I.  Überblick über das Whistleblower-Schutzgesetz / Hinweisgebergesetz

 Das Whistleblower-Schutzgesetz / Hinweisgebergesetz trat offiziell bereits am 2. Juli 2023 in Kraft, z.B. für Behörden sieht aber für Unternehmen ab 50 Mitarbeitern teilweise eine Übergangsfrist bis zum 17.12.2023 vor. Das ist der aktuelle Stand des Hinweisgeberschutzgesetzes.

Der Bundestag hat am 16.12.2022 den dem Hinweisgeberschutzgesetzeses zugrundeliegenden Regierungsentwurf beschlossen hatte. Daraufhin versagte der Bundestag diesem am 10.02.2023 die Zustimmung. Damit konnte das Gesetz, das auf einer EU-Richtlinie (Whistleblower Gesetz EU) beruht, von Deutschland nicht wie geplant innerhalb der zweijährigen Umsetzungsfrist in nationales Recht umgesetzt werden.

Die EU-Kommission hat Deutschland und sieben weitere EU-Mitgliedsstaaten wegen eines unzureichenden Schutzes von Hinweisen vor dem Europäischen Gerichtshof verklagt. Im Folgenden ist nun zu erläutern welche Änderungen das Hinweisgeberschutzgesetz für Unternehmen und Arbeitgeber mit sich bringen wird.

• Hinweisgeberschutzgesetz – was ist das überhaupt?

 Das Hinweisgeberschutzgesetz soll Personen schützen, die im Rahmen ihrer Berufstätigkeit Kenntnisse über Verstöße gegen gesetzliche Vorschriften oder andere verbindliche Regelungen erlangt haben und diese melden möchten. Solchen Hinweisgebern (sog. Whistleblowern) soll es nach dem Willen des Gesetzgebers möglich sein, Missstände ohne Angst vor Repressalien offenzulegen. Das soll auch den betroffenen privaten und öffentlichen Unternehmen, Organisationen, Institutionen helfen, möglichst frühzeitig von gesetzwidrigen Verstößen zu erfahren, damit solche Verstöße schnell abgestellt werden können und sich Unternehmen, Organisationen, Institutionen gesetzeskonform verhalten können.

 Daher verbietet das Hinweisgeberschutzgesetz, hinweisgebende Personen in irgendeiner Art wegen eines abgegebenen Hinweises zu benachteiligen oder beispielsweise arbeitsrechtlich abzumahnen oder ansonsten gegen Hinweisgeberinnen und Hinweisgeber vorzugehen. Es ist daher ein Gesetz zum Schutz hinweisgebender Personen.

 Dieser Schutz gilt für Hinweisgeberinnen und Hinweisgeber aber nur wenn die Meldung nicht missbräuchlich, grob fahrlässig oder gar vorsätzlich falsch ist. Ist dies der Fall und wird beispielsweise durch eine Meldung eine Schädigung versucht, soll es nach dem Hinweisgeberschutzgesetz möglich bleiben, gegen die meldende Person vorzugehen und beispielsweise Schadensersatzansprüche geltend zu machen. Dies dürfte allerdings insbesondere dann mit Schwierigkeiten verbunden sein, wenn ein solcher Hinweis anonym erfolgt, weshalb die Anonymität der Meldung auch nicht zwingend vom Gesetz vorgegeben ist, sondern insoweit für den betroffenen Beschäftigungsgeber vom Gesetz ein gewisser Spielraum eingeräumt wird.

  II.  An wen richtet sich die Whistleblower-Schutzgesetz / dem Hinweisgebergesetz?

Für Unternehmen, die mehr als 50 Beschäftigte haben, gilt das Gesetz seit dem 2. Juli 2023 teilweise mit einer Umsetzungsfrist bis zum 17.12.2023.

Wird bis zum 17.12.2023 von den betroffenen Unternehmen keine interne Meldestelle eingerichtet oder eine externe Meldestelle genutzt kann allein für das Versäumen der Einrichtung einer gesetzlich vorgeschriebenen Meldestelle eine Geldbuße von bis zu 20.000,00 Euro drohen. Das neue Hinweisgeberschutzgesetz wird wegen der gesetzlichen Vorgaben daher ab Dezember 2023 für Betroffene immens wichtig.

Insbesondere Unternehmen sollten daher schnellstens prüfen, ob sie verpflichtet sind, eine Meldestelle einzurichten. Falls noch keine Maßnahmen für die Einrichtung einer Meldemöglichkeit ergriffen worden sind, sollte dies bei betroffenen Unternehmen und Stelle schnellstens nachgeholt werden, da ansonsten erhebliche finanzielle Risiken bestehen können.

 Für Unternehmen, die mehr als 50 und weniger als 250 Mitarbeitende beschäftigen, gilt für die Umsetzung eine Schonfrist bis zum 17. Dezember 2023. Unabhängig von deren Mitarbeiteranzahl sind diese verpflichtet, ein internes Hinweisgebersystem durch eine interne oder externe Meldestelle einzurichten und zu betreiben.

Unabhängig von der Beschäftigtenanzahl besteht die Pflicht zur Einrichtung einer internen Meldestelle beispielsweise für

1. Wertpapierdienstleistungsunternehmen im Sinne des § 2 Abs. 10 des Wertpapierhandelsgesetzes,

2.   Datenbereitstellungsdienste i.S.d. § 2 Absatz 40 des Wertpapierhandelsgesetzes,

3.   Börsenträger (im Sinne des Börsengesetzes)

4.   Institute im Sinne des § 1 Absatz 1b des Kreditwesengesetzes

5.   Institute im Sinne des § 2 Absatz 1 des Wertpapierinstitutsgesetzes,

6.   Kapitalverwaltungsgesellschaften nach § 17 Absatz 1 des Kapitalanlagegesetzbuchs und

7.   teilweise für Unternehmen gemäß § 1 Absatz 1 des Versicherungsaufsichtsgesetzes

Nach dem Hinweisgeberschutzgesetz (HinSchG) gelten ab dem 02.07.2023die Hinweisgeberschutzpflichten auch ausdrücklich für den öffentlichen Dienst. Neben privaten Beschäftigungsgebern sind dadurch ausdrücklich auch öffentliche Beschäftigungsgeber sowie deren Beschäftigte vom HinSchG erfasst.

Dadurch sind auch juristische Person des öffentlichen Rechts und solche Beschäftigungsgeber, die im Eigentum oder unter der Kontrolle einer juristischen Person des öffentlichen Rechts nach dem HinSchG in der Pflicht, wenn der öffentliche Beschäftigungsgeber mehr als 50 Beschäftigte beschäftigt.

Dies sind neben Behörden und Verwaltungsstellen auf Bundes-, Landes- und Kommunalebene z.B. öffentliche Verbände, Gemeinden, kommunale Verwaltungsgesellschaften, Anstalten (bspw. Landesrundfunkanstalten) und öffentliche-rechtliche Stiftungen, die evangelische und katholische Kirche mit ihren Kirchengemeinden sowie Gerichte und sonstige Körperschaften.

III. Schutzrichtung 

Sinn und Zweck des Whistleblower-Schutzgesetzes / Hinweisgebergesetzes ist es, Personen, die Missstände in Unternehmen oder öffentlichen Einrichtungen melden möchten, zu schützen. Der Hinweisgeber soll zur Meldung von Missständen unterstützt und ermutigt werden. Gleichzeitig sollen diese Personen vor nachteiligen Maßnahmen durch den Arbeitgeber geschützt werden.

IV. Was regelt das Hinweisgeberschutzgesetz?

Das Gesetz regelt wie ein Unternehmen, eine Stiftung oder eine Institution beziehungsweise ein Beschäftigungsgeber / Dienstgeber / Arbeitgeber mit Meldungen von Vorfällen umgehen soll und gleichzeitig Hinweisgeber geschützt werden sollen.

 V. Wie soll es umgesetzt werden?

Das Hinweisgeberschutzgesetz geht auf die Umsetzung der Richtlinie (EU) 2019/1937 des Europäischen Parlaments und des Rates vom 23. Oktober 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (Hinweisgeberschutzrichtlinie) zurück.

Beschäftigungsgeber müssen interne Meldestellen einrichten. Daneben gibt es eine zentrale externe Meldestelle beim Bundesamt für Justiz.

 Bei mehreren verbundenen Unternehmen ermöglicht das Hinweisgeberschutzgesetz (HinSchG), eine zentrale Meldestelle zu errichten. Dies ist insbesondere für konzernweite Unternehmen relevant, aber auch für Unternehmen, die mehrere Tochtergesellschaften haben oder im Verbund am Markt auftreten.

Neben der Errichtung und dem Betrieb von internen Meldestellen müssen außerdem unternehmensinterne Prozesse für den Umgang mit Hinweisen geschaffen werden, wobei insbesondere auch die datenschutzrechtlichen Vorgaben nach der Datenschutzgrundverordnung (DSGVO) zu berücksichtigen sind. Das Hinweisgeberschutzgesetz ist daher letztlich auch ein Compliance-Thema für betroffene Unternehmen, Betriebe und Institutionen.

VI. Wer ist von dem Hinweisgeberschutzgesetz betroffen?

 1.      Persönlicher Anwendungsbereich

Der persönliche Anwendungsbereich ist für Personen eröffnet, die im Zusammenhang mit ihrer beruflichen Tätigkeit Information über etwaige Verstöße erlangt haben. Hierunter fallen nicht nur klassische Arbeitnehmer, sondern auch Selbstständige, Beamte oder andere Angestellte. Der persönliche Anwendungsbereich ist daher sehr weit gefasst.

2.      Im sachlichen Anwendungsbereich

In den sachlichen Anwendungsbereich fallen Verstöße, die strafbewehrt sind sowie bußgeldbewehrte Verstöße, sofern die verletzte Vorschrift dem Schutz von Leben, Leib, Gesundheit oder dem Schutz der Rechte von Beschäftigungen oder ihrer Vertretungsorgane dient.

 VII.  Arten von Verstößen, die gemeldet werden können

Die Arten von Verstößen, die gemeldet werden können, sind vielfältig. Es kommen Verstöße gegen Gesetz, Vorschritten oder auch Verstöße gegen ethische Standards in Betracht.

Hierbei kommen strafrechtliche Verstöße (wie z.B. Diebstahl, Betrug, Korruption) in Betracht aber auch arbeitsrechtliche Verstöße (wie z.B. Verstöße gegen Arbeitszeitgesetze, Diskriminierung am Arbeitsplatz, Missbrauch von Arbeitnehmern, Verstöße gegen Arbeitsverträge), Verstöße gegen Umweltvorschriften (Umweltverschmutzung, unsachgemäßer Entsorgung von Abfällen), Gesundheits- und Sicherheitsverstöße (Verstöße gegen Gesundheits- und Sicherheitsvorschriften am Arbeitsplatz), Finanzverstöße, Verstöße gegen Verbraucherschutzgesetze, Verstöße gegen Wettbewerbsrecht (Kartellbildung), Verstöße gegen Datenschutz und Datensicherheit, Arbeitsrechtsverletzungen (Versagung einer Beförderung, Rufschädigung, Mobbing). Es ist aber zu beachten, dass die Weitergabe an die Öffentlichkeit nur unter engen Voraussetzungen vorgesehen ist. Eine Weitergabe ist etwa vorgesehen, wenn eine Gefahr irreversibler Schäden oder in Fällen, in denen die externe Meldestelle nicht die notwendigen und erforderlichen Maßnahmen ergriffen hat.

Es muss aber immer auch geprüft werden, ob an einer Meldung tatsächlich „etwas dran ist“, und ob überhaupt Maßnahmen, beispielsweise im Unternehmen, wegen einer Meldung ergriffen werden müssen.

VIII. Wie läuft ein Meldeprozess ab?

Der Hinweisgeber bzw. die Hinweisgeberin kann die Meldung des Vorfalls bei der dafür vorgesehenen Stelle abgeben, i.d.R. einer internen Meldestelle.

Nach den gesetzlichen Vorgaben des Hinweisgebergesetzes sollte die interne Meldestelle zwar auch anonym eingehende Meldungen bearbeiten. Es besteht allerdings nach dem Gesetz keine Verpflichtung, die Meldekanäle so zu gestalten, dass sie die Abgabe anonymer Meldungen ermöglichen.

Die interne Meldung gibt dem Arbeitgeber die Möglichkeit den Vorfall zuerst intern zu untersuchen. Die externe Meldung (an eigene Meldestellen der Bundesländer oder beim Bundesamt für Justiz) kann alternativ ebenfalls genutzt, sofern das betroffene Unternehmen anstelle einer internen Meldestelle eine externe Meldestelle nutzt und der Hinweisgeber den Vorfall direkt extern meldet oder die interne Meldung erfolglos verlief.

Hinweisgeber können die Meldung mündlich, schriftlich oder auf Wunsch hin auch persönlich abgeben. Es besteht daher regelmäßig keine Verpflichtung für betroffene Unternehmen oder Institutionen oder Behörden neben schriftlichen auch mündliche oder persönliche Meldemöglichkeiten zur Verfügung zu stellen. In der Regel reicht eine schriftliche Meldemöglichkeit aus, wenn die gesetzlichen Vorgaben dafür eingehalten werden.

Eine interne Meldestelle kann dabei so eingerichtet werden, dass eine bei dem jeweiligen Beschäftigungsgeber (Arbeitgeber oder Dienstgeber) oder bei der jeweiligen Organisationseinheit beschäftigte Person, eine aus mehreren beschäftigten Personen bestehende Arbeitseinheit oder ein Dritter mit den Aufgaben einer internen Meldestelle betraut wird. Dies kann z.B. ein externer Datenschutzbeauftragter mit entsprechender Unabhängigkeit und notwendiger Fachkunde oder eine entsprechende Rechtsanwältin oder ein entsprechender Rechtsanwalt bzw. eine entsprechende Rechtsanwaltskanzlei sein.

Zu berücksichtigen ist dabei aber, dass die Betrauung eines solchen Dritten mit den Aufgaben einer internen Meldestelle, der eine interne Meldestelle für ein betroffenes Unternehmen, eine betroffene Institution oder eine betroffene Behörde, Stadt oder Landkreis bzw. Kommune einrichtet und betreibt, den betrauenden Beschäftigungsgeber nicht von der Pflicht befreit, selbst geeignete Maßnahmen zu ergreifen, um einen etwaigen Verstoß abzustellen.

Die internen Meldestellen halten für Beschäftigte klare und leicht zugängliche Informationen über externe Meldeverfahren bereit. Die Meldung muss nach den gesetzlichen Vorgaben des HinSchG ermöglicht werden.

Diese Meldung muss dem Hinweisgeber regelmäßig innerhalb von sieben Tagen betätigt werden.

Im Anschluss an die Meldung erfolgt eine interne oder externe Untersuchung, je nachdem für welchen Vorgang der Arbeitnehmer sich entschieden hat. Innerhalb von drei Monaten muss die Meldestelle den Hinweisgeber über die ergriffenen Maßnahmen informieren.

Der Hinweisgeber bekommt anschließend eine Rückmeldung über den Fortschritt und den Ausgang seiner vorgenommenen Meldung.

Sofern der Hinweisgeber trotz der oben genannten Schutzmaßnahmen zu seinen Gunsten, „Vergeltungsmaßnahmen“ oder Repressalien erfahren musste, sind auch rechtliche Schritte gegen den Arbeitgeber denkbar. Erwähnenswert ist, dass eine Beweislastumkehr im Hinweisgeberschutzgesetz verankert ist. Sofern ein Hinweisgeber im Zusammenhang mit seiner beruflichen Tätigkeit benachteiligt wird, wird vermutet, dass diese Benachteiligung ein Druckmittel des Arbeitgebers ist.

 IX.  Schutzmaßnahmen für Hinweisgeber

Der Schutz des Hinweisgebers als auch betroffener Personen kommt eine enorme Bedeutung zu.

Dies zeigt sich, dass der Hinweisgeber anonym bei der Meldung seines Vorfalls bleiben kann.

Jedoch kann der Hinweisgeber auch autonom entscheiden seinen Namen preiszugeben.

Verpflichtet ist er hierzu aber nicht. Die Identität des Hinweisgebers soll hingegen nur der für die Bearbeitung zuständigen Person der Meldung bekannt sein.

Zudem soll auch die Person beziehungsweise auch die von der Meldung betroffene Person geschützt werden.

Hierfür soll die Identität letzterer nur herausgegeben werden dürfen, wenn ein Ausnahmefall vorliegt (insbesondere im Falle eines Strafverfahrens auf Verlangen der Strafverfolgungsbehörde).

Zudem soll der Hinweisgeber vor Repressalien seitens des Arbeitgebers geschützt werden (insbesondere vor einer Kündigung, Schikanen oder anderen etwaigen negativen Konsequenzen).

 X.  Mögliche Schadensersatzansprüche und Sanktionen im Hinweisgeberschutzgesetz

Das Hinweisgeberschutzgesetz enthält insbesondere zwei spezielle Schadensersatzansprüche. Dem Hinweisgeber ist bei einem Verstoß gegen das Repressalienverbot ein daraus entstehender Schaden zu ersetzen.

Zudem ist der Hinweisgeber im Falle einer vorsätzlichen oder grob fahrlässigen Falschmeldung verpflichtet diesen dadurch eintretenden Schaden zu erstatten.

Verstöße gegen wesentliche Vorgaben des Hinweisgeberschutzgesetz sollen als Ordnungswidrigkeit mittels einer Geldbuße geahndet werden.

Wie wir bei der Umsetzung des Hinweisgeberschutzgesetzes helfen können:

Gerne unterstützen wir Sie und Ihr Unternehmen, Ihre Institution, Ihre Behörde bzw. die öffentliche Hand, wie z.B. Stadt oder Landkreis bzw. Kommune, bei der rechtlichen Absicherung und bei der Umsetzung des Hinweisgeberschutzgesetzes. Dabei können wir insbesondere bei der Prüfung der Einhaltung der gesetzlichen Vorgaben und der internen Umsetzung der Vorgaben des Hinweisgeberschutzgesetzes, insbesondere bei der Einrichtung von Meldekanälen für Arbeitnehmer oder Lieferanten etc. helfen. Durch unseren Kooperationspartner BTL Consult kann außerdem die gesamte Einrichtung und der Betrieb einer internen Hinweisgeberstelle entsprechend den gesetzlichen und datenschutzrechtlichen Vorgaben gewährleistet werden.

Wenn Sie eine Hinweisgeberstelle für Ihr Unternehmen oder Ihre Institution benötigen oder eine bereits bestehende Hinweisgebersteller nach dem Hinweisgeberschutzgesetz und datenschutzkonform nach der Datenschutzgrundverordnung (DSGVO), z.B. als Arbeitgeber oder Dienstherr absichern wollen und dabei Unterstützung oder weitere Informationen benötigen, können wir Sie unterstützen und begleiten.

Sprechen Sie uns gerne an und kommen Sie dazu gerne auf uns zu.