Hinweisgeberschutzgesetz

Das müssen deutsche Unternehmen jetzt beachten

von Uwe Straßberger, Director Marketing & Sales bei der SAVICON GmbH

Die Flugbegleiterin, die Missstände bei ihrer Airline öffentlich aufdeckt, kann häufig kurz darauf ihre Sachen packen. Ziel des Hinweisgeberschutzgesetzes ist es, die Hinweisgeber in solchen Situationen besser zu schützen. Menschen, die auf Missstände hinweisen, sollen nicht länger um ihre berufliche Existenz bangen müssen. Denn in den allermeisten Fällen handeln sie mit guten Absichten. Am 17. Dezember 2021 soll das Gesetz in Kraft treten, das den Hinweisgebern mehr Rechtssicherheit verspricht. Was das für deutsche Unternehmen bedeutet, lesen Sie in unserem Blog-Beitrag:

Was ist ein Hinweisgeber?

Ein Hinweisgeber wird häufig auch Whistleblower genannt (zu Deutsch so viel wie: die Trillerpfeife benutzen, auf etwas aufmerksam machen). Das sind Personen, die Verstöße gegen das geltende Recht melden, die sie während ihrer beruflichen Tätigkeit festgestellt haben. Das können aus Unternehmenssicht die eigenen Mitarbeiter sein, Lieferanten, Partner oder Dienstleister, die das Unternehmen beauftragt.

Hintergrund: EU-Richtlinie zum Schutz von Whistleblowern

Am 16. Dezember 2019 ist die Richtlinie (EU) 2019/1937 zum Schutz von Whistleblowern in Kraft getreten. Die Mitgliedsstaaten haben zwei Jahre Zeit, um die Richtlinie in nationales Recht umzusetzen. In Deutschland hat das Bundesministerium der Justiz und für Verbraucherschut (BMJV) im Dezember 2020 einen ersten Referentenentwurf veröffentlicht. Und genau hier stockt es zurzeit: Die Gespräche zwischen Union und SPD zum Hinweisgeberschutzgesetz sind Ende April 2021 vorerst gescheitert. Streitpunkt ist, dass die Bundesjustizministerin Christine Lambrecht (SPD) in Ihrem Gesetzentwurf – anders als ursprünglich in der EU-Richtlinie vorgesehen – den Schutz von Hinweisgebern beim Melden von Verstößen gegen das deutsche Recht mit einbezieht. In der Richtlinie ist nur die Rede von Verstößen gegen Das EU-Recht. „Denn sonst wäre geschützt, wer einen Verstoß gegen europäische Datenschutzvorschriften meldet, aber nicht geschützt, wer auf Schmiergeldzahlungen, Steuerhinterziehung oder auf Verstöße gegen deutsche Umweltschutz- oder Arbeitsschutzbestimmungen hinweist“, erläutert Lambrecht ihr Vorhaben.

Das hat der Gesetzesentwurf vorgesehen

In dem Gesetzesentwurf vom BMJV sind zwei Meldewege vorgesehen (§§ 7 bis 30). Diese sollen gleichwertig nebeneinander stehen und die hinweisgebenden Personen sollen frei zwischen ihnen wählen können. Das ist zum einen der interne Meldeweg, der innerhalb des Unternehmens geschaffen werden muss und zum zweiten ein externer Meldeweg, der bei einer unabhängigen Stelle eingerichtet wird. So besagt der Entwurf: „Eine externe Meldestelle auf Ebene des Bundes wird bei dem beziehungsweise der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit angesiedelt.

Außerdem heißt es im Gesetzesentwurf weiter: „Gegen hinweisgebende Personen gerichtete Repressalien sind verboten. Das gilt auch für die Androhung und den Versuch, Repressalien auszuüben. Sollte vom Arbeitgeber dennoch eine mutmaßliche Repressalie ausgeübt werden, gilt die Beweislast. So liegt es in der Verantwortung des Unternehmens nachzuweisen, dass die ergriffenen Maßnahmen auf Gründen basieren, die nichts mit der Meldung des Missstands zu tun haben.

Wenn Hinweisgeber allerdings vorsätzlich oder grob fahrlässig unrichtige Informationen weitergeben, sollen sie für den entstandenen Schaden aufkommen müssen.

Der Whistleblower-Netzwerk e. V. hat den Referentenentwurf auf ihrer Homepage veröffentlicht.

Müssen alle Unternehmen ein Hinweisgebersystem einführen?

Ob und wann ein Hinweisgebersystem eingeführt werden muss, richtet sich nach der Unternehmensgröße:

• Unternehmen mit bis zu 49 Mitarbeitern werden kein Hinweisgebersystem installieren müssen
• Unternehmen und Behörden ab 50 Mitarbeitern werden verpflichtet ein internes Hinweisgebersystem einzurichten
• Für Unternehmen und Behörden mit bis zu 249 Mitarbeitern wird eine Übergangsfrist gelten, sie müssen ein Hinweisgebersystem bis zum 17. Dezember 2023 eingerichtet haben
• Unternehmen und Behörden mit mehr als 250 Mitarbeitern müssen mit Inkrafttreten des Gesetzes ein internes Hinweisgebersystem umsetzen

Vorteile für Unternehmen

Ein internes Hinweisgebersystem hat einen großen Vorteil für Unternehmen: Sie haben die Möglichkeit Missstände zu beseitigen, bevor die Öffentlichkeit und die Presse davon erfahren. So können sie einem möglichen Imageschaden vorbeugen. Risiken werden früher erkannt und Unternehmer können proaktiv gegen Verstöße vorgehen. Wenn Unternehmen im Streitfall vor Gericht ein strukturiertes Compliance-Management-System mit entsprechender Weiterbearbeitung von Hinweisen vorlegen können, wirkt sich das in der Regel positiv aus.

Anforderungen an das Hinweisgebersystem

Wenn Unternehmen ein internes Hinweisgebersystem installieren, sollten sie bereits die folgenden Aspekte der EU-Richtlinie berücksichtigen:

• Nach Eingang einer Meldung muss der Hinweisgebende innerhalb von sieben Tagen eine Eingangsbestätigung erhalten
• Den Hinweisgebenden muss innerhalb von drei Monaten nach Bestätigung des Eingangs der Meldung eine Rückmeldung gegeben werden
• In dieser Rückmeldung müssen die geplanten und bereits ergriffenen Folgemaßnahmen sowie deren Begründung beschrieben sein
• Das Hinweisgebersystem muss datenschutzkonform eingesetzt werden
• Alle eigegangenen Meldungen müssen dokumentiert und revisionssicher abgelegt werden

Vorteile eines digitalen Hinweisgebersystems

• Ermöglicht effizientes und zusammenhängendes Arbeiten durch direkte Fallbearbeitung im angeschlossenen Compliance-Management-System
• Es können Wiedervorlagen gesetzt werden
• Das System kann an gesetzliche Fristen zur Bearbeitung erinnern
• Ist für Interne und Externe jederzeit übers Web erreichbar
• Daten können verschlüsselt übermittelt werden
• Nachfragen beim Hinweisgeber zur Klärung des Sachverhalts sind anonym möglich

Beispiele für bekannte Fälle

Whistleblowing ist spätestens seit Edward Snowden ein Begriff. Der ehemalige CIA-Mitarbeiter löste mit seinen Hinweisen rund um die weltweiten Überwachungs- und Spionagepraktiken von Geheimdiensten die National Scurity Agency-Affäre aus. Inzwischen gab es einige weitere Fälle mit großer medialer Aufmerksamkeit, beispielsweise 2015 rund um VW und den Abgasskandal. VW setzt als Hinweisgebersystem das BKMS ® Incident Reporting des Berliner Unternehmens Business Keeper GmbH ein. Es ist für jedermann online zugänglich: zum Hinweisgeberportal von VW.

Kommentar: Integriertes Management System

Anstatt noch ein weiteres System einzuführen, sollten Unternehmen zuerst prüfen, ob ihre bestehenden Softwarelösungen aus den Fachbereichen Risiko- und Compliance-Management bereits die Option für ein internes Hinweisgebersystem bieten. Es ist in jedem Falle ratsam die Synergien der unterschiedlichen Disziplinen zu nutzen und die Missstandsmeldungen ohne Brüche in einem System zu dokumentieren und zu bearbeiten. Möglich ist das beispielsweise auch mit einer GRC-Management-Software, die bereits auf der gemeinsamen Betrachtung von Governance-, Risk- und Compliance-Management samt IT-Sicherheit und Datenschutz fußt. Wir von der SAVISCON GmbH haben es uns als Ziel gesetzt mit unserem GRC-COCKPIT genau diese Synergien zwischen Governance, Risk, Compliance, IT-Sicherheit und Datenschutz zu nutzen. Aus diesem Grund ist das Hinweisgebersystem schon von Anfang an in unserem GRC-COCKPIT integriert gewesen und in allen Versionen enthalten.

Über den Autor:

Uwe Straßberger ist Director Sales & Marketing bei der SAVISCON GmbH. Seit 2019 steht er unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Wenn Sie Fragen zur Installation eines integrierten und digitalen GRC-Management-Systems samt Hinweisgebersystem haben, kontaktieren Sie uns gerne: 040 80 90 81 446 oder uwe.strassberger@saviscon.de