Hinweisgeberschutz für Unternehmen, Behörden und Organisationen ab 17. Dezember

Es bleibt nicht mehr viel Zeit – bis zum 17.12.2021 muss die sogenannte Whistleblower-Richtlinie der EU in nationales Recht umgesetzt sein. Alleine schon um ein Vertragsverletzungsverfahren zu vermeiden, sollte der Gesetzgeber die Frist unbedingt einhalten. Für Unternehmen, Behörden und Organisationen heißt das: Die Bestimmungen des neuen Hinweisgeberschutzgesetzes (HinSchG) sind spätestens ab dem Stichtag rechtlich bindend. Eine Übergangsfrist ist nicht vorgesehen. Wer sich rechtssicher aufstellen möchte, sollte zeitnah mit der Umsetzung beginnen.
 
Prävention und Rechtsdurchsetzung
Die Richtlinie (EU) 2019/1937 des Europäischen Parlaments und Rates zum „Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ – die sog. Whistleblower-Richtlinie – ist am 16.12.2019 in Kraft getreten. Gemäß Art. 26 der EU-Richtlinie bleibt den Mitgliedsstaaten bis zum 17.12.2021 Zeit, entsprechende Rechts- und Verwaltungsvorschriften in Kraft zu setzen. In Deutschland stockt das Gesetzesverfahren zum HinSchG trotz ausgearbeiteter Entwurfsvorlage (HinSchG-E) seit April 2021. Die Ziele der EU-Whistleblowing-Richtlinie lauten:

• Verstöße aufdecken,
• Prävention,
• Rechtsdurchsetzung verbessern: effektive, vertrauliche und sichere Meldekanäle, wirksamer Schutz von Hinweisgebern vor Repressalien, Hinweisgeber können weder zivil-, straf- oder verwaltungsrechtlich in Bezug auf ihre Beschäftigung haftbar gemacht werden.

 
Für Unternehmen und Behörden rechtlich bindend
Das HinSchG umfasst insgesamt vier wesentliche Bereiche: persönlicher Anwendungsbereich (§ 1), sachlicher Anwendungsbereich (§ 2), interne und externe Meldekanäle (§§ 7 – 30) sowie der Schutz des Hinweisgebers (§§ 32 – 38). Das HinSchG macht dabei keinen Unterschied hinsichtlich der Organisation (§ 1 HinSchG-E). Es soll für Unternehmen und Behörden gleichermaßen gelten und stellt somit die gleichen Anforderungen an nicht-öffentliche wie auch öffentliche Stellen.
Eines der Hauptziele, sowohl auf EU- als auch auf nationaler Ebene, ist, Anonymität für den Whistleblower sicherstellen zu können. Das Gesetz sieht aber keine Pflicht einer anonymen Meldung vor.
 
Pflicht zur Implementierung eines Hinweisgebersystems
Der Regierungsentwurf des HinSchG sieht mehrere Möglichkeiten und Vorgehensweisen vor, um Meldestellen für die Beschäftigten einzurichten. Grundlegend zum Tragen kommen:

• Eine interne Meldestelle beim Beschäftigungsgeber oder der Dienststelle. Dort wird eine beschäftigte Person, eine interne Organisationseinheit oder ein Dritter mit den Aufgaben einer internen Meldestelle betraut.
• Eine gemeinsame Stelle, die mehrere Beschäftigunsgeber betreiben. Dies gilt für Beschäftigungsgeber mit in der Regel 50 bis 249 Beschäftigten.
• Die Beauftragung eines Dritten, welcher eine gemeinsame Stelle betreibt.

Es bleibt den öffentlichen und nicht-öffentlichen Stellen überlassen, wie sie die Meldestellen organisieren. Eine konkrete Organisation ist ab einer Zahl von mehr als 50 Beschäftigten jedoch zwingend erforderlich. Was Beschäftigte sind, regelt § 3 Abs. 8 HinSch-G (vergleichbar mit § 26 Abs. 8 BDSG oder dem ArbPlSchG). Eine Kopfzählerei und -schieberei ist hierbei nicht zielführend: Das Fehlen von Organisationsform und Strukturen potenziert vielmehr das Risiko für die Organisation.
 
Zentral: der Schutz des Hinweisgebers
Gemäß §§ 32 ff. HinSchG-E hat die Organisation Maßnahmen zu treffen, welche die hinweisgebende Person, insbesondere vor Repressalien und Benachteiligungen oder Offenlegung des Sachverhalts, schützen. Der „Nichtschutz“ kann zu Schadensersatzpflichten des Verursachers (z. B. unbefugte Offenlegung) gegenüber dem Hinweisgeber führen und ist gemäß § 39 Abs. 1 Nr. 3 HinSchG-E auch bußgeldbewährt. Der Hinweisgeber soll außerdem für die Meldung oder Offenlegung der Informationen oder für daraus evtl. entstehende Schäden auf Seiten des Betroffenen nicht verantwortlich gemacht werden können. Ein starkes Instrument in der praktischen Anwendung: Es gilt die Beweisumkehr. Für den Arbeitgeber bzw. den Dienstherren bedeutet dies, dass er nachweisen muss, dass beispielsweise die Beendigung eines Arbeits- oder Dienstvertrages nichts mit der Aufdeckung der gemeldeten Missstände zu tun hat.
 
Hinweisgeberschutz vs. Geschäftsgeheimnisgesetz
Der Regierungsentwurf des HinSchG äußert sich auch zu möglicherweise entgegenstehenden Verschwiegenheits- und Geheimhaltungspflichten des Hinweisgebers (§§ 5, 6 HinSchG-E). So fällt eine Meldung u. a. dann nicht in den Anwendungsbereich des HinSchG, wenn der Meldende Berufsgeheimnisträger (z. B. Rechtsanwalt, Notar, Steuerberater, Arzt) ist. Unterliegt der Hinweisgeber jedoch „nur“ (arbeits-)vertraglichen Geheimhaltungspflichten, darf dieser mit der Meldung – wenn nötig – auch Geschäftsgeheimnisse offenbaren. Das gilt immer dann, wenn der Hinweisgeber hinreichend Grund zu der Annahme hat, dass die Weitergabe bzw. Offenlegung erforderlich ist, um einen Verstoß aufzudecken. Für Organisationen und deren Beschäftigte dürfte sich empfehlen, dies mit einem entsprechenden Passus bereits im Arbeitsvertrag zu regeln.
 
Meldekanäle in der praktischen Umsetzung
Die Einrichtung der nötigen internen Kommunikationswege für hinweisgebende Personen sind für Unternehmen, Behörden und Organisationen spätestens mit dem 17.12.2021 unumgänglich. Die Wahl der „richtigen“ Kanäle ist vor allem abhängig von der Organisation selbst sowie sicherlich auch von deren Fehler- und Kommunikationskultur. In der Praxis bieten sich verschiedene Möglichkeiten an:

• telefonischer Kanal: Einrichten einer telefonischen, für den Anrufer kostenlosen Hotline. Da die Meldung zu jeder Zeit möglich sein muss, sollte sichergestellt werden, dass die Hotline permanent besetzt ist und sich keine sprachlichen Barrieren ergeben.
• persönlich / physisch: Ein direkter Ansprechpartner; bspw. bietet sich der Datenschutzbeauftragte sowie der Compliance Officer oder die Revision an.
• E-Mail: Zugriff durch einen kleinen und definierten Kreis; Abwesenheiten von Ansprechpartnern dürfen nicht zu Bearbeitungsverzögerungen führen.
• per Post: Eine exakte Postadresse sollte für alle Beschäftigten barrierefrei einsehbar sein. Bei der Bearbeitung des Posteingangs gilt absolute Vertraulichkeit und Stillschweigen.
• (elektronisches Hinweisgebersystem): Ein IT-gestütztes Hinweisgebersystem ist gesetzlich nicht verpflichtend, aber möglich. Die Identifizierung des Meldenden u. a. über die IP-Adresse muss selbstverständlich ausgeschlossen sein.

Die Entscheidung, welchen Kommunikationskanal der Hinweisgebende nutzt, bleibt ihm überlassen.
 
Datenschutzrechtliche Anforderungen
Die datenschutzrechtlichen Vorgaben bleiben von der Whistleblower-Gesetzgebung unberührt. Das heißt, die Datenschutz-Grundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG) und andere spezialgesetzliche Normen sind auch hier im Umgang mit den personenbezogenen Daten einzuhalten. Unter anderem in Hinblick auf die Dokumentation im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO), die Auftragsverarbeitung gemäß Art. 28 DSGVO, eine Datenschutz-Folgenabschätzung (Art. 35 Abs. 1 DSGVO) oder die analog geltende Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) sollte der Datenschutzbeauftragte frühzeitig eingebunden werden. Er kann die Planung zur Umsetzung der Whistelblower-Richtlinie respektive HinSchG und die Bewertung der datenschutzrelevanten Anforderungen mit der nötigen Fachespertise begleiten. Auch für die Funktion als Ombudsmann im Sinne der Meldekanäle bietet sich der Datenschutzbeauftragte (vor allem der externe) an: Als Vertrauensperson innerhalb der Organisation ist er weisungsfrei, vertritt per se die Rechte der betroffenen Person und ist in seiner Funktion zu Vertraulichkeit und Verschwiegenheit verpflichtet.
 
Das kommende HinSchG setzt die Regelungen der EU-Whistleblower-Richtlinie in deutsches Recht um. Zuwiderhandlung gegen Verpflichtungen aus dem HinSchG stellen eine Ordnungswidrigkeit dar – es drohen Bußgelder von bis zu 100.000 Euro. Für Unternehmen gilt (bei Inkraftsetzen des Gesetzes): Eine Umsetzungsfrist ist nicht geplant. Die Implementierung sollte, wie bei der Einführung eines jeden anderen Managementsystems (z. B. Datenschutz oder Qualitätsmanagement), zielgerichtet und strukturiert angegangen werden. Und im Hinblick auf den knappen Zeithorizont bis zum Stichtag vor allem bald.