Hinweisgeberschutzgesetz – Pflicht für die Compliance

Am 23. Oktober 2019 verabschiedete der Rat der Europäischen Union die sogenannte Whistleblower-Richtlinie. Ziel dieser Richtlinie ist es, den Schutz von Hinweisgebenden zu gewährleisten, die Missstände in Unternehmen aufdecken, um für mehr Compliance zu sorgen. Wir berichteten bereits in unserem Blog darüber. Da Richtlinien der EU, im Gegensatz zu Verordnungen, nicht unmittelbar anwendbar sind, müssen sie in nationale Gesetze übernommen werden. Im Falle der EU-Whistleblower-Richtlinie sollten die Staaten ihre Gesetze bis zum 17.12.2021 veröffentlichen. Leider scheitere die letzte CDU-geführte Bundesregierung vor der Bundestagswahl den damaligen Gesetzentwurf zum Hinweisgeberschutzgesetz (HinSchG) zu verabschieden, weshalb für einige Unternehmen nun ein akuter Handlungsbedarf entsteht. Zuletzt beriet der Bundestag erstmals am 29. September 2022 über diesen Entwurf.

Wann genau das neue Hinweisgeberschutzgesetz verabschiedet wird und in Kraft tritt, steht noch nicht abschließend fest. Spätestens drei Monate nachdem das Gesetz verkündet wird, tritt das HinSchG in seiner finalen Form in Kraft.

Zielsetzung des neuen Gesetzes

Das neue HinSchG bezweckt den Schutz von Personen, die Rechtsverstöße eines Unternehmens melden wollen. Solche Meldungen sollen sowohl durch die Pflicht zur Einführung von internen als auch externen Meldewegen erleichtert und die Hinweisgebenden besser vor Benachteiligungen und Repressalien schützen und zusätzlich für mehr Rechtssicherheit und Transparenz sorgen. Auf der anderen Seite haben auch die betroffenen Unternehmen ein Interesse daran, dass etwaige Missstände nicht sofort an die breite Öffentlichkeit geraten, sondern möglichst zunächst intern geprüft und ggf. abgestellt werden können. Das Gesetz soll die verschiedenen Interessenlagen in Ausgleich bringen und geht dafür an einigen Stellen über die Vorgaben der EU-Richtlinie hinaus.

Welche Unternehmen sind vom Hinweisgeberschutzgesetz betroffen?

Unternehmen mit ab 50 Beschäftigten sind verpflichtet, interne Meldestellen im Unternehmen einzurichten (§ 12 Abs. 1, 2 HinSchG-E). Dabei besteht für Unternehmen mit ab 250 Beschäftigten eine sofortige Handlungspflicht mit Inkrafttreten des Gesetzes, da dann nur noch die 3-monatige Übergangsfrist gilt. Während für kleine Unternehmen ab 50 und bis zu 249 Beschäftigten eine Übergangsfrist bis zum 17. Dezember 2023 im Gesetzentwurf enthalten ist (§ 42 S.1 HinSchG-E). Zu beachten ist, dass der weite europäische Beschäftigtenbegriff zugrunde zu legen ist, sodass zum Beispiel auch Fremdgeschäftsführer, Praktikanten oder arbeitnehmerähnliche Personen mitzuzählen sind.

Ausnahmen gelten für Unternehmen, wie z. B. Kredit- oder Wertpapierinstitute. Für sie gilt die Pflicht zur Errichtung einer Meldestelle unabhängig von der Zahl der Beschäftigten und ohne die Übergangsfrist, §§ 12 Abs. 3, 42 S.2 HinSchG-E.

Was soll gemeldet werden können?

Grund prinzipiell sind sollen alle Rechtsverstöße von Unternehmen oder Angestellten gemeldet werden können. Folgende Bereiche sind gemäß Hinweisgeberschutzgesetz (HinSchG) von besonderer Relevanz:

• Datenschutz
• öffentliches Auftragswesen
• Finanzsektor (inklusive Geldwäsche und Terrorismusfinanzierung)
• Produktsicherheit und -konformität
• Umweltschutz
• Lebensmittelsicherheit und Tierschutz
• öffentliche Gesundheit
• Verbraucherschutz
• Finanz- und Steuerrecht
• Straf- und Bußgeldrecht
• Verkehrsrecht (inklusive Straße, Schiene, Wasser und Luft)

Die Meldestellen

Hinweisgebende haben nach dem neuen Gesetzesentwurf die freie Wahl zwischen internen und externen Meldestellen, welche vom Gesetz gleichgestellt sind (§ 7 HinSchG-E). Der Entwurf sieht u.a. das Bundesamt für Justiz als zentrale externe Meldestelle auf Bundesebene vor (§ 19 Abs. 1 HinSchG-E). Für Datenschutzrelevante Themen, soll das BfDI (Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheiten) als externe Stelle dienen.

Ein Vorrang der internen vor der externen Meldung besteht nicht. Weder für die internen noch die externen Meldestellen besteht eine Pflicht, anonyme Meldungen zu ermöglichen. Die Meldestellen sind jedoch verpflichtet, die Vertraulichkeit im Hinblick auf die Identität der hinweisgebenden Person sowie von Personen, die Gegenstand einer Meldung oder sonst in dieser genannt sind, zu wahren (§ 8 HinSchG-E). Einschränkungen des Vertraulichkeitsgebots finden sich u. a. § 9 HinSchG-E, z. B. in Strafverfahren auf Verlangen der Strafverfolgungsbehörden oder aufgrund einer gerichtlichen Entscheidung.

In Konzernen soll es in Abweichung zur EU-RL möglich sein, eine zentrale Meldestelle bei der Konzernmutter einzurichten.

Wer kann die Meldestelle sein?

Gem. § 15 HinSchG-E muss sichergestellt werden, dass sämtliche mit den Aufgaben der internen Meldestelle beauftragte Personen über die notwendige Fachkunde verfügen und in ihrer Tätigkeit unabhängig sind. Welche Personen dies konkret sein können, regelt der Gesetzesentwurf nicht.

Die EU-RL erwähnt in den Erwägungsgründen jedoch beispielhaft Mitarbeiter der Compliance- oder Rechtsabteilung, den Datenschutzbeauftragten des Unternehmens oder externe Berater, etwa Rechtsanwälte.

Mit den Aufgaben der internen Meldestelle können gem. § 14 Abs. 1 auch Dritte beauftragt werden, womit sich das Unternehmen jedoch seiner Verantwortlichkeit nicht entledigen kann.

Wie ist der Ablauf des Meldeverfahrens?

Die Anforderungen an die internen Meldekanäle sind nicht besonders hoch. Sie müssen wenigstens den Beschäftigten des Unternehmens sowie etwaigen Leiharbeitnehmern offenstehen (§ 16 Abs. 1 HinSchG-E) und Meldungen in mündlicher oder in Textform ermöglichen (§ 16 Abs. 3 HinSchG-E). Das Verfahren bei internen Meldungen ist in § 17 HinSchG-E geregelt.

1. Die interne Meldestelle muss der hinweisgebenden Person innerhalb von sieben Tagen den Eingang der Meldung bestätigen.

2. Innerhalb von drei Monaten nach Bestätigung des Eingangs muss die Meldestelle dem Hinweisgeber eine Rückmeldung geben. Diese Rückmeldung muss über geplante sowie bereits ergriffene Folgemaßnahmen informieren, sowie die Gründe für diese nennen.

Die Meldungen sind umfassend zu dokumentieren (§ 11 HinSchG-E). Gem. § 10 HinSchG-E sind die Meldestellen zur Verarbeitung der erforderlichen personenbezogenen Daten befugt. Damit das Meldeverfahren im Einklang mit den Vorgaben der DSGVO gestaltet wird, sollten in jedem Fall die Datenschutzbeauftragten hinzugezogen werden.

Verbot von Repressalien und Beweislastumkehr

Der Gesetzesentwurf zum HinSchG stellt ausdrücklich klar, dass Unternehmen Hinweisgebende nicht benachteiligen dürfen. Gem. § 36 Abs. 1 HinSchG-E sind Repressalien gegen hinweisgebende Personen verboten. § 36 Abs. 2 HinSchG-E enthält zudem eine Beweislastumkehr zugunsten des Hinweisgebenden: Erleidet eine hinweisgebende Person nach einer Meldung oder Offenlegung eine Benachteiligung im Zusammenhang mit ihrer beruflichen Tätigkeit, so wird vermutet, dass diese Benachteiligung eine Repressalie ist. In diesem Fall hat das Unternehmen zu beweisen, dass die Benachteiligung in keinem Zusammenhang mit dem Hinweis steht.

Schadensersatzansprüche und Sanktionen

Bei einem Verstoß gegen das Repressionsverbot ist der Verursacher der hinweisgebenden Person zum Schadensersatz verpflichtet (§ 37 Abs. 1 HinSchG-E). Gem. § 38 HinSchG-E kann sich die hinweisgebende Person jedoch selbst schadensersatzpflichtig machen, wenn sie vorsätzlich oder grob fahrlässig falsche Meldungen oder Offenlegungen tätigt.
§ 40 HinSchG-E sieht einen Bußgeldkatalog für Verstöße vor. Unternehmen, die entgegen der Verpflichtung keine interne Meldestelle einrichten oder betreiben, droht ein Bußgeld von bis zu 20.000 EUR. Repressalien gegen hinweisgebende Personen, Behinderungen von Whistleblower-Meldungen sowie Verletzungen der Vertraulichkeit können mit einem Bußgeld von bis zu 100.000 EUR gegen natürliche Personen und bis zu 1 Mio. EUR (§ 30 Abs. 2 S. 3 OWiG) gegen Unternehmen geahndet werden.

Fazit

Das kommende Hinweisgeberschutzgesetz dürfte damit im Herbst und Winter dieses Jahres wieder einmal unmittelbaren Handlungsbedarf auslösen. Mit der Umsetzung der gesetzlichen Vorgaben, insbesondere der Implementierung des Meldesystems, sollte zeitnah begonnen werden. Alle Beschäftigten müssen über das Verfahren und die Meldestellen rechtzeitig informiert werden.
Solltet Ihr Unterstützung bei der Einführung eines Meldesystems benötigen, kommt wie immer einfach auf uns zu.

 

Update 15.02.23: Bundesrat verweigert Hinweisgeberschutzgesetz die Zustimmung

Am vergangenen Freitag (10. Februar 2023) hatte der Bundesrat über das bereits im Dezember 2022 vom Bundestag verabschiedete Hinweisgeberschutzgesetz zu beschließen. Das Gesetz fand dort nicht die erforderliche Mehrheit und wird daher nicht – wie ursprünglich vorgesehen – zum Frühjahr 2023 in Kraft treten können. Nun wird sich der Vermittlungsausschuss von Bundesrat und Bundestag der Sache annehmen, um eine Kompromisslösung zu finden. Und das möglichst schnell, denn bereits Ende 2021 hätte Deutschland die EU-Richtlinie zum Schutz von „Whistleblowern“ in nationales Recht umsetzen müssen. Die EU-Kommission hat deshalb ein Vertragsverletzungsverfahren gegen Deutschland und weitere Mitgliedsstaaten eingeleitet.

Kritik zum Gesetz kam vor allem von den unionsregierten Ländern, da diese befürchten, dass das Gesetz für einen erheblichen Mehraufwand von Unternehmen sorgen könne. Vor allem KMUs könnten finanziell und bürokratisch zu stark belastet werden. Des Weiteren wird der weitgefasste sachliche Anwendungsbereich kritisiert, der über die von der EU geforderten Punkte hinausgeht.

Die „Leittragenden“ dieses politischen Geplänkels sind letztlich die Unternehmen und Hinweisgebenden, die sich weiterhin einer unklaren Rechtslage stellen müssen.

Die Frage ist also nicht ob, sondern wann …

Aber aufgeschoben ist nicht aufgehoben.

Es bleibt spannend!

 

UPDATE 17.05.2023

Hinweisgeberschutzgesetz tritt Mitte Juni 2023 in Kraft

Gut Ding will Weile haben!

Es hat mehrere Anläufe gebraucht, aber nun hat der Bundesrat am 12.05.2023 das Hinweisgeberschutzgesetz (HinSchG) verabschiedet und es wird ab Mitte Juni 2023 in Kraft treten.
Nach langen Beratungen haben sowohl Bundestag als auch Bundesrat jetzt endlich grünes Licht gegeben.

Folgende Änderungen wurden beschlossen:

• Die bislang vorgesehene Pflicht, auch die Abgabe anonymer Meldungen zu ermöglichen, entfällt. Dies gilt sowohl für interne als auch für externe Meldestellen. Gleichwohl sollen die Meldestellen auch anonymen Hinweisen auf Gesetzesverstöße nachgehen.
• Der bislang vorgesehene Bußgeldrahmen wurde reduziert. Wird eine Meldung behindert oder werden Meldende mit Repressalien bestraft, beträgt das Bußgeld nicht mehr 100.000 Euro, sondern maximal 50.000 Euro.
• Sofern intern wirksam gegen Verstöße vorgegangen werden kann, soll die meldende Person grundsätzlich die interne Meldestelle bevorzugen.
• Im ursprünglichen Gesetzentwurf war noch vorgesehen, dass hinweisgebende Personen für Repressalien, die sie aufgrund der Meldung erleiden, eine Art Entschädigung verlangen können. Diese Regelung wurde ersatzlos gestrichen.

Konkreter Handlungsbedarf besteht nunmehr für Unternehmen ab 250 Mitarbeitenden. Das Gesetz soll Mitte Juni 2023 in Kraft treten. Anschließend müssen Unternehmen in dieser Größenordnung das Gesetz innerhalb eines Monats umsetzen, also insbesondere eine entsprechende Meldestelle einrichten. Geschieht dies nicht, kann ein Bußgeld in Höhe von bis zu 20.000 Euro verhängt werden. Die gute Nachricht: Bußgelder für die Nichteinführung eines Systems werden nicht gleich verhängt, sondern erst sechs Monate nach der Gesetzesverkündung.

Unternehmen mit 50 bis 249 Beschäftigten müssen die interne Meldestelle bis spätestens zum 17. Dezember 2023 einrichten. Da zu diesem Zeitpunkt die vorstehend genannte Toleranzzeit abgelaufen ist, können in diesem Fall von Tag eins an Bußgelder verhängt werden.

Jetzt gilt es, wenn noch nicht geschehen, möglichst schnell ein Meldesystem zu implementieren und die Mitarbeitenden darüber zu informieren.
Wir unterstützen Euch gerne bei der praktischen Umsetzung des Gesetzes!