Zum Inhalt springen
Trillerpfeife in Schild als Symbol für das Hinweisgeberschutzgesetz

Hinweisgeberschutzgesetz

Bereits 2019 verabschiedete die EU eine Richtlinie zum Schutz von Whistleblowern. Für die Mitgliedsstaaten bedeutete dies, dass die Vorgaben in nationales Recht umgesetzt werden müssen. In Deutschland soll das mit dem Hinweisgeberschutzgesetz passieren.

Was ist das Hinweisgeberschutzgesetz?

Eigentlich hätte die europäische Richtlinie bis zum 17. Dez. 2021 umgesetzt werden müssen. Deutschland hat dies nicht eingehalten. Allerdings wurde am 16. Dez. 2021 einem entsprechenden Gesetzesentwurf im Bundestag zugestimmt. Die Zustimmung des Bundesrates steht noch aus. Drei Monate nach der offiziellen Verkündigung wird das Gesetz dann in Kraft treten.

Ziel des Hinweisgeberschutzgesetzes ist es, hinweisgebende Personen besser zu schützen. Laut Bundesregierung hatten Personen in der Vergangenheit häufig mit Repressalien zu rechnen, sobald diese Missstände melden bzw. aufdecken würden. Der Entwurf regelt demnach den Schutz von natürlichen Personen, wenn diese aufgrund ihres Berufs Informationen über Gesetzesverstöße erhalten und diese mitteilen wollen.

Anwendungsbereich des Gesetzes

Welche Hinweise werden vom Hinweisgeberschutzgesetz erfasst?

Vom Hinweisgeberschutzgesetz wird eine Vielzahl von Hinweisen umfasst. Grundsätzlich können alle Verstöße gegen Strafvorschriften sowie bußgeldbewehrte Ordnungswidrigkeiten gemeldet werden (z.B. alles aus dem Strafgesetzbuch, Verstöße gegen Arbeits- und Gesundheitsschutz, Verstöße gegen das Mindestlohngesetz). Auch weitere Bereiche, die in Rechtsvorschriften des Bundes oder der Länder oder auch durch EU-Rechtsakte geregelt sind, sind vom Hinweisgeberschutzgesetz umfasst. So können z.B. auch Hinweise zu Verstößen gegen das Wettbewerbsrecht, Regelungen des Verbraucherschutzes, Datenschutzrecht, Regelungen zur Bekämpfung der Geldwäsche, Vorgaben zur Produktsicherheit, Vorgaben zum Umweltschutz etc. gegeben werden.

Wer kann Hinweise geben?

Der Gesetzgeber war erpicht darauf, dass der Personenkreis, der Hinweise geben kann, sehr umfangreich ist. So können grundsätzlich alle Personen, die aufgrund ihrer beruflichen Tätigkeit Informationen über Verstöße erlangen, auch eben jene melden. Demnach sind jegliche Arbeitnehmer (auch Praktikanten, Bewerber, Mini-Jobber und Personen, bei denen das Arbeitsverhältnis bereits beendet ist) und jegliche Selbstständige laut Hinweisgeberschutzgesetz berechtigt, Hinweise zu geben.

Hand steckt einen Zettel in eine Box, auf der "Hinweise" steht. Symbol für eine interne Meldestelle

Was bedeutet das Hinweisgeberschutzgesetz für Unternehmen?

Einrichtung von Meldestellen

Damit Hinweisgeber ihre Informationen sicher mitteilen können, bedarf es entsprechender Organe. Eines der Herzstücke des Gesetzesentwurfes ist darum die Pflicht Meldestellen einzurichten. So wird der Bund eine externe Meldestelle einrichten müssen. Diese wird wahrscheinlich beim Bundesamt für Justiz sein. Doch auch alle Unternehmen mit mehr als 50 Beschäftigte müssen entsprechende interne Meldestellen bereitstellen. Für Unternehmen aus dem Finanzdienstleistungsbereich besteht diese Pflicht unabhängig von Mitarbeiteranzahl. Ebenso müssen die Unternehmen entsprechende Informationen zur externen und internen Meldestelle und dem Meldeverfahren leicht zugänglich und verständlich zur Verfügung stellen.

Für Unternehmen mit min. 250 Beschäftigten gilt, dass diese entsprechende Stellen spätestens innerhalb von 3 Monaten nach offizieller Verkündung des Hinweisgeberschutzgesetzes einrichten und betreiben müssen. Für Unternehmen mit 50 bis 249 Beschäftigten gilt eine längere Frist. Sie können sich bis zum 17. Dez. 2023 Zeit lassen. Ebenso steht es diesen Unternehmen zu, „gemeinsame Meldestellen“ mit anderen Unternehmen zu betreiben. Öffentliche Stellen wiederum müssen bereits seit dem 18 Dez. 2021 interne Meldestellen vorhalten, da die EU-Richtlinie hier bereits unmittelbar gilt.

Wer kann die Aufgabe als interne Meldestelle übernehmen?

Diese Meldestelle kann aus einer oder auch mehrerer Person bestehen. Dabei muss die Tätigkeit nicht exklusiv ausgeführt werden. Vielmehr kann die Meldestelle parallel zu anderen Aufgaben und Pflichten betreut werden. Auch Dritte, also Personen von außerhalb des Unternehmens, können die Aufgabe übernehmen. Wichtig ist nur, dass die Stelle mit einer Personen besetzt wird, die frei von Interessenkonflikten ist und somit unabhängig handeln kann. Hinzu kommt, dass Unternehmen sicherstellen müssen, dass diese Personen über die notwendige Fachkunde verfügen.

Grundsätzlich sind somit Datenschutzbeauftragte, Rechtsberater und Compliance-Manager besonders geeignet, um die Vorgaben des Hinweisgeberschutzgesetzes umzusetzen.

Art der Meldestellen

Grundsätzlich gilt, dass die internen Meldestellen Meldungen in allen Arten und Weisen ermöglichen muss. Demnach müssen mehrere Kanäle zur Verfügung stehen. Es muss Hinweisgebern somit möglich sein entweder mündlich (z.B. Telefon), schriftlich (z.B. Mail, Post, interne Beschwerde-Box) oder auch persönlich relevante Informationen mitzuteilen.

Bei einer Meldung müssen sich Hinweisgeber sicher sein können, dass die Vertraulichkeit gewahrt wird. Demnach ist es besonders wichtig, dass keine unbefugten Dritten Zugriff auf die Meldungen bekommen können. Um die Vertraulichkeit maximal zu gewährleisten, soll es Hinweisgebern auch möglich sein anonyme Meldungen zu abzugeben. Um anonyme interne Meldeverfahren zu entwickeln besteht eine länger Umsetzungsfrist bis zum 1.1.2025.

Aufgaben der Meldestelle

Die Personen, die die interne Meldestelle betreuen, haben nur wenige gesetzliche Vorgaben bei ihrer Tätigkeit zu berücksichtigen. Es ist lediglich festgelegt, dass sie die Meldung entgegennehmen, den Eingang innerhalb von max. 7 Tagen bestätigen, die Meldung überprüfen, entsprechende Maßnahmen ergreifen und dem Hinweisgeber nach max. 3 Monaten Rückmeldung über den Stand der Bearbeitung geben müssen.

Maßnahmen nach Eingang einer Meldungen sind bspw. interne Nachforschungen, Informierung von zuständigen Behörden, Problemlösung oder auch Einstellung des Verfahrens (z.B. Aufgrund von mangelnden Beweisen).

Insgesamt sollte das komplette Prozedere, von Eingang der Meldung, über Bearbeitung der Meldung bis hin zum Abschluss des Verfahrens, dokumentiert werden. Auch hier muss die Vertraulichkeit gewahrt sein. Dies ist besonders dann relevant, wenn die Meldung ggf. noch als Beweis fungieren muss. Die Aufbewahrungsfrist für die Dokumentation richtet sich nach der regelmäßigen Verjährungsfrist von 3 Jahren (§ 195 BGB). Da dabei auch personenbezogene Daten betroffen sein können, müssen auch die datenschutzrechtlichen Vorgaben Berücksichtigung finden.

Hinweisgeberschutzgesetz = Schutz von Hinweisgeber

Ziel ist es, Hinweisgeber zu schützen. Um dies zu erreichen, ist das Verbot von Repressalien besonders wichtig. Demnach ist es verboten Personen zu kündigen, schlechter zu beurteilen, abzumahnen, Beförderungen zu versagen, Disziplinarverfahren einzuleiten und anderweitig aufgrund von Meldungen zu diskriminieren. Sollten solche Repressalien tatsächlich vorliegen, sieht der Gesetzgeber zusätzlich vor, dass Betroffene Zugang zu Rechtsbehelfen haben sollen. Ebenso gilt dann eine Beweislastumkehr. Eigentlich muss der Arbeitnehmer/Hinweisgeber im Streitfall nachweisen, dass die Diskriminierung etwas mit der Meldungen zu tun hat. Nun ist es so, dass das Unternehmen beweisen muss, dass kein Zusammenhang zwischen Meldung und Repressalien besteht. Für Unternehmen können auch Schadensersatzforderungen entstehen, wenn gegen das Repressalienverbot verstoßen wird.

Voraussetzung für diesen Schutz ist es allerdings, dass die Meldung zutreffen und rechtsmäßig ist. Böswillige Hinweise, vorsätzlich oder grob fahrlässig, können sogar ihrerseits Schadensersatzforderungen gegen die hinweisgebende Person nach sich ziehen.

Bündel Euroscheine als DSGVO Bußgeld

Welche Sanktionen drohen?

Bei Nichteinhaltung der Vorgaben, müssen Unternehmen mit Bußgeldern rechnen. Sollte also kein Meldesystem vorliegen, drohte eine Strafe in Höhe bis zu 100.000 EUR.

Du interessierst dich für datenschutzrechtliche Themen? Dann schau doch bei unseren anderen Beiträge vorbei. Hier haben wir bspw. einen Beitrag darüber, ob Microsoft 365 DSGVO-konform ist.

Sollte dir der Blog-Beitrag gefallen haben, folge uns am besten auf InstagramFacebookLinkedIn oder XING, um immer informiert zu bleiben.

Weitere Artikel

Laptop mit Schloss als Sinnbild für den Cyber Resilience Act
Datenschutz

Cyber Resilience Act

Die EU hat Ende letzten Jahres einen Entwurf für ein Cybersicherheits-Regelwerk vorgestellt: Der Cyber Resilience Act. Die Anforderungen sollen für Produkte mit digitalen Elementen gelten und sicherere Hardware- und Softwareprodukte

Weiter lesen...
Maurice Oettel 22. März 2023