Skip to main content

Auswirkungen des neuen Hinweisgeberschutzgesetzes auf Unternehmen

Am 02. Juli 2023 ist das Hinweisgeberschutzgesetz in Kraft getreten.

Mit dem Hinweisgeberschutzgesetz wird die so genannte „EU-Whistleblower-Richtlinie“ (Richtlinie (EU) 2019/1937) umgesetzt. Ziel ist der Schutz von Personen, die im Rahmen ihrer beruflichen Tätigkeit Informationen über Rechtsverstöße erlangt haben und diese melden. Geschützt werden sollen auch Personen, die eine hinweisgebende Person unterstützen oder Gegenstand der Meldung sind. Unternehmen müssen dafür sichere Meldekanäle schaffen.

Wer kann Hinweisgeber*in sein?

Hinweisgebende Personen können Beschäftigte (auch bereits ausgeschiedene), Bewerber*innen, Praktikant*innen und Leiharbeitnehmer*innen sein. Darüber hinaus können Hinweise auch von selbständigen Dienstleister*innen, Freiberufler*innen oder Auftragnehmer*innen abgegeben werden sowie Anteilseigner*innen und Personen in Leitungsgremien. In Behörden oder bei vergleichbaren Arbeitgeber*innen des öffentlichen Rechts können auch Beamt*innen, Richter*innen, Soldat*innen etc. Hinweisgeber*innen sein.

Um welche Rechtsverstöße geht es?

Der Schutzbereich, welcher in §2 des Hinweisgeberschutzgesetzes definiert ist, ist weit gefasst und umfasst u.a. folgende Rechtsvorschriften bzw. Rechtsbereiche

  • Verstöße gegen Strafvorschriften,
  • Bußgeldbewehrte Verstöße gegen das Arbeits- und Gesundheitsschutzrecht inkl. Verstöße gegen soziale Arbeitsschutzgesetze wie z.B. Mindestlohngesetz, Betriebsverfassungsgesetz,
  • Verstöße gegen Regelungen zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung,
  • Verstöße gegen Vorgaben zur Produktsicherheit, Vorgaben zur Verkehrssicherheit, Vorgaben zur Beförderung gefährlicher Güter, Vorgaben zum Umwelt- und Strahlenschutz, Lebensmittel- und Futtermittelsicherheit, Qualitäts- und Sicherheitsstandards bei Arzneimitteln und Medizinprodukten,
  • Verstöße gegen Regelungen des Verbraucherschutzes,
  • Verstöße gegen Regelungen des Datenschutzes und der Sicherheit in der Informationstechnik,
  • Verstöße gegen Regelungen des Vergaberechts,
  • Verstöße gegen Regelungen zur Rechnungslegung bei Kapitalgesellschaften,
  • Verstöße gegen Regelungen im Bereich des Wettbewerbsrechts etc.

Welche Unternehmen müssen wann sichere Meldekanäle schaffen?

Unternehmen ab 250 Beschäftigten und Unternehmen bestimmter Branchen (z.B. im Finanzdienstleistungsbereich) sind ab dem 02.07.2023 verpflichtet, einen sicheren Meldekanal einzurichten. Für Unternehmen mit 50 bis 249 Beschäftigten gilt eine verpflichtende Umsetzung ab dem 17.12.2023. Kleine Unternehmen mit bis zu 49 Beschäftigten sind von der Pflicht zur Einrichtung eines internen Meldekanals ausgenommen.

Was müssen Unternehmen bei der Einrichtung interner Meldekanäle beachten?

  • Hinweisgeber*innen ist es zu ermöglichen, Hinweise mündlich, in Textform oder persönlich abzugeben (es können auch mehrere Kanäle zur Verfügung gestellt werden).
  • Es muss nicht zwingend eine interne Meldestelle sein, Unternehmen können auch Dritte beauftragen (externe Anbieter), wenn diese unabhängig und vertraulich sind und Garantien für Datenschutz und Geheimhaltung bieten.
  • Meldekanäle müssen vertraulich sein, dass heißt die Identität der Hinweisgeber*in oder sonstiger Personen darf nur den zur Entgegennahme der Meldung zuständigen Personen bekannt sein. Eine Offenlegung der Identität der betroffenen Personen ist nur mit deren ausdrücklicher Zustimmung erlaubt.
  • Unternehmen haben eine Meldestellenbeauftragte* zu bestimmen. Dies kann eine Person, mehrere Personen oder eine Abteilung sein.
  • Die Meldestellenbeauftragte* kann neben ihren Aufgaben für die interne Meldestelle andere Aufgaben und Pflichten wahrnehmen. Ihre Aufgaben dürfen jedoch nicht zu Interessenkonflikten führen und müssen ein unabhängiges Handeln zulassen. Personalverantwortliche oder Geschäftsführer*innen können diese Funktion aus diesen Gründen nicht ausüben.
  • Die Meldestellenbeauftrage* muss fachkundig sein, dass heißt sie muss hinsichtlich ihrer Aufgaben und Verantwortung geeignet geschult sein.
  • Die Meldestellenbeauftragte* ist dafür verantwortlich, der Hinweisgeber*in innerhalb einer Frist von 7 Tagen eine Eingangsbestätigung der Meldung zu übermitteln, die Meldung zu prüfen und entsprechende Folgemaßnahmen einzuleiten. Innerhalb von 3 Monaten hat die Meldestellenbeauftragte* die Hinweisgeber*in über geplante bzw. ergriffene Folgemaßnahmen zu informieren.
  • Eingehende Hinweise müssen unter Berücksichtigung der Vertraulichkeitspflichten dokumentiert werden. Dokumentationen müssen 3 Jahre nach Abschluss des Verfahrens gelöscht werden (hier können jedoch Ausnahmen aufgrund anderer Rechtsvorschriften gelten).
  • Unternehmen müssen über den internen Meldeprozess leicht verständlich informieren z.B. über die Unternehmens-Website, das Intranet oder dem Schwarzen Brett.
  • Die Einrichtung und Durchführung des internen Meldeverfahrens muss datenschutzkonform erfolgen. Hierbei sind die Datenschutzgrundverordnung bzw. das Bundesdatenschutzgesetz einzuhalten. Eine frühzeitige Einbindung der Datenschutzbeauftragten* ist empfehlenswert.
  • Unternehmen, die einen Betriebsrat haben, müssen deren Mitbestimmungsrechte berücksichtigen. Dies kann z.B. bei der Ausgestaltung der internen Meldekanäle der Fall sein.

Was sind ordnungsgerechte Folgemaßnahmen?

Die Meldestellenbeauftragte* ist dafür verantwortlich, ordnungsgerechte Folgemaßnahmen einzuleiten, das heißt z.B.

  • Einleitung interner Untersuchungen bzw. Nachforschungen
  • Ableitung von Maßnahmen zur Problembehebung
  • Verweisung der Hinweisgeber*in auf andere Kanäle oder Verfahren
  • Abschluss des Verfahrens aufgrund mangelnder Beweise
  • Abgabe an eine zuständige Behörde zwecks weiterer Untersuchungen

Können sich Hinweisgeber*innen auch an andere Meldestellen wenden als die des Unternehmens?

Grundsätzlich ja. Die Hinweisgeber*in kann frei wählen, ob sie sich an eine interne Meldestelle des Unternehmens oder an eine externe Meldestelle der Behörden wendet.

Eine externe Meldestelle ist u.a. beim Bundesamt für Justiz eingerichtet worden. Weitere Meldestellen sind länderspezifisch möglich. Auch in der europäischen Union wird es entsprechende Meldestellen geben wie z.B. der Europäischen Agentur für Flugsicherheit (AESA), der Europäischen Wertpapier- und Marktaufsichtsbehörde (ESMA) oder der Europäischen Arzneimittel-Agentur (EMA).

Grundsätzlich dürfen Unternehmen die Abgabe von Meldungen an externe Meldestellen nicht behindern.

Unternehmen sollten jedoch im eigenen Interesse Anreize für die Nutzung von internen Meldestellen schaffen. Dies fängt bei der unternehmensweiten Information über das Vorhandensein einer internen Meldestelle sowie einer anwenderfreundlichen Ausgestaltung der Meldekette an.

Der Gang einer Hinweisgeber*in an die Öffentlichkeit ist fernerhin im Rahmen des Hinweisgeberschutzgesetztes möglich, jedoch nur unter sehr engen Voraussetzungen zulässig.

 

Quellen:

Bundesministerium der Justiz

Industrie- und Handelskammer (IHK) Region Stuttgart

Industrie- und Handelskammer für München und Oberbayern

 

zurück