Das neue Hinweisgeberschutzgesetz
Gesetzliche Regelungen zu internen Hinweisgebersystemen gibt es bisher in Deutschland nur partiell in besonderen Bereichen, z.B. nach dem KWG, dem GWG oder im Arbeitsrecht nach § 17 Abs. 2 S. 2 ArbSchG. Spätestens Ende 2021 hätte sich daran bereits etwas ändern müssen, da zu diesem Zeitpunkt die europäische Hinweisgeberschutz-Richtlinie 2019/1937 umgesetzt sein musste. Nachdem die Bundesregierung im Juli 2022 einen Entwurf für ein neues Hinweisgeberschutzgesetz verabschiedet hatte, hatte der Gesetzesentwurf im Dezember 2022 den Bundestag passiert. Danach scheiterte der Entwurf aber im Bundesrat. Erst im Mai und Juni 2023 konnte ein überarbeiteter Gesetzesentwurf verabschiedet und verkündet werden. Das Gesetz tritt nun am 2. Juli 2023 in Kraft.
Für Unternehmen (Beschäftigungsgeber) mit 50 oder mehr Beschäftigten bringt das zu erwartende Gesetz u.a. eine branchenunabhängige Pflicht, ein Meldesystem für Hinweisgeber für Gesetzesverstöße des Unternehmens einzurichten.
I. Zielsetzung
Das neue HinSchG bezweckt den Schutz von Personen, die Rechtsverstöße eines Unternehmens melden wollen. Dabei geht es sowohl um strafrechtlich relevante Sachverhalte als auch die in § 2 Abs. 1 Nr. 2-10 katalogartig aufgeführten Rechtsverstöße. Unter das HinSchG fallen damit z.B. auch Verstöße gegen die DSGVO (vgl. § 2 Abs. 1 Nr. 3 lit. p HinSchG).
Entsprechende Meldungen sollen sowohl durch die Pflicht zur Einführung von internen als auch externen Meldewegen erleichtert und die Hinweisgeber besser vor Benachteiligungen geschützt werden. Dies soll für die Hinweisgeber mehr Rechtssicherheit und Transparenz schaffen. Auf der anderen Seite haben auch die betroffenen Unternehmen ein Interesse daran, dass etwaige Missstände nicht sofort an die breite Öffentlichkeit geraten, sondern möglichst zunächst intern geprüft und ggf. abgestellt werden können. Das Gesetz soll die verschiedenen Interessenlagen in Ausgleich bringen und geht dafür an einigen Stellen über die Vorgaben der EU-Richtlinie hinaus.
II. Meldestellen
Hinweisgeber haben nach dem neuen Gesetzesentwurf die freie Wahl zwischen internen und externen Meldestellen, welche vom Gesetz gleichgestellt sind (§ 7 HinSchG). Der Entwurf sieht u.a. das Bundesamt für Justiz als zentrale externe Meldestelle auf Bundesebene vor (§ 19 Abs. 1 HinSchG). Ein Vorrang der internen vor der externen Meldung besteht nicht. Nach einer Last-Minute-Gesetzesänderung können und sollen die verpflichteten Unternehmen Anreize schaffen, dass sich die hinweisgebende Person zunächst an die interne Meldestelle wendet. Hierzu kann auch die vom Gesetzesentwurf ohnehin vorgesehene, klare und leicht zugängliche Information über die Nutzung des internen Meldesystems beitragen. Daneben empfiehlt sich, dass interne Meldesystem möglich einfach handhabbar auszugestalten.
Entgegen dem gescheiterten Gesetzesentwurf enthält die verabschiedete Fassung des HinSchG keine Pflicht mehr, anonyme Meldungen zu ermöglichen und zu bearbeiten. Im verkündeten Gesetzestext finden sich nur noch der Hinweis, dass die interne Meldestelle auch anonyme Meldung bearbeiten sollte.
Datenschutzrechtlich interessant und herausfordernd ist der Umgang mit der Identität der im Rahmen einer Meldung beteiligten Personen. Die Meldestellen sind grundsätzlich verpflichtet, die Vertraulichkeit im Hinblick auf die Identität der hinweisgebenden Person sowie von Personen, die Gegenstand einer Meldung oder sonst in dieser genannt sind, zu wahren (§ 8 HinSchG). Einschränkungen des Vertraulichkeitsgebots finden sich u.a. § 9 HinSchG, z.B. in Strafverfahren auf Verlangen der Strafverfolgungsbehörden oder auf Grund einer gerichtlichen Entscheidung, sowie im Fall einer vorsätzlich oder grob fahrlässig, unrichtigen Information über Verstöße.
1. Interne Meldestellen
Unternehmen mit mindestens 50 Beschäftigten sind verpflichtet, interne Meldestellen im Unternehmen einzurichten (§ 12 Abs. 1, 2 HinSchG). Dabei besteht für Unternehmen mit mindestens 250 Beschäftigten eine sofortige Handlungspflicht mit Inkrafttreten des Gesetzes, während für kleine Unternehmen ab 50 und bis zu 249 Beschäftigten eine Übergangsfrist bis zum 17. Dezember 2023 im Gesetzentwurf enthalten ist (§ 42 S.1 HinSchG). Zu beachten ist, dass der weite europäische Beschäftigtenbegriff zu Grunde zu legen ist, so dass zum Beispiel auch Fremdgeschäftsführer, Praktikanten oder arbeitnehmerähnliche Personen mitzuzählen sind.
Für bestimmte Unternehmen, wie z.B. Kredit- oder Wertpapierinstitute, gilt die Pflicht zur Errichtung einer Meldestelle unabhängig von der Zahl der Beschäftigten und ohne die Übergangsfrist, §§ 12 Abs. 3, 42 S.2 HinSchG. In Konzernen soll es in Abweichung zur EU-RL möglich sein, eine zentrale Meldestelle bei der Konzernmutter einzurichten. Mit den Aufgaben der internen Meldestelle können gem. § 14 Abs. 1 auch Dritte beauftragt werden, womit sich das Unternehmen jedoch seiner Verantwortlichkeit nicht entledigen kann. Gem. § 15 HinSchG muss sichergestellt werden, dass sämtliche mit den Aufgaben der internen Meldestelle beauftragte Personen über die notwendige Fachkunde verfügen und in ihrer Tätigkeit unabhängig sind. Welche Personen dies konkret sein können, regelt der Gesetzesentwurf nicht. Die EU-RL erwähnt in den Erwägungsgründe jedoch beispielhaft Mitarbeiter der Compliance- oder Rechtsabteilung, den Datenschutzbeauftragten des Unternehmens (was aber aktuell kontrovers diskutiert wird) oder externe Berater, etwa Rechtsanwälte.
2. Meldeverfahren
Die Anforderungen an die internen Meldekanäle sind nicht besonders hoch. Sie müssen wenigstens den Beschäftigten des Unternehmens sowie etwaigen Leiharbeitnehmern offenstehen (§ 16 Abs. 1 HinSchG) und Meldungen in mündlicher oder in Textform ermöglichen (§ 16 Abs. 3 HinSchG). Das Verfahren bei internen Meldungen ist in § 17 HinSchG-E geregelt. Die interne Meldestelle muss der hinweisgebenden Person innerhalb von sieben Tagen den Eingang der Meldung bestätigen. Innerhalb von drei Monaten nach Bestätigung des Eingangs muss die Meldestelle dem Hinweisgeber eine Rückmeldung geben. Diese Rückmeldung muss über geplante sowie bereits ergriffene Folgemaßnahmen informieren, sowie die Gründe für diese nennen. Die Meldungen sind umfassend zu dokumentieren (§ 11 HinSchG).
3. Datenschutz
Gem. § 10 HinSchG sind die Meldestellen zur Verarbeitung der erforderlichen personenbezogenen Daten befugt. Dies gilt auch für besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO. Voraussetzung ist aber, dass angemessene technisch-organisatorische Schutzmaßnahmen im Sinne von § 22 Abs. 2 S. 2 BDSG ergriffen werden. Damit das Meldeverfahren im Einklang mit den Vorgaben der DSGVO gestaltet wird, sollte in jedem Fall der betriebliche Datenschutzbeauftragte hinzugezogen werden.
Es sind Datenschutzhinweise nach Art. 13, 14 DSGVO bzgl. des Hinweisgebersystems zu erteilen. Wird zur Ermöglichung der Meldung eine Software eingesetzt, so bietet es sich an, die Datenschutzhinweise in den Workflow der Software einzubinden. Personen, die Gegenstand einer Meldung sind oder dort in sonstiger Weise genannt werden, sind gem. Art. 14 DSGVO über die Datenverarbeitung zu informieren.
Das Meldesystem muss zudem im Verarbeitungsverzeichnis nach Art. 30 DSGVO berücksichtigt werden und bedarf einer vorherigen Datenschutz-Folgenabschätzung. In der praktischen Umsetzung werden sich noch zahlreiche datenschutzrechtlich schwierige und bisher ungeklärte Fragen stellen, insbesondere zum Umgang mit Auskunftsverlangen von betroffenen Personen.
§ 11 Abs. 5 HinSchG enthält zudem eine Löschfrist in Bezug auf die Dokumentation im Rahmen einer Meldung. Die Frist beträgt drei Jahre beginnend mit Abschluss des Verfahrens.
III. Schutz des Hinweisgebers
1. Verbot von Repressalien und Beweislastumkehr
Der Gesetzesentwurf zum HinSchG stellt ausdrücklich klar, dass Unternehmen Hinweisgeber nicht benachteiligen dürfen. Gem. § 36 Abs. 1 HinSchG sind Repressalien gegen hinweisgebende Personen verboten. § 36 Abs. 2 HinSchG enthält zudem eine Beweislastumkehr zugunsten des Hinweisgebers: Erleidet eine hinweisgebende Person nach einer Meldung oder Offenlegung eine Benachteiligung im Zusammenhang mit ihrer beruflichen Tätigkeit, so wird vermutet, dass diese Benachteiligung eine Repressalie ist. In diesem Fall hat das Unternehmen zu beweisen, dass die Benachteiligung in keinem Zusammenhang mit dem Hinweis steht.
2. Schadensersatzansprüche und Sanktionen
Bei einem Verstoß gegen das Repressionsverbot ist der Verursacher der hinweisgebenden Person zum Schadensersatz verpflichtet (§ 37 Abs. 1 HinSchG). Gem. § 38 HinSchG kann sich die hinweisgebende Person jedoch selbst schadensersatzpflichtig machen, wenn sie vorsätzlich oder grob fahrlässig falsche Meldungen oder Offenlegungen tätigt.
§ 40 HinSchG sieht einen Bußgeldkatalog für Verstöße vor. Unternehmen, die entgegen der Verpflichtung keine interne Meldestelle einrichten oder betreiben, droht ein Bußgeld von bis zu 20.000 EUR. Repressalien gegen hinweisgebende Personen, Behinderungen von Whistleblower-Meldungen sowie Verletzungen der Vertraulichkeit können mit einem Bußgeld von bis zu 100.000 EUR gegen natürliche Personen und bis zu 1 Mio. EUR (§ 30 Abs. 2 S. 3 OWiG) gegen Unternehmen geahndet werden.
IV. Fazit
Das kommende Hinweisgeberschutzgesetzt dürfte damit im Herbst und Winter diesen Jahres wieder einmal unmittelbaren Handlungsbedarf auslösen. Mit der Umsetzung der gesetzlichen Vorgaben, insbesondere der Implementierung des Meldesystems, sollte zeitnah begonnen werden. Sie sollte in Zusammenarbeit zwischen Compliance- und HR-Abteilungen sowie den Datenschutzbeauftragten in den betroffenen Unternehmen erfolgen.