Mit reichlich Verspätung und nach einigen politischen Extrarunden ist das Hinweisgeberschutzgesetz („HinSchG“) am Freitag, den 12. Mai 2023, auch vom Bundesrat beschlossen und am 02. Juni 2023 im Bundesgesetzblatt verkündet worden. Der Bundestag hatte den vom Vermittlungsausschuss überarbeiteten Entwurf bereits am Vortag bestätigt. Auch wenn die Politik sich sehr viel Zeit gelassen hat (die eigentliche Frist zur Umsetzung der EU-Richtlinie war bereits im Dezember 2021 abgelaufen), haben Unternehmen ab 250 Beschäftigten ab der Verkündung des Gesetzes nur eine kurze Frist bis zum 02. Juli 2023 zur Umsetzung der neuen Anforderungen. Ab dem 17. Dezember 2023 trifft diese Pflicht dann alle Unternehmen ab 50 bis 249 Beschäftigten. Wir haben Ihnen die wichtigsten Eckpunkte der neuen gesetzlichen Regelung zusammengestellt.
Anwendungsbereich
Das HinSchG schützt alle natürlichen Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit im sachlichen Anwendungsbereich des HinSchG Verstöße an die vorgesehenen Meldestellen melden.
Der sachliche Anwendungsbereich des HinSchG ist im Vergleich zur Whistleblowing-Richtlinie erweitert. Mit umfasst ist das Strafrecht und bestimmte Ordnungswidrigkeiten, soweit die verletzte Vorschrift dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient. Die Regelung ist nach dem Willen des Gesetzgebers weit zu verstehen. Darunter fallen beispielsweise Vorschriften aus dem Bereich des Arbeits- und Gesundheitsschutzes, Verstöße gegen das Mindestlohngesetz oder das Arbeitnehmerüberlassungsgesetz. Neben dem Strafrecht und Ordnungswidrigkeitenrecht sind eine Vielzahl weiterer Rechtsbereiche erfasst beispielsweise Vorgaben zum Umweltschutz und zur Beförderung gefährlicher Güter, Regelungen zur Bekämpfung von Geldwäsche, Regelungen des Datenschutzes, Vorgaben zur Produktsicherheit und dem Verbraucherschutz. Geschützt sind alle Meldungen von Verstößen, die sich auf den jeweiligen Arbeitgeber des Hinweisgebers oder auf einen Dritten, mit dem er beruflich in Kontakt steht oder stand, beziehen.
Anders als in vorherigen Entwürfen vorgesehen, sieht das HinSchG keine Verpflichtung von Unternehmen vor, anonyme Meldungen entgegenzunehmen. Vorgesehen ist aber, dass anonym eingehende Meldungen bearbeitet werden sollten. Entscheidet sich ein Unternehmen dafür, die Möglichkeit anonymer Meldungen vorzusehen, fallen diese ebenfalls unter den Anwendungsbereich des HinSchG.
Meldestellen
Neben einer neuen externen Meldestelle im Bundesamt für Justiz, müssen Unternehmen unter bestimmten Voraussetzungen eigene, interne Meldestellen einrichten. Die Verpflichtung besteht für private Unternehmen und Organisationseinheiten der öffentlichen Hand ab 50 Beschäftigten. In bestimmten besonders risikobehafteten Branchen (bspw. der Finanzbranche) gilt die Pflicht unabhängig von der Größe des Unternehmens. Mehrere private Unternehmen mit in der Regel 50 bis 249 Beschäftigten können eine gemeinsame Meldestelle einrichten und betreiben. Damit wird die sogenannte Konzernlösung ermöglicht, nach welcher die interne unabhängige und vertrauliche Meldestelle grundsätzlich innerhalb eines Konzerns zentral bei einer Konzerngesellschaft eingerichtet werden kann.
Eine interne Meldestelle kann entweder durch Beschäftigte des Unternehmens selbst oder aber durch einen Dritten betrieben werden. Die Meldestelle nimmt Hinweise entgegen, bestätigt den Eingang des Hinweises innerhalb von sieben Tagen, prüft die Hinweise, leitet Maßnahmen ein und gibt dem Hinweisgeber spätestens drei Monate nach der Meldung eine Rückmeldung über den Fortgang des Verfahrens.
Sollen Beschäftigte des Unternehmens die Meldestelle bilden, sind diese hinreichend zu schulen und mit ausreichend Mitteln zu versehen. Insbesondere muss sichergestellt werden, dass die Meldewege die Vertraulichkeit von Hinweisen sicherstellen. Das heißt auch, dass die eigene IT-Abteilung keinen Zugriff auf Hinweise haben darf. Meldungen sind zu dokumentieren und nach zwei Jahren zu löschen.
Schutz von Hinweisgebern
Hinweisgeber, die im Anwendungsbereich des HinSchG Meldungen machen, sind vor jeglichen Repressalien zu schützen. Soweit ein Hinweisgeber nach einer Meldung eine arbeitsrechtliche oder berufliche Verschlechterung erleidet, gilt – soweit er sich auf einen solchen Zusammenhang beruft – eine Beweislastumkehr. Das bedeutet, dass das Unternehmen beweisen muss, dass die Verschlechterung auf objektiven sonstigen Gründen beruht und keine Folge der Meldung ist. Andernfalls hat der Hinweisgeber einen Anspruch auf Schadensersatz. Anders als in vorherigen Entwürfen, besteht jedoch kein Anspruch auf Ersatz immaterieller Schäden.
Risiken und Sanktionen
Neben dem Schadensersatzrisiko drohen Unternehmen Bußgelder von bis zu EUR 20.000, wenn sie trotz Verpflichtung keine Meldestelle eingerichtet haben. Soweit sie Meldungen verhindern, Repressalien gegen Hinweisgeber verhängen oder die Vertraulichkeit einer Meldung und der Person des Hinweisgebers nicht wahren, drohen Bußgelder von bis zu EUR 50.000.
Bei der Entgegennahme und Verarbeitung von Hinweisen gelten zudem die datenschutzrechtlichen Anforderungen. Somit drohen bei unzureichender IT-Sicherheit oder fehlenden Datenschutzhinweisen auch die hohen DSGVO-Sanktionen mit Bußgeldern von bis zu EUR 20 Mio. oder 4 % des Jahresumsatzes, je nachdem, was höher ist.
Fazit und Handlungsempfehlungen
Soweit Unternehmen der Verpflichtung zur Implementierung eines Hinweisgebersystems unterliegen, sollten sie zeitnah und proaktiv mit der Einrichtung einer den gesetzlichen Vorgaben entsprechenden Meldestelle beginnen. Wenn in der Vergangenheit bereits im Rahmen bestehender Compliance-Management-Systeme eine Meldestelle geschaffen worden ist, sollten die insoweit vorhandenen Strukturen und Abläufe zwingend mit Blick auf die neuen Anforderungen des HinSchG geprüft und entsprechende Anpassungen ganz zeitnah umgesetzt werden. Auch ohne rechtliche Verpflichtung zur Schaffung eines Hinweisgebersystems ist die Implementierung eines effektiven Meldesystems ratsam und sinnvoll, da ein funktionierendes Meldesystem Unternehmen hilft, frühzeitig Missstände und Fehlverhalten im Unternehmen zu erkennen und aufzuklären und somit die Compliance-Strukturen im Unternehmen zu stärken und die Entstehung von Folgeschäden frühzeitig abzuwenden.
Sehr gerne unterstützen unsere Expert:innen aus den Bereichen Compliance sowie dem IT- und Datenschutzrecht Sie bei der Einrichtung eines Meldesystems sowie der mit Blick auf das HinSchG erforderlichen Überprüfung bestehender Compliance-Management-Systeme und allgemeiner Compliance-Strukturen und beraten Sie gerne bei allen weiteren Fragen zum neuen Hinweisgeberschutzgesetz. Dabei übernehmen wir insbesondere auch die Funktion der internen Hinweisgeber-Meldestelle.