Hinweisgeberinnen und Hinweisgeber \u2013 auch als Whistleblower bezeichnet \u2013 sind elementar f\u00fcr eine offene und transparente Gesellschaft: Sie bringen den Mut auf, durch ihre Meldungen Missst\u00e4nde aufzudecken. Um sie besser vor negativen Konsequenzen zu sch\u00fctzen, brachte die EU die Whistleblower-Richtlinie auf den Weg \u2013 und die geht auch Euch etwas an: Welche gesetzlichen Pflichten auf welche Unternehmen ab wann zukommen, erkl\u00e4rt dieser Beitrag genauso wie die Hintergr\u00fcnde der Whistleblowing-Richtlinie. Nach dem Lesen kennt Ihr neben den Zielen auch die zentralen Inhalte der Richtlinie.<\/p>\n
Der wohl prominenteste Whistleblower ist Edward Snowden: Er hatte die Courage seinem Gewissen zu folgen und die \u00d6ffentlichkeit \u00fcber eigentlich geheime Informationen der US-Administration aufzukl\u00e4ren. Damit l\u00f6ste er einen weltweiten Skandal aus. Die Folgen f\u00fcr Snowden waren katastrophal: Das FBI stellte Strafanzeige; ihm wurden Diebstahl von Regierungseigentum, Spionage und die Weitergabe von Verschlusssachen vorgeworfen. In den USA droht ihm eine lebenslange Haftstrafe und so blieb ihm nur noch die Flucht. Wikipedia zeichnet den Verlauf der Ereignisse<\/a> \u00fcbersichtlich nach. Deutlich wird eines: Snowden musste als Whistleblower Repressalien und negative Konsequenzen f\u00fcrchten \u2013 und so ergeht es vielen Whistleblowern.<\/p>\n Mit dem 23. Oktober 2019 ver\u00f6ffentlichte der Rat der Europ\u00e4ischen Union die \u201eRichtlinie zum Schutz von Personen, die Verst\u00f6\u00dfe gegen das Unionsrecht melden\u201c<\/a>. Mit der Richtlinie verfolgt die EU das Ziel, Mindeststandards f\u00fcr Meldeverfahren, aber auch f\u00fcr den Schutz von Hinweisgebern zu schaffen. Man m\u00f6chte Verst\u00f6\u00dfe aufdecken, unterbinden und die Rechtsdurchsetzung durch effektive, sichere und vertrauliche Meldekan\u00e4le optimieren. Au\u00dferdem sollen Whistleblower vor einer straf-, zivil- oder verwaltungsrechtlichen Haftung sowie vor Repressalien von ihrem Arbeitsgeber gesch\u00fctzt werden.<\/p>\n Dr. Marco Buschmann \u00fcbermittelte in seiner Funktion als Bundesjustizminister Anfang April 2022 versp\u00e4tet den zweiten Versuch, die EU-Richtlinie in ein nationales Gesetz zu \u00fcberf\u00fchren: der Entwurf f\u00fcr das Hinweisgeberschutzgesetz (HinSchg)<\/a> ging in die Ressortabstimmung. Am 27. Juli 2022 wurde das Hinweisgeberschutzgesetz vom Kabinett beschlossen<\/a>. Der erste Versuch war am Widerstand von CDU\/CSU gescheitert: Sie setzte sich f\u00fcr eine 1:1-Umsetzung unionsrechtlicher Vorgaben ein und sprach sich gegen nationale Regelungssachverhalte aus \u2013 und das funktioniert aus verfassungsrechtlichen Gr\u00fcnden nicht, wie seinerzeit die Verfassungsblog GmbH aufzeigte<\/a>.<\/p>\n Die Richtlinie soll zum einen die hinweisgebende Person sch\u00fctzen, zum anderen aber auch Personen, die Gegenstand einer Meldung sind. Die Richtlinie untersagt Vergeltungsma\u00dfnahmen sowie Repressalien gegen\u00fcber Whistleblowern. Daf\u00fcr m\u00f6chte der Gesetzgeber eine Beweislastumkehr: Werden Whistleblower gek\u00fcndigt, m\u00fcssen Arbeitgebende nachweisen, dass diese Ma\u00dfnahme nicht im Zusammenhang mit dem Aufdecken der Missst\u00e4nde steht.<\/p>\n Der Gesetzgeber fordert Unternehmen zum Einrichten einer Whistleblowing-Hotline auf: Diese Hotline soll es Mitarbeitenden oder Partnern von Unternehmen erm\u00f6glichen, einen Verdacht zu melden \u2013 auf Wunsch auch anonym. Nur mit der ausdr\u00fccklichen Einwilligung des Wistleblowers darf die Anonymit\u00e4t gegen\u00fcber dem Arbeitgeber aufgehoben werden. Das k\u00f6nnen beispielsweise ethische Verst\u00f6\u00dfe oder allgemeine Verst\u00f6\u00dfe gegen Europarecht (z. B. Verst\u00f6\u00dfe im Bereich \u00f6ffentliches Auftragswesen, Regulierungen im Finanzsektor, Produkt-, Verkehrs- und Lebensmittelsicherheit, Umweltrecht, Gesundheitsrecht, Verbrauchschutzrecht, Datenschutzrecht) sein. Mit dem Hinweisgeberschutzgesetz in Deutschland soll der Schutz f\u00fcr Informant:innen auf weitere Vergehen ausgedehnt werden; beispielsweise auf Korruption, Steuerhinterziehung oder Schmiergeldzahlungen.<\/p>\n Als Whistleblower kommen Angestellte, Freiwillige oder Praktikanten in Frage, aber auch nichtgesch\u00e4ftsf\u00fchrende Mitglieder oder Gesellschafter:innen \u2013 sprich: Alle Menschen, die Informationen \u00fcber etwaige Verst\u00f6\u00dfe im gesch\u00e4ftlichen Kontext erlangen k\u00f6nnten.<\/p>\n Dabei wird Whistleblowern freigestellt, wie sie Verst\u00f6\u00dfe melden m\u00f6chten: intern oder extern. Interne Meldewege werden direkt vom Unternehmen bereitgestellt und betrieben, w\u00e4hrend externe Meldewege von Beh\u00f6rden bereitgestellt und betrieben werden m\u00fcssen. Wie das Bundesjustizministerium mitteilte<\/a>, wird eine zentrale externe Meldestelle beim Bundesamt f\u00fcr Justiz (BfJ) eingerichtet werden. Als externe Meldestellen mit Sonderzust\u00e4ndigkeiten werden die bereits bestehenden Meldesysteme bei der Bundesanstalt f\u00fcr Finanzdienstleistungsaufsicht (BaFin) und beim Bundeskartellamt weitergef\u00fchrt. Die Meldestelle des Bundes beim BfJ soll Zust\u00e4ndigkeiten f\u00fcr den \u00f6ffentlichen Sektor und die Privatwirtschaft erhalten. Eine weitere Meldestelle beim Bundesbeauftragten f\u00fcr den Datenschutz und die Informationsfreiheit (BfDI) komplettiert die externen Meldestellen des Bundes. Doch den L\u00e4ndern soll es freistehen, eigene externe Meldestellen f\u00fcr Meldungen einzurichten, die die Landesverwaltung sowie de Kommunalverwaltungen betreffen.<\/p>\n Hinweisgebende Personen k\u00f6nnen frei w\u00e4hlen, ob der interne oder externe Meldeweg angesichts der fallspezifischen Umst\u00e4nde besser geeignet ist. Es gibt verschiedene Arten von Whistleblowing-Hotlines:<\/p>\n Es werden einige Anforderungen an die Whistleblowing-Hotline gestellt: Meldesysteme m\u00fcssen die Anonymit\u00e4t von Whistleblowern, die Vertraulichkeit der Meldung und die der Personen, die m\u00f6glichweise von der Meldung betroffen sind, wahren. Der Meldekanal muss auch Personen offenstehen, die beruflich mit dem Unternehmen im Kontakt stehen \u2013 beispielsweise Lieferanten oder Freelancern. Jedoch m\u00fcssen Unternehmen ein Meldesystem nicht zwangsl\u00e4ufig selbst betreiben, es kann auch von externen Dienstleistern zur Verf\u00fcgung gestellt werden, beispielsweise von einem externen Datenschutzbeauftragten. Aufgrund der Stellung im Unternehmen und der Hauptaufgabe, die sich dem Schutz von Betroffenen widmet, ist das in der Praxis eine gute L\u00f6sung.<\/p>\n Unternehmen, die mehr als 250 Personen besch\u00e4ftigen, mussten bereits ab dem 17.12.2021, eine Whistleblowing-Hotline einzurichten. Unternehmen, die mehr als 50, aber maximal 249 Personen besch\u00e4ftigen, m\u00fcssen die Whistleblowing-Richtlinie ab 17.12.2023 umsetzen. Unternehmen, die zwischen 50 und 249 Besch\u00e4ftigte haben, k\u00f6nnen eine \u201egemeinsame Meldestelle\u201c betreiben.<\/p>\n Grunds\u00e4tzlich soll die Richtlinie von Unternehmen umgesetzt werden, die mehr als 50 Besch\u00e4ftigte haben, j\u00e4hrlich mehr als 10 Millionen Euro Umsatz machen oder im Finanzsektor t\u00e4tig sind. Auch \u00f6ffentliche Arbeitgebende sowie \u00f6ffentliche Einrichtungen und Kommunen mit mehr als 10.000 Einwohnern sollen k\u00fcnftig verpflichtet sein, ein internes Meldesystem einzurichten. Betroffen sind also:<\/p>\n Setzen betroffene Organisationen die gesetzliche Verpflichtung zum Einrichten der internen Meldestelle nicht um, drohen Bu\u00dfgeldverfahren. Dasselbe droht jedoch auch Whistleblowern, die wissentlich unrichtige Informationen offenlegen. Neben m\u00f6glichen Sanktionen enth\u00e4lt die Richtlinie auch Schadenersatzvorschriften: Verst\u00f6\u00dft einerseits eine Organisation gegen das Repressalienverbot, steht der hinweisgebenden Person Schadenersatz zu. Andererseits k\u00f6nnen hinweisgebende Personen bei vors\u00e4tzlichen oder grob fahrl\u00e4ssigen Falschmeldungen zum Schadenersatz verpflichtet werden.<\/p>\n Die deutschen Datenschutzbeh\u00f6rden sehen beim Einrichten und Nutzen firmeninterner Meldekan\u00e4le die M\u00f6glichkeit einer datenschutzgerechten Gestaltung. Jedoch kann die Meldung von etwaigen Missst\u00e4nden hohe Risiken f\u00fcr die Rechte und Freiheiten von nat\u00fcrlichen Personen mit sich bringen. In Einzelf\u00e4llen kann daher eine Datenschutz-Folgeabsch\u00e4tzung notwendig werden. Die Datenschutzkonferenz (DSK) hat sich damit bereits auseinandergesetzt und gibt Hinweise in der \u201eOrientierungshilfe der Datenschutzaufsichtsbeh\u00f6rden zu Whistleblowing-Hotlines\u201c<\/a>.<\/p>\n Nachdem das Kabinett das Hinweisgeberschutzgesetz beschlossen hatte, \u00e4u\u00dferte sich auch der Branchenverband bitkom<\/a>: \u201eDeutschland muss mehr f\u00fcr den Schutz von Whistleblowern tun. [\u2026] Es ist Zeit, dass die Bundesregierung die EU-Vorgaben umsetzt. Der aktuelle Zeitdruck darf aber nicht dazu f\u00fchren, dass diese wichtigen Vorschriften zu neuen Rechtsunsicherheiten f\u00fchren, weil Details und bestehende Regulierungen nicht ausreichend ber\u00fccksichtigt werden. Das gilt insbesondere beim Datenschutz. So m\u00fcssen alle Vorgaben zur Datenverarbeitung, Datenspeicherung und Datenl\u00f6schung unbedingt im Einklang mit der europ\u00e4ischen Datenschutz-Grundverordnung (DS-GVO) formuliert werden. Und um vor allem f\u00fcr kleine und mittelst\u00e4ndische Unternehmen den Umsetzungsaufwand zu reduzieren, sollte die erforderliche Datenschutz-Folgenabsch\u00e4tzung bereits im Gesetzgebungsverfahren durchgef\u00fchrt werden, wie dies in der Vergangenheit bereits beim Patienten-Datenschutzgesetz erfolgreich gelungen ist.\u201c<\/p>\n Grunds\u00e4tzlich empfehlen wir allen betroffenen Unternehmen sich \u2013 wenn noch nicht geschehen – mit der Umsetzung der Whistleblowing-Richtlinie auseinanderzusetzen. F\u00fcr Unternehmen mit 50 bis 249 Mitarbeitenden gilt es nun geeignete Verfahren und Meldekan\u00e4le einzuf\u00fchren und Richtlinien sowie Prozesse f\u00fcr den Umgang mit Hinweisen zu schaffen.<\/p>\n Beachtet beim Einrichten dieser Prozesse und Richtlinien die Vorgaben: Interne Meldestellen m\u00fcssen Whistleblowern binnen sieben Tagen den Eingang der Meldung best\u00e4tigen und binnen drei Monaten muss die hinweisgebende Person dar\u00fcber informiert werden, ob und welche Ma\u00dfnahmen ergriffen wurden (z. B. ob eine interne Untersuchung eingeleitet oder der Fall an eine zust\u00e4ndige Beh\u00f6rde weitergegeben wurde).<\/p>\n Alles in allem ist das Implementieren eines Hinweisgebersystems komplex \u2013 organisatorische und rechtliche Anforderungen m\u00fcssen bedacht werden. Befasst Euch deshalb so zeitnah wie m\u00f6glich mit der Umsetzung der Whistleblowing-Richtlinie und lasst Euch kompetent beraten! Es ist damit zu rechnen, dass das Gesetzgebungsverfahren bald in die letzte Runde geht \u2013 viel Zeit bleibt Euch dann nicht mehr. Habt Ihr Fragen rund um die Whistleblowing-Richtlinie? Dann nehmt Kontakt<\/a> zu uns auf; wir beraten euch passgenau!<\/p>\n","protected":false},"excerpt":{"rendered":" Hinweisgeberinnen und Hinweisgeber \u2013 auch als Whistleblower bezeichnet \u2013 sind elementar f\u00fcr eine offene und transparente Gesellschaft: Sie bringen den Mut auf, durch ihre Meldungen Missst\u00e4nde aufzudecken. Um sie besser vor negativen Konsequenzen zu sch\u00fctzen, brachte die EU die Whistleblower-Richtlinie auf den Weg \u2013 und die geht auch Euch etwas an: Welche gesetzlichen Pflichten auf … <\/p>\nDie zentralen Inhalte der Whistleblowing-Richtlinie<\/h3>\n
Die Whistleblower-Hotline<\/h3>\n
\n
Wer ist von der Whistleblowing-Richtlinie betroffen?<\/h3>\n
\n
Whistleblowing-Richtlinie: Sanktionen<\/h3>\n
Whistleblowing-Richtlinie und der Datenschutz<\/h3>\n
Handlungsempfehlung zur Whistleblowing-Richtlinie<\/h3>\n