Hinweisgeberschutz (mit Verspätung) in Deutschland umgesetzt: Was Unternehmen jetzt beachten müssen

Mit dem „Gesetz für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ (kurz HinSchG) hat der deutsche Gesetzgeber mit rund anderthalb Jahren Verspätung die Richtlinie EU 2019/1937 in nationales Recht umgesetzt. Wesentliche Regelungselemente: Unternehmen ab 50 Mitarbeiter müssen eine interne Meldestelle für Hinweise auf Rechtsverletzungen einrichten und die Vorgaben zum Verfahren beachten. Zudem regelt der Gesetzgeber einen Mindestschutz zugunsten der Hinweisgeber.

Unternehmen müssen jetzt handeln: Die Regelungen des HinSchG sollten bis zum 02.07.2023 umgesetzt sein. Lediglich Unternehmen mit mehr als 49, aber weniger als 250 Beschäftigten, haben etwas länger Zeit und müssen die interne Meldestelle erst bis zum 17.12.2023 einrichten (§§ 42 Abs. 1 Satz 1, 12 Abs. 1 HinSchG). Diese Übergangsfrist greift allerdings nur, wenn es sich nicht um ein in § 12 Abs. 3 HinSchG aufgeführtes Unternehmen handelt (z.B. bestimmte Kreditinstitute und Versicherungsunternehmen).

Auch wenn Ihr Unternehmen von der Übergangsfrist profitieren sollte, empfehlen wir frühzeitig durch effiziente und transparente Meldesysteme, Hinweise zu kanalisieren, um intern an der nachhaltigen Beseitigung der kolportierten Rechtsverstöße zu arbeiten – ohne dass der Sachverhalt der Öffentlichkeit zur Kenntnis gelangt. Sie wollen mehr wissen und ins Detail gehen? Am Ende der Mandanteninformation finden Sie alle Details zu unserem Online-Workshop am 29.08.2023.

Hintergrund

Das HinSchG setzt mit mehr als 1,5 Jahren Verspätung die bereits am 23.10.2019 erlassene EU-Richtlinie zum umfassenden Schutz von hinweisgebenden Personen um (Richtlinie EU 2019/1937, auch genannt: „Hinweisgeberrichtlinie“, „Whistleblowing-Richtlinie“; nähere Hinweise zum gegen Deutschland wegen der verspäteten Umsetzung eingeleiteten Vertragsverletzungsverfahren finden Sie unter Stand Vertragsverletzungsverfahren gegen mehrere Mitgliedstaaten). Das verspätet eingeleitete Gesetzgebungsverfahren auf Bundesebene (siehe hierzu BR-Drucksache 20/23) verzögerte sich mangels Zustimmung des Bundesrats. Die am 02.06.2023 verkündete Fassung des HinSchG ist das Ergebnis eines Kompromisses vor dem Vermittlungsausschuss und tritt nun am 02.07.2023 in Kraft.

Zielsetzung des Gesetzes

Sowohl die Hinweisgeberrichtlinie als auch das HinSchG bezwecken vornehmlich ein Ziel: den Schutz von hinweisgebenden Personen bei der Meldung von Hinweisen auf Rechtsverstöße. Dieser Schutz soll insbesondere durch eine besondere Vertraulichkeit, den Schutz der hinweisgebenden Personen vor Repressalien und durch die Implementierung eines geordneten Verfahrens mit festgelegten Meldestellen und Informationspflichten erreicht werden. Das ist ein erheblicher Mehrwert gegenüber den bislang in Deutschland vorhandenen, nicht normierten Kriterien, die sich maßgeblich auf Richterrecht und den allgemeinen Persönlichkeitsschutz zurückführen lassen, und als Einzelfallentscheidungen in der Praxis regelmäßig wenig belastbar sind.

Wer muss das HinSchG umsetzen und wann?

Das HinSchG muss von allen Unternehmen (sog. „Beschäftigungsgebern“) mit mehr als 49 Beschäftigten umgesetzt werden, § 12 Abs. 2 HinSchG.

Die Regelungen müssen spätestens einen Monat nach Verkündung des Gesetzes umgesetzt sein, mithin am 02.07.2023, umgesetzt sein. Kleinen Unternehmen (50 bis 249 Beschäftigte) kommt für die Implementierung einer internen Meldestelle eine längere Frist zugute. Diese müssen die Implementierung der Regelungen erst bis zum 17.12.2023 vornehmen, sofern sie nicht Unternehmen i.S.d. § 12 Abs. 3 HinSchG sind, d.h. insbesondere regulierte Unternehmen etwa nach dem Kreditwesengesetz (KWG) oder dem Versicherungsaufsichtsgesetz (VAG).

Warum sollte das HinSchG umgesetzt werden?

An erster Stelle steht das Legalitätsprinzip: Unternehmen sind verpflichtet, sich gesetzestreu zu verhalten. Daneben dürften aber auch wirtschaftliche und finanzielle Erwägungen ausreichend Ansätze zur Umsetzung bieten: Sowohl § 40 HinSchG als auch Art. 83 DSGVO enthalten Bußgeldtatbestände bei Verstößen gegen das Hinweisgeberverfahren. Auch können das Unternehmen Schadensersatzpflichten bei Verstoß gegen das Repressalienverbot (§ 37 HinSchG) oder bei Schäden nach Verstößen gegen die DSGVO treffen (Art. 82 DSGVO). Dies gilt es zu vermeiden.

• 40 HinSchG ermöglicht sowohl Bußgelder gegen die hinweisgebende Person, die wissentlich unrichtige Informationen offenlegt (§ 40 Abs. 1 HinSchG – Bußgeld bis 20 TEUR), als auch zulasten des Beschäftigungsgebers:
• 40 Abs. 2 HinSchG:
  • Behinderung der Meldung und/oder der Kommunikation einer Meldung (Bußgeld bis zu 50 TEUR);
  • unterlassene Einrichtung und Betrieb einer internen Meldestelle (Bußgeld bis zu 20 TEUR);
  • bei Behinderung einer Meldung/Kommunikation und Ergreifen von Repressalien (Bußgeld bis zu 50 TEUR).
• 40 Abs. 3 HinSchG:
  • vorsätzliche oder leichtfertige fehlende Wahrung der Vertraulichkeit – (Bußgeld bis zu 50 TEUR).

Achtung: Nach § 40 Abs. 6 Satz 2 HinSchG i.V.m. § 30 Abs. 2 Satz 3 OWiG können juristische Personen auch höher sanktioniert werden, wenn sie Meldungen oder Kommunikation behindern (§ 40 Abs. 2 Nr. 1 HinSchG), Repressalien i.S.d § 40 Abs. 2 Nr. 3 HinSchG ergreifen oder die Vertraulichkeit i.S.v. § 40 Abs. 3 und Abs. 4 HinSchG verletzen. Das Bußgeld liegt dann bei dem Zehnfachen der festgelegten Höchstgrenze der Geldbuße.

Was muss umgesetzt werden?

Unternehmen müssen fortan einige Regelungen des HinSchG umsetzen, um einen umfassenden Schutz für hinweisgebende Personen leisten zu können.

Wer wird wann durch das HinSchG geschützt?

Das HinSchG schützt natürliche Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit Informationen über Verstöße erlangt haben und nach dem HinSchG vorgesehene Meldewege einhalten (§§ 1, 3 Abs. 8 HinSchG). Dabei kennt das HinSchG nicht nur den Schutz der hinweisgebenden Person selbst, sondern auch den Schutz der Personen, die Gegenstand einer Meldung sind oder als sonstige davon betroffene Personen anzusehen sind (§ 1 Abs. 2 HinSchG).

Voraussetzung für den Schutz ist die Meldung eines Verstoßes i.S.d. § 2 Abs. 1 HinSchG. Das sind strafbewehrte und bußgeldbewehrte Verstöße, aber auch Verstöße gegen nationale Rechtsvorschriften sowie unmittelbar geltende Rechtsakte der EU aus den enumerativ in § 2 HinSchG aufgeführten Rechtsbereichen, etwa Zuwiderhandlungen gegen die DSGVO. Zudem können hierzu auch missbräuchliche Handlungen oder Unterlassungen zählen, die dem Ziel und Zweck der Regelungen in den Vorschriften oder den Rechtsgebieten aus dem sachlichen Anwendungsbereich zuwiderlaufen.

Ergebnis des Kompromisses ist, dass Verstöße nunmehr rechtswidrige Handlungen oder Unterlassungen im Rahmen einer beruflichen, unternehmerischen oder dienstlichen Tätigkeit betreffen müssen (§ 3 Abs. 2 HinSchG). Hinweise, die sich nicht auf eine solche Tätigkeit beziehen, lösen mithin keinen Schutz der hinweisgebenden Person nach dem HinSchG aus.

Umfassende Schutzvorschriften für hinweisgebende Personen

Der Schutzbereich ist für hinweisgebende Personen eröffnet, sofern die Voraussetzungen des § 33 Abs. 1 HinSchG eingehalten worden sind; also

1. diese intern gemäß § 17 HinSchG oder extern gemäß § 28 HinSchG gemeldet haben oder eine Offenlegung gemäß § 32 HinSchG erfolgt ist,
2. die hinweisgebende Person zum Zeitpunkt der Meldung oder Offenlegung hinreichenden Grund zu der Annahme hatte, dass die von ihr gemeldeten oder offengelegten Informationen der Wahrheit entsprechen, und
3. die Informationen Verstöße betreffen, die in den Anwendungsbereich des HinSchG fallen, oder die hinweisgebende Person zum Zeitpunkt der Meldung oder Offenlegung hinreichenden Grund zu der Annahme hatte, dass dies der Fall sei.

Ist der Schutzbereich eröffnet, gibt es weitere schützende Regelungen zugunsten der hinweisgebenden Person:

1. 35 HinSchG schließt die Verantwortlichkeit der hinweisgebenden Person aus, sofern die Beschaffung der Information nicht eigenständig strafbar war.
2. Erleidet die hinweisgebende Person eine Benachteiligung, greift nach § 36 HinSchG eine durch den Beschäftigungsgeber zu widerlegende Vermutung zugunsten der Person, dass die erlittene Benachteiligung eine verbotene Repressalie für die Erteilung des Hinweises ist. Die hinweisgebende Person muss sich allerdings darauf berufen. Art. 19 der Richtlinie zählt beispielhaft mögliche Repressalien auf, u.a. die Versagung der Entfristung bei berechtigter Erwartung, eine solche zu erhalten, Versagung einer Versetzung und Sanktionen im arbeitsrechtlichen Sinne inkl. Kündigung.
3. 37 HinSchG normiert einen Schadensersatzanspruch der hinweisgebenden Person gegen den konkreten Verursacher. Klarstellend betont der Gesetzgeber, dass ein Verstoß gegen das Repressalienverbot keinen Anspruch auf Begründung eines Beschäftigungsverhältnisses, eines Berufsausbildungsverhältnisses, eines anderen Vertragsverhältnisses oder auf einen beruflichen Aufstieg auslöst (§ 37 Abs. 2 HinSchG).

Der gutgläubige und vertrauliche Unterstützer einer hinweisgebenden Person wird durch § 34 HinSchG mit geschützt.

Verschwiegenheit und Vertraulichkeit

Ein Kernelement des Hinweisgeberschutzes ist die gesetzlich verankerte Vertraulichkeit der Identität der handelnden bzw. betroffenen Personen durch die Meldestellen (§ 8 HinSchG). Ausnahmen gibt es lediglich bei nicht schützenswertem denunziatorischem Verhalten, d.h. bei vorsätzlicher oder grob fahrlässiger Meldung unrichtiger Informationen (§ 9 HinSchG).

Das Verfahren nach dem HinSchG und die verschiedenen Meldewege

Der Hinweis kann personalisiert oder anonym eingehen, worauf Unternehmen entsprechend vorbereitet sein müssen.

Wichtig: Enthielt der erste Gesetzesentwurf noch die Verpflichtung zur Bearbeitung anonymer Meldungen, ist dies in der finalen Fassung abgeschwächt worden. Die Meldestellen sollen auch anonyme Hinweise bearbeiten. Es besteht jedoch keine Verpflichtung zur Ermöglichung anonymer Meldungen.

Der hinweisgebenden Person stehen grundsätzlich drei Meldewege offen:

Die hinweisgebende Person kann sich an die interne Meldestelle (§§ 12 ff. HinSchG), an die externe Meldestelle (§§ 19 ff. HinSchG) oder unter gewissen Voraussetzungen mittels einer Offenlegung an die Öffentlichkeit wenden (§ 32 HinSchG). Während die „interne“ Meldestelle beim Beschäftigungsgeber selbst eingerichtet wird, sind die „externen“ Meldestellen auf Behördenebene zu finden. So wird auf Bundesebene eine externe Meldestelle beim Bundesamt der Justiz eingerichtet. Auch können die jeweiligen Bundesländer weitere externe Meldestellen einrichten. Daneben gibt es fachspezifische externe Meldestellen, wie z.B. die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), die für Verstöße gegen das Finanzdienstleistungsaufsichtsgesetz zuständig ist.

Grundsätzlich steht den hinweisgebenden Personen ein Wahlrecht zu, sie „sollen“ nach dem Wunsch des Gesetzgebers allerdings, wenn intern wirksam gegen den Verstoß vorgegangen werden kann und sie keine Repressalien befürchten, die Meldung an eine interne Meldestelle bevorzugen (§ 7 Abs. 1 Satz 2 HinSchG). Wird der Meldung intern nicht abgeholfen, kann die hinweisgebende Person sich stets auch später an eine externe Meldestelle wenden (§ 7 Abs. 1 Satz 3 HinSchG). Zweck des Appells ist es, Eskalationen durch Hinweise an externe Meldestellen und die Offenlegung an die Öffentlichkeit durch ein effizientes, wirksames und transparentes internes Meldesystem zu verringern.

Fokus: Die interne Meldestelle nach dem HinSchG

Ab einer Zahl von 50 Beschäftigten müssen Beschäftigungsgeber eine interne Meldestelle einrichten (§ 12 Abs. 2 HinSchG). Innerhalb von Konzernen gestattet das HinSchG den Zusammenschluss mehrerer Beschäftigungsgeber für den Betrieb einer gemeinsamen internen Meldestelle.

Achtung: Das gilt aber nur dann, wenn die jeweiligen einzelnen Beschäftigungsgeber die Anzahl von je 249 Beschäftigten nicht überschreiten (vgl. § 14 Abs. 2 HinSchG). Beschäftigungsgeber mit mehr als 249 Beschäftigten müssen eigene interne Meldestellen betreiben. Ein Konzernprivileg existiert daher nur für Konzerngesellschaften, die eine gewisse Größe nicht überschreiten. Ob dieses eingeschränkte Konzernprivileg mit den Vorgaben der EU-Richtlinie in Einklang steht, ist strittig.

Interne Meldestellen können auf dreierlei Art eingerichtet werden:

• durch eine interne Abteilung des Beschäftigungsgebers,
• durch einen externen Dienstleister, der weisungsgebunden agiert, oder
• durch einen externen Dienstleister, der im eigenen Namen handelt.

Das Gesetz regelt unterschiedliche Verfahrensabläufe vor internen und externen Meldestellen.

Hinweis: Wird die interne Meldestelle extern durch einen Dienstleister betrieben, handelt es sich nicht um eine externe Meldestelle im Sinne des HinSchG, sondern um eine „interne externe Meldestelle“. Der externe Betrieb der internen Meldestelle ist nur eine zulässige Organisationsform, für die der Beschäftigungsgeber sich entscheiden kann. Eine externe Meldestelle liegt nur dann vor, wenn der Beschäftigungsgeber selbst auf die Organisationsform der Meldestelle keinen Einfluss nehmen kann, da die Meldestelle bei einer Behörde eingerichtet wird.

Mögliche Folgemaßnahmen (§ 18 HinSchG) der internen Meldestellen sind insbesondere:

• interne Untersuchungen bei dem Beschäftigungsgeber oder bei der jeweiligen Organisationseinheit durchführen und betroffene Personen und Arbeitseinheiten kontaktieren,
• die hinweisgebende Person an andere zuständige Stellen verweisen,
• das Verfahren aus Mangel an Beweisen oder aus anderen Gründen abschließen, oder
• das Verfahren zwecks weiterer Untersuchungen abgeben an a) eine bei dem Beschäftigungsgeber oder bei der jeweiligen Organisationseinheit für interne Ermittlungen zuständige Arbeitseinheit, oder b) eine zuständige Behörde.

Die Auswahl der Folgemaßnahmen obliegt der internen Meldestelle abhängig von der Art, Qualität und dem Gegenstand des Hinweises.

Hinweis: Nach § 29 HinSchG gehören zu den Folgemaßnahmen von externen Meldestellen die Kontaktierung des Beschäftigungsgebers, die Verweisung der hinweisgebenden Person an eine andere zuständige Stelle, der Abschluss des Verfahrens oder die Abgabe des Verfahrens an eine zuständige Behörde zwecks weiterer Untersuchungen.

Dokumentation des Hinweises

Eingehende Hinweise müssen in „dauerhaft abrufbarer Weise“ unter Beachtung des Vertraulichkeitsgebots (siehe oben) dokumentiert und die Dokumentation des Hinweises drei Jahre aufbewahrt werden (§ 11 HinSchG). Wird die Dokumentation für die Erfüllung der Anforderungen nach dem HinSchG oder anderer Rechtsvorschriften benötigt, kann sie auch länger aufbewahrt werden, soweit erforderlich und verhältnismäßig (§ 11 Abs. 5 HinSchG).

Wie geht es nach einem Hinweis weiter?

Doch mit Implementierung des HinSchG für die Aufnahme und Bearbeitung einschließlich der Plausibilisierung von Hinweisen ist das Unternehmen meist noch nicht am Ende des „Hinweisgeberverfahrens“ angelangt. Im Anschluss an plausible Hinweise im Rahmen des Meldeverfahrens im Hinweisgebersystem beginnen die internen Ermittlungen.

Bei der Durchführung der internen Ermittlungen sowie einer etwaigen sich anschließenden Sanktionierung von Arbeitnehmern sind Regelungen des HinSchG ebenso wie die einschlägigen datenschutzrechtlichen Anforderungen zu beachten.

Workshop bei KREMER RECHTSANWÄLTE – Save the date!

Um für den Ernstfall einer arbeitsrechtlich relevanten internen Ermittlung richtig aufgestellt zu sein, müssen Unternehmen sich den verschiedenen Anforderungen stellen, die sich aus dem HinSchG, dem Arbeitsrecht sowie dem Datenschutzrecht ergeben.

Was das genau heißt, werden wir Ihnen in unserem Workshop umfassend erläutern und Ihnen nützliche Tipps an die Hand geben, wie mit dem Ernstfall in der Praxis am besten umgegangen werden kann. Gegenstand des Workshops sind insbesondere folgende Fragen:

• Was sind die Inhalte des HinSchG?
• Welche Anforderungen gibt es bei der Ausgestaltung von Meldesystemen in der internen Meldestelle zu beachten?
• Wie ist die betriebliche Organisation für interne Ermittlungen zu gestalten?
• Wie binden Sie die jeweilige Arbeitnehmervertretung richtig ein?
• Welche Herausforderungen stellen sich für Arbeitgeber bei der Durchführung von internen Ermittlungen und der anschließenden Sanktionierung von Arbeitnehmern?
• Welche datenschutzrechtlichen Anforderungen sind im Hinweisgeberverfahren und bei internen Ermittlungen zu beachten?

Warten Sie nicht auf den Ernstfall – gehen Sie den Hinweisgeberschutz und die Organisation von internen Ermittlungen aktiv mit uns an. Wichtig: Sie erhalten für die Teilnahme einen Fachkundenachweis gemäß § 15 Abs. 2 HinSchG, der Voraussetzung für die Mitwirkung in einer internen Meldestelle ist.

Wann? 29.08.2023 von 14:00 Uhr bis 17:00 Uhr

Wo? Online als virtueller Workshop

Kosten? Für Mandanten 149,00 EUR, für andere Teilnehmer 249,00 EUR (jeweils zzgl. USt.).

Die Anmeldung ist jederzeit per E-Mail an info@kremer-recht.de möglich (Achtung: begrenzte Teilnehmerzahl). Es gelten unsere Bedingungen für die Durchführung von Veranstaltungen, die sie jederzeit unter https://kremer-rechtsanwaelte.de/allgemeine-geschaeftsbedingungen-fuer-veranstaltungen/ abrufen können.

Wer sind Ihre Ansprechpartner?

Wenn Sie von uns im Arbeitsrecht bereits beraten werden, wenden Sie sich bitte an die/den Sie betreuende/n Rechtsanwältin/Rechtsanwalt – zu unserem Team hier entlang. Nehmen Sie anderenfalls jederzeit gerne Kontakt zu einer/einem der folgenden Ansprechpartner/innen auf:

• Sascha Kremer, Fachanwalt für IT-Recht, externer Datenschutzbeauftragter (TÜV), kremer@kremer-recht.de
• Nadine Schneider, Rechtsanwältin, Datenschutzbeauftragte (TÜV), schneider@kremer-recht.de
• Jana Lenzen, LL.M., Rechtsanwältin, Datenschutzbeauftragte (TÜV),
  lenzen@kremer-recht.de

Alle Ansprechpartner/innen erreichen Sie unter 0221/27141874 und persönlich in der Brückenstraße 21, 50667 Köln (Innenstadt) oder in der Kölner Straße 78 in 41812 Erkelenz.

Wer sind KREMER RECHTSANWÄLTE?

KREMER RECHTSANWÄLTE ist eine auf Digitalisierungsberatung spezialisierte Sozietät und berät ihre Mandanten und Auftraggeber hochspezialisiert an der Schnittstelle zwischen Technik und Recht. Zu unseren Mandanten und Auftraggebern gehören DAX-Konzerne, KMU, Kreditinstitute und Finanzdienstleister jeglicher Größe, kirchliche Einrichtungen und Startups. Die Sozietät berät regelmäßig in auch internationalen Großprojekten, begleitet IT- oder Datenschutzprojekte und erstellt passende Standardvertragswerke für ihre Mandanten.

Die Rechtsanwältinnen, Rechtsanwälte, Wirtschaftsjuristinnen und Wirtschaftsjuristen veröffentlichen regelmäßig Fachbeiträge, Muster und Bücher zum Datenschutz und sind in der Aus- und Weiterbildung von Datenschutzbeauftragten, Personalverantwortlichen, Unternehmensleitungen, Juristinnen und Juristen sowie Referendar/inn/en und Studierenden tätig. KREMER RECHTSANWÄLTE ist von der WirtschaftsWoche 2019 als TOP Kanzlei im Datenschutzrecht ausgezeichnet worden. Außerdem wird die Sozietät im kanzleimonitor.de 2018/2019 und 2020/2021 als von Unternehmensjuristinnen und -juristen empfohlene, führende Kanzlei im IT- und Datenschutzrecht geführt.