Hinweisgeberschutzgesetz: Neue organisatorische Anforderungen an Arbeitgeber

Hinweisgeberschutzgesetz: Was nun auf Unternehmen zukommt

| , |

 
Am 2. Juli 2023 tritt das Hinweisgeberschutzgesetz (HinSchG) in Kraft. Es setzt die Whistleblower-Richtlinie der EU um und soll Personen schützen, die Fehlverhalten und Rechtsverstöße in Unternehmen und Institutionen melden. Hier die wichtigsten Informationen im Überblick.

Das Hinweisgeberschutzgesetz stellt Arbeitgeber vor neue Herausforderungen. Viele Mittelständler fragen sich, was das für sie bedeutet. Was muss ich tun, um dem Hinweisgeberschutz zu genügen? Welche organisatorischen Maßnahmen muss ich ergreifen? Muss ich eine interne Meldestelle einrichten? Auf diese und weitere Fragen gibt der vorliegende Artikel Antworten.

Was regelt das neue Hinweisgeberschutzgesetz?

Whistleblower (deutsch: Hinweisgeber) mussten sich bislang Sorgen um ihre berufliche und private Zukunft machen. Sie wurden nicht selten stigmatisiert und benachteiligt. Ihre Berichte über Fehlverhalten und Rechtsverstöße blieben unbeachtet. Dabei tragen Hinweisgeber durch ihre Meldungen zum Schutz ihres Unternehmens und ihrer Kollegen bei. Wenn internen Verstößen nicht rechtzeitig nachgegangen wird, können sie irgendwann an die Öffentlichkeit gelangen – mit verheerenden Folgen für die Reputation betroffener Unternehmen.

Beweislastumkehr

Das Hinweisgeberschutzgesetz soll durch eine Beweislastumkehr verhindern, dass Hinweisgeber benachteiligt werden.

Angenommen, eine Person meldet einen Rechtsverstoß einer Vorgesetzten. Nehmen wir weiter an, dieselbe Person hat sich intern auf eine andere Stelle beworben. Die Bewerbung wird abgelehnt, obwohl die Person (der Hinweisgeber) voll dafür qualifiziert ist.

Nach dem neuen Gesetz muss das Unternehmen jetzt beweisen, dass die Ablehnung der internen Bewerbung keine Repressalie ist, etwa als “Vergeltung” dafür, dass die Person ihre Vorgesetzte gemeldet hat.

Meldestelle

Unternehmen ab 50 Beschäftigten müssen eine interne Meldestelle einrichten. Dort müssen Whistleblower die Möglichkeit haben, Hinweise mündlich, schriftlich oder auf Wunsch auch persönlich abzugeben.

Unternehmen können die interne Meldestelle auch outsourcen, ähnlich wie den Datenschutzbeauftragten. Sie können Rechtsanwälte, Unternehmensberater oder Gewerkschaftsvertreter beauftragen, als Meldestelle zu fungieren. Viele Anwaltskanzleien bieten schon heute entsprechende Dienstleistungen an.

Das Bundesamt für Justiz richtet zudem eine externe Meldestelle ein und auch die Bundesländer können solche Meldestellen errichten, um Hinweisgebern eine weitere Möglichkeit zu geben. Diese können dann frei entscheiden, ob sie die interne Meldestelle ihres Unternehmens oder die externe Meldestelle nutzen möchten.
 

Anwendungsbereiche des HinSchG

Die Anwendungsbereiche des Hinweisgeberschutzgesetzes erstrecken sich auf EU-Recht und nationales Recht. Insbesondere sind das:

  • Verstöße gegen Strafvorschriften nach deutschem Recht
  • Bußgeldbewehrte Verstöße, das heißt Ordnungswidrigkeiten, “soweit die verletzte Vorschrift dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient”. Also im Klartext: Verstöße gegen Arbeitsschutz, Gesundheitsschutz, Mindestlohn, Bedingungen für Leiharbeit usw.
  • Verstöße gegen Rechtsnormen, die europäisches Recht umsetzen, zum Beispiel im Zusammenhang mit Geldwäsche, Vergaberecht, IT-Sicherheit und Datenschutz, Verbraucherschutz, Qualität von Lebensmitteln und Medikamenten, Umweltschutz und viele andere mehr.

Welche Unternehmen sind vom Hinweisgeberschutzgesetz betroffen?

Das HinSchG betrifft alle Unternehmen ab 50 Mitarbeitern – und damit auch kleine mittelständische Betriebe. Alle Unternehmen und Organisationen dieser Größenordnung müssen sichere interne Hinweisgebersysteme einführen und betreiben.

Kleinere Unternehmen zwischen 50 und 249 Mitarbeitern bekommen für die Umsetzung eine Schonfrist bis zum 17. Dezember 2023. Sie sollten aber dennoch nicht zu lange warten, denn die Umsetzung des Hinweisgeberschutzgesetzes ist einigermaßen komplex. Sie kann nicht in ein paar Tagen aus dem Ärmel geschüttelt werden.

Für Unternehmen mit mindestens 250 Beschäftigten hat das HinSchG dagegen mit Inkrafttreten am 2. Juli 2023 sofort verbindliche Wirkung. 

Welche Maßnahmen müssen die betroffenen Unternehmen ergreifen?

Alle Arbeitgeber ab 50 Beschäftigten müssen eine interne Meldestelle einrichten. Dabei können sich kleinere Unternehmen mit 50 bis 249 Mitarbeitern auch zusammentun und gemeinsam zum Beispiel eine spezialisierte Anwaltskanzlei oder Unternehmensberatung als Meldestelle beauftragen. Oder sie richten die Meldestelle bei einem der beteiligten Unternehmen ein und teilen sich die Kosten.

Großunternehmen können eine zentrale Meldestelle für den gesamten Konzern einrichten.

Außerdem müssen Unternehmen eine klare Richtlinie erlassen und kommunizieren, in der festgelegt wird, wie sie mit Meldungen von Whistleblowern umgehen. Die Mitarbeiter müssen wissen, welche Verfahren eingerichtet werden und an wen sie sich wenden können.

Wenn das Unternehmen einen Betriebsrat hat, darf dieser über das Hinweisgebersystem mitbestimmen. Sie müssen also mit Ihrer Arbeitnehmervertretung einvernehmlich regeln, wie der Hinweisgeberschutz in Ihrem Betrieb ausgestaltet wird, und darüber eine Betriebsvereinbarung schließen. Solche Verfahren dauern ihre Zeit, also sollten Sie rasch an die Arbeit gehen.

Welche Anforderungen muss eine interne Meldestelle erfüllen?

Unternehmen müssen internen Hinweisgebern die Möglichkeit bieten, Verstöße mündlich, schriftlich oder persönlich zu melden. Dabei muss die Anonymität des Hinweisgebers gewahrt bleiben und auch der Datenschutz nach DSGVO ist unbedingt einzuhalten. Die Identität des Whistleblowers und dessen Meldung dürfen nur den mit der Durchführung der Meldestelle betrauten Personen bekannt sein.

Nur in Ausnahmefällen, das heißt auf Verlangen der Strafverfolgungsbehörden, darf der Name des Hinweisgebers genannt werden.

Die mit der internen Meldestelle betrauten Personen müssen unabhängig sein. Das heißt nicht, dass es zwingend Externe sein müssen; sie können bei dem Unternehmen beschäftigt sein, aber es darf keine Interessenskonflikte für sie geben. Außerdem müssen sie, zum Beispiel durch Schulungen oder als Juristen, die nötige Fachkunde besitzen.

Über welche Kanäle können Beschäftigte Meldungen abgeben?

Nach dem HinSchG müssen Unternehmen Meldungen von Hinweisgebern vertraulich entgegennehmen. Das kann im Gespräch oder in Textform geschehen, aber nicht per E-Mail oder Telefon. Warum? Weil dann Dritte, namentlich die IT-Mitarbeiter des Unternehmens, auf die Informationen zugreifen könnten und die Anonymität und Vertraulichkeit nicht mehr gewährleistet wäre. Damit existieren drei Möglichkeiten, Hinweise entgegenzunehmen:

  • Ein Mitarbeiter der Meldestelle trifft den Hinweisgeber zu einem persönlichen Gespräch.
  • Das Unternehmen richtet eine für Anrufer kostenlose externe Telefonnummer ein, die nicht die Telefonnummer des Anrufenden registriert. Am anderen Ende der Leitung sitzt ein Mitarbeiter der Meldestelle. Vorsicht: Eine Voicebox erfüllt nicht die Anforderungen des Hinweisgeberschutzgesetzes.
  • Das Unternehmen richtet ein IT-gestütztes Hinweisgebersystem ein, das die Maßgaben des HinSchG erfüllt. Sie müssen hier nichts Eigenes entwickeln, es existieren bereits Angebote mit entsprechender Standardsoftware.

Wie müssen Unternehmen mit internen Meldungen umgehen?

Die Meldestelle bearbeitet interne Meldungen über Verstöße in vier Schritten:

  1. Eingangsbestätigung: Wenn ein Hinweis bei der internen Meldestelle eingeht, muss diese dem Hinweisgeber innerhalb von sieben Tagen den Erhalt bestätigen.
  2. Prüfung. Bevor einem Hinweis überhaupt nachgegangen wird, muss die Meldestelle zunächst prüfen, ob der Verstoß in den Zuständigkeitsbereich des HinSchG fällt. Eventuell muss sie weitere Erläuterungen vom Hinweisgeber einholen. Wenn die Meldung stichhaltig ist, wird die Meldestelle Maßnahmen einleiten.
  3. Bearbeitung und Rückmeldung: Innerhalb von drei Monaten nach Eingang der Meldung muss die Meldestelle den Hinweisgeber darüber informieren, was sie getan hat, um den betreffenden Missstand abzustellen. Sie könnte zum Beispiel interne Compliance-Untersuchungen einleiten oder sogar eine Meldung an die Strafverfolgungsbehörde.
  4. Dokumentation: Die Hinweise und Folgeaktivitäten der Meldestelle müssen dokumentiert werden. Diese Dokumentation muss streng vertraulich bleiben. Zwei Jahre nach Abschluss des Verfahrens muss sie gelöscht werden.

Unternehmen müssen die Identität der Hinweisgeber schützen und die Bestimmungen der DSGVO einhalten. Und übrigens sollen interne Meldestellen auch anonym eingehenden Hinweisen nachgehen. Hierzu besteht jedoch keine Verpflichtung.

Welche Strafe droht bei einem Verstoß gegen das Hinweisgeberschutzgesetz?

Verstöße gegen das HinSchG können als Ordnungswidrigkeiten mit einer Geldbuße belegt werden. Der unten vorgestellte Bußgeldrahmen gilt für die Unternehmensverantwortlichen.

In bestimmten Fällen kann sich dieser Rahmen für das Unternehmen selbst, bzw. die juristische Person oder Personengesellschaft, gemäß Ordnungswidrigkeitengesetz § 30 Abs. 2 Satz 3 auf bis zu 500.000 Euro verzehnfachen, warnt die IHK Stuttgart.

Höhe der Bußgelder

Folgende Bußgelder sieht das HinSchG bei Verstößen vor:

VerstoßBußgeld bis zu
Meldung wird verhindert (oder es wird versucht, sie zu verhindern)50.000 Euro
Verbotene Repressalie50.000 Euro
Vertraulichkeit vorsätzlich oder leichtfertig verletzt50.000 Euro
Vertraulichkeit fahrlässig verletzt10.000 Euro
Interne Meldestelle nicht eingerichtet20.000 Euro* (ab 1. Dezember 2023)

* Kleinere Unternehmen zwischen 50 und 249 Beschäftigten müssen zum 17. Dezember 2023 eine Meldestelle eingerichtet haben, größere bereits zum 2. Juli. Aber Bußgelder für die Nichteinrichtung der Meldestelle werden auch für größeren Firmen erst ab dem 1. Dezember 2023 erhoben (§ 42 Abs. 2 HinSchG).

Repressalie, Beweislastumkehr und Schadenersatz

Wenn die Identität eines Hinweisgebers bekannt wird, kann es bereits als Repressalie gewertet werden, wenn er bei einer Beförderung leer ausgeht oder sein befristeter Arbeitsvertrag nicht mehr verlängert wird. Der Arbeitgeber muss beweisen, dass dies keine Benachteiligung wegen der abgegebenen Meldung war. Ansonsten drohen Schadensersatzansprüche des Whistleblowers und Bußgelder. In der Realität enden solche Rechtsstreitigkeiten oft mit einem Vergleich, das heißt: Das Unternehmen zahlt immer.

Lesen Sie auch:
>> Was mit der Whistleblower-Richtlinie der EU auf den Mittelstand zukommt (Video)
>> Geändertes Nachweisgesetz: Was müssen Arbeitgeber beachten?
 

Dorothea Heymann-Reder
Autorin dieses Beitrags
Dorothea Heymann-Reder schreibt Blogbeiträge, Ratgeberartikel und Whitepaper für Software- und Beratungsfirmen. Ihre Fachartikel behandeln unter anderem Unternehmenssoftware, Digitalisierung und Automatisierung von Betriebsabläufen sowie Compliance-Themen.

 

Bildquellen: Drobot Dean – stock.adobe.com (Beitragsbild oben), Dorothea Heymann-Reder (Porträt)
Das könnte Dich auch interessieren:
Gesundheitsförderung: Interview mit Dr. Maren Kentgens zum Thema betriebliches GesundheitsmanagamentGesundheitsförderung: Wie gelingt KMU der Einstieg ins betriebliche Gesundheitsmanagement?
HS Strategie 2024: Geschäftsführer Markus Fröhlich erläutert die Weichenstellungen von HS - Hamburger SoftwareWie geht es weiter bei HS? Video-Interview zur Strategie 2024 des Softwareherstellers
Hubert Neubacher, Inhaber und Geschäftsführer von Barkassen-Meyer, über Krisenmanagement in CoronazeitenKrisenmanagement in stürmischen Zeiten – wie ein Touristikunternehmer erfolgreich durch die Pandemie navigiert
Onlinemarketing für KMU - Videotalk mit Jan SchulteOnlinemarketing für KMU: Video mit Expertentipps
E-Rechnung - 6 Gründe für digitale RechnungsprozesseE-Rechnung: 6 Gründe für digitale Rechnungsprozesse
Wie eine Unternehmerin in Berlin Politik macht - ein Gespräch mit der SPD-Bundestagsabgeordneten Dorothee MartinWie eine Unternehmerin in Berlin Politik macht — ein Gespräch mit der Bundestagsabgeordneten Dorothee Martin
Mittelstandsförderung: Wie das RKW kleinen und mittleren Unternehmen hilft - ein Gespräch mit Christi DegenMittelstandsförderung: Wie das RKW kleine und mittlere Unternehmen unterstützt
Expertin fürs Thema Whistleblower-Richtlinie: Sarah Ashfari, CEO und Gründerin der DISS-Co GmbHWhistleblower-Richtlinie der EU: Was auf den Mittelstand zukommt – ein Gespräch mit Sarah Afshari