Recht und Steuern

Whistleblowing: Das Hinweisgeberschutzgesetz kommt

Aktueller Stand

Die „EU-Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ (2019/1937) gibt Mindestvorgaben für den Schutz von Hinweisgebern (sogenannten Whistleblowern) vor. Sie soll Anreize schaffen, Rechtsverstöße zu melden und verpflichtet öffentliche und private Organisationen sowie Behörden dazu, sichere Kanäle für die Meldung von Missständen einzurichten. Bundestag und Bundesrat haben nunmehr das Hinweisgeberschutzgesetz verabschiedet.

Das Gesetz wurde am 2. Juni 2023 im Bundesgesetzblatt veröffentlicht, abrufbar unter Bundesgesetzblatt Teil I - Gesetz für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden - Bundesgesetzblatt.  

Damit treten die Vorschriften des Gesetzes überwiegend zum 02.07.2023 in Kraft.

Unternehmen mit 50 bis 249 Beschäftigten müssen die Vorgaben bis zum 17. Dezember 2023 umgesetzt haben.

Welche Verstöße können von Hinweisgebern gemeldet werden?

Die EU-Richtlinie sieht vor, dass Personen geschützt werden, die Verstöße gegen das EU-Recht in bestimmten Bereichen melden – etwa wenn es um öffentliche Aufträge, Finanzdienstleistungen, Produktsicherheit, Verkehrssicherheit, Umweltschutz, Lebensmittel, öffentliche Gesundheit, Verbraucher- und Datenschutz geht.
Das HinSchG geht weit darüber hinaus und bezieht das deutsche Recht mit ein. Das HinSchG findet jedoch nur Anwendung, wenn sich die Informationen über Verstöße auf den Beschäftigungsgeber oder eine andere Stelle beziehen, mit der die hinweisgebende Person beruflich in Kontakt steht.   
Nach dem HinSchG fallen u.a. folgende Verstöße in den sachlichen Anwendungsgereich:
  • Verstöße gegen Strafvorschriften: Dies umfasst jede Strafnorm nach deutschem Recht.
  • Verstöße, die bußgeldbewehrt sind, soweit sie dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient. Darunter fallen beispielswese Vorschriften aus den Bereichen des Arbeits- und Gesundheitsschutzes, Verstöße gegen das Mindestlohngesetz, Bußgeldvorschriften, die Verstöße gegen Aufklärungs- und Auskunftspflichten gegenüber Organen der Betriebsverfassung wie Betriebsräten sanktionieren.
  • Zudem alle Verstöße gegen Rechtsvorschriften des Bundes und der Länder sowie unmittelbar geltende EU-Rechtsakte in einer Vielzahl verschiedener Bereiche, etwa: Regelungen zur Bekämpfung der Geldwäsche, Vorgaben zur Produktsicherheit, Vorgaben zur Verkehrssicherheit, Vorgaben zur Beförderung gefährlicher Güter, Vorgaben zum Umwelt- und Strahlenschutz, Lebensmittel- und Fleischmittelsicherheit, Qualitäts- und Sicherheitsstandards bei Arzneimitteln und Medizinprodukten, Regelungen des Verbraucherschutzes, Vorgaben des Datenschutzes und der Sicherheit in der Informationstechnik, Vergaberecht, Regelungen zur Rechnungslegung bei Kapitalgesellschaften, Regelungen im Bereich des Wettbewerbsrechts etc.

Wer kann Hinweisgeber sein?

Hinweisgeber sind Personen, die Informationen über Verstöße melden oder offenlegen. Der persönliche Anwendungsbereich soll weit gefasst sein und umfasst alle Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit Informationen über Verstöße erlangt haben, insbesondere:
  • Arbeitnehmer, auch Arbeitnehmer, deren Arbeitsverhältnis bereits beendet ist, Stellenbewerber, Praktikanten, Leiharbeitnehmer
  • Selbstständige, die Dienstleistungen erbringen, Freiberufler, Auftragnehmer, Unterauftragnehmer, Lieferanten und deren Mitarbeiter
  • Anteilseigner und Personen in Leitungsgremien

Welche Unternehmen müssen zu welchem Zeitpunkt interne Meldekanäle einrichten?

Nach der EU -Richtlinie sind Unternehmen, die 50 und mehr Mitarbeiter beschäftigten oder im Finanzdienstleistungsbereich tätig sind sowie öffentliche Arbeitgeber verpflichtet, ein internes Meldekanal einzurichten.
  • Unternehmen mit mindestens 250 Beschäftigten müssen ab in Kraft treten des Gesetzes, das heißt ab dem 2. Juli 2023, interne Meldekanäle eingerichtet haben und betreiben. 
  • Für Unternehmen mit 50 bis 249 Beschäftigten ist eine verlängerte Einrichtungsfrist bis zum 17. Dezember 2023 gewährt. Diesen Unternehmen ist nach dem HinSchG zudem erlaubt, Ressourcen zu teilen und mit anderen Unternehmen eine „gemeinsame Meldestelle“ zu betreiben.
  • Öffentliche Stellen waren bereits seit dem 18. Dezember 2021 verpflichtet, interne Meldestellen vorzuhalten, weil die EU-Whistleblower Richtlinie schon seit Ablauf der Umsetzungsfrist für die öffentliche Verwaltung unmittelbar galt.

Was ist bei der Einrichtung und beim Betrieb interner Meldekanäle zu beachten?

Folgende Punkte sollten berücksichtigt werden:

1. Die internen Meldekanäle sollten Meldungen in mündlicher, schriftlicher oder auch in persönlicher Weise ermöglichen.

  • Schriftliche Meldekanäle können sein: IT-gestütztes Hinweisgebersystem wie etwa eine Plattform im Internet oder Intranet, eine eigens für die Entgegennahme und Bearbeitung von Hinweisen eingerichtete E-Mail-Adresse, Beschwerde-Briefkasten oder Meldungen über den Postweg
  • Mündliche Meldekanäle können sein: Whistleblower-Hotline, Anrufbeantwortersystem
  • Auf Wunsch des Hinweisgebers sollte es über diese Kanäle auch möglich sein, innerhalb eines angemessenen Zeitraums Hinweise in einem persönlichen Treffen zu besprechen
Für die Abgabe von Meldungen können die Unternehmen mehrere Kanäle zur Verfügung stellen.

2. Bei allen Meldewegen muss die Vertraulichkeit des Hinweisgebers sowie Dritter geschützt sein.

  • Die internen Meldekanäle müssen so konzipiert sein, dass die Vertraulichkeit der Integrität des Hinweisgebers und Dritter, die in der Meldung erwähnt werden, gewahrt bleibt und nicht befugten Mitarbeitern der Zugriff darauf verwehrt wird.
  • Vertraulichkeit bedeutet, dass die Integrität des Hinweisgebers ohne dessen ausdrückliche Zustimmung grundsätzlich keinen anderen Personen als gegenüber den befugten Mitarbeitern, die für die Entgegennahme von Meldungen oder für das Ergreifen von Folgemaßnahmen zu Meldungen zuständig sind, offengelegt werden darf.
  • Anonymität: Im Vermittlungsausschuss wurde sich darauf geeinigt, dass die Möglichkeit der Abgabe anonymer Meldungen nicht mehr verpflichtend ist. Anonyme Meldungen sollen jedoch trotzdem durch die Hinweisgeber Stellen bearbeitet werden.

3. Bestimmung der Zuständigkeit innerhalb des Unternehmens mit einer sehr eingeschränkten Zugriffsrechte-Zuweisung

  • Innerhalb des Unternehmens müssen „Meldestellen-Beauftragte“ bestimmt werden (eine/mehrere Person/en oder Abteilung), die die Meldungen entgegennehmen, dem Hinweisgeber innerhalb der 7-Tage-Frist den Eingang der Meldung bestätigen, die Meldung prüfen, entsprechende Folgemaßnahmen in die Wege leiten und dem Hinweisgeber innerhalb von 3 Monaten über ergriffene Folgemaßnahmen informieren.
  • Konkrete Vorgaben gibt es nicht. Maßgeblich ist die jeweilige Organisationsstruktur, Größe und Art der ausgeübten Unternehmenstätigkeit.
  • Diese Personen können insbesondere sein: Compliance-Leiter, Legal Councel, Datenschutzbeauftragter, Finanzdirektor, Auditverantwortlicher.
  • Diese Personen können neben ihrer Tätigkeit für die interne Meldestelle andere Aufgaben und Pflichten wahrnehmen. Wichtig ist aber, sicherzustellen, dass derartige Aufgaben und Pflichten nicht zu Interessenskonflikten führen und diese Personen unabhängig handeln können und die notwendige Fachkunde besitzen. Hierzu wird es in der Regel erforderlich sein, die betreffenden Personen im Hinblick auf die mit der Übernahme der Funktion verbundene Verantwortung zu schulen. 
Alternative: Auch Dritte können als interne Meldestellen beauftragt werden. Die Entgegennahme und Bearbeitung von Hinweisen kann auch auf externe Anbieter von Meldeplattformen bzw. auf Ombudspersonen (etwa Rechtsanwälten) ausgelagert werden, sofern diese entsprechende Garantien für die Wahrung der Unabhängigkeit und Vertraulichkeit, des Datenschutzes und der Geheimhaltung bieten.

4. Bei (internationalen) Konzernstrukturen

Im Konzern sind verschiedene Gestaltungsmöglichkeiten denkbar. Zum einen eine lokale Organisation, in der jedes Konzernunternehmen ein eigenes Hinweisgeberschutzsystem unterhält. Denkbar ist auch eine regionale Organisation in der Form, dass einzelne Konzerngesellschaften für eine bestimmte Region ein Hinweisgebersystem betreiben. Auch eine zentrale Lösung kommt in Betracht in der Form, dass die Meldestelle zentral in einer Einheit (in der Regel bei der Konzernmutter) angesiedelt ist.
Der HinSchG erlaubt es, auch einen „Dritten“ mit der Aufgabe einer internen Meldestelle zu beauftragen. Es kann auch bei einer anderen Konzerngesellschaft (zum Beispiel Mutter-, Schwester-, oder Tochtergesellschaft) eine unabhängige und vertrauliche Stelle als „Dritter“ eingerichtet werden, die auch für mehrere selbstständige Unternehmen in dem Konzern tätig sein kann. Dabei ist es aber notwendig, dass die originäre Verantwortung dafür, einen festgestellten Verstoß zu beheben und weiterzuverfolgen, immer bei dem jeweiligen beauftragenden Unternehmen verbleibt.
Achtung: Es wird darauf hingewiesen, dass eine gewisse Rechtsunsicherheit besteht. Denn nach früheren Aussagen der EU-Kommission müsse jedes Unternehmen, welches mehr als 249 Mitarbeiter beschäftigt, ein eigenes Hinweisgebersystem einrichten. Ein zentrales Hinweisgebersystem im Konzern solle nach der EU-Kommission nicht ausreichen. 
Das weitere Gesetzgebungsverfahren und die Reaktion der EU-Kommisson sowie der europäischen Rechtsprechung bleibt abzuwarten.
Mit Blick auf etwaige Umsetzungsunterschiede in den einzelnen EU-Mitgliedsstaaten sollte bei international tätigen Konzernen auch das Recht des jeweiligen Staates geprüft werden.

5. Von der im Unternehmen zuständigen Person oder Abteilung müssen ordnungsgemäße Folgemaßnahmen ergriffen werden, diese können beispielsweise sein

  • Einleitung interner Nachforschungen
  • Mögliche Maßnahmen zur Behebung des Problems
  • Verweis auf andere Kanäle oder Verfahren bei Meldungen
  • Abschluss des Verfahrens aufgrund mangelnder Beweise oder anderer Gründe
  • Befassung einer zuständigen Behörde

6. Bearbeitungsfristen müssen beachtet werden

  • Innerhalb von sieben Tagen muss dem Hinweisgeber bestätigt werden, dass seine Meldung eingegangen ist.
  • Innerhalb von spätestens drei Monaten nach der Bestätigung des Eingangs der Meldung muss der Hinweisgeber über geplante oder bereits ergriffene Folgemaßnahmen sowie die Gründe für diese informiert werden.

7. Dokumentation der Meldungen und Datenaufbewahrung

  • Alle eingehenden Meldungen müssen im Einklang mit den Vertraulichkeitspflichten dokumentiert werden. 
  • Wie die Meldungen dokumentiert werden müssen, hängt davon ab, über welchen Kanal die Meldung eingegangen ist.
  • Das gewählte Meldesystem sollte entsprechende Anwendungen haben, dass Meldungen und Folgemaßnahmen so dokumentiert werden, dass sie gegebenenfalls als Beweismittel verwendet werden können. 
  • Löschfrist: 3 Jahre

8. Informationspflicht über Meldeverfahren

  • Unternehmen müssen Informationen über den internen Meldeprozess und über alternative externe Meldeverfahren an die jeweils zuständigen Behörden bereitstellen.
  • Diese Informationen müssen leicht verständlich und zugänglich sein, zum Beispiel über die Unternehmens-Website, im Intranet oder am Schwarzen Brett.
  • Außerdem sollen explizit Anreize für eine interne Meldung gesetzt werden, externe Meldungen aber gleichzeitig nicht erschwert werden.

9. Datenschutz

  • Im Hinweisgebersystem werden personenbezogene Daten verarbeitet. Bei der Einrichtung und Durchführung des internen Meldeverfahrens sind alle rechtlichen Bedingungen des Datenschutzes einzuhalten. Alle personenbezogenen Daten, sowohl die des Hinweisgebers als auch etwaiger beschuldigter Personen, müssen im Einklang mit der EU-Datenschutzgrundverordnung sowie des Bundesdatenschutzgesetzes verarbeitet werden.
  • Aufbewahrungs-/Löschfristen müssen festgelegt werden (siehe hierzu Punkt 7).
  • Die Erstellung einer Datenschutzerklärung für Hinweisgeber wird erforderlich sein.
  • Wenn externe Anbieter als interne Meldestellen beauftragt werden, wird der Abschluss einer Auftragsdatenverarbeitung erforderlich sein.
  • Der Prozess über den internen Meldekanal muss im Verzeichnis der Verarbeitungstätigkeiten aufgenommen werden.
  • In der Regel wird die Durchführung einer Datenschutz-Folgeabschätzung erforderlich sein.
  • Eine sichere Datenverarbeitung verlangt geeignete technische und organisatorische Maßnahmen.
  • Der (externe) Datenschutzbeauftragte sollte daher frühzeitig eingebunden werden. Zur Klärung von Zweifelsfragen stehen auch die Datenschutzbehörden zur Verfügung.

10. Bei der Einrichtung des Verfahrens für interne Meldungen sind Mitbestimmungsrechte des Betriebsrats zu beachten.

  • Zunächst haben Betriebsräte gemäß § 80 Absatz 2 Betriebsverfassungsgesetz (BetrVG) einen Anspruch auf Unterrichtung vor der geplanten Einrichtung eines Hinweisgeberschutzsystems. 
  • Bei der Frage des „Ob“, also ob ein Hinweisgebersystem überhaupt eingerichtet werden soll, hat der Betriebsrat kein Mitbestimmungsrecht. Auch bei der Frage, welche Stelle (intern oder extern) mit dem Betrieb des Hinweisgebersystems betraut wird, gibt es keine zwingende Mitbestimmung.
  • Bei der Frage des „Wie“, also im Hinblick auf die Ausgestaltung von Meldekanälen und Meldeverfahren könnten Mitbestimmungsrechte des Betriebsrats ausgelöst werden. Insbesondere das Mitbestimmungsrecht aus § 87 Absatz 1 Nummer 6 BetrVG, nämlich im Falle der Einrichtung und Anwendung technischer Einrichtungen, kommt in Betracht, sofern die Identifikation des Hinweisgebers möglich ist.
  • Sofern der Arbeitgeber ein über die gesetzlichen Vorgaben hinausgehendes Verfahren zur Meldung und zum Umgang mit Verstößen einführt (bspw. ein Verhaltenskodex, Compliance-Richtlinien etc.), wird in der Regel auch ein Mitbestimmungsrecht aus § 87 Absatz 1 Nummer 1 BetrVG zu bejahen sein, weil Fragen der Ordnung des Betriebs und des Verhaltens der Beschäftigten im Betrieb betroffen sind. 
  • Beteiligungsrechtes des Betriebsrats ergeben sich auch aus §§ 96 ff. BetrVG hinsichtlich Schulungsmaßnahmen für die im Unternehmen zuständigen Fallbearbeiter und/oder für die Beschäftigten. 
  • Es empfiehlt sich die frühzeitige Einbindung des Betriebsrats im Rahmen eines Gesprächs

Wie werden Hinweisgeber geschützt?

Ziel der EU-Richtlinie ist der Schutz von Personen, die auf Missstände in Unternehmen und Behörden aufmerksam machen, und sicherzustellen, dass ihnen keine Benachteiligungen drohen. Hinweisgeber genießen Haftungsprivilegien und umfangreichen Schutz:
  • Zentrales Element ist das Verbot von Repressalien. Unternehmen müssen beachten, dass sämtliche Repressalien einschließlich der Androhung und des Versuchs von Repressalien untersagt sind. Verboten sind inbesondere: Suspendierung, Kündigung, Herabstufung oder Versagung von Beförderung, Nötigung, Einschüchterung, Mobbing oder Aussetzung, aber auch Nichtverlängerung befristeter Arbeitsverträge, Rufschädigung, Entzug einer Lizenz oder Genehmigung, negative Leistungsbeurteilung etc.
  • Um die Durchsetzbarkeit von Ansprüchen gegen Repressalien gegen den Schädiger zu verbessern, enthält der HinSchG in Umsetzung der EU-Richtlinie eine Beweislastumkehr zugunsten der geschützten Person. Bisher musste der Arbeitnehmer bzw. der Hinweisgeber den Zusammenhang zwischen Meldung und Benachteiligung im Streitfall nachweisen. Künftig muss der Arbeitgeber / das Unternehmen den (abweichenden) Grund für eine vermeintliche Benachteiligung darlegen und ggf. beweisen, wenn die Benachteiligung nach der Meldung erfolgt. Die Vermutung der Benachteiligung muss jedoch von der Hinweisgebenden Person geltend gemacht werden. Tipp: Vor diesem Hintergrund sollten Personalverantwortliche künftig die Gründe für arbeitsrechtliche Maßnahmen sorgfältig dokumentieren. 
  • Hinweisgeber, die sich Repressalien ausgesetzt sehen, sollen Zugang zu Rechtsbehelfen haben.
  • Bei einem Verstoß gegen das Repressalienverbot ist zudem der hinweisgebenden Person der daraus entstehende Schaden zu ersetzen.
Um diesen Schutz zu genießen, muss der Hinweis zutreffend sein und die Meldung muss Verstöße treffen, die in den Anwendungsbereich des HinSchG fallen. Ausreichend ist aber auch, wenn der Hinweisgeber zum Zeitpunkt der Meldung oder Offenlegung hinreichenden Grund zu solcher Annahme hatte.
Ein Schutz für Hinweisgeber besteht aber nicht, wenn es sich um eine vorsätzliche oder grob fahrlässige Falschmeldung handelt. In solchen Fällen ist der bösgläubige Hinweisgeber sogar zum Ersatz des dadurch entstehenden Schadens verpflichtet.

Welche Sanktionen drohen bei Nichtumsetzung?

Es droht ein Bußgeld in einer Höhe bis zu 50.000 Euro.
Unternehmen ohne Hinweisgebersystem riskieren zudem, dass Hinweise an Behörden oder die Öffentlichkeit gelangen, wodurch Reputationsrisiken und Haftungsrisiken für das Unternehmen steigen. Aus diesem Grund dürfte es im eigenen Interesse liegen, Kenntnis von Missständen zu erlangen, ehe Ermittlungsbehörden oder die Medien davon erfahren.

Kurzgefasst: Was sollten Unternehmen sich jetzt fragen

  • Welche Meldekanäle will ich einrichten? Welche Personen im Unternehmen sollen die Bearbeitung eingehender Hinweise übernehmen? → Schulung, Vertraulichkeit sicherstellen
  • Beteiligung des Betriebsrats
  • Datenschutzrechtliche Anforderungen einhalten
  • Wie soll die Kommunikation zur Einführung des Hinweisgebersystems und dann weiterhin im laufenden Betrieb erfolgen? → Schulung der Beschäftigten, Vertrauensbildung, Anreizsetzung für potenzielle Hinweisgeber, zunächst intern zu melden
Hinweis: Diese Informationen sollen Ihnen nur erste Hinweise geben und erheben daher keinen Anspruch auf Vollständigkeit. Obwohl sie mit größtmöglicher Sorgfalt erstellt wurden, kann eine Haftung für die inhaltliche Richtigkeit nicht übernommen werden.