Am 2. Juli 2023 ist das neue Hinweisgeberschutzgesetz in Kraft getreten. Das Gesetz enthält umfassende Regelungen zum Schutz sogenannter Whistleblower, also Beschäftigter, die auf etwaige Missstände in ihrem Unternehmen aufmerksam machen. Gleichzeitig verpflichtet es alle Unternehmen mit mindestens 50 Beschäftigten zur Einrichtung interner Meldewege. Die wichtigsten Regelungen haben wir im Folgenden für Sie zusammengestellt:
Umfasste Verstöße
Das Hinweisgeberschutzgesetz zielt auf Aufdeckung verschiedenster Rechtsverstöße ab. Dies sind neben Straftaten insbesondere auch bußgeldbewehrte Verstöße gegen Vorschriften zum Schutz von Leben, Leib oder Gesundheit oder der Rechte von Beschäftigten oder ihren Vertretungsorganen. Dazu gehören beispielsweise Arbeitssicherheits- und Gesundheitsschutzvorschriften, Mindestlohnvorschriften, Vorgaben des Entsendegesetzes oder zur Arbeitnehmerüberlassung. Daneben unterfallen – entsprechend den Vorgaben der dem Hinweisgeberschutzgesetz zu Grunde liegenden EU-Richtlinie – auch zahlreiche EU-Regelungen dem Anwendungsbereich des Gesetzes, u.a. zur Geldwäsche, Produkt-, Verkehrs-, Lebensmittel- und Arzneisicherheit sowie Umwelt-, Verbraucher- und Datenschutz.
Geschützter Personenkreis
Whistleblower, die im Zusammenhang mit ihrer beruflichen Tätigkeit oder im Vorfeld einer solchen Tätigkeit Informationen über Verstöße der vorgenannten Art erlangt haben und diese an die vorgesehenen Meldestellen melden, werden vor Repressalien und Vergeltungsmaßnahmen geschützt. Dazu gehören u.a. Arbeitnehmer*innen, Praktikant*innen, Auszubildende, freie Mitarbeiter*innen, Organvertreter*innen, Beamt*innen, Leiharbeitnehmer*innen und Stellenbewerber*innen. Der Schutz erstreckt sich außerdem auf Personen, die anderweitig von einer Meldung oder Offenlegung betroffen sind, z.B. mögliche Zeug*innen.
Einrichtung und Betrieb von Meldestellen
Nach dem Hinweisgeberschutzgesetz können sich Whistleblower sowohl an externe (staatliche) Meldestellen als auch an interne Meldestellen ihrer jeweiligen Arbeitgeber wenden. Dabei haben sie grundsätzlich ein Wahlrecht, an welche Meldestelle (intern oder extern) sie sich wenden, wobei aber interne Meldestellen in der Regel bevorzugt genutzt werden sollen. Der Gang an die Öffentlichkeit (sogenannte Offenlegung) ist erst erlaubt, wenn die angerufenen Meldestellen nicht adäquat reagiert haben oder aber dies ausnahmsweise als der einzig effektive Weg erscheint (z.B. in Notfällen, bei drohender Vernichtung von Beweismitteln o.ä.).
Eine zentrale externe Meldestelle unterhält das Bundesamt für Justiz. Weitere besondere Meldestellen werden bei der Bundesanstalt für Finanzdienstleistungen und dem Bundeskartellamt gebildet. Möglich sind auch zusätzliche Meldestellen auf Landesebene. Daneben sind alle Arbeitgeber mit mindestens 50 Beschäftigten zur Einrichtung interner Meldestellen verpflichtet. Für Arbeitgeber mit mindestens 250 Beschäftigten gilt diese Verpflichtung ab sofort; für Unternehmen mit 50 bis zu 249 Beschäftigten sieht das Gesetz eine Übergangsfrist für die Einrichtung vor bis spätestens 17. Dezember 2023. Sonderregelungen bestehen u.a. für die Versicherungs- und Finanzbranche.
Für die Einrichtung und den Betrieb interner Meldestellen enthält das Hinweisgeberschutzgesetz zahlreiche Vorgaben:
- Eine interne Meldestelle kann sowohl mit eigenen Beschäftigten betrieben werden oder mit externen Dienstleistern (z.B. Anbieter von digitalen Hinweisgeberplattformen). In Konzernunternehmen kann die Meldestelle auch bei einem anderen Konzernunternehmen eingerichtet werden. Kleinere Arbeitgeber mit 50 bis 249 Beschäftigten können auch gemeinsame Meldestellen einrichten.
- Die mit den Aufgaben der internen Meldestelle beauftragten Personen müssen ihre Tätigkeit unabhängig wahrnehmen können und über die notwendige Fachkunde verfügen. Wird eine interne Meldestelle mit eigenen Beschäftigten betrieben, muss der Arbeitgeber für entsprechende Fortbildungen sorgen.
- Die Meldestelle muss strikte Vertraulichkeit sicherstellen.
- Interne Meldekanäle müssen Meldungen in mündlicher (z.B. telefonisch) oder in Textform (z.B. E-Mail) ermöglichen. Auf Wunsch soll auch ein persönlicher Kontakt ermöglicht werden, der mit Einwilligung der hinweisgebenden Person auch per Videokonferenz stattfinden kann.
- Die internen Meldekanäle müssen nach den Vorgaben des Gesetzes keine anonyme Kontaktaufnahme und Kommunikation mit dem Hinweisgeber ermöglichen. Anonym eingehende Meldungen sollten in der Regel jedoch trotzdem bearbeitet werden.
Umgang mit Meldungen
Auch beim Umgang mit eingehenden Meldungen sind zahlreiche gesetzliche Vorgaben zu beachten:
- Die hinweisgebende Person muss spätestens nach sieben Tagen eine Eingangsbestätigung erhalten.
- Es ist zu prüfen, ob der gemeldete Verstoß vom Anwendungsbereich des Hinweisgeberschutzgesetzes umfasst ist.
- Sodann ist die eingegangene Meldung ist auf ihre Stichhaltigkeit zu prüfen.
- Mit der hinweisgebenden Person ist Kontakt zu halten und erforderlichenfalls ist sie um weitere Informationen zu bitten.
- Es müssen angemessene Folgemaßnahmen ergriffen werden, z.B.
- eine weitergehende interne Untersuchung mit Befragung der Beteiligten;
- Verweis der hinweisgebenden Person an andere (externe) Stellen;
- Abschluss des Verfahrens aus Mangel an Beweisen oder anderen Gründen;
- Abgabe des Verfahrens an eine innerhalb der Arbeitgeberorganisation zuständige Einheit für interne Ermittlungen oder an eine zuständige Behörde.
- Spätestens drei Monate nach der Eingangsbestätigung ist der hinweisgebenden Person in der Regel eine Rückmeldung zum Bearbeitungsstand zu geben.
- Das Verfahren ist vom Arbeitgeber ordnungsgemäß zu dokumentieren. Die Dokumentation ist in der Regel spätestens 3 Jahre nach Abschluss des Verfahrens zu löschen.
Datenschutz
Im Rahmen der Nutzung von Hinweisgebersystemen werden zwangsläufig eine Vielzahl personenbezogener Daten aller möglichen Beteiligten erhoben bzw. verarbeitet. Dabei handelt es sich insbesondere um folgende Kategorien:
- Angaben zur hinweisgebenden Person (soweit keine anonyme Meldung erfolgt)
- Angaben zum gemeldeten Sachverhalt, ggf. unter Hinweise auf weitere Beteiligte oder anderweitig betroffene Personen, Zeug*innen etc.
- Sonstige Daten, die durch Ermittlungen erhoben werden (Daten aus der Unternehmens-IT, Nachrichten, Gespräche zur Sachverhaltsaufklärung
Nicht selten werden auch besonders sensible, dem Artikel 9 DSGVO unterfallende Informationen im Rahmen von Hinweisgeberverfahren verarbeitet werden. Es liegt auf der Hand, dass bei Nutzung solcher Meldesysteme und durch die damit im Zusammenhang stehende Datenverarbeitung große Risiken für die betroffenen Personen verbunden sind. Vor diesem Hintergrund ist der Vertraulichkeit im Hinblick auf die erhobenen Daten im Rahmen von Hinweisgebersystemen ein besonderer Stellenwert einzuräumen.
Zugriff auf Informationen, die im Rahmen von Hinweisgebersystemen erhoben bzw. verarbeitet werden, dürfen nur Personen haben, die zur entsprechenden Kenntnisnahme im Rahmen der internen Meldestelle zuständig sind oder diese unterstützen (z. B. IT-Dienstleister, soweit zwingend erforderlich). Informationen über hinweisgebende Personen oder Personen, die von Meldungen betroffen oder in diesen benannt sind, dürfen ausschließlich durch die interne Meldestelle oder für Folgemaßnahmen zuständige Personen (z. B. Compliance-Abteilung) verarbeitet werden. Grundsätzlich darf jedwede Weitergabe von Informationen über die Identität der hinweisgebenden Person nur dann erfolgen, wenn diese Weitergabe für die Durchführung von Folgemaßnahmen erforderlich ist und die hinweisgebende Person zuvor eingewilligt hat.
Damit kann sich ein Widerspruch zwischen den besonderen Vertraulichkeitsgeboten des Hinweisgeberschutzgesetz und den so genannten Betroffenenrechten aus der DSGVO (z. B. Recht auf Information gem. Art. 14 DSGVO, wenn Daten nicht von der betroffenen Person erlangt wurden oder Recht auf Auskunft über die Verarbeitung gem. Art. 15 DSGVO) ergeben. Das Hinweisgeberschutzgesetz löst diesen Widerspruch nur zum Teil auf. Aus dem in § 8 HinSchG normierten Vertraulichkeitsgebot lässt sich ableiten, dass dieses in der Regel einem Auskunftsanspruch mit Bezug auf die im Rahmen von Hinweisgebersystemen verarbeiteten Daten entgegensteht und das Unternehmen bei Geltendmachung eines Auskunftsanspruchs über diese Daten nicht Auskunft geben muss. Auch das Informationsrecht der Betroffenen nach Art. 14 DSGVO dürfte regelmäßig nicht zum Tragen kommen, da durch eine Information der betroffenen Person über einen Hinweis im Rahmen des Hinweisgebersystems regelmäßig die Gefahr bestehen dürfte, dass dadurch weitere Ermittlungen vereitelt oder erschwert würden. Insoweit dürfte das Geheimhaltungsinteresse des Unternehmens häufig überwiegen – allerdings kann sich dies im Laufe des Verfahren ändern, so dass eine Information der betroffenen Person dann nachzuholen wäre, wenn das Geheimhaltungsinteresse nicht mehr besteht (z. B. wenn Beweise gesichert worden sind).
Bei einer Beauftragung Dritter zur Einrichtung einer internen Meldestelle ist aus Datenschutzsicht auf die vertragliche Ausgestaltung der Situation besonders zu achten. Regelmäßig dürfte es sich um eine Auftragsdatenverarbeitung handeln, so dass ein entsprechender Vertrag zur Auftragsdatenverarbeitung geschlossen werden sollte. Besonderes Augenmerk ist auch darauf zu richten, wo die Verarbeitung personenbezogener Daten erfolgt (z. B. ob ein Transfer der Daten außerhalb des Geltungsbereiches der DSGVO erfolgt).
Vor Einrichtung eines Hinweisgebersystems wird durch das Unternehmen in der Regel eine Datenschutzfolgenabschätzung (DSFA) gem. Art. 35 DSGVO durchzuführen sein, da die Datenverarbeitungen in diesem Rahmen wohl stets ein großes Risiko für die Rechte und Freiheiten von Personen erwarten lassen.
Verbot von Repressalien
Im Anwendungsbereich des Hinweisgeberschutzgesetzes werden hinweisgebende Personen umfassend gegen Repressalien bzw. Vergeltungsmaßnahmen geschützt. So ist jede ungerechtfertigte berufliche Benachteiligung und auch die Androhung einer solchen in Zusammenhang mit einer Meldung nach dem Hinweisgeberschutzgesetz verboten. Dies können beispielsweise Kündigungen, Degradierungen oder unterlassene Beförderungen sein, aber auch geänderte Aufgabenübertragung oder Disziplinarmaßnahmen Das Gesetz sieht dabei eine Beweislastumkehr vor: Machen Whistleblower geltend, eine Benachteiligung infolge einer Meldung oder Offenlegung erlitten zu haben, wird zu Lasten des Arbeitgebers zunächst vermutet, dass es sich bei der in Streit stehenden Maßnahme um eine Repressalie bzw. Vergeltungsmaßnahme handelt. Darüber hinaus können Whistleblower den Arbeitgeber im Falle von verbotenen Repressalien auf Schadensersatz in Anspruch nehmen.
Bußgeldtatbestände
Verstöße gegen das Hinweisgeberschutzgesetz können mit Bußgeldern von bis zu EUR 50.000 geahndet werden. Bußgelder wegen gesetzeswidrig nicht eingerichteter Meldestellen von Arbeitgebern mit mindestens 250 Beschäftigten können aber erst ab 01.12.2023 verhängt werden.
Beteiligungsrechte des Betriebsrates
Bei der Einrichtung interner Meldestellen sind die Mitbestimmungsrechte des Betriebsrates zu beachten. Da die Einrichtung der Meldestellen gesetzlich vorgeschrieben ist, bezieht sich das Mitbestimmungsrecht allerdings nicht auf das „Ob“ der Einrichtung. In der Regel wird der Betriebsrat aber Mitbestimmungsrechte in Bezug auf die nähere Ausgestaltung des Meldeverfahrens haben unter dem Gesichtspunkt der Ordnung im Betrieb oder aufgrund der Einführung eines neuen Computerprogramms zur Verwaltung der Meldungen. Inwieweit dies auch dann gilt, wenn der Arbeitgeber sich dazu entscheidet, die Meldestelle nicht mit eigenen Beschäftigten, sondern mittels eines externen Anbieters zu betreiben, und dabei ausschließlich die gesetzlichen Vorgaben umsetzt, ist noch nicht eindeutig geklärt.
Was jetzt zu tun ist
- Alle Arbeitgeber mit mindestens 50 Beschäftigten jetzt sollten schnellstmöglich die Einrichtung einer internen Meldestelle in Angriff nehmen. Insbesondere in Betrieben mit Betriebsräten ist hier mit einer längeren Vorlaufzeit zu rechnen.
- In Konzernunternehmen kann die Möglichkeit einer zentralen Meldestelle im Konzernverbund geprüft werden.
- Verfahren und Verantwortlichkeiten hinsichtlich des Betriebs der internen Meldestelle sollte entsprechend dem Hinweisgeberschutzgesetz festgelegt werden. Dies kann beispielsweise in Form einer entsprechenden Unternehmensrichtlinie geschehen. In Betriebsratsbetrieben ist ggfs. auch eine Betriebsvereinbarung zu schließen. Auch datenschutzrechtliche Aspekte sind zu beachten.
- Wenn die Meldestelle intern mit eigenen Beschäftigten betrieben werden soll, sind entsprechende Strukturen aufzubauen, die die Unabhängigkeit der zuständigen Mitarbeitenden sicherstellen. Außerdem ist für ausreichende Schulungen zu sorgen.
- Personalverantwortliche sollten hinsichtlich des Verbots der Repressalien sensibilisiert Im Einzelfall sollten die Gründe für Whistleblower betreffende Personalmaßnahmen sorgfältig dokumentiert werden.
- Die Möglichkeit zur (niedrigschwelligen) Nutzung der internen Meldestelle sollte intern beworben werden. Es wird regelmäßig im Unternehmensinteresse liegen, dass die Mitarbeitenden möglichst vorrangig die Möglichkeit interner Meldungen (anstelle externer Meldungen) nutzen, um etwaige Missstände möglichst frühzeitig und ohne negative Außenwirkung abzustellen. Vor diesem Hintergrund könnte – auch wenn vom Gesetz nicht gefordert – auch die Einrichtung von anonymen Meldekanälenn zu erwägen sein.
- Unternehmen, in denen bereits eine Meldestelle und Vorgaben zum Umgang mit entsprechenden Meldungen bestehen (z.B. sogenannte Whistleblower-Hotlines und -Policies in internationalen Konzernen), sollten überprüfen, ob diese im Einklang mit den Regelungen des neuen Hinweisgeberschutzgesetzes stehen.
Foto: Shutterstock / Victor Moussa