Whistleblowing
Das Hinweisgeberschutzgesetz ist da
Das Hinweisgeberschutzgesetz (HinSchG) ist die deutsche Umsetzung der sog. EU-Whistleblower-Richtlinie (Richtlinie (EU) 2019/1937 des Europäischen Parlaments und des Rates der Europäischen Union vom 23. Oktober 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden).
Ziel des HinSchG ist der Schutz von Personen, die im Rahmen ihrer beruflichen Tätigkeit Informationen über Verstöße erlangt haben und diese melden. Das HinSchG verbietet jegliche Repressalien gegenüber hinweisgebenden Personen (sog. Whistleblowern) und verpflichtet Unternehmen, sichere Kanäle für die Meldung von Missständen einzurichten.
Dieser Beitrag gibt einen Überblick zu den Regelungen des HinSchG und zeigt auf, welche Pflichten zum Schutz von Whistleblowern von Unternehmen in Deutschland berücksichtigt werden müssen. Außerdem beschreibt er die datenschutzrechtlichen Implikationen einer internen Meldestelle.
Hintergründe des Hinweisgeberschutzes
Wenn Beschäftigte oder andere Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit Einblicke in Unternehmensvorgänge gewinnen, interne Informationen über diese Unternehmen weitergeben, ist das für besagte Personen oft problematisch. Auch wenn die Intentionen gut sind, weil beispielsweise Gesetzesverstöße oder andere Missstände damit angeprangert werden sollen, können Repressalien oder Vergeltungsmaßnahmen für die hinweisgebenden Personen die Folge sein. Diese wirken sich potenziell vor allem wirtschaftlich, aber auch persönlich oder sogar gesundheitlich aus.
Insbesondere vor solchen Repressalien soll das Gesetz schützen. Außerdem soll eine Meldung für Hinweisgebende durch die Einrichtung interner Meldestellen möglichst einfach gemacht werden. Darüber hinaus werden Unternehmen verpflichtet, eingehende Meldungen zu untersuchen, die Missstände zu beheben und im Kontakt mit der hinweisgebenden Person zu bleiben.
Welche Unternehmen sind vom HinSchG betroffen?
Alle Unternehmen müssen sich an die Regelungen des Hinweisgeberschutzes halten und dürfen Whistleblowern keine Nachteile verschaffen. Unterschieden wird in der Pflicht zur Errichtung und dem Betrieb einer internen Meldestelle:
Bei allen Unternehmen wird eine Möglichkeit für Hinweisgebende existieren, sich an eine externe Meldestelle zu wenden. Dies ist in der Regel eine Stelle bei einer Bundes- oder Landesbehörde, die thematisch zuständig ist, wie z.B. das Bundesamt für Justiz, die BaFin oder das Bundeskartellamt.
Sobald Unternehmen in der Regel mindestens 50 Beschäftigte haben oder in speziellen Branchen tätig sind (z.B. Wertpapierhandel, Versicherungen) muss zudem eine interne Meldestelle errichtet und zur Verfügung gestellt werden, welche in der Folge auch weitere Pflichten nach sich zieht. Auf diese wird weiter unten eingegangen. Hier kann die meldende Person nun wählen, welcher Meldeweg eingeschlagen werden soll. Wenn 50 bis 249 Beschäftigte im Unternehmen tätig sind, gibt es für diese noch eine verlängerte Frist zur Errichtung einer internen Meldestelle bis zum 17. Dezember 2023. Auch können diese kleineren Unternehmen eine gemeinsame Stelle betreiben. Bei Unternehmen ab 250 Beschäftigten muss die Umsetzung seit Inkrafttreten des Gesetzes erfolgen.
Wir raten allen Unternehmen dazu, so früh wie möglich mit der Implementierung des Hinweisgebersystems zu beginnen; schließlich hat ein funktionierendes internes Hinweisgebersystem vor allem Vorteile für das Unternehmen!
Aufgaben der internen Meldestelle
Eine interne Meldestelle hat eine Vielzahl von technischen, prozessualen und dokumentarischen Anforderungen zu erfüllen. Das HinSchG sieht vor, dass sowohl unabhängige und fachkundige Beschäftigte als auch externe Meldestellenbeauftragte mit dem gleichen Anforderungsprofil die Meldestelle betreiben können.
Zu den ersten Tätigkeiten des Meldestellenbeauftragten bei einem eingehenden Hinweis gehört die Einordnung des sachlichen Anwendungsbereiches. Das bedeutet, es muss geklärt werden, ob die Meldung überhaupt einen möglichen Verstoß gegen eine Norm beinhaltet, für welche das Gesetz anwendbar ist (die also danach geschützt ist).
Meldekanäle müssen technisch und organisatorisch so sicher konzipiert, eingerichtet und betrieben werden, dass die Vertraulichkeit der Identität der hinweisgebenden Person und Dritter, die in der Meldung erwähnt werden, gewahrt bleibt. Nicht befugten Mitarbeitern muss der Zugriff darauf verwehrt werden (Vertraulichkeitsgebot). Hier sind also wirksame Verschlüsselungstechnologien und ein Rollen- und Berechtigungskonzept zu implementieren. Eine Pflicht zur Ermöglichung einer anonymen Meldung sieht das Gesetz hingegen nicht vor. Es wird lediglich vorgegeben, dass die Stellen auch anonym eingehende Meldungen bearbeiten sollen. Die Ermöglichung einer anonymen Meldemöglichkeit wird allerdings auch die Bereitschaft der Beschäftigten deutlich erhöhen, eine Meldung abzugeben und ist daher sehr zu empfehlen.
Zu den Aufgaben der Meldestelle gehören:
Der hinweisgebenden Person ist der Eingang der Informationen zu Verstößen im Unternehmen innerhalb einer Frist von sieben Tagen zu bestätigen.
Die gemeldeten Verstöße müssen anhand der Informationen der hinweisgebenden Person untersucht und später wirksame Folgemaßnahmen getroffen werden.
Während des Prozesses muss mit der hinweisgebenden Person – wenn von dieser gewünscht – Kontakt gehalten werden.
Die interne Meldestelle ist verpflichtet, die hinweisgebende Person spätestens nach drei Monaten über die getroffenen Folgemaßnahmen zu informieren.
Die Meldungen müssen unter weiterer Wahrung des Vertraulichkeitsgebotes in dauerhaft abrufbarer Weise für drei Jahre dokumentiert und anschließend sicher gelöscht werden.
Schutz der Whistleblower
Wesentlicher Inhalt des HinSchG ist, neben den Meldekanälen und der Vertraulichkeit, der Schutz der Hinweisgebenden vor Repressalien. Dafür sieht das Gesetz ein Verbot vor, das auch die Androhung oder den Versuch von Repressalien beinhaltet. Die Europäische Whistleblowing-Richtlinie nennt einige Beispiele für Repressalien, wie etwa: Kündigung, Herabstufung oder Versagung einer Beförderung, Aufgabenverlagerung, Änderung der Arbeitszeit, Versagung der Teilnahme an Weiterbildungsmaßnahmen, negative Leistungsbeurteilung, Disziplinarmaßnahmen, Nötigung, Mobbing, vorzeitige Kündigung oder Aufhebung eines Vertrags über Waren oder Dienstleistungen (für Geschäftspartner:innen).
Bei Benachteiligungen, die mit der beruflichen Tätigkeit zusammenhängen, gilt zudem eine Beweislastumkehr zu Gunsten des Whistleblowers. Sollte einem Whistleblower also beispielsweise nach einem Hinweis gekündigt werden, wird vermutet, dass dies eine verbotene Repressalie im Sinne des Gesetzes sei. Das Unternehmen muss dann beweisen können, dass andere hinreichende Gründe für die Kündigung vorliegen. Die Beweislastumkehr greift aber nur, wenn der Whistleblower auch geltend macht, dass die Benachteiligung gerade auf Grund seiner Meldung erfolgt ist.
Zusätzlich gibt es einen Schadensersatzanspruch für Whistleblower, denen dennoch eine Repressalie widerfahren ist.
Pflichten des Whistleblowers
Trotz umfassenden Schutzes, hat auch der Whistleblower diverse Pflichten und Risiken. Indem die hinweisgebende Person „hinreichenden Grund zu der Annahme“ haben muss, dass die Informationen über Verstöße zum Zeitpunkt der Meldung der Wahrheit entsprechen, werden der hinweisgebenden Person Sorgfaltspflichten auferlegt. Bei grob fahrlässiger oder vorsätzlich falscher Meldung macht er sich gegebenenfalls ebenso schadensersatzpflichtig. Der Öffentlichkeit zugänglich gemacht werden dürfen Informationen nur, wenn diese vorher ohne Reaktion oder Behebung des Missstandes über die internen oder externen Meldekanäle gemeldet wurden. Bei einer Offenlegung wissentlich falscher Informationen kann der meldenden Person außerdem ein Bußgeld auferlegt werden.
Unternehmen drohen Sanktionen
Das Gesetz sieht Bußgelder für Unternehmen vor, die gegen die Regelungen verstoßen. Das beinhaltet zum Beispiel ein Bußgeld in Höhe von 20.000 Euro, wenn trotz Verpflichtung kein interner Meldekanal zur Verfügung gestellt wird oder eines in Höhe von 50.000 Euro bei Repressalien gegenüber Whistleblowern. Durch einen Verweis auf § 30 OWiG können sich diese Bußgelder bei bestimmten Ordnungswidrigkeiten sogar noch verzehnfachen.
Hinweisgeberschutzsystem und Datenschutzrecht
Unternehmen müssen auch datenschutzrechtliche Anforderungen bei der Einführung einer internen Meldestelle beachten, denn die Entgegennahme von Meldungen über ein internes Meldesystem beinhaltet in der Regel auch eine Verarbeitung personenbezogener Daten. Darunter fallen Angaben zur hinweisgebenden Person (bei einer nicht-anonymen Meldung), Sachverhaltsbeschreibungen inklusive Informationen zu Beschuldigten und weiteren Personen sowie Daten, die sich aus internen Ermittlungen ergeben. Folgende Punkte sind insbesondere zu beachten:
- Rechtsgrundlage: Wie jede Datenverarbeitung unter der DSGVO, benötigt auch die interne Meldestelle eine Rechtsgrundlage für den Umgang mit personenbezogenen Daten. Das HinSchG enthält in § 10 eine solche Rechtsgrundlage. Danach ist eine Verarbeitung personenbezogener Daten erlaubt, wenn dies zur Erfüllung der Pflichten der Meldestelle notwendig ist.
- Verzeichnis von Verarbeitungstätigkeiten: Die Tätigkeit der internen Meldestelle muss als Datenverarbeitung zu einem bestimmten Zweck auch in das VVT des Unternehmens aufgenommen werden
- Datensicherheit: Die Datenverarbeitung bei eingehenden Meldungen muss auch gemäß DSGVO durch technische und organisatorische Maßnahmen abgesichert werden. Meldeformulare für eingehende Meldungen sind gemäß dem Stand der Technik zu verschlüsseln, für E-Mails muss ein verschlüsselter Versand ermöglicht werden. Zugriffsberechtigungen auf eingehende Meldungen sind eng zu begrenzen und sollten nur den Meldestellenbeauftragten möglich sein.
- Privacy by default and design: Es muss bei der Auswahl und der Gestaltung einer Meldestelle auf die Grundsätze der privacy by default and design geachtet werden. Das bedeutet, es sollte eine fundierte Entscheidung zum eingesetzten System getroffen werden und die Voreinstellungen müssen zu einer sparsamen Datenverarbeitung beitragen.
- Informationspflichten: Sowohl Beschäftigte als auch externe Hinweisgebende müssen über die Datenverarbeitung im Kontext einer Meldung gemäß den Vorgaben der DSGVO informiert werden. Vorhandene Informationstexte für Beschäftigte sollten gegebenenfalls angepasst werden.
- Auskunftsrecht: Unternehmen müssen mögliche Widersprüche zwischen Betroffenenrechten wie dem Auskunftsrecht und der Vertraulichkeit von Informationen, die über die Meldestelle zur Verfügung gestellt wurden, beachten. Das Vertraulichkeitsgebot schränkt möglicherweise Auskunftsinteressen Betroffener ein.
- Datenschutz-Folgenabschätzung: Aufgrund der sensiblen zu verarbeitenden Daten, erfordert die Einführung eines Hinweisgebersystems in der Regel die Durchführung einer vorherigen und dokumentierten Datenschutz-Folgenabschätzung. Damit werden Risiken identifiziert und Gegenmaßnahmen dokumentiert.
- Löschregeln: Das Gesetz legt eine Aufbewahrungsfrist von drei Jahren für Inhalte der Meldungen fest. Dies muss entsprechend im unternehmenseigenen Löschkonzept festgehalten und umgesetzt werden. Im Einzelfall kann auch eine längere Aufbewahrung erforderlich sein.
- Dienstleister: Bei der Wahl eines externen Dienstes als Meldestelle ist es wichtig, dass dieser Dienstleister neben den Grundsätzen der Vertraulichkeit, Unabhängigkeit und Fachkunde auch die datenschutzrechtlichen Grundsätze einhält. Hier muss also eine entsprechende vorherige Prüfung durchgeführt werden.
- Interne Organisationsregeln: Im Rahmen der Datenschutz-Compliance und der Rechenschaftspflicht der DSGVO ist es empfehlenswert, interne Organisationsregeln zu implementieren, die eindeutig den datenschutzrechtlich adäquaten Umgang mit der Meldestelle und eingehenden Hinweisen regeln und Zuständigkeiten definieren. Der Betriebsrat sollte bei der Einführung eines elektronischen Meldesystems ebenfalls eingebunden werden.
Was ist zu tun?
Unternehmen sollten schnellstmöglich einen Meldekanal implementieren und den Beschäftigten zur Verfügung stellen, sofern die gesetzlichen Kriterien für diese Verpflichtung erfüllt sind. Für die meisten Unternehmen wird ein externer Anbieter für ein Meldesystem aufgrund von Know-how, Wirtschaftlichkeit und Risikoabwägungen die attraktivere Option sein.