Karo-1.png

Hinweisgeberschutzgesetz: ein Update

Aktuelles zum Hinweisgeberschutzgesetz (HinSchG): Ihr Leitfaden für die Umsetzung in Ihrem Unternehmen

Aktueller Verlauf zum Hinweisgeberschutzgesetz

Februar 2023: 

Am 10. Februar wird in einer Sitzung des Bundesrates über das Inkrafttreten des deutschen Hinweisgeberschutzgesetzes entschieden. Es wird eine Zustimmung durch den Bundesrat erwartet, wodurch Unternehmen ohne gesetzeskonformes Hinweisgebersystem zum kurzfristigen Handeln gezwungen sind. Die dreimonatige Umsetzungsfrist für Unternehmen mit mehr als 250 Mitarbeitern beginnt unmittelbar nach der Zustimmung des Bundesrates, also voraussichtlich am 10. Februar.

Dezember 2022: Nun ist es offiziell: Am 16.12.2022 hat der Deutsche Bundestag das Hinweisgeberschutzgesetz verabschiedet. Mit inhaltlichem Änderungsbedarf hatte der Regierungsentwurf des Gesetzes erst zwei Tage zuvor den Rechtsausschuss passiert. Die signifikanten Änderungen für das Gesetz wurden rasch von der Regierungskoalition durchgewunken. Für den finalen Schritt zum Hinweisgeberschutzgesetz muss der Bundesrat allerdings noch zustimmen.

November 2022: Obwohl ExpertInnen noch in diesem Jahr mit der Verabschiedung des Gesetzes in Q4 2022 rechneten, geht Justizminister Dr. Marco Buschmann davon aus, dass sich der Beschluss bis Anfang 2023 verzögern wird. Er kündigte außerdem an, dass das Gesetz noch in der ersten Jahreshälfte 2023 in Kraft treten wird.

Oktober 2022: Am 19. Oktober wurde der Gesetzesentwurf im Rahmen einer öffentlichen Anhörung im Rechtsausschuss diskutiert. Grundsätzlich befürworten alle Sachverständigen der Anhörung den Gesetzesentwurf. Der Entwurf habe allerdings noch Verbesserungspotenzial und schütze Hinweisgeber nach wie vor nicht ausreichend bei Beobachtungen, die nicht rechtswidrig sind, aber dennoch unethisches Verhalten beinhalten. Häufig kritisiert wurde außerdem der unzureichende Schutz von zu Unrecht beschuldigten Personen. Besonders die AfD-Fraktion äußerte viel Kritik zum Gesetzesentwurf.

September 2022: Bundestag und Bundesrat beraten zum Hinweisgeberschutzgesetz.

Juli 2022: Die Bundesregierung veröffentlicht einen konkreten Gesetzesentwurf.

April 2022: Dr. Marco Buschmann (FDP) gibt den neuen Gesetzesentwurf für das deutsche Hinweisgeberschutzgesetz zur Abstimmung an die Ministerien. Bis zum 11.5.22 hat die Fachöffentlichkeit Zeit, Stellung zum Referentenentwurf zu beziehen.

Februar 2022: Aufgrund der überschrittenen Umsetzungsfrist wird von der EU ein Vertragsverletzungsverfahren eingeleitet.

Dezember 2021: Die Umsetzungsfrist der EU zur Implementierung eines nationalen Hinweisgeberschutzgesetzes läuft ab.

November 2021: Die Umsetzung der EU-Richtlinie auf nationaler Ebene wird in den Koalitionsvertrag mitaufgenommen.

Anfang 2021: Ein Gesetzesentwurf wird vom SPD-geführten Justizministerium vorgelegt. Aufgrund von Einwänden am Entwurf besonders von der CDU/CSU wird das Gesetz abgelehnt.

Mit diesem Artikel möchten wir Sie auf den aktuellen Stand zum Hinweisgeberschutzgesetz als Umsetzung der seit dem 17. Dezember 2021 geltenden EU-Richtlinie bringen. Wir räumen die Unsicherheiten und Vorbehalte gegenüber Hinweisgebersystemen aus dem Weg und vermitteln Ihnen als Unternehmer klare Handlungsempfehlungen.

Und das Fazit nehmen wir gern vorweg: Da das Gesetz am 16.12.20222 verabschiedet wurde und lediglich die finale Zustimmung vom Bundesrat aussteht, sollten Unternehmen sofort handeln. Die Richtlinie zwingt Sie zu Ihrem Glück, indem es Ihnen ein Frühwarnsystem für Ihr Unternehmen und ein Schutzschild für Ihre Mitarbeiter vorschreibt.

Was sind die nächsten Schritte zum Hinweisgeberschutzgesetz?

Der Bundesrat muss dem Hinweisgeberschutzgesetz noch zustimmen. Ein möglicher Termin dafür ist der 10. Februar 2023. Anschließend muss das Gesetz vom Bundespräsidenten unterzeichnet und im Bundesgesetzblatt verkündet werden. 

Ab dieser Verkündigung tritt das Gesetz in Kraft und Beschäftigungsgeber mit 250 oder mehr Beschäftigten haben drei Monate Zeit, die Vorgaben des Hinweisgeberschutzgesetzes umzusetzen. Für Unternehmen zwischen 50 und 249 Beschäftigten ist der Stichtag der Umsetzungsfrist der 17.12.2023. Es müssen dann interne Meldestellen und Konzepte zum Schutz von Hinweis Gebenden eingerichtet und betrieben werden. Erfolgt dies nicht, drohen den Unternehmen Bußgelder von bis zu 100.000 €.

Welche Änderungen gab es auf den Vorschlag des Rechtsausschusses zum Hinweisgeberschutzgesetz?

Der Regierungsentwurf hat am 14.12.2022 den Rechtsausschuss mit einigen Ergänzungsvorschlägen passiert. Das Plenum des Bundestags hat den Entwurf mit den Änderungen des Rechtsausschusses dann am 16.12.2022 verabschiedet.

Bis zuletzt war umstritten, welche Meldungen unter den Schutz des Whistleblowing-Gesetzes fallen. Die Unionsfraktionen plädierten für einen engen Anwendungsbereich, orientiert an der EU-Richtlinie, die lediglich die Einbeziehung von Verstößen gegen EU-Recht und auf EU-Recht basierendes nationales Recht vorschrieb. Der Regierungsentwurf ging weit darüber hinaus und dehnte den Anwendungsbereich auch auf Informationen über Straftaten jeder Art und schwere Ordnungswidrigkeiten aus. In letzter Minute wurden aufgrund aktueller Geschehnisse („Reichsbürger-Razzia“) auch noch Hinweise auf Äußerungen von Beamtinnen und Beamten aufgenommen, die einen Verstoß gegen die Pflicht zur Verfassungstreue darstellen.

Hinweisgeber sollen im Grundsatz die Wahl zwischen externer und interner Meldung haben. Beschäftigungsgeber sollen Anreize dafür schaffen, dass sich hinweisgebende Personen zunächst an die jeweilige interne Meldestelle des Beschäftigungsgebers wenden, bevor sie eine Meldung bei einer externen Meldestelle des Bundes oder des Landes einreichen. Eine wesentliche Änderung durch den Rechtsausschuss ist zudem, dass Meldende, die verbotene Repressalien erfahren, sowohl materiellen als auch immateriellen Schadensersatz verlangen können, es ist also noch ein Schmerzensgeldanspruch hinzugekommen.

Das Hinweisgeberschutzgesetz zum Schutz von Whistleblowern

Die EU-Richtlinie zum Schutz von Hinweisgebern (EU-Direktive 2019/1937) verlangt, dass alle Unternehmen mit mehr als 50 Mitarbeitenden ein Hinweisgebersystem einrichten. Das gilt auch für Behörden und öffentliche Einrichtungen, sowie für Kommunen ab 10.000 Einwohnern. Für Unternehmen zwischen 50 und 249 Mitarbeitenden ist eine verlängerte Umsetzungsfrist bis Dezember 2023 vorgesehen. Die EU-Richtlinie, das Hinweisgeberschutzgesetz und die damit einhergehenden Anforderungen an Unternehmen sollen Whistleblower besser schützen, wenn sie Gesetzesverstöße innerhalb des Unternehmens melden. Dafür soll ein internes Hinweisgebersystem als Meldekanal sorgen. Dieses soll nicht nur für die eigenen Arbeitnehmer, sondern auch für die von Vertriebspartnern, Kunden und Dienstleistern zugänglich sein.

Hinweisgeberschutzgesetz: Die Umsetzung der Whistleblowing-Richtlinie

Da es sich um eine Richtlinie handelt und nicht um eine Verordnung (wie bei der DSGVO), müssen alle EU-Mitgliedsstaaten zusätzlich ein eigenes nationales Hinweisgeberschutzgesetz verabschieden, das den Schutz von Hinweisgebern gewährleistet. Dabei stellen die rechtlichen Anforderungen der EU-Richtlinie das „Minimum“ dar. Die deutsche Regierung könnte die Anforderungen im deutschen Hinweisgeberschutzgesetz strenger auslegen, aber nicht aufweichen und lockerer handhaben. Es gab bereits im ersten Halbjahr 2021 Gespräche zum Entwurf für das deutsche Hinweisgeberschutzgesetz. Wie die SZ berichtete, sind diese jedoch an der Union gescheitert.

Dänemark hat am 24. Juni 2021 als erstes der EU-Mitgliedsländer das nationale Gesetz „Lov om beskyttelse af whistleblowere“ verabschiedet. Schweden hat am 29. September 2021 „Lag (2021:890) om skydd för personer som rapporterar om missförhållanden“ nachgelegt. In den meisten restlichen EU-Staaten ist der Gesetzgebungsprozess in Arbeit.

Dabei diskutieren die Regierungen einiger Ländern eine strengere Auslegung des Hinweisgeberschutzgesetzes. Die Tschechische Republik sieht beispielsweise in ihrem Entwurf vor, bereits Unternehmen ab 25 Mitarbeitern in die Pflicht zu nehmen. 

Das Beispiel Polen zeigt, dass es auf einmal sehr schnell gehen kann: Der aktuelle Entwurf für das Hinweisgeberschutzgesetz sieht 3 Jahre Haft für den Geschäftsführer vor, wenn das Unternehmen kein Hinweisgebersystem hat. Die Pflicht, ein solches System implementiert zu haben, soll unmittelbar 14 Tage nach Verabschiedung des Hinweisgeberschutzgesetzes bestehen. Polen hat im Referentenentwurf die Vorgaben der EU-Whistleblowing-Richtlinie damit deutlich überschritten. Die Mehrheitsverhältnisse in Polen sprechen für eine Verabschiedung des vorliegenden Entwurfs.

Was beinhaltet das deutsche Hinweisgeberschutzgesetz?

Im Referentenentwurf schlug die deutsche Justizministerin Christine Lambrecht (SPD) vor, nicht nur die Hinweisgeber zu schützen, die Verstöße gegen EU-Recht melden, sondern eben auch diejenigen, die Verstöße gegen deutsches Recht melden

„Denn sonst wäre geschützt, wer einen Verstoß gegen europäische Datenschutzvorschriften meldet, aber nicht geschützt, wer auf Schmiergeldzahlungen, Steuerhinterziehung oder auf Verstöße gegen deutsche Umweltschutz- oder Arbeitsschutzbestimmungen hinweist.“ [Zitat Christine Lambrecht, Quelle: https://www.sueddeutsche.de/wirtschaft/whistleblower-lambrecht-unternehmen-1.5278761]
Legal Tech Gerichte Urteile

Die Union warf ihr vor, den Unternehmen damit Steine in den Weg zu legen und noch mehr Bürokratie aufzubürden. Die Parteien der aktuellen Koalition haben sich jedoch klar positioniert. SPD, FDP und die Grünen fordern einen weitreichenden Schutz von Hinweisgebern und sehen darin eine Chance, um Skandale zu verhindern und Schäden zu reduzieren. 

Mit der Veröffentlichung des Koalitionsvertrages zwischen SPD, Grünen und FDP steht somit offiziell fest, dass Deutschland ein eigenständiges Hinweisgeberschutzgesetz erhalten wird. Konkret heißt es im Koalitionsvertrag (S. 111, 3737-3742): 
„Wir setzen die EU-Whistleblower-Richtlinie rechtssicher und praktikabel um. Whistleblowerinnen und Whistleblower müssen nicht nur bei der Meldung von Verstößen gegen EU-Recht vor rechtlichen Nachteilen geschützt sein, sondern auch von erheblichen Verstößen gegen Vorschriften oder sonstigem erheblichen Fehlverhalten, dessen Aufdeckung im besonderen öffentlichen Interesse liegt. Die Durchsetzbarkeit von Ansprüchen wegen Repressalien gegen den Schädiger wollen wir verbessern und prüfen dafür Beratungs- und finanzielle Unterstützungsangebote“

Damit ist klar: Das inzwischen verabschiedete Hinweisgeberschutzgesetz wird sowohl Verstöße gegen deutsches Recht als auch die Aufdeckung von erheblichen Missständen erfassen. Somit bringt die EU-Whistleblowing-Richtlinie vor allem privatwirtschaftliche Unternehmen in eine gefährliche Grauzone zwischen nationalem Recht und EU-Recht.

Hinweisgeberschutzgesetz: Was ist Hinweisgeberschutz überhaupt?

Eine der größten Herausforderungen im Zusammenhang der Umsetzung eines Hinweisgeberschutzgesetzes in Unternehmen ist die negative Konnotation, die häufig beim Thema „Whistleblowing“ mitschwingt. Der Begriff steht im Zusammenhang mit Geheimnisverrat und wird damit sehr einseitig interpretiert. Verkannt wird dabei, dass es nicht generell schlecht ist, wenn Geheimnisse aufgedeckt werden – insbesondere, wenn diese Gesetzesverstöße beinhalten. Durch das Aufdecken von Gesetzesverstößen in Unternehmen werden unternehmensinterne Hinweisgeber zu einem Frühwarnsystem. Das ermöglicht, gemeldete Probleme zu lösen statt eines Tages ohne Vorankündigung als Skandal in den Schlagzeilen zu landen.

Mitarbeiter müssen sich bei der Beobachtung von Gesetzesverstößen entscheiden, ob sie diese melden oder nicht. Je nach Machtverhältnissen und Unternehmenskultur resultierte eine solche Meldung in persönlichen Nachteilen, Ausgrenzung oder Kündigung. Das führte dazu, dass die persönlichen Risiken eines Hinweisgebers zu einer häufig unüberwindbaren Hürde wurden. 

Um genau dieses Zögern zu verhindern, hat die EU beschlossen, Hinweisgeber mit einem HinschG in Zukunft besser zu schützen. Jemand, der einen Missstand im Unternehmen aufdeckt, darf keine Benachteiligung fürchten oder gar um seinen Job oder seine Zukunft bangen müssen.

Rettungsring als Schutzsymbol

Ein Hinweisgeberschutzgesetz verpflichtet Hinweisgebersystemen

Ein Hinweisgeberschutzgesetz definiert alle Personen als potenzielle Hinweisgeber, die im Rahmen ihrer Arbeitstätigkeit mit Ihrem Unternehmen in Kontakt stehen. Somit betrifft es nicht nur Ihre Mitarbeiter, sondern auch Kunden oder Lieferanten (mehr dazu lesen Sie in unserem Beitrag „Was ist ein Whistleblower?“). Daher ist das Unternehmen verpflichtet, leicht und verständlich über die Meldemöglichkeiten und die Bearbeitung von Meldungen aufzuklären (beispielsweise auf der Unternehmens-Website). Neben der Möglichkeit, schriftlich und mündlich melden zu können, muss das Unternehmen auch einen persönlichen Austausch auf Wunsch des Hinweisgebers ermöglichen. Dabei muss es die Daten im Zusammenhang mit der Meldung natürlich auch DSGVO-konform verarbeiten.

Die Whistleblowing-Richtlinie sowie der damalige Referentenentwurf für das deutsche Hinweisgeberschutzgesetz verpflichten nicht dazu, anonyme Meldungen zu ermöglichen. Sie überlassen dies den Unternehmen beziehungsweise den Behörden selbst. Die Empfehlung ist jedoch eindeutig: Nur Anonymität schafft ausreichend Sicherheit und Vertrauen, um die Hemmung vor dem Melden an sich zu reduzieren. Die Mehrzahl der Unternehmen, die bereits Hinweisgebersysteme implementiert haben, haben sich für Meldekanäle inklusive anonymer Meldemöglichkeit entschieden.

Weitere Anforderungen an Unternehmen und Behörden durch die EU-Whistleblowing-Richtlinie

Die Richtlinie schreibt jedoch nicht nur die Implementierung von Hinweisgebersystemen vor. Sie fordert außerdem, Verfahren zur Hinweisbearbeitung in Ihrem Unternehmen einzurichten. Durch die Vorgabe von bestimmten Fristen, innerhalb derer Ihr Unternehmen auf Hinweise reagieren muss, fordert die Richtlinie auch die Steuerung von Folgemaßnahmen:

Wichtig für diese zusätzlichen Anforderungen ist die Auswahl und Benennung einer unparteiischen Person, die als Hinweisempfänger für die Meldungen und die Kommunikation mit dem Hinweisgeber verantwortlich ist. Dies kann je nach Unternehmensgröße neben der Geschäftsführung oder einem Compliance Officer alternativ auch ein externer Verantwortlicher für Ihr Unternehmen übernehmen. Sie müssen jedoch sicherstellen, dass die verantwortliche Person keinem Interessenskonflikt ausgesetzt ist.

Hier gilt die Beweislastumkehr: Im Zweifel ist der Arbeitgeber verpflichtet, nachzuweisen, dass eine Kündigung nicht im Zusammenhang mit dem Hinweisgeben seitens des Mitarbeiters zu tun hat. Dies erfordert eine lückenlose Dokumentation des gesamten Prozesses rund um den Hinweis – sowohl für das Unternehmen als auch für den Hinweisgeber.

Hinweisgeberschutzgesetz: Aufforderung zur Implementierung interner und externer Meldekanäle

Die EU-Richtlinie verpflichtet Unternehmen dazu interne und externe Meldekanäle zu implementieren. Worin besteht der Unterschied zwischen den Kanälen?

Interne Kanäle

„Intern“ bedeutet in diesem Fall „unternehmensintern“, also innerhalb der juristischen Person, allerdings kann dieser interne Meldekanal auch über einen externen Dienstleister (wie einen Software-Provider und / oder einen Rechtsanwalt) abgebildet werden.

Pro

Contra

Den internen Meldekanal von einem Dritten mit dessen Einführung beziehungsweise mit dessen Betreuung zu beauftragen, ist dabei nicht nur explizit als rechtskonforme Lösung in der Richtlinie aufgeführt, sondern kann auch ein praktikabler Kompromiss in der Praxis sein: Potenzielle Hinweisgeber fürchten häufig, dass sie bei unternehmensinternen Meldesystemen nicht tatsächlich anonym bleiben oder bemängeln fehlende Transparenz bezüglich der Bearbeitung und Verantwortung der Meldungen. „Kann jemand Neugieriges aus unserer IT nicht herausfinden, dass ich der-/diejenige war, der/die die Meldung abgegeben hat?“, ist in diesem Szenario eine häufig gestellte Frage.

Ein interner Meldekanal, der von der IT-Infrastruktur des Unternehmens unabhängig ist, kann diese Vorbehalte auflösen. Unternehmen können die Betreuung und Bearbeitung der Meldungen außerdem Rechtsanwälten oder Compliance-Beratern überlassen. Manche Unternehmen gehen sogar soweit, nicht etwa den „Rechtsanwalt des Vertrauens“ damit zu beauftragen, mit dem das Unternehmen schon seit Jahren zusammenarbeitet. Sie wählen aktiv für diese Aufgabe einen „neuen“ Rechtsanwalt aus. Das kann zusätzliche Sicherheit bei den Beschäftigten schaffen, da dadurch die Wahrscheinlichkeit eines Interessenkonflikts sinkt. 

Externe Kanäle

Die Richtlinie fordert außerdem externe Kanäle, die dem Hinweisgeber neben einem unternehmensinternen Meldekanal zur Verfügung stehen sollen. Die Instanz des externen Meldekanals soll von jedem EU-Mitgliedsstaat von einer dafür errichteten behördlichen Stelle abgebildet werden. Selbstverständlich gelten auch für externe Meldekanäle alle Anforderungen des Hinweisgeberschutzgesetzes. Eine externe Meldung löst dann eine behördliche Untersuchung aus.

Pro

Contra

Wichtig ist, dass Unternehmen auf beide Kanäle – unternehmensintern sowie externe Stelle – hinweisen sollten und Mitarbeitende die freie Wahl haben, welchen Kanal sie zur Meldung Ihrer Beobachtungen wählen.

Der Anreiz für Unternehmen ist also groß, den internen Meldekanal intuitiv und allzeit zugänglich zu gestalten und unter den Beschäftigten Vertrauen zu diesem Kanal zu schaffen. Damit kann eine behördliche Untersuchung, also ein Involvieren Dritter, verhindert und das Problem intern bearbeitet und gelöst werden.

Welche Meldesysteme entsprechen den Anforderungen eines Hinweisgeberschutzgesetzes?

Der einfache, weit verbreitete „gute alte Kummerkasten“ scheitert schon an der bilateralen Kommunikation, die notwendig ist, um dem Hinweisgeber den Eingang seiner Meldung bestätigen zu können. Welche weiteren Meldekanäle existieren, können Sie in unserem Blog-Beitrag „Was ist ein Hinweisgebersystem?“ nachlesen. 

In der Praxis haben sich aber vor allem digitale Hinweisgebersysteme bewährt:

Fangen Sie noch heute an, nach dem richtigen Hinweisgebersystem für Ihr Unternehmen zu suchen und achten Sie bei der Auswahl Ihrer Whistleblowing-Software darauf, dass es in diesem Falle kein „one size fits all“ gibt.

Konsequenzen bei Verstößen gegen das Hinweisgeberschutzgesetz

In Ihrer Stellungnahme sieht die EU explizit Sanktionen für jene Unternehmen vor, die kein Hinweisgebersystem einrichten. Wie hoch diese Bußgelder ausfallen werden, hängt vom nationalen Hinweisgeberschutzgesetz ab. Das gilt ebenso für Unternehmen, die andere Anforderungen im Rahmen des Hinweisgeberschutzes nicht beachten, wie beispielsweise die Identität des Hinweisgebers nicht vertraulich zu behandeln oder sogar Repressalien gegen den Whistleblower zu ergreifen.

Und auch wenn das Hinweisgeberschutzgesetz, als deutsche Umsetzung der Richtlinie, noch aussteht, würden Gerichte im Ernstfall nach aktueller Einschätzung von Juristen auf Basis der EU-Richtlinie entscheiden.

Unabhängig davon hat die Nicht-Einhaltung der Vorgaben der EU-Whistleblower-Richtlinie einen hohen Preis: Hat das Unternehmen…

… darf der Hinweisgeber straffrei mit seinen Informationen an Öffentlichkeit treten. Er ist gemäß der EU-Whistleblowing-Richtlinie in diesen oben genannten Konstellationen trotzdem geschützt.

Schritte für die Umsetzung des Hinweisgeberschutzgesetzes

Unternehmer sollten sich zeitnah um die Reduktion der persönlichen Haftung zu kümmern. Denn das ist das, was ein Hinweisgeberschutzgesetz hier eigentlich auf den Weg bringt: ein Frühwarnsystem für Ihr Unternehmen. Ein Schutzschild für Ihre Mitarbeiter. Wählen Sie den externen Dienstleister Ihres Vertrauens, um diesen Meldekanal in Ihrem Unternehmen einzurichten und sicherzustellen, dass ihn Ihre Mitarbeitenden auch tatsächlich verwenden.

Wie Sie das erreichen können? Informieren Sie sich in unserem Leitfaden „Zur Umsetzung des Hinweisgeberschutzgesetzes in Ihrem Unternehmen“ über die nächsten Schritte und Handlungsempfehlungen.

Haben Sie Fragen? Kontaktieren Sie gern einen unserer Experten für ein persönliches Gespräch.

Unser nächstes kostenfreies Webinar für Sie:

Rund um das Thema Whistleblowing bieten wir regelmäßig spannende Webinare an.
Kunden, Partner und Experten treten hier in Dialog mit uns und Ihnen, um über Erfahrungsberichte und Expertisen zu Whistleblowing im Zusammenhang mit Lieferketten, ESG & Nachhaltigkeit sowie mit Arbeitsrecht und Datenschutz etc. zu berichten. Zum nächsten Webinar finden Sie hier weitere Informationen und die Möglichkeit sich direkt anzumelden:

(Die verwendete männliche Form bezieht sich auf alle Personen, gleich welchen Geschlechts.)

Worauf warten Sie?

Compliant in 5 Minuten.

LegalTegrity passt zu Ihren Kunden?

Werden Sie Partner