Hinweisgebersystem für viele Unternehmen verpflichtend

 

In 5 Schritten zum Hinweisgebersystem 

Hinweisgeber – auch Whistleblower genannt – waren in Deutschland bis dato nicht explizit über ein Hinweisgebersystem geschützt. Die EU-Whistleblower-Richtlinie legt hierfür nun einen EU-weiten Standard fest. Natürliche Personen, die im Zusammenhang mit der Ausübung einer beruflichen Tätigkeit Verstöße feststellen, sollen durch ein Hinweisgebersystem gegen Repressalien des Arbeitgebers geschützt werden. Deutschland hat diese Richtlinie seit Dezember 2021 umzusetzen. Wir zeigen Ihnen, was genau es mit der EU-Whistleblower-Richtlinie auf sich hat und wie Sie den Hinweisgeberschutz praxisnah im Unternehmen einführen und das System als Chance zur Verbesserung der eigenen Performance und Compliance nutzen können.

Hinweisgebersystem – rechtliche Grundlage

Im April 2019 hatte das EU-Parlament eine Regelung auf den Weg gebracht, die für mittelständische Unternehmen erhebliche Bedeutung hat: die sogenannte Whistleblower-Richtlinie. Wir berichteten bereits zum damaligen Zeitpunkt über diese Richtlinie, deren vollständige Bezeichnung „Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ lautet. Inzwischen ist sie in nationales Recht überführt und zum 17.12.2021 in Kraft getreten, weshalb es für betroffene Unternehmen einmal mehr wichtig ist, sich mit den Inhalten und der konkreten Umsetzung vertraut zu machen. 

Wer ist betroffen?

Nach der Richtlinie müssen Unternehmen mit mehr als 250 Mitarbeiter:innen und Kommunen mit mehr als 10.000 Einwohner:innen seit dem 17.12.2021 ein Hinweisgebersystem implementieren. Zwei Jahre später wird die Pflicht ausgeweitet, dann hat jedes Unternehmen mit mehr als 50 Mitarbeiter:innen ein Hinweisgebersystem einzuführen.

Worum geht es?

Ziel der Richtlinie ist es, den Hinweis von Regelverstößen durch Informanten zu vereinfachen und so zu fördern und die Hinweisgeber – auch in Deutschland oftmals als Whistleblower bezeichnet – vor Repressalien insbesondere durch den Arbeitgeber zu schützen. Hierzu ist es wichtig, dass der Hinweis anonym geschieht.
Inhaltlich bezieht sich der Schutz des Hinweisgebers auf EU-Recht, sprich z.B. 

  • Geldwäsche,
  • Datenschutz,
  • Produkt-/Verkehrs-/Lebensmittelsicherheit,
  • Verbraucherschutz,
  • öffentliche Gesundheit oder 
  • Wettbewerbsrecht.

Die nationalen Gesetzgeber können hierüber hinausgehen. In Deutschland dürften sämtliche Verstöße gegen Straf- und Bußgeldvorschriften erfasst werden. Der persönliche Anwendungsbereich erfasst Mitarbeiter:innen und sämtliche Personen, die eine „arbeitsbezogene Verbindung“ haben.

Neben der Pflicht für Unternehmen und Kommunen, ein Hinweisgebersystem einzurichten, haben die nationalen Gesetzgeber die Pflicht, zudem eine Aufsichtsbehörde einzuschalten, bei der ebenfalls gemeldet werden kann. In Deutschland wird dies voraussichtlich der Bundesdatenschutzbeauftragte sein.

Was ist zu tun? 

Betroffene Unternehmen haben mit dem Hinweisgebersystem einen geschützten anonymen Meldekanal einzurichten. Eingehende Hinweise sind innerhalb von sieben Tagen zu bestätigen. Innerhalb von drei Monaten hat eine Rückmeldung zu erfolgen, wie mit dem Hinweis umgegangen wird und inwiefern Maßnahmen ergriffen werden. Infolge einer Beweislastumkehr muss der Arbeitgeber beweisen, dass aufgrund einer Meldung keine Repressalien für den Hinweisgeber erfolgen. 

Was droht bei Nichterfüllung?

Laut EU-Hinweisgeber-Richtlinie haben Unternehmen, die einen Hinweisgeber an einer Meldung behindern oder sich andere Verstöße zuschulden kommen lassen, mit Sanktionen zu rechnen. Wie hoch diese Sanktionen in Deutschland ausfallen werden, ist Sache des deutschen Gesetzgebers. Dem ersten Referentenentwurf des deutschen Hinweisgeberschutzgesetzes zufolge kann mit Sanktionen von bis zu 1 Mio. € gerechnet werden. Nach der Richtlinie bedarf es wirksamer, angemessener und abschreckender Sanktionen, um den Schutz des Hinweisgebers zu gewährleisten.

Wie geht man also die Implementierung eines Hinweisgebersystems im eigenen Unternehmen am besten an? Was gilt es zu beachten? In fünf Schritten gelingt auch Ihnen die Umsetzung eines Hinweisgebersystems: 

Schritt 1: Grundlagen und Betroffenheit für das eigene Unternehmen klären

Im ersten Schritt betrifft die Richtlinie Organisationen mit mehr als 250 Mitarbeiter:innen. Sie sind zur Einführung eines anonymen Hinweisgebersystems zum 17.12.2021 verpflichtet. In zwei Jahren fällt die Grenze auf 50 Mitarbeiter:innen; für die Finanzdienstleistungsbranche und den öffentlichen Sektor bestehen Besonderheiten Die Meldung erfolgt mündlich, schriftlich, mittels eines Portals oder auf Wunsch auch persönlich. Eine interne Meldestelle muss den Eingang der Meldung innerhalb von sieben Tagen bestätigen. Innerhalb von drei Monaten sollte der Hinweisgeber eine Rückmeldung zu den aufgrund seiner Meldung entwickelten Maßnahmen erhalten – z.B. die Einleitung von Untersuchungen.

Schritt 2: Organisation und Zuständigkeiten festlegen

Ein Hinweisgebersystem besteht aus zwei Kanälen: Einem internen Kanal für Hinweise aus dem Unternehmen selbst. Dieser Kanal kann von Fachmitarbeiter:innen des Compliancebereichs oder eine Ombudsperson, eine unparteiische Schiedsperson innerhalb oder außerhalb des Unternehmens, betreut werden. Diese Person hat die Aufgabe, Meldungen, die über das Hinweisgebersystem eingehen, zu prüfen und zu bearbeiten. Hierfür ist ein Volljurist, ggf. der Compliance-Officer, der Syndikus-Anwalt oder auch externe Anwälte, besonders geeignet. Sie bringen das Know-how um vertrauliche und datenschutzrechtliche Fragen oder der betrieblichen Mitbestimmung mit. Denn nicht selten wird es um Themen gehen, die auch unter das Geschäftsgeheimnisgesetz (GeschGehG) fallen. Immer ist darauf zu achten, dass auch die Rechte ggf. unzutreffend beschuldigter Personen gewahrt werden.  

Ein externer Kanal soll zukünftig beim Bundesdatenschutzbeauftragten angesiedelt sein. Der Hinweisgeber besitzt ein Wahlrecht. Er entscheidet, ob er intern oder extern meldet. Die Erfahrung zeigt aber: Hinweisgeber nutzen in der Regel zunächst den internen Kanal. Wer damit gut umgeht, wird das Hinweisgebersystem als funktionsfähiges Hilfsmittel der eigenen Compliance-Verbesserung verstehen.

Schritt 3: Hinweisgebersystem auswählen

Die Praxis diskutiert derzeit verschiedene Lösungsmöglichkeiten für Hinweisgebersysteme: Vom (digitalen) Briefkasten über Beschwerde-Mail-Adresse, Telefon-Hotline, spezifische IT-Tools bis hin zum externen Ombudsmann. Allerdings fordert die Hinweisgeberrichtlinie Anonymität. Diese umfasst neben dem Whistleblower selbst auch sämtliche eingehende Anfragen sowie die Antworten hierauf. Insofern erscheinen nur spezifische IT-Tools bzw. Portale und der externe Ombudsmann wirklich geeignet, die Vorgaben zu erfüllen. Die dhpg setzt deshalb auf ein vollständig technisches Hinweisgebersystem bzw. Portal, das auf die speziellen Bedürfnisse des Unternehmens eingeht und alle Auflagen an Vertraulichkeit des Hinweisgeberschutzes einhält. Übrigens: Der Arbeitgeber muss nachweisen, dass für keinen Hinweisgeber aufgrund von Meldungen Repressalien folgen. Wer eine:n Mitarbeiter:in im Umfeld einer Meldung kündigt, muss somit beweisen, dass zwischen beiden Ereignissen kein Zusammenhang besteht.

Schritt 4: Hinweisgebersystem kommunikativ begleiten

Hinweisgebersysteme betreffen Meldungen gegen Verstöße des EU-Rechts wie z.B. öffentliches Auftragswesen, Finanzdienstleistungen, Geldwäsche, Produkt- und Verkehrssicherheit, nukleare Sicherheit, öffentliche Gesundheit, Umweltschutz sowie Verbraucher- und Datenschutz. Mit Blick auf die jüngere deutsche Geschichte und ihr Wirtschaftsgeschehen sind Hinweisgebersysteme und deren mögliche positive Auswirkungen auf die Compliance durchaus zu begrüßen. Zeitgleich sind sie auch nicht unkritisch zu sehen – insbesondere dann, wenn sie auf eine Unternehmenskultur treffen, die nicht von Vertrauen und Transparenz, positiver Rückmeldung und einer guten Fehlerkultur geprägt ist. Selbst in modernen und offenen Unternehmenskulturen macht es Sinn, die Einführung eines Hinweisgebersystems kommunikativ zu begleiten. So sollten Führungskräfte mit Leitfäden ausgestattet und die internen Kommunikationskanäle im Vorfeld intensiv zur Darstellung von Nutzen, Regeln und Verantwortlichkeiten genutzt werden, um die Teams in den Fachbereichen vorzubereiten bzw. den Verantwortlichen gut ins Unternehmen einzuführen. Die Gefahr, Menschen unrechtmäßig zu beschuldigen, besteht. Auch hierfür sollten Kommunikationspläne bereit liegen, damit im Fall des Falles rasch klar ist, wie verfahren wird.

Schritt 5: Zeitschiene und Stand der Umsetzung beachten

Im Gegensatz zu EU-Verordnungen sind EU-Richtlinien nicht unmittelbar wirksam und verbindlich Vielmehr müssen sie in nationales Recht überführt werden. Nach deutschem Recht ist dazu ein förmliches Gesetz oder eine Verordnung erforderlich. In Deutschland wurde dies für die EU-Whistleblower-Richtlinie im Frühjahr zurückgestellt. Die neue Bundesregierung muss das jetzt nachholen. Abwarten können Unternehmen und Organisationen jedoch nicht, denn: Die Bestimmungen des neuen Hinweisgeberschutzgesetzes sind spätestens ab dem Stichtag am 17.12.2021 für die dort beschriebenen Unternehmen und Organisationen rechtlich bindend. Eine Übergangsfrist gibt es nicht. Wer sich rechtssicher aufstellen möchte, sollte schnellstens mit der Umsetzung eines Hinweisgebersystems im eigenen Unternehmen beginnen.

Übrigens bleiben die datenschutzrechtlichen Vorgaben von der Whistleblower-Richtlinie unberührt. Somit ist die Datenschutzgrundverordnung (DSGVO) und der dort enthaltene Umgang mit personenbezogenen Daten weiterhin und vollständig gültig. Die Datenschutzbeauftragten sind vor diesem Hintergrund besonders geeignet, die Planung eines Hinweisgebersystems zu begleiten, weil sie die datenschutzrechtliche Fachexpertise einbringen können. Auch als externe Ombudsperson bietet sich diese Rolle, die bereits heute weisungsfrei sowie der Vertraulichkeit verpflichtet ist, an.

Setzen Sie auf ein softwarebasiertes Portal für Ihr Meldewesen

Mit Blick auf Prozesse, Verantwortlichkeit und zeitliche Verfolgung setzen wir bei der dhpg auf ein vollständig digitales System. Setzen Sie sich frühzeitig mit der Implementierung eines Hinweisgebersystems auseinander, denn die Einführung kann einige Wochen in Anspruch nehmen. Die Erfahrung zeigt, dass in der Regel auch andere Compliance-Prozesse auf das Meldesystem hin angepasst werden müssen – auch dies spricht für eine frühzeitige Begleitung. Das von der dhpg eingesetzte System ist einfach zu bedienen. Nichtsdestotrotz sollten die Mitarbeiter:innen, die damit umgehen, vorab geschult sein. Sprechen Sie uns an – wir geben unsere Erfahrung gerne an Sie weiter.

Sie möchten Sich weiterführend über das Thema Hinweisgebersystem und den besonderen Schutz, den Hinweisgeber genießen, informieren? Auf dieser Seite haben wir alles für Sie zusammengefasst, was aktuell wichtig ist. 

 

In unserer Blog-Serie zum Thema Compliance beleuchten wir alle Fragen rund um die Einhaltung von gesetzlichen Bestimmungen durch Unternehmen. 

  • Gestartet sind wir mit dem Compliance Management. Im ersten Teil der Serie haben wir erläutert, warum die Attribute „systematisch, dokumentiert, geprüft“ zunehmend an Bedeutung gewinnen.
  • Der zweite Teil befasste sich mit dem neuen Lieferkettengesetz, mit dessen Hilfe der Gesetzgeber der sozialen Verantwortung der deutschen Wirtschaft verstärkt gerecht werden möchte. 
  • Das Hinweisgebersystem in diesem Teil wird uns die nächsten Monate als großes Compliance-Thema begleiten. Als Schnittstelle zum Datenschutz ist es seit Dezember 2021 für viele Unternehmen verpflichtend. 

Alle Serien-Beiträge sowie verwandte Beiträge zur Compliance finden Sie auf unserer Themen-Seite Compliance

Dr. Christian Lenz

Rechtsanwalt, Fachanwalt für Steuerrecht

Zum Profil von Dr. Christian Lenz

Dr. Andreas Rohde

Rechtsanwalt, Fachanwalt für Steuerrecht, Steuerberater

Zum Profil von Dr. Andreas Rohde

Arno Abs

Wirtschaftsprüfer, Steuerberater

Zum Profil von Arno Abs

Kontakt

Nehmen Sie mit uns Kontakt auf

Briefumschlag Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
Durch das Laden des YouTube Videos erklären Sie sich damit einverstanden, dass Cookies durch YouTube und Google gesetzt werden, und dadurch Daten an diese Anbieter übermittelt werden. Wir verarbeiten die Daten um die Zugriffe auf unsere YouTube-Videos analysieren zu können oder die Wirksamkeit unserer Werbung und Anzeigen auszuwerten. YouTube und Google verarbeiten die Daten auch zu eigenen Zwecken. Zudem erklären Sie sich auch damit einverstanden, dass Ihre Daten in die USA übermittelt werden, obwohl in den USA das Risiko besteht, dass US-Behörden zu Überwachungszwecken Zugriff auf Ihre Daten erhalten und Ihnen dagegen möglicherweise keine ausreichenden Rechtsschutzmöglichkeiten zustehen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
YouTube Video laden
Permalink