreichend qualifiziert für diese Aufgabe? Besteht bei den zuständigen Personen ausreichend juristische Expertise, um eingehende Meldungen zu bearbeiten? Benötigen diese Personen eine Schulung?
  • Soll ein externer Dienstleister mit der Entgegennahme und ggf. Bearbeitung von Meldungen beauftragt werden? Aktuell bieten sehr viele Berater und Verkäufer von Softwarelösungen ihre Dienste an.
  • Wie wird die Bearbeitung dokumentiert?
  • Wie macht man das Hinweisgebersystem Hinweisgebern einerseits so schmackhaft, dass sie sich mit Meldungen nicht gleich an externe Behörden oder gar an die Öffentlichkeit wenden, sondern den internen Meldekanal nutzen, aber andererseits auch so, dass von missbräuchlichen Beschwerden und Denunziantentum abgeschreckt wird?
  • Datenschutzrechtliche Fragen mit Datenschutzbeauftragtem klären und ggf. weitere Fachbereiche wie Personal, Recht und Compliance in den Prozess einbinden.
  • Der Betriebsrat sollte frühzeitig in die Auswahl eines passenden Meldekanals eingebunden werden.
  • Bei Konzernstrukturen: Soll das Hinweisgebersystem bei einer anderen Konzerngesellschaft eingerichtet werden? Nach dem aktuellen Gesetzentwurf wäre dies möglich. Laut Aussagen der EU-Kommission benötigt allerdings jedes Unternehmen mit mehr als 249 Beschäftigten ein eigenes Hinweisgebersystem.
  • Personalabteilungen sollten sich auf die verschärften Beweislastregeln vorbereiten. Sie werden künftig beweisen müssen, dass nicht der Hinweis zu der jeweiligen arbeitsrechtlichen Maßnahme geführt hat, sondern dass es dafür andere Gründe gab. Eine entsprechende Dokumentation von Gründen für arbeitsrechtliche Sanktionen ist insofern hilfreich.
Dieser Artikel soll nur erste Hinweise geben und erhebt daher keinen Anspruch auf Vollständigkeit. Obwohl dieser Artikel mit größtmöglicher Sorgfalt erstellt wurde, kann eine Haftung für die inhaltliche Richtigkeit nicht übernommen werden.