Whistleblower

Hinweisgeberschutzgesetz

Das Hinweisgeberschutzgesetz (HinSchG) ist seit 2. Juli 2023 in Kraft. Unternehmen ab 50 Beschäftigten müssen eine Meldestelle einrichten, damit Missstände vertraulich gemeldet werden können, der Hinweisgeber aber vor Repressalien geschützt ist.
Um dieses Video ansehen zu können, müssen Sie Ihre Cookie-Einstellungen anpassen und die Kategorie „Marketing Cookies" akzeptieren. Erneuern oder ändern Sie Ihre Cookie-Einwilligung
© IHK Schwaben

Welche Verstöße können von Hinweisgebern gemeldet werden?

Die EU-Richtlinie sieht vor, dass Personen geschützt werden, die Verstöße gegen das EU-Recht in bestimmten Bereichen melden – etwa wenn es um öffentliche Aufträge, Finanzdienstleistungen, Produktsicherheit, Verkehrssicherheit, Umweltschutz, Lebensmittel, öffentliche Gesundheit, Verbraucher- und Datenschutz geht.
Das HinSchG geht weit darüber hinaus und bezieht das deutsche Recht mit ein. Nach dem HinSchG fallen folgende Verstöße in den sachlichen Anwendungsgereich:
  • Verstöße gegen Strafvorschriften: Dies umfasst jede Strafnorm nach deutschem Recht.
  • Verstöße, die bußgeldbewehrt sind, soweit sie dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dienen. Darunter fallen beispielsweise Vorschriften aus den Bereichen des Arbeits- und Gesundheitsschutzes, Verstöße gegen das Mindestlohngesetz, Bußgeldvorschriften, die Verstöße gegen Aufklärungs- und Auskunftspflichten gegenüber Organen der Betriebsverfassung wie Betriebsräten sanktionieren.
  • Zudem alle Verstöße gegen Rechtsvorschriften des Bundes und der Länder sowie unmittelbar geltende EU-Rechtsakte in einer Vielzahl verschiedener Bereiche, etwa: Regelungen zur Bekämpfung der Geldwäsche, Vorgaben zur Produktsicherheit, Vorgaben zur Verkehrssicherheit, Vorgaben zur Beförderung gefährlicher Güter, Vorgaben zum Umwelt- und Strahlenschutz, Lebensmittel- und Fleischmittelsicherheit, Qualitäts- und Sicherheitsstandards bei Arzneimitteln und Medizinprodukten, Regelungen des Verbraucherschutzes, Vorgaben des Datenschutzes und der Sicherheit in der Informationstechnik, Vergaberecht, Regelungen zur Rechnungslegung bei Kapitalgesellschaften, Regelungen im Bereich des Wettbewerbsrechts etc.
  • Zuletzt wurde der sachliche Anwendungsbereich auf Äußerungen von Beamtinnen und Beamten ausgeweitet, die einen Verstoß gegen die Pflicht zur Verfassungstreue darstellen (wohl aufgrund der Geschehnisse um die „Reichsbürger-Razzia“).
Verstöße fallen nur dann in den Anwendungsbereich, wenn sie sich auf den Beschäftigungsgeber oder eine andere Stelle beziehen, mit der die hinweisgebende Person selbst in beruflichem Kontakt stand oder steht.

Wer kann Hinweisgeber sein?

Hinweisgeber sind Personen, die Informationen über Verstöße melden oder offenlegen. Der persönliche Anwendungsbereich soll weit gefasst sein und umfasst alle Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit Informationen über Verstöße erlangt haben, insbesondere:
  • Arbeitnehmer, auch Arbeitnehmer, deren Arbeitsverhältnis bereits beendet ist, Stellenbewerber, Praktikanten, Leiharbeitnehmer
  • Selbstständige, die Dienstleistungen erbringen, Freiberufler, Auftragnehmer, Unterauftragnehmer, Lieferanten und deren Mitarbeiter
  • Anteilseigner und Personen in Leitungsgremien
Nach dem HinSchG müssen die internen Meldekanäle mindestens den eigenen Beschäftigten sowie Leiharbeitnehmern offenstehen, die dem Unternehmen überlassen sind. Die zur Einrichtung verpflichteten Unternehmen können selbst entscheiden, ob das Meldeverfahren darüber hinaus auch (außenstehenden) Personen, die im Kontakt zum Unternehmen stehen, offenstehen soll.

Welche Unternehmen müssen interne Meldekanäle einrichten?

Unternehmen und Organisationen ab 50 Beschäftigten müssen sichere interne Hinweisgebersysteme installieren und betreiben.

Was ist bei der Einrichtung und beim Betrieb interner Meldekanäle zu beachten?

Folgende 10 Punkte sollten berücksichtigt werden:
1. Die internen Meldekanäle müssen Meldungen in mündlicher oder in Textform sowie auf Wunsch in persönlicher Weise ermöglichen:
  • Meldekanäle, die Meldungen in Textform ermöglichen, können sein: IT-gestütztes Hinweisgebersystem wie etwa eine Plattform im Internet oder eine eigens für die Entgegennahme und Bearbeitung von Hinweisen eingerichtete E-Mail-Adresse; Meldekanäle, die Meldungen ausschließlich in Schriftform ermöglichen (z. B. ein Beschwerde-Briefkasten oder Meldungen über den Postweg) dürften nicht ausreichen.
  • Mündliche Meldekanäle können sein: Whistleblower-Hotline, Anrufbeantwortersystem
  • Auf Wunsch des Hinweisgebers sollte es über diese Kanäle auch möglich sein, innerhalb eines angemessenen Zeitraums Hinweise in einem persönlichen Treffen zu besprechen, das mit Einwilligung des Hinweisgebers auch in Form einer Videokonferenz erfolgen kann.
  • Für die Abgabe von Meldungen können die Unternehmen mehrere Kanäle zur Verfügung stellen. Es besteht keine Verpflichtung, die internen Meldekanäle so einzurichten, dass sie die Abgabe anonymer Meldungen ermöglichen. Es wird lediglich vorgegeben, dass die internen Meldestellen auch anonym eingehende Meldungen bearbeiten sollen.
2. Bei allen Meldewegen muss die Vertraulichkeit des Hinweisgebers sowie Dritter geschützt sein:
  • Die internen Meldekanäle müssen so konzipiert sein, dass die Vertraulichkeit der Integrität des Hinweisgebers und Dritter, die in der Meldung erwähnt werden, gewahrt bleibt und nicht befugten Mitarbeitern der Zugriff darauf verwehrt wird.
  • Vertraulichkeit bedeutet, dass die Integrität des Hinweisgebers ohne dessen ausdrückliche Zustimmung grundsätzlich keinen anderen Personen als gegenüber den befugten Mitarbeitern, die für die Entgegennahme von Meldungen oder für das Ergreifen von Folgemaßnahmen zu Meldungen zuständig sind, offengelegt werden darf.
3. Bestimmung der Zuständigkeit innerhalb des Unternehmens mit einer sehr eingeschränkten Zugriffsrechte-Zuweisung:
  • Innerhalb des Unternehmens müssen „Meldestellen-Beauftragte“ bestimmt werden (eine/mehrere Person/en oder Abteilung), die die Meldungen entgegennehmen, dem Hinweisgeber innerhalb der 7-Tage-Frist den Eingang der Meldung bestätigen, die Meldung prüfen, entsprechende Folgemaßnahmen in die Wege leiten und dem Hinweisgeber innerhalb von 3 Monaten über ergriffene Folgemaßnahmen informieren.
  • Konkrete Vorgaben gibt es nicht. Maßgeblich ist die jeweilige Organisationsstruktur, Größe und Art der ausgeübten Unternehmenstätigkeit.
  • Diese Personen können insbesondere sein: Compliance-Leiter, Legal Councel, Datenschutzbeauftragter, Finanzdirektor, Auditverantwortlicher
    Diese Personen können neben ihrer Tätigkeit für die interne Meldestelle andere Aufgaben und Pflichten wahrnehmen. Wichtig ist aber, sicherzustellen, dass derartige Aufgaben und Pflichten nicht zu Interessenskonflikten führen, diese Personen unabhängig handeln können und die notwendige Fachkunde besitzen. Hierzu wird es in der Regel erforderlich sein, die betreffenden Personen im Hinblick auf die mit der Übernahme der Funktion verbundene Verantwortung zu schulen.
Alternative: Auch Dritte können als interne Meldestellen beauftragt werden. Die Entgegennahme und Bearbeitung von Hinweisen kann auch auf externe Anbieter von Meldeplattformen bzw. auf Ombudspersonen (z. B. Rechtsanwälten) ausgelagert werden, sofern diese entsprechende Garantien für die Wahrung der Unabhängigkeit und Vertraulichkeit, des Datenschutzes und der Geheimhaltung bieten.
4. Bei (internationalen) Konzernstrukturen:
Im Konzern sind verschiedene Gestaltungsmöglichkeiten denkbar. Zum einen eine lokale Organisation, in der jedes Konzernunternehmen ein eigenes Hinweisgeberschutzsystem unterhält. Denkbar ist auch eine regionale Organisation in der Form, dass einzelne Konzerngesellschaften für eine bestimmte Region ein Hinweisgebersystem betreiben. Auch eine zentrale Lösung kommt in Betracht in der Form, dass die Meldestelle zentral in einer Einheit (in der Regel bei der Konzernmutter) angesiedelt ist.
Rechtlicher Hintergrund: Das HinSchG erlaubt es, auch einen „Dritten“ mit der Aufgabe einer internen Meldestelle zu beauftragen. Nach der Begründung des HinSchG kann auch bei einer anderen Konzerngesellschaft (zum Beispiel Mutter-, Schwester-, oder Tochtergesellschaft) eine unabhängige und vertrauliche Stelle als „Dritter“ eingerichtet werden, die auch für mehrere selbstständige Unternehmen in dem Konzern tätig sein kann. Dabei ist es aber notwendig, dass die originäre Verantwortung dafür, einen festgestellten Verstoß zu beheben und weiterzuverfolgen, immer bei dem jeweiligen beauftragenden Unternehmen verbleibt. Das HinSchG unterscheidet nicht zwischen Konzerngesellschaften mit mehr oder weniger als 249 Mitarbeitern, sondern die Option der Einrichtung einer zentralen Meldestelle im Konzern ist wohl unterschiedslos für alle Konzerngesellschaften möglich.
Hinweis: Es wird darauf hingewiesen, dass eine gewisse Rechtsunsicherheit besteht. Denn nach früheren Aussagen der EU-Kommission müsse jedes Unternehmen, welches mehr als 249 Mitarbeiter beschäftigt, ein eigenes Hinweisgebersystem einrichten. Ein zentrales Hinweisgebersystem im Konzern solle nach der EU-Kommission nicht ausreichen. In Deutschland wird man die Konzernregelung sanktionslos umsetzen können. Mit Blick auf etwaige Umsetzungsunterschiede in den einzelnen EU-Mitgliedstaaten sollte bei international tätigen Konzernen auch das Recht des jeweiligen Staates geprüft werden.
5. Bearbeitungsfristen müssen beachtet werden:
  • Innerhalb von sieben Tagen muss dem Hinweisgeber bestätigt werden, dass seine Meldung eingegangen ist.
  • Innerhalb von spätestens drei Monaten nach der Bestätigung des Eingangs der Meldung muss der Hinweisgeber über geplante oder bereits ergriffene Folgemaßnahmen sowie die Gründe für diese informiert werden.
6. Von der im Unternehmen zuständigen Person oder Abteilung müssen ordnungsgemäße Folgemaßnahmen ergriffen werden, diese können beispielsweise sein:
  • Einleitung interner Nachforschungen
  • Mögliche Maßnahmen zur Behebung des Problems
  • Verweis auf andere Kanäle oder Verfahren bei Meldungen
  • Abschluss des Verfahrens aufgrund mangelnder Beweise oder anderer Gründe
  • Befassung einer zuständigen Behörde
7. Dokumentation der Meldungen und Datenaufbewahrung:
  • Alle eingehenden Meldungen müssen im Einklang mit den Vertraulichkeitspflichten dokumentiert werden.
  • Wie die Meldungen dokumentiert werden müssen, hängt davon ab, über welchen Kanal die Meldung eingegangen ist.
  • Das gewählte Meldesystem sollte entsprechende Anwendungen haben, dass Meldungen und Folgemaßnahmen so dokumentiert werden, dass sie gegebenenfalls als Beweismittel verwendet werden können.
  • Nach dem aktuellen Gesetzentwurf müssen die Dokumentationen drei Jahre nach Abschluss des Verfahrens gelöscht werden. Nach der im Vermittlungsausschuss ausgehandelten Regelung kann die Dokumentation auch länger als drei Jahre aufbewahrt werden, um die Anforderungen nach dem HinSchG oder nach anderen Rechtsvorschriften zu erfüllen, solange dies erforderlich und verhältnismäßig ist.
8. Informationspflicht über Meldeverfahren:
  • Unternehmen müssen Informationen über den internen Meldeprozess und über alternative externe Meldeverfahren an die jeweils zuständigen Behörden bereitstellen.
  • Diese Informationen müssen leicht verständlich und zugänglich sein, zum Beispiel über die Unternehmens-Website, im Intranet oder am Schwarzen Brett.
9. Datenschutz:
  • Im Hinweisgebersystem werden personenbezogene Daten verarbeitet. Bei der Einrichtung und Durchführung des internen Meldeverfahrens sind alle rechtlichen Bedingungen des Datenschutzes einzuhalten. Alle personenbezogenen Daten, sowohl die des Hinweisgebers als auch etwaiger beschuldigter Personen, müssen im Einklang mit der EU-Datenschutzgrundverordnung sowie des Bundesdatenschutzgesetzes verarbeitet werden.
  • Aufbewahrungs-/Löschfristen müssen festgelegt werden (siehe hierzu oben unter 7).
  • Die Erstellung einer Datenschutzerklärung für Hinweisgeber wird erforderlich sein.
  • Wenn externe Anbieter als interne Meldestellen beauftragt werden, wird der Abschluss einer Auftragsdatenverarbeitung erforderlich sein.
  • Der Prozess über den internen Meldekanal muss im Verzeichnis der Verarbeitungstätigkeiten aufgenommen werden.
  • In der Regel wird die Durchführung einer Datenschutz-Folgeabschätzung erforderlich sein.
  • Eine sichere Datenverarbeitung verlangt geeignete technische und organisatorische Maßnahmen.
  • Der (externe) Datenschutzbeauftragte sollte daher frühzeitig eingebunden werden. Zur Klärung von Zweifelsfragen stehen auch die Datenschutzbehörden zur Verfügung.
10. Bei der Einrichtung des Verfahrens für interne Meldungen sind Mitbestimmungsrechte des Betriebsrats zu beachten:
  • Zunächst haben Betriebsräte gemäß § 80 Abs. 2 Betriebsverfassungsgesetz (BetrVG) einen Anspruch auf Unterrichtung vor der geplanten Einrichtung eines Hinweisgeberschutzsystems.
  • Bei der Frage des „Ob“, also ob ein Hinweisgebersystem überhaupt eingerichtet werden soll, hat der Betriebsrat kein Mitbestimmungsrecht. Auch bei der Frage, welche Stelle (intern oder extern) mit dem Betrieb des Hinweisgebersystems betraut wird, gibt es keine zwingende Mitbestimmung.
  • Bei der Frage des „Wie“, also im Hinblick auf die Ausgestaltung von Meldekanälen und Meldeverfahren könnten Mitbestimmungsrechte des Betriebsrats ausgelöst werden. Insbesondere das Mitbestimmungsrecht aus § 87 Abs. 1 Nr. 6 BetrVG, nämlich im Falle der Einrichtung und Anwendung technischer Einrichtungen, kommt in Betracht, sofern die Identifikation des Hinweisgebers möglich ist.
  • Sofern der Arbeitgeber ein über die gesetzlichen Vorgaben hinausgehendes Verfahren zur Meldung und zum Umgang mit Verstößen einführt (bspw. ein Verhaltenskodex, Compliance-Richtlinien etc.), wird in der Regel auch ein Mitbestimmungsrecht aus § 87 Abs. 1 Nr. 1 BetrVG zu bejahen sein, weil Fragen der Ordnung des Betriebs und des Verhaltens der Beschäftigten im Betrieb betroffen sind.
  • Beteiligungsrechte des Betriebsrats ergeben sich auch aus §§ 96 ff. BetrVG hinsichtlich Schulungsmaßnahmen für die im Unternehmen zuständigen Fallbearbeiter und/oder für die Beschäftigten.
  • Es empfiehlt sich die frühzeitige Einbindung des Betriebsrats im Rahmen eines Gesprächs.

Welche Möglichkeiten der Meldung hat der Hinweisgeber?

Es wird zwischen internen und externen Meldestellen unterschieden.
Die internen Meldestellen müssen in Unternehmen eingerichtet, die externen Meldestellen müssen von der öffentlichen Hand eingerichtet werden. Eine zentrale externe Meldestelle soll beim Bundesamt für Justiz (BfJ) eingerichtet werden. Daneben sollen die bestehenden Meldesysteme bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sowie beim Bundeskartellamt als weitere externe Meldestelle mit Sonderzuständigkeiten weitergeführt werden. Den Ländern steht es frei, für die Meldungen, die die jeweiligen Landesverwaltung und die jeweiligen Kommunalverwaltungen betreffen, eigene externe Meldestellen einzurichten. Der Hinweisgeber hat grundsätzlich die freie Wahl, ob er sich an eine interne Meldestelle des Unternehmens oder an eine externe Meldestelle der Behörden wendet.
Im Vermittlungsausschuss hat man sich darauf geeinigt, einen Anreiz zur bevorzugten Nutzung der internen Meldekanäle zu schaffen: Hinweisgeber sollten in den Fällen, in denen intern wirksam gegen den Verstoß vorgegangen werden kann und sie keine Repressalien befürchten, die Meldung an eine interne Meldestelle bevorzugen.
Darüber hinaus können sich hinweisgebende Personen mit ihren Informationen über Verstöße auch an die Öffentlichkeit (etwa an die Presse) wenden, dies jedoch nur unter engen Voraussetzungen.

Wie werden Hinweisgeber geschützt?

Ziel der EU-Richtlinie ist der Schutz von Personen, die auf Missstände in Unternehmen und Behörden aufmerksam machen, und sicherzustellen, dass ihnen keine Benachteiligungen drohen. Hinweisgeber genießen Haftungsprivilegien und umfangreichen Schutz:
  • Zentrales Element ist das Verbot von Repressalien. Unternehmen müssen beachten, dass sämtliche Repressalien einschließlich der Androhung und des Versuchs von Repressalien untersagt sind. Verboten sind insbesondere: Suspendierung, Kündigung, Herabstufung oder Versagung von Beförderung, Nötigung, Einschüchterung, Mobbing oder Aussetzung, aber auch Nichtverlängerung befristeter Arbeitsverträge, Rufschädigung, Entzug einer Lizenz oder Genehmigung, negative Leistungsbeurteilung etc.
  • Um die Durchsetzbarkeit von Ansprüchen gegen Repressalien gegen den Schädiger zu verbessern, enthält das HinSchG eine Beweislastumkehr zugunsten der geschützten Person. Bisher musste der Arbeitnehmer bzw. der Hinweisgeber den Zusammenhang zwischen Meldung und Benachteiligung im Streitfall nachweisen. Künftig muss der Arbeitgeber / das Unternehmen den (abweichenden) Grund für eine vermeintliche Benachteiligung darlegen und ggf. beweisen, wenn die Benachteiligung nach der Meldung erfolgt. Der Hinweisgeber muss aber zunächst selbst aktiv werden und geltend machen, dass er die Benachteiligung infolge der Meldung erlitten hat.
    Tipp: Vor diesem Hintergrund sollten Personalverantwortliche künftig die Gründe für arbeitsrechtliche Maßnahmen sorgfältig dokumentieren.
  • Hinweisgeber, die sich Repressalien ausgesetzt sehen, sollen Zugang zu Rechtsbehelfen haben.
  • Bei einem Verstoß gegen das Repressalienverbot ist zudem der hinweisgebenden Person der daraus entstehende Schaden zu ersetzen.
Um diesen Schutz zu genießen, muss der Hinweis zutreffend sein und die Meldung muss Verstöße treffen, die in den Anwendungsbereich des HinSchG fallen. Ausreichend ist aber auch, wenn der Hinweisgeber zum Zeitpunkt der Meldung oder Offenlegung hinreichenden Grund zu solcher Annahme hatte. Ein Schutz für Hinweisgeber besteht aber nicht, wenn es sich um eine vorsätzliche oder grob fahrlässige Falschmeldung handelt. In solchen Fällen ist der bösgläubige Hinweisgeber sogar zum Ersatz des dadurch entstehenden Schadens verpflichtet.

Welche Sanktionen drohen bei Verstößen gegen das HinSchG?

Verstöße gegen die wesentlichen Vorgaben des HinSchG werden als Ordnungswidrigkeiten mit einer Geldbuße geahndet. Die Höhe des Bußgeldrahmens hängt vom jeweiligen Verstoß ab:
  • Mit einem Bußgeld in Höhe von bis zu 50.000,00 Euro kann belegt werden, wer eine Meldung oder die darauffolgende Kommunikation verhindert (oder dies versucht), wer eine verbotene Repressalie ergreift (oder dies versucht) oder wer vorsätzlich oder leichtfertig das Vertraulichkeitsgebot missachtet.
  • Wenn fahrlässig das Vertraulichkeitsgebot missachtet wird, droht ein Bußgeld in Höhe bis zu 10.000,00 Euro.
  • Für Unternehmen, die ihrer Pflicht zur Einführung und zum Betrieb einer internen Meldestelle nicht nachkommen, droht eine Geldbuße in Höhe bis zu 20.000,00 Euro.
Bundesrat und Bundestag haben sich darauf geeinigt, dass die Bußgeldvorschrift im Falle der Nichteinhaltung und den Nichtbetrieb interner Meldekanäle (hierfür droht eine Geldbuße bis zu 20.000,00 Euro) erst sechs Monate nach Verkündung des Gesetzes Anwendung finden soll.
Unternehmen ohne Hinweisgebersystem riskieren zudem, dass Hinweise an Behörden oder die Öffentlichkeit gelangen, wodurch Reputationsrisiken und Haftungsrisiken für das Unternehmen steigen. Aus diesem Grund dürfte es im eigenen Interesse liegen, Kenntnis von Missständen zu erlangen, ehe Ermittlungsbehörden oder die Medien davon erfahren.
Hinweis: Diese Informationen sollen nur erste Hinweise in übersichtlicher Form geben und erheben daher keinen Anspruch auf Vollständigkeit. Obwohl sie mit größtmöglicher Sorgfalt erstellt wurden, kann eine Haftung für die inhaltliche Richtigkeit nicht übernommen werden.

Stand: April 2024
Quelle: IHK Regensburg