Hinweisgebersystem

Implementierung eines Hinweisgebersystems bis allerspätestens zum 17.12.2023

Implementierung eines Hinweisgebersystems

Der deutsche Gesetzgeber setzt mit dem „Gesetz für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ (kurz: Hinweisgeberschutzgesetzes bzw. HinSchG i. d. F. des BT-Beschlusses vom 16.12.2022) die EU-Whistleblowing-Richtlinie EU 2019/1937 vom 23.10.2019 um. Das HinSchG und die EU-Whistleblowing-Richtlinie sehen vor, dass Unternehmen ab 50 Mitarbeiter ein System zum Schutz der Hinweisgeber (Hinweisgebersystem) spätestens zum 17.12.2023 eingerichtet haben. An dieses Hinweisgebersystem werden zahlreiche formelle und materielle Anforderungen gestellt. Zuwiderhandlungen ziehen erheblich Folgen nach sich. Ein Hinweisgebersystem hat zum Ziel, hinweisgebende Personen (auch: Hinweisgeber oder Whistleblower genannt) vor Repressalien zu schützen. Solchen Repressalien sind Hinweisgeber in der Vergangenheit regelmäßig ausgesetzt gewesen, weshalb der Europäische Gerichtshof für Menschenrechte (EGMR) bereits seit 2011 solche Repressalien untersagt.  Der bislang lückenhafte und unzureichende Schutz hinweisgebender Personen wird mit den neuen Gesetzesvorgaben ausgebaut.

Hinweisgebersystem - Whistleblowing im Unternehmen ermöglichen

Welche Sanktionen sieht das Hinweisgeberschutzgesetz vor?

Insbesondere soll künftig ein Organisationsverschulden in den Unternehmen vermieden werden. Unternehmen haben im Rahmen eines wirksamen und enthaftenden Compliance-Managements die Pflicht, sich so zu organisieren, dass maßgebliche Informationen aus dem Unternehmen an die Geschäftsführung zur Ergreifung etwaiger Maßnahmen gelangen können (vgl. §§ 130, 30 OWiG). Um diesen Aspekt des Organisationsverschuldens zu unterstreichen, sieht das Hinweisgeberschutzgesetz folgende Sanktionen für Zuwiderhandlungen vor:

  • Unternehmen droht ein Bußgeld in Höhe von bis zu 100.000 €
  • Hinweisgebende Personen, die Repressalien (Ermittlungen, personalrechtliche Maßnahmen, sonstige Benachteiligungen) erleiden, können Schadenersatz vom Unternehmen verlangen
  • Damit ihnen dies gelingt sieht das HinSchG ein sog. Beweislastumkehr vor, d.h. es besteht kraft Gesetzes eine Vermutung, dass die Benachteiligung des Hinweisgebers eine Repressalie ist (z.B. im Rahmen eines Kündigungsschutzverfahrens vor dem Arbeitsgericht droht die Kündigung wegen eines Zusammenhangs mit einem Hinweis unwirksam zu werden)

Praxistipp: Mit Einführung des HinSchG drohen Compliance-Management-Systeme (CMS) ohne Hinweisgebersystem unwirksam zu werden.

Ab welcher Unternehmensgröße sind die Vorgaben des Hinweisgeberschutzgesetzes einzuhalten?

Für Unternehmen mit 50 bis 249 Mitarbeitern bestimmt das HinSchG, dass eine Umsetzung spätestens zum 17.12.2023 erfolgen muss. Eine Ausnahme gilt lediglich für Unternehmen aus dem Finanz- oder Versicherungswesen.

Ab 250 Mitarbeiter besteht nach überwiegender Ansicht wegen des EuGH-Grundsatzes des sog. effet utile i.V.m. der EU-Whistleblowing-Richtlinie eine Pflicht zur Umsetzung bereits seit 17.12.2021 (!); laut HinSchG spätestens aber innerhalb von drei Monaten nach Verkündung des Gesetzes.

Unabhängig von ihrer Größe sollten Unternehmen die Anforderungen des HinSchG unmittelbar und ohne Zögern angehen, da komplexe Fragestellungen zu Compliance, Arbeitsrecht und Datenschutz zu beantworten sind und bereits die organisatorische Aufgabenstellung einen enormen Zeitbedarf nach sich zieht (z.B. Einrichtung einer internen Meldestell, Meldekanäle, Richtlinien, Schulung, Kommunikation, u.v.a.m.).

Praxistipp: Auch bestehende Hinweisgebersysteme sind bezüglich ihrer Einhaltung der neuen Vorgaben zu überprüfen.

Welche Verstöße sollen über das Hinweisgeber-System gemeldet werden können?

Letztlich wird über das Hinweisgebersystem die gesamte Bandbreite der Compliancethemen im Unternehmen abgebildet, der den Anwendungsbereich des HinSchG eröffnet:

  • Korruptes Verhalten
  • Kartellrechtverstoß, z.B. eine Preisabsprache
  • Geldwäsche
  • Verletzung der Sorgfaltsplichten aus dem LieferkettensorgfaltspflichtenG (LkSG)
  • Verletzung des Datenschutzes oder der IT-Sicherheit (Datenpanne)
  • Verletzungen der körperlichen und psychischen Unversehrtheit (Arbeits- u. Gesundheitsschutz)
  • Sexueller Belästigung, Diskriminierung, Rassismus
  • Diebstahl, Veruntreuung oder andere Arten der Bereicherung
  • Verletzungen der Anonymität Hinweisgebersystems, Behinderung eines Hinweisgebers, etc.
  • Verletzung der Nachhaltigkeitsvorgaben & Rufschädigung (soweit straf- oder bußgeldbewehrt)
  • Sonstige Missstände (soweit straf- oder bußgeldbewehrt)

Praxistipp: Insbesondere im Rahmen des Beschwerdemanagements nach dem LKSG kann eine Verknüpfung mit dem Hinweisgebersystem sinnvoll sein.

Welche Pflichten und Aufgaben haben die Unternehmen aus dem Hinweisgeberschutzgesetz zu erfüllen?

Unternehmen müssen mindestens eine unabhängige und fachkundige interne Meldestelle einrichten. Dabei unterscheidet der Gesetzgeber nicht, ob es sich um eine interne Lösung handelt, oder um einen externen Dienstleister. Laut Gesetz handelt es sich im Gegensatz dazu bei externen Meldestellen um Behörden. Die interne Meldestelle betreibt Meldekanäle, führt das Hinweisgeberverfahren und ergreift sog. Folgemaßnahmen. Zudem hält sie für Beschäftigte klare und leicht zugängliche Informationen bereit.

Die interne Meldestelle erfüllt insbesondere folgende Aufgaben:

  • sie bestätigt der hinweisgebenden Person den Eingang einer Meldung spätestens nach sieben Tagen
  • sie prüft, ob der gemeldete Verstoß in den sachlichen Anwendungsbereich fällt
  • sie hält mit der hinweisgebenden Person Kontakt
  • sie prüft die Stichhaltigkeit der eingegangenen Meldung
  • sie ersucht die hinweisgebende Person erforderlichenfalls um weitere Informationen und
  • sie ergreift angemessene Folgemaßnahmen
  • sie gibt der hinweisgebenden Person innerhalb von drei Monaten nach der Bestätigung des Eingangs der Meldung eine Rückmeldung.

Praxistipp: Konzerne können ein gemeinsames Hinweisgebersystem betreiben und laut Gesetz eine gemeinsame interne Meldestelle einrichten.

Welche Anforderungen sind eine interne Meldestelle nach dem HinSchG zu stellen?

Die Aufgaben und Tätigkeiten der internen Meldestelle erfordern eine erhebliche Erfahrung und eine breite Rechtskenntnis, um eine erste Einschätzung der Hinweise vorzunehmen und insbesondere die geeigneten und angemessenen Folgemaßnahmen treffen zu können. Unternehmen müssen daher dafür Sorge tragen, dass die mit den Aufgaben einer internen Meldestelle beauftragten Personen über die notwendige Fachkunde verfügen. Die mit den Aufgaben einer internen Meldestelle beauftragten Personen müssen darüber hinaus bei der Ausübung ihrer Tätigkeit unabhängig sein (keine Weisungsabhängigkeit, kein Interessenkonflikt, keine Parteilichkeit!). Es sind Meldewege für hinweisgebende Personen vorzusehen, die gleichwertig nebeneinanderstehen und zwischen denen die hinweisgebende Person frei wählen können soll. Dies sind zum einen interne Meldekanäle innerhalb des betroffenen Unternehmens, zum anderen externe Meldekanäle, die bei einer unabhängigen Stelle eingerichtet werden. Die Meldestelle muss vor allem Vertraulichkeit gewährleisten und auch anonym eingehende Meldungen bearbeiten können.

Praxistipp: Bei der Besetzung der internen Meldestelle durch eigene Mitarbeiter des Unternehmens bzw. durch eine eigene Fachabteilung kann regelmäßig nicht die notwendige Unabhängigkeit, Vertraulichkeit und Anonymität gewährleistet werden.

Welche Anforderungen sind an die Kommunikation mit dem Hinweisgeber zu stellen?

Die interne Meldestelle muss mit dem Hinweisgeber kommunizieren können, nicht zuletzt auch um ggfs. den Sachverhalt weiter aufzuklären und den Verstoß näher bewerten zu können. Die Identität des Hinweisgebers darf ausschließlich den Personen, die für die Entgegennahme von Meldungen oder für das Ergreifen von Folgemaßnahmen zuständig sind, sowie den sie unterstützenden Personen, bekannt werden. Es darf kein allgemeiner Zugriff auf die übermittelten Nachrichten möglich sein, d.h. dies muss vor allem auch technisch ausgeschlossen sein (rein organisatorische Zugriffsverbote genügen nicht!). Gleichzeitig bieten anonyme Meldemöglichkeiten auch erhebliche Vorteile für das Unternehmen. So ist regelmäßig die Hemmschwelle für Meldungen geringer, was wiederum die Wirksamkeit erhöht und die Haftung minimiert. Aufgrund der Anonymität wird der Vorwurf der zielgerichteten Repressalien entkräftet (siehe Beweislastumkehr). Zudem werden die weiterführenden Anforderungen aus dem Datenschutz erfüllt.

Praxishinweis: Digitale Hinweisgeber-Systeme, die extern verwaltet werden, bieten den umfangreichsten Schutz für die Kommunikation mit dem Hinweisgeber.

Welche Vorteile hat ein digitales Hinweisgebersystem?

Der Einsatz eines Hinweisgebersystems unter Verwendung einer digitalen Meldeplattform durch die interne Meldestelle bietet erhebliche Vorteile für Unternehmen:

  • Wahrung der Vertraulichkeit & Anonymität (sofern die IP-Adresse des Meldenden im System nicht gespeichert wird, ist dessen Identifizierung nicht möglich)
  • vertrauliche, verschlüsselte Kommunikation zwischen Hinweisgeber und Fallbearbeiter
  • Kommunikation mit Hinweisgebern in verschiedenen Sprachen
  • Individuelle Einstellungsmöglichkeit (Anwendungsbereich, Fragelisten, etc.)
  • Wahrung des Datenschutzes (insbes. technische und organisatorische Maßnahmen; Transparenz durch Hinweise)
  • Verfügbarkeit rund um die Uhr und von jedem Ort aus
  • Sicherstellung der Dokumentation

Praxistipp: Unternehmen sollten bereits im Rahmen der Implementierung des Hinweisgebersystems auf die Erfüllung der technischen Anforderungen achten.

Welche Implementierungsschritte für ein Hinweisgebersystem empfehlen sich?

Folgende Prozessschritte haben sich bei der Implementierung eines Hinweisgebersystems nach dem HinSchG bewährt:

  • Risikominimierung durch positiven Umgang mit Hinweisgebern (Hinweisgeberkultur)
  • Einführung einer betriebseigenen Hinweisgeber-Richtlinie inkl. Meldewege ggfs. unter Einbindung des Betriebsrats (Betriebsvereinbarung gestalten)
  • interne Meldestelle inkl. digitalem Hinweisgeber-System (z.B. durch Dritte)
  • Schulungen & Information der Mitarbeiter durch detaillierte Prozessbeschreibung
  • Vertraulichkeit gewährleisten inkl. Anonymität
  • Vermeidung von Repressalien gegenüber Hinweisgebern
  • Prozessablauf im Umgang mit Hinweisen sicherstellen
  • Analyse von Meldungen & erste unabhängige Prüfung
  • bei bestätigtem Verdacht: weitere interne Untersuchung
  • geeignete weitere Folgemaßnahmen ermöglichen

Praxistipp: Die Implementierung eines Hinweisgeber-Systems bedarf viel Erfahrung und juristisches Know-How bezüglich Compliance, Arbeitsrecht und Datenschutz.

Welche Vorteile hat der Einsatz eines externen Dienstleisters als interne Meldestelle?

Das Gesetz erlaubt ausdrücklich die Vergabe einer internen Meldestelle an einen externen Dienstleister, denn dafür sprechen zahlreiche Argumente:

  • Erfüllung der gesetzlich geforderten Fachkunde (juristische Kenntnisse, Erfahrung, etc.)
  • Erfüllung der gesetzlich geforderten Unabhängigkeit (keine Weisungsmöglichkeit; kein Interessenkonflikt, unparteiisch, etc.)
  • Wahrung der gesetzlich geforderten Vertraulichkeit und ggfs. Anonymität
  • Erfüllung der gesetzlich vorgeschriebenen Fristen und Formalitäten
  • Verfügbarkeit rund um die Uhr und Sprachenvielfalt
  • Sicherstellung der Dokumentation bzw. Rechenschaftspflicht
  • Vertragliche Zusicherung der Datenschutzstandards
  • Schonung der internen Ressourcen

Praxistipp: Das CAD-Institut unterstützt Unternehmen bei der Implementierung und der Durchführung des Hinweisgebersystems insbesondere durch Bereitstellung einer internen Meldestelle und unter Verwendung einer digitalen Hinweisgeber-Plattform, die Unabhängigkeit, Fachkunde und Vertraulichkeit garantieren.

Hinweis

Sämtliche Texte dieser Internetpräsenz mit Ausnahme der Gesetzestexte und Gerichtsentscheidungen sind urheberrechtlich geschützt. Urheber im Sinne des Gesetzes über Urheberrecht und verwandte Schutzrechte (UrhG) sind die Geschäftsführer des CAD-Institut für Compliance, Arbeitsrecht und Datenschutz Armin und Jasmin Fladung. Wörtliche oder sinngemäße Zitate sind nur mit vorheriger schriftlicher Genehmigung des Urhebers bzw. bei ausdrücklichem Hinweis auf die fremde Urheberschaft (Quellenangabe i. S. v. § 63 UrhG) rechtlich zulässig. Verstöße hiergegen werden gerichtlich verfolgt.