Karo-1.png

Hinweisgeberschutzgesetz: ein Update

Letztes Update: 20. Mai 2022

Aktuelles zum Hinweisgeberschutzgesetz: Ihr praktischer Leitfaden für die Umsetzung in Ihrem Unternehmen

Update

Aufgrund der bisherigen Nicht-Umsetzung der EU-Whistleblowing-Richtlinie hatte die EU-Kommission ein Verfahren gegen Deutschland (und alle anderen EU-Mitgliedsstaaten, die bisher noch kein nationales Gesetz verabschiedet haben) eingeleitet. Damit stieg der Druck auf die deutsche Regierung und Bundesjustizminister Dr. Marco Buschmann (FDP) gab Anfang April 2022 endlich den neuen Gesetzesentwurf für das deutsche Hinweisgeberschutzgesetz zur Abstimmung an die Ministerien. Bis zum 11.5.22 hatte die Fachöffentlichkeit Zeit, Stellung zum Referentenentwurf zu beziehen.

Welche Änderungen gibt es im Vergleich zum Entwurf des letzten Jahres (2021)? Wie streng setzt der Gesetzesentwurf die Anforderungen aus der EU-Whistleblowing-Richtlinie um?

Sicherlich einer der spannendsten Unterschiede zum Gesetzesentwurf aus dem letzten Jahr: Der Entwurf sieht als Sanktion beim Versäumnis der Einrichtung eines internen gesetzeskonformen Meldekanals ein Bußgeld von bis zu 20.000 € vor.

Inhaltlich erweitert der Entwurf die Meldekategorien auf nationales Recht beziehungsweise auf strafbewehrte Verstöße. Eine Ausweitung auf Verstöße gegen interne Regelungen, die im Koalitionsvertrag beispielsweise vorgesehen war, sucht man in diesem Entwurf zum Hinweisgeberschutzgesetz jedoch vergeblich. Genauso fehlt die Verpflichtung, über interne Meldekanäle auch anonyme Meldungen zu ermöglichen – obwohl dies in der Praxis jedoch häufig eine wichtige Voraussetzung dafür ist, sich zu trauen. Außerdem: Für international tätige Unternehmen sind gruppenweite Meldestellen und damit eine zentrale Bearbeitung der Hinweise laut Begründung des Gesetzesentwurfs möglich. Die Verantwortung für die Folgemaßnahmen liegen jedoch selbstverständlich bei der jeweiligen Gesellschaft.

Die Bundestagswahl ist vorbei, die neue Koalition hat die Regierungsarbeit übernommen, mit Spannung beobachten wir die Entwicklungen rund um die Whistleblowing-Richtlinie und das deutsche Hinweisgeberschutzgesetz. Mit diesem Artikel möchten wir Sie auf den aktuellen Stand zum Hinweisgeberschutzgesetz als Umsetzung der seit dem 17. Dezember 2021 geltenden EU-Richtlinie bringen. Wir räumen die Unsicherheiten und Vorbehalte gegenüber Hinweisgebersystemen aus dem Weg und vermitteln Ihnen als Unternehmer klare Handlungsempfehlungen.

Und das Fazit nehmen wir gern vorweg: es lohnt sich, sofort zu handeln. Die Richtlinie zwingt Sie zu Ihrem Glück, indem es Ihnen ein Frühwarnsystem für Ihr Unternehmen und ein Schutzschild für Ihre Mitarbeiter vorschreibt. Setzen Sie schon jetzt die Anforderung deskommenden Hinweisgeberschutzgesetzes um.

Das Hinweisgeberschutzgesetz zum Schutz von Whistleblowern

Die EU-Richtlinie zum Schutz von Hinweisgebern (EU-Direktive 2019/1937) verlangt, dass alle Unternehmen mit mehr als 50 Mitarbeitenden ein Hinweisgebersystem einrichten. Das gilt auch für Behörden und öffentliche Einrichtungen, sowie für Kommunen ab 10.000 Einwohnern. Für Unternehmen zwischen 50 und 249 Mitarbeitenden ist eine verlängerte Umsetzungsfrist bis Dezember 2023 vorgesehen. Die EU-Richtlinie, das Hinweisgeberschutzgesetz und die damit einhergehenden Anforderungen an Unternehmen sollen Whistleblower besser schützen, wenn sie Gesetzesverstöße innerhalb des Unternehmens melden. Dafür soll ein internes Hinweisgebersystem als Meldekanal sorgen. Dieses soll nicht nur für die eigenen Arbeitnehmer, sondern auch für die von Vertriebspartnern, Kunden und Dienstleistern zugänglich sein.

Hinweisgeberschutzgesetz: Die Umsetzung der Whistleblowing-Richtlinie

Da es sich um eine Richtlinie handelt und nicht um eine Verordnung (wie bei der DSGVO), müssen alle EU-Mitgliedsstaaten zusätzlich ein eigenes nationales Hinweisgeberschutzgesetz verabschieden, das den Schutz von Hinweisgebern gewährleistet. Dabei stellen die rechtlichen Anforderungen der EU-Richtlinie das „Minimum“ dar. Die deutsche Regierung könnte die Anforderungen im deutschen Hinweisgeberschutzgesetz strenger auslegen, aber nicht aufweichen und lockerer handhaben. Es gab bereits im ersten Halbjahr 2021 Gespräche zum Entwurf für das deutsche Hinweisgeberschutzgesetz. Wie die SZ berichtete, sind diese jedoch an der Union gescheitert.

Dänemark hat am 24. Juni 2021 als erstes der EU-Mitgliedsländer das nationale Gesetz „Lov om beskyttelse af whistleblowere“ verabschiedet. Schweden hat am 29. September 2021 „Lag (2021:890) om skydd för personer som rapporterar om missförhållanden“ nachgelegt. In den meisten restlichen EU-Staaten ist der Gesetzgebungsprozess in Arbeit.

Dabei diskutieren die Regierungen einiger Ländern eine strengere Auslegung des Hinweisgeberschutzgesetzes. Die Tschechische Republik sieht beispielsweise in ihrem Entwurf vor, bereits Unternehmen ab 25 Mitarbeitern in die Pflicht zu nehmen. 

Das Beispiel Polen zeigt, dass es auf einmal sehr schnell gehen kann: Der aktuelle Entwurf für das Hinweisgeberschutzgesetz sieht 3 Jahre Haft für den Geschäftsführer vor, wenn das Unternehmen kein Hinweisgebersystem hat. Die Pflicht, ein solches System implementiert zu haben, soll unmittelbar 14 Tage nach Verabschiedung des Hinweisgeberschutzgesetzes bestehen. Polen hat im Referentenentwurf die Vorgaben der EU-Whistleblowing-Richtlinie damit deutlich überschritten. Die Mehrheitsverhältnisse in Polen sprechen für eine Verabschiedung des vorliegenden Entwurfs.

Was beinhaltet das deutsche Hinweisgeberschutzgesetz?

Mit Spannung wird das nationale Hinweisgeberschutzgesetz erwartet, das hoffentlich Detail-Fragen klärt und Unternehmen Sicherheit in der Umsetzung gibt. Im Referentenentwurf schlug die deutsche Justizministerin Christine Lambrecht (SPD) vor, nicht nur die Hinweisgeber zu schützen, die Verstöße gegen EU-Recht melden, sondern eben auch diejenigen, die Verstöße gegen deutsches Recht melden.

„Denn sonst wäre geschützt, wer einen Verstoß gegen europäische Datenschutzvorschriften meldet, aber nicht geschützt, wer auf Schmiergeldzahlungen, Steuerhinterziehung oder auf Verstöße gegen deutsche Umweltschutz- oder Arbeitsschutzbestimmungen hinweist.“ [Zitat Christine Lambrecht, Quelle: https://www.sueddeutsche.de/wirtschaft/whistleblower-lambrecht-unternehmen-1.5278761]

Legal Tech Gerichte Urteile

Die Union warf ihr vor, den Unternehmen damit Steine in den Weg zu legen und noch mehr Bürokratie aufzubürden. Die Parteien der aktuellen Koalition haben sich jedoch klar positioniert. SPD, FDP und die Grünen fordern einen weitreichenden Schutz von Hinweisgebern und sehen darin eine Chance, um Skandale zu verhindern und Schäden zu reduzieren. 

Mit der Veröffentlichung des Koalitionsvertrages zwischen SPD, Grünen und FDP steht somit offiziell fest, dass Deutschland ein eigenständiges Hinweisgeberschutzgesetz erhalten wird. Konkret heißt es im Koalitionsvertrag (S. 111, 3737-3742): 
„Wir setzen die EU-Whistleblower-Richtlinie rechtssicher und praktikabel um. Whistleblowerinnen und
Whistleblower müssen nicht nur bei der Meldung von Verstößen gegen EU-Recht vor rechtlichen
Nachteilen geschützt sein, sondern auch von erheblichen Verstößen gegen Vorschriften oder
sonstigem erheblichen Fehlverhalten, dessen Aufdeckung im besonderen öffentlichen Interesse liegt.
Die Durchsetzbarkeit von Ansprüchen wegen Repressalien gegen den Schädiger wollen wir verbessern
und prüfen dafür Beratungs- und finanzielle Unterstützungsangebote“

Damit ist klar: das kommende Hinweisgeberschutzgesetz wird einheitlich sowohl Verstöße gegen deutsches Recht als auch die Aufdeckung von erheblichen Missständen erfassen. Solange die Bundesregierung das Gesetz noch nicht verabschiedet hat, gilt die Richtlinie trotzdem seit dem 17. Dezember 2021. Somit bringt die EU-Whistleblowing-Richtlinie vor allem privatwirtschaftliche Unternehmen in eine gefährliche Grauzone zwischen nationalem Recht und EU-Recht.

Hinweisgeberschutzgesetz: Was ist Hinweisgeberschutz überhaupt?

Eine der größten Herausforderungen im Zusammenhang der Umsetzung eines Hinweisgeberschutzgesetzes in Unternehmen ist die negative Konnotation, die häufig beim Thema „Whistleblowing“ mitschwingt. Der Begriff steht im Zusammenhang mit Geheimnisverrat und wird damit sehr einseitig interpretiert. Verkannt wird dabei, dass es nicht generell schlecht ist, wenn Geheimnisse aufgedeckt werden – insbesondere, wenn diese Gesetzesverstöße beinhalten. Durch das Aufdecken von Gesetzesverstößen in Unternehmen werden unternehmensinterne Hinweisgeber zu einem Frühwarnsystem. Das ermöglicht, gemeldete Probleme zu lösen statt eines Tages ohne Vorankündigung als Skandal in den Schlagzeilen zu landen.

Mitarbeiter müssen sich bei der Beobachtung von Gesetzesverstößen entscheiden, ob sie diese melden oder nicht. Je nach Machtverhältnissen und Unternehmenskultur resultierte eine solche Meldung in persönlichen Nachteilen, Ausgrenzung oder Kündigung. Das führte dazu, dass die persönlichen Risiken eines Hinweisgebers zu einer häufig unüberwindbaren Hürde wurden. 

Um genau dieses Zögern zu verhindern, hat die EU beschlossen, Hinweisgeber mit einem Hinweisgeberschutzgesetz in Zukunft besser zu schützen. Jemand, der einen Missstand im Unternehmen aufdeckt, darf keine Benachteiligung fürchten oder gar um seinen Job oder seine Zukunft bangen müssen.

Rettungsring als Schutzsymbol

Ein Hinweisgeberschutzgesetz verpflichtet Hinweisgebersystemen

Ein Hinweisgeberschutzgesetz definiert alle Personen als potenzielle Hinweisgeber, die im Rahmen ihrer Arbeitstätigkeit mit Ihrem Unternehmen in Kontakt stehen. Somit betrifft es nicht nur Ihre Mitarbeiter, sondern auch Kunden oder Lieferanten (mehr dazu lesen Sie in unserem Beitrag „Was ist ein Whistleblower?“). Daher ist das Unternehmen verpflichtet, leicht und verständlich über die Meldemöglichkeiten und die Bearbeitung von Meldungen aufzuklären (beispielsweise auf der Unternehmens-Website). 

Neben der Möglichkeit, schriftlich und mündlich melden zu können, muss das Unternehmen auch einen persönlichen Austausch auf Wunsch des Hinweisgebers ermöglichen. Dabei muss es die Daten im Zusammenhang mit der Meldung natürlich auch DSGVO-konform verarbeiten. 


Die Whistleblowing-Richtlinie sowie der damalige Referentenentwurf für das deutsche Hinweisgeberschutzgesetz verpflichten nicht dazu, anonyme Meldungen zu ermöglichen. Sie überlassen dies den Unternehmen beziehungsweise den Behörden selbst. Die Empfehlung ist jedoch eindeutig: Nur Anonymität schafft ausreichend Sicherheit und Vertrauen, um die Hemmung vor dem Melden an sich zu reduzieren. Die Mehrzahl der Unternehmen, die bereits Hinweisgebersysteme implementiert haben, haben sich für Meldekanäle inklusive anonymer Meldemöglichkeit entschieden.

Weitere Anforderungen an Unternehmen und Behörden durch die EU-Whistleblowing-Richtlinie

Die Richtlinie schreibt jedoch nicht nur die Implementierung von Hinweisgebersystemen vor. Sie fordert außerdem, Verfahren zur Hinweisbearbeitung in Ihrem Unternehmen einzurichten. Durch die Vorgabe von bestimmten Fristen, innerhalb derer Ihr Unternehmen auf Hinweise reagieren muss, fordert die Richtlinie auch die Steuerung von Folgemaßnahmen:

Wichtig für diese zusätzlichen Anforderungen ist die Auswahl und Benennung einer unparteiischen Person, die als Hinweisempfänger für die Meldungen und die Kommunikation mit dem Hinweisgeber verantwortlich ist. Dies kann je nach Unternehmensgröße neben der Geschäftsführung oder einem Compliance Officer alternativ auch ein externer Verantwortlicher für Ihr Unternehmen übernehmen. Sie müssen jedoch sicherstellen, dass die verantwortliche Person keinem Interessenskonflikt ausgesetzt ist.

Hier gilt die Beweislastumkehr: Im Zweifel ist der Arbeitgeber verpflichtet, nachzuweisen, dass eine Kündigung nicht im Zusammenhang mit dem Hinweisgeben seitens des Mitarbeiters zu tun hat. Dies erfordert eine lückenlose Dokumentation des gesamten Prozesses rund um den Hinweis – sowohl für das Unternehmen als auch für den Hinweisgeber.

Hinweisgeberschutzgesetz: Aufforderung zur Implementierung interner und externer Meldekanäle

Die EU-Richtlinie verpflichtet Unternehmen dazu interne und externe Meldekanäle zu implementieren. Worin besteht der Unterschied zwischen den Kanälen?

Interne Kanäle

„Intern“ bedeutet in diesem Fall „unternehmensintern“, also innerhalb der juristischen Person, allerdings kann dieser interne Meldekanal auch über einen externen Dienstleister (wie einen Software-Provider und / oder einen Rechtsanwalt) abgebildet werden.

Pro

Contra

Den internen Meldekanal von einem Dritten mit dessen Einführung beziehungsweise mit dessen Betreuung zu beauftragen, ist dabei nicht nur explizit als rechtskonforme Lösung in der Richtlinie aufgeführt, sondern kann auch ein praktikabler Kompromiss in der Praxis sein: Potenzielle Hinweisgeber fürchten häufig, dass sie bei unternehmensinternen Meldesystemen nicht tatsächlich anonym bleiben oder bemängeln fehlende Transparenz bezüglich der Bearbeitung und Verantwortung der Meldungen. „Kann jemand Neugieriges aus unserer IT nicht herausfinden, dass ich der-/diejenige war, der/die die Meldung abgegeben hat?“, ist in diesem Szenario eine häufig gestellte Frage.

Ein interner Meldekanal, der von der IT-Infrastruktur des Unternehmens unabhängig ist, kann diese Vorbehalte auflösen. Unternehmen können die Betreuung und Bearbeitung der Meldungen außerdem Rechtsanwälten oder Compliance-Beratern überlassen. Manche Unternehmen gehen sogar soweit, nicht etwa den „Rechtsanwalt des Vertrauens“ damit zu beauftragen, mit dem das Unternehmen schon seit Jahren zusammenarbeitet. Sie wählen aktiv für diese Aufgabe einen „neuen“ Rechtsanwalt aus. Das kann zusätzliche Sicherheit bei den Beschäftigten schaffen, da dadurch die Wahrscheinlichkeit eines Interessenkonflikts sinkt. 

Externe Kanäle

Die Richtlinie fordert außerdem externe Kanäle, die dem Hinweisgeber neben einem unternehmensinternen Meldekanal zur Verfügung stehen sollen. Die Instanz des externen Meldekanals soll von jedem EU-Mitgliedsstaat von einer dafür errichteten behördlichen Stelle abgebildet werden. Selbstverständlich gelten auch für externe Meldekanäle alle Anforderungen des Hinweisgeberschutzgesetzes. Eine externe Meldung löst dann eine behördliche Untersuchung aus.

Pro

Contra

Wichtig ist, dass Unternehmen auf beide Kanäle – unternehmensintern sowie externe Stelle – hinweisen sollten und Mitarbeitende die freie Wahl haben, welchen Kanal sie zur Meldung Ihrer Beobachtungen wählen.

Der Anreiz für Unternehmen ist also groß, den internen Meldekanal intuitiv und allzeit zugänglich zu gestalten und unter den Beschäftigten Vertrauen zu diesem Kanal zu schaffen. Damit kann eine behördliche Untersuchung, also ein Involvieren Dritter, verhindert und das Problem intern bearbeitet und gelöst werden.

Welche Meldesysteme entsprechen den Anforderungen eines Hinweisgeberschutzgesetzes?

Der einfache, weit verbreitete „gute alte Kummerkasten“ scheitert schon an der bilateralen Kommunikation, die notwendig ist, um dem Hinweisgeber den Eingang seiner Meldung bestätigen zu können. Welche weiteren Meldekanäle existieren, können Sie in unserem Blog-Beitrag „Was ist ein Hinweisgebersystem?“ nachlesen. 

In der Praxis haben sich aber vor allem digitale Hinweisgebersysteme bewährt:

Fangen Sie noch heute an, nach dem richtigen Hinweisgebersystem für Ihr Unternehmen zu suchen und achten Sie bei der Auswahl Ihrer Whistleblowing-Software darauf, dass es in diesem Falle kein „one size fits all“ gibt.

Konsequenzen bei Verstößen gegen das Hinweisgeberschutzgesetz

In Ihrer Stellungnahme sieht die EU explizit Sanktionen für jene Unternehmen vor, die kein Hinweisgebersystem einrichten. Wie hoch diese Bußgelder ausfallen werden, hängt vom nationalen Hinweisgeberschutzgesetz ab. Das gilt ebenso für Unternehmen, die andere Anforderungen im Rahmen des Hinweisgeberschutzes nicht beachten, wie beispielsweise die Identität des Hinweisgebers nicht vertraulich zu behandeln oder sogar Repressalien gegen den Whistleblower zu ergreifen.

Und auch wenn das Hinweisgeberschutzgesetz, als deutsche Umsetzung der Richtlinie, noch aussteht, würden Gerichte im Ernstfall nach aktueller Einschätzung von Juristen auf Basis der EU-Richtlinie entscheiden.

Unabhängig davon hat die Nicht-Einhaltung der Vorgaben der EU-Whistleblower-Richtlinie einen hohen Preis: Hat das Unternehmen…

… darf der Hinweisgeber straffrei mit seinen Informationen an Öffentlichkeit treten. Er ist gemäß der EU-Whistleblowing-Richtlinie in diesen oben genannten Konstellationen trotzdem geschützt.

Nächste Schritte für die Umsetzung des Hinweisgeberschutzgesetzes

Unternehmer sind gut beraten, sich schon heute um die Reduktion der persönlichen Haftung zu kümmern. Denn das ist das, was ein Hinweisgeberschutzgesetz hier eigentlich auf den Weg bringt: ein Frühwarnsystem für Ihr Unternehmen. Ein Schutzschild für Ihre Mitarbeiter. Wählen Sie den externen Dienstleister Ihres Vertrauens, um diesen Meldekanal in Ihrem Unternehmen einzurichten und sicherzustellen, dass ihn Ihre Mitarbeitenden auch tatsächlich verwenden.

Wie Sie das erreichen können? Informieren Sie sich in unserem Leitfaden „Hinweisgeber-Lösung: proaktive Zusammenarbeit mit Hinweisgebern“ über die nächsten Schritte und Handlungsempfehlungen.

Haben Sie Fragen? Kontaktieren Sie gern einen unserer Experten für ein persönliches Gespräch.

(Die verwendete männliche Form bezieht sich auf alle Personen, gleich welchen Geschlechts.)

Worauf warten Sie?

Compliant in 5 Minuten.

LegalTegrity passt zu Ihren Kunden?

Werden Sie Partner