Hinweisgebersystem einrichten – in 5 Schritten
Hinweisgebersystem einrichten – in 5 Schritten
In 5 Schritten zum Hinweisgebersystem
Der Schutz eines Hinweisgebers – auch Whistleblower genannt – war in Deutschland bis dato nicht explizit über ein Hinweisgebersystem reglementiert. Die EU-Whistleblower-Richtlinie legt hierfür nun einen EU-weiten Standard fest. Natürliche Personen, die im Zusammenhang mit der Ausübung einer beruflichen Tätigkeit Verstöße feststellen, also Hinweisgeber, sollen durch ein Hinweisgebersystem Schutz gegen Repressalien des Arbeitgebers erhalten. Deutschland hat diese Richtlinie seit Dezember 2021 umzusetzen. Wir zeigen Ihnen, was genau es mit der EU-Whistleblower-Richtlinie auf sich hat und wie Sie den Hinweisgeberschutz praxisnah im Unternehmen einführen und das System als Chance zur Verbesserung der eigenen Performance und Compliance nutzen können.
Hinweisgebersystem – rechtliche Grundlage
Im April 2019 hatte das EU-Parlament eine Regelung auf den Weg gebracht, die für mittelständische Unternehmen erhebliche Bedeutung hat: die sogenannte Whistleblower-Richtlinie. Wir berichteten bereits zum damaligen Zeitpunkt über diese Richtlinie, deren vollständige Bezeichnung „Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ lautet. Inzwischen ist sie in nationales Recht überführt und zum 17.12.2021 in Kraft getreten, weshalb es für betroffene Unternehmen einmal mehr wichtig ist, sich mit den Inhalten und der konkreten Umsetzung vertraut zu machen.
Wer muss ein System zum Schutz der Hinweisgeber einrichten?
Nach der Richtlinie müssen Unternehmen mit mehr als 250 Mitarbeiter:innen und Kommunen mit mehr als 10.000 Einwohner:innen seit dem 17.12.2021 ein Hinweisgebersystem implementieren. Zwei Jahre später wird die Pflicht ausgeweitet, dann hat jedes Unternehmen mit mehr als 50 Mitarbeiter:innen ein Hinweisgebersystem einzuführen.
Worum geht es in dem Gesetz bzw. der Richtlinie?
Ziel der Richtlinie ist es, eine Meldung bzw. einen Hinweis von Regelverstößen durch Informanten zu vereinfachen und so zu fördern und die Hinweisgeber – auch in Deutschland oftmals als Whistleblower bezeichnet – vor Repressalien insbesondere durch den Arbeitgeber zu schützen. Hierzu ist es wichtig, dass der Hinweis anonym geschieht.
Inhaltlich bezieht sich der Schutz des Hinweisgebers auf EU-Recht, sprich z.B.
- Geldwäsche,
- Datenschutz,
- Produkt-/Verkehrs-/Lebensmittelsicherheit,
- Verbraucherschutz,
- öffentliche Gesundheit oder
- Wettbewerbsrecht.
Die nationalen Gesetzgeber können hierüber hinausgehen. In Deutschland dürften sämtliche Verstöße gegen Straf- und Bußgeldvorschriften erfasst werden. Der persönliche Anwendungsbereich erfasst Mitarbeiter:innen und sämtliche Personen, die eine „arbeitsbezogene Verbindung“ haben.
Neben der Pflicht für Unternehmen und Kommunen, ein System für Hinweisgeber einzurichten, haben die nationalen Gesetzgeber die Pflicht, zudem eine Aufsichtsbehörde einzuschalten, bei der ebenfalls eine Meldung bzw. ein Hinweis eingehen kann. In Deutschland wird dies voraussichtlich der Bundesdatenschutzbeauftragte sein.
Was ist zum Schutz des Hinweisgebers zu tun?
Betroffene Unternehmen haben mit dem Hinweisgebersystem einen geschützten anonymen Meldekanal einzurichten. Ein eingehender Hinweis ist innerhalb von sieben Tagen zu bestätigen. Innerhalb von drei Monaten hat eine Rückmeldung zu erfolgen, wie mit dem Hinweis umgegangen wird und inwiefern Maßnahmen ergriffen werden. Infolge einer Beweislastumkehr muss der Arbeitgeber beweisen, dass aufgrund einer Meldung keine Repressalien für den Hinweisgeber erfolgen.
Was droht, wenn ich kein Hinweisgebersystem einrichte?
Laut EU-Hinweisgeber-Richtlinie haben Unternehmen, die einen Hinweisgeber an einem Hinweis behindern, kein System einrichten oder sich andere Verstöße zuschulden kommen lassen, mit Sanktionen zu rechnen. Wie hoch diese Sanktionen in Deutschland ausfallen werden, ist Sache des deutschen Gesetzgebers. Dem ersten Referentenentwurf des deutschen Hinweisgeberschutzgesetzes zufolge kann mit Sanktionen von bis zu 1 Mio. € gerechnet werden. Nach der Richtlinie bedarf es wirksamer, angemessener und abschreckender Sanktionen, um den Schutz des Hinweisgebers zu gewährleisten.
Wie geht man also die Implementierung eines Hinweisgebersystems im eigenen Unternehmen am besten an? Was gilt es zu beachten? In fünf Schritten gelingt auch Ihnen die Umsetzung eines Hinweisgebersystems:
Schritt 1: Grundlagen und Betroffenheit für das eigene Unternehmen klären
Im ersten Schritt betrifft die Richtlinie Organisationen mit mehr als 250 Mitarbeiter:innen. Sie sind zur Einführung eines anonymen Hinweisgebersystems zum 17.12.2021 verpflichtet. Zwei Jahre später fällt die Grenze auf 50 Mitarbeiter:innen; für die Finanzdienstleistungsbranche und den öffentlichen Sektor bestehen Besonderheiten, die per Gesetz festgelegt sind. Die Meldung erfolgt mündlich, schriftlich, mittels eines Portals oder auf Wunsch auch persönlich. Eine interne Meldestelle muss den Eingang der Meldung innerhalb von sieben Tagen bestätigen. Innerhalb von drei Monaten sollte der Hinweisgeber eine Rückmeldung zu den aufgrund seiner Meldung entwickelten Maßnahmen erhalten – z.B. die Einleitung von Untersuchungen.
Schritt 2: Organisation und Zuständigkeiten im System festlegen
Ein Hinweisgebersystem besteht aus zwei Kanälen: Einem internen System bzw. Kanal für Hinweise aus dem Unternehmen selbst. Dieser Kanal kann von Fachmitarbeiter:innen des Compliancebereichs oder einer Ombudsperson, eine unparteiische Schiedsperson innerhalb oder außerhalb des Unternehmens, betreut werden. Diese Person hat die Aufgabe, einen Hinweis oder eine Meldung, die über das Hinweisgebersystem eingeht, zu prüfen und zu bearbeiten. Hierfür ist ein Volljurist, ggf. der Compliance-Officer, der Syndikus-Anwalt oder auch externe Anwälte, besonders geeignet. Sie bringen das Know-how um vertrauliche und datenschutzrechtliche Fragen oder der betrieblichen Mitbestimmung mit. Denn nicht selten wird es um Themen gehen, die auch unter das Geschäftsgeheimnisgesetz (GeschGehG) fallen. Immer ist darauf zu achten, dass auch die Rechte ggf. unzutreffend beschuldigter Personen gewahrt werden.
Ein externer Kanal soll zukünftig beim Bundesdatenschutzbeauftragten angesiedelt sein. Der Hinweisgeber besitzt ein Wahlrecht. Es ist die Entscheidung des Hinweisgebers, ob er intern oder extern meldet. Die Erfahrung zeigt aber: Hinweisgeber nutzen in der Regel zunächst den internen Kanal für einen Hinweis. Wer damit gut umgeht, wird das Hinweisgebersystem als funktionsfähiges Hilfsmittel der eigenen Compliance-Verbesserung verstehen.
Schritt 3: Hinweisgebersystem auswählen
Die Praxis diskutiert derzeit verschiedene Lösungsmöglichkeiten für Hinweisgebersysteme: Vom (digitalen) Briefkasten über Beschwerde-Mail-Adresse, Telefon-Hotline, spezifische IT-Tools bis hin zum externen Ombudsmann. Allerdings fordert die Hinweisgeberrichtlinie zum Schutz des Hinweisgebers Anonymität. Diese umfasst neben dem Whistleblower selbst auch sämtliche eingehende Anfragen sowie die Antworten hierauf. Insofern erscheinen nur spezifische IT-Tools bzw. Portale und der externe Ombudsmann wirklich geeignet, die Vorgaben zu erfüllen. Die dhpg setzt deshalb auf ein vollständig technisches Hinweisgebersystem bzw. Portal, das auf die speziellen Bedürfnisse des Unternehmens eingeht und alle Auflagen an Vertraulichkeit des Hinweisgeberschutzes einhält. Übrigens: Der Arbeitgeber muss nachweisen, dass für keinen Hinweisgeber aufgrund von Meldungen Repressalien folgen. Wer eine:n Mitarbeiter:in im Umfeld eines Hinweis kündigt, muss somit beweisen, dass zwischen beiden Ereignissen kein Zusammenhang besteht.
Schritt 4: Hinweisgebersystem kommunikativ begleiten
Hinweisgebersysteme betreffen Meldungen gegen Verstöße des EU-Rechts wie z.B. öffentliches Auftragswesen, Finanzdienstleistungen, Geldwäsche, Produkt- und Verkehrssicherheit, nukleare Sicherheit, öffentliche Gesundheit, Umweltschutz sowie Verbraucher- und Datenschutz. Mit Blick auf die jüngere deutsche Geschichte und ihr Wirtschaftsgeschehen sind Hinweisgebersysteme und deren mögliche positive Auswirkungen auf die Compliance durchaus zu begrüßen. Zeitgleich sind sie auch nicht unkritisch zu sehen – insbesondere dann, wenn sie auf eine Unternehmenskultur treffen, die nicht von Vertrauen und Transparenz, positiver Rückmeldung und einer guten Fehlerkultur geprägt ist. Selbst in modernen und offenen Unternehmenskulturen macht es Sinn, die Einführung eines Hinweisgebersystems kommunikativ zu begleiten. So sollten Führungskräfte mit Leitfäden ausgestattet und die internen Kommunikationskanäle im Vorfeld intensiv zur Darstellung von Nutzen, Regeln und Verantwortlichkeiten genutzt werden, um die Teams in den Fachbereichen vorzubereiten bzw. den Verantwortlichen gut ins Unternehmen einzuführen. Die Gefahr, Menschen durch einen Hinweis, unrechtmäßig zu beschuldigen, besteht. Auch hierfür sollten Kommunikationspläne bereit liegen, damit im Fall des Falles rasch klar ist, wie verfahren wird.
Schritt 5: Zeitschiene und Stand der Umsetzung beachten
Im Gegensatz zu EU-Verordnungen sind EU-Richtlinien nicht unmittelbar wirksam und verbindlich Vielmehr müssen sie in nationales Recht überführt werden. Nach deutschem Recht ist dazu ein förmliches Gesetz oder eine Verordnung erforderlich. In Deutschland wurde dies für die EU-Whistleblower-Richtlinie im Frühjahr zurückgestellt. Die neue Bundesregierung muss das jetzt nachholen. Abwarten können Unternehmen und Organisationen jedoch nicht, denn: Die Bestimmungen des neuen Hinweisgeberschutzgesetzes sind spätestens ab dem Stichtag am 17.12.2021 für die dort beschriebenen Unternehmen und Organisationen rechtlich bindend. Eine Übergangsfrist gibt es nicht. Wer sich rechtssicher aufstellen möchte, sollte schnellstens mit der Umsetzung eines Hinweisgebersystems im eigenen Unternehmen beginnen.
Übrigens bleiben die datenschutzrechtlichen Vorgaben von der Whistleblower-Richtlinie unberührt. Somit ist die Datenschutzgrundverordnung (DSGVO) und der dort enthaltene Umgang mit personenbezogenen Daten weiterhin und vollständig gültig. Die Datenschutzbeauftragten sind vor diesem Hintergrund besonders geeignet, die Planung eines Hinweisgebersystems zu begleiten, weil sie die datenschutzrechtliche Fachexpertise einbringen können. Auch als externe Ombudsperson bietet sich diese Rolle, die bereits heute weisungsfrei sowie der Vertraulichkeit verpflichtet ist, an.
dhpg bietet voll integrierte DSGVO-konforme Softwarelösung
Für den Mittelstand ist die Schaffung eines Hinweisgebersystems – trotz der hierin liegenden Chancen – zunächst eine weitere bürokratische Herausforderung. Daher hat die dhpg eine schlanke und preislich attraktive Lösung konzipiert. Das dhpg-Hinweisgebersystem basiert auf der Software Vispato, die folgende Vorteile vereint:
- ISO-27001-zertifizierte Server
- Ende-zu-Ende-Verschlüsselung
- Deutsches Rechenzentrum (Datev eG)
- DSGVO-Konformität
Praktisch kann der Hinweisgeber über einen Link, der beispielsweise im Intranet platziert wird, seine Meldung abgeben. Es ist nicht möglich, den Hinweis zurückzuverfolgen. Seitens der dhpg wird die Meldung erstbeurteilt, weiterverarbeitet und etwaige weitere Maßnahmen werden empfohlen. Optional kann dann tiefer beraten werden, um mögliche Missstände abzustellen. Die Implementierung des Hinweisgebersystems wird durch eine Auftaktschulungsunterlage und weitere optionale Beratungsleistungen begleitet. Gerne unterstützen wir Sie in diesem Zusammenhang im Hinblick auf ein ganzheitliches Compliance-Management-System (CMS) oder auch nur in Teilbereichen.
Schaffen Sie sich durch das Hinweisgebersystem einen Wettbewerbsvorteil
Erfolgreiche Unternehmen wissen es schon lange: Missstände in einem Unternehmen zu verhindern, aufzudecken und zu beseitigen lohnt sich, jedenfalls mittel- und langfristig. Die Höhe der Bußgelder in verschiedenen Bereichen (z.B. Kartellrecht, Datenschutz) nimmt drastisch zu und auch Reputationsschäden können sich im heutigen Online-Zeitalter sehr schnell verbreiten, damit nicht nur richtig teuer werden, sondern dem Unternehmen nachhaltig schaden. Auf der anderen Seite stärkt ein Compliance-Management-System – welches natürlich auch nicht überdimensioniert sein muss – das Vertrauen in das Unternehmen, optimiert Prozesse und schreckt Betrüger ab. Das Hinweisgebersystem hilft dabei, wirklich zu den neuralgischen Punkten vorzustoßen, und ist aus unserer Sicht ein bedeutsamer Bestandteil eines CMS.
Sie möchten Sich weiterführend über das Thema Hinweisgebersystem und den besonderen Schutz, den Hinweisgeber genießen, informieren? Auf dieser Seite haben wir alles für Sie zusammengefasst, was aktuell wichtig ist.
In unserer Blog-Serie zum Thema Compliance beleuchten wir alle Fragen rund um die Einhaltung von gesetzlichen Bestimmungen durch Unternehmen.
- Gestartet sind wir mit dem Compliance Management. Im ersten Teil der Serie haben wir erläutert, warum die Attribute „systematisch, dokumentiert, geprüft“ zunehmend an Bedeutung gewinnen.
- Der zweite Teil befasste sich mit dem neuen Lieferkettengesetz, mit dessen Hilfe der Gesetzgeber der sozialen Verantwortung der deutschen Wirtschaft verstärkt gerecht werden möchte.
- Das Hinweisgebersystem in diesem Teil wird uns die nächsten Monate als großes Compliance-Thema begleiten. Als Schnittstelle zum Datenschutz ist es seit Dezember 2021 für viele Unternehmen verpflichtend.
Alle Serien-Beiträge sowie verwandte Beiträge zur Compliance finden Sie auf unserer Themen-Seite Compliance.