Zur Themenübersicht

Hinweisgeber-Gesetz wird Meldung von Gesetzesverstößen in Unternehmen und Organisationen regeln

Am 27. Juli 2022 hat die Bundesregierung den „Entwurf eines Gesetzes für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ ^[1] vorgelegt. Das Hinweisgeber-Gesetz (HinSchG), auch „Whistleblower-Gesetz“ genannt, soll bis Mitte März 2023 die EU-Richtlinie 2019/1937^[2] in nationales Recht umsetzen. In der EU-Richtlinie heißt es: „[…] potenzielle Hinweisgeber [schrecken] aus Angst vor Repressalien häufig davor zurück, ihre Bedenken oder ihren Verdacht zu melden. [Es wird] zunehmend anerkannt, dass es eines ausgewogenen und effizienten Hinweisgeberschutzes bedarf.“ Wegen des Verzuges in der deutschen Gesetzgebung hat die EU bereits im Februar 2022 ein förmliches Vertragsverletzungsverfahren angestrengt, so dass nun mit einem zügigen Abschluss des Gesetzgebungsverfahrens zu rechnen ist. Daher sollten Unternehmen, Organisationen, wie auch Behörden mit der Vorbereitung auf die neuen Regelungen beginnen.

Mit dem aktuellen Gesetzesentwurf geht die Regierung sogar weiter, als es die EU-Richtlinie vorsieht. So soll das Gesetz nicht nur Verstöße gegen EU-Recht, sondern auch bestimmte Bereiche des nationalen Rechts, wie etwa Geldwäsche, Korruption, Steuerbetrug oder auch Umweltschutz, abdecken.

Mitarbeitende, aber auch Kunden oder Lieferanten, die bei der Zusammenarbeit Rechtsverstöße oder gar Straftaten bemerken und diese folgerichtig zur Anzeige bringen wollen, könnten dabei in Konflikt mit der Verschwiegenheitspflicht oder dem Geheimschutz geraten. Das Unternehmen wiederum muss ein Interesse daran haben, dass Missstände aufgedeckt und beseitigt werden, scheut aber vielleicht strafrechtliche Konsequenzen und ganz sicher eine öffentliche Debatte darum. Dies ist insbesondere dann der Fall, wenn in dem Zusammenhang auch Interna öffentlich werden, die für das Unternehmen erfolgskritisch sind. Das Gesetz sieht dafür eine Lösung vor und soll vor allem Rechtssicherheit schaffen.

Gleichzeitig jedoch entstehen neue Fallstricke. So erklärt Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder, ebenfalls am 27. Juli: „Der aktuelle Zeitdruck darf aber nicht dazu führen, dass diese wichtigen Vorschriften zu neuen Rechtsunsicherheiten führen, weil Details und bestehende Regulierungen nicht ausreichend berücksichtigt werden. Das gilt insbesondere beim Datenschutz. […] Und um vor allem für kleine und mittelständische Unternehmen den Umsetzungsaufwand zu reduzieren, sollte die erforderliche Datenschutz-Folgenabschätzung bereits im Gesetzgebungsverfahren durchgeführt werden […].“^[3]

Diese Befürchtung richtet sich wohl auf die Gestaltung der (unternehmensinternen) Meldestellen, denen der Gesetzentwurf eine zentrale Bedeutung zuschreibt. Sie sollen einerseits den Konflikt der Mitarbeitenden zwischen ihrem Willen zur Anzeige und der Verschwiegenheitspflicht mindern, und geben Unternehmen und Organisationen die Chance zu handeln, bevor der Verstoß bei der Staatsanwaltschaft liegt oder öffentlich wird. Vorgesehen ist nicht nur eine zentrale Meldestelle beim Bundesministerium der Justiz, sondern vor allem auch eine Verpflichtung zu unternehmensinternen Meldestellen:

• Organisationen mit 50 oder mehr Beschäftigten werden verpflichtet, eine interne Meldestelle einzurichten. Organisationen mit bis maximal 250 Mitarbeitenden sollen dafür bis Dezember 2023 Zeit haben und können auch gemeinsame Meldestellen einrichten.
• Größere Unternehmen müssen der Pflicht zur Einrichtung einer Meldestelle sofort nachkommen.
• Alle Unternehmen können auch Dritte, wie z.B. Anwaltskanzleien mit den Aufgaben einer internen Meldestelle beauftragen.
• Sollte keine Meldestelle eingerichtet werden, kann dies mit einer Geldbuße von bis zu 20.000 € geahndet werden.
• Interne und externe Meldewege werden gleichwertig gestellt. Damit haben interne Stellen keinen Vorrang vor externen Meldestellen.
• Der derzeit vorliegende Gesetzentwurf sieht keine Pflicht für anonyme Meldemöglichkeiten vor. Die Empfehlung ist hier aber eindeutig: Nur Anonymität schafft ausreichend Vertrauen, um die Angst vor Repressalien nach einer Meldung zu reduzieren.

Zu beachten ist, dass Meldungen nach dem HinSchG explizit auch Datenschutzverstöße (Verstöße gegen die Bestimmungen der EU-Datenschutzgrundverordnung [DSGVO]) sind. Das offenbart wiederum das Spannungsfeld zwischen Datenschutz und HinSchG. Das Vertraulichkeitsgebot aus dem HinschG steht im deutlichen Konflikt mit den Betroffenenrechten aus der DSGVO. Diese datenschutzrechtlichen Fragestellungen, die heute bei weniger komplexen Themen noch zu Diskussionen führen, müssen im organisatorischen Kontext beantwortet werden. Daher muss der Datenschutz bei der Einrichtung des Hinweisgebersystems von der ersten Minute an beteiligt sein.

Damit die interne Meldestelle tatsächlich zu einer wirkungsvollen Bekämpfung von Missständen beitragen kann, muss sie im Unternehmen oder in der Organisation bekannt, handlungsfähig und für den oder die Hinweisgebenden vertrauenswürdig sein. Das erfordert einigen organisatorischen Aufwand. Die Einrichtung einer anonymen Meldemöglichkeit und der Einsatz von Personal, das nicht mit dem Unternehmen verbunden ist, können dazu einen deutlichen Beitrag leisten. So können Dritte, die nachweislich einen hohen Informationssicherheits- und Datenschutz-Stand gewährleisten, ein verlässlicher Partner werden.

Der Gesetzentwurf sieht im Einzelnen folgende Regelungen für die interne Meldestelle vor:

• Die Meldung von Rechtsverstößen muss sowohl mündlich, schriftlich als auch persönlich möglich sein.
• Nach Eingang eines Hinweises muss die Meldestelle innerhalb von sieben Tagen den Eingang bestätigen.
• Nach Bestätigung des Eingangs muss die Meldestelle innerhalb von drei Monaten auf den Hinweis antworten und den Hinweisgeber dabei über die beabsichtigten Maßnahmen informieren und diese begründen.
• Alle Hinweise müssen dokumentiert werden.
• Die Identität des/der Hinweisgebenden darf aus Datenschutzgründen nur dem/der zuständigen Bearbeitenden bekannt sein.
• Die interne Meldestelle muss unabhängig und frei von Interessenskonflikten sein.
• Die Mitarbeitenden der Meldestelle müssen für ihre Aufgaben speziell geschult werden und insbesondere über die Datenschutzvorschriften informiert sein.

Neben der Etablierung von Meldestellen und zugehörigen Prozessen sollten Unternehmen vor allem eine vertrauensvolle Unternehmenskultur schaffen, damit die Meldestellen von potenziellen Hinweisgebenden überhaupt in Anspruch genommen werden. Trotzdem wird Anonymität die Voraussetzung werden.

Organisationen, die jetzt professionelle, auf die Aufgabe bezogene, vertrauenswürdige interne Meldestellen einrichten, erhalten damit ein Instrument, dass es ihnen ermöglicht, schnell und souverän zu handeln. Das neue Gesetz wird nicht nur die Hinweisgebenden schützen, sondern auch Unternehmen und Organisationen vor dem Verrat geschäftskritischer Informationen und unnötigen Imageschäden bewahren helfen.

Anmerkung: Am 10.02. hat der Bundesrat dem Gesetz seine Zustimmung versagt. Somit geht der vom Bundestag im Dezember 2022 verabschiedete Entwurf vermutlich in den Vermittlungsausschuss.

 Quellen:

 ^[1] https://www.bmj.de/SharedDocs/Gesetzgebungsverfahren/Dokumente/RegE_Hinweisgeberschutz.pdf?__blob=publicationFile&v=2 (aufgerufen am 28.07.2022)

^[2] https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32019L1937&from=en (aufgerufen am 28.07.2022)

^[3] https://www.bitkom.org/Presse/Presseinformation/Umsetzung-EU-Richtlinie-Schutz-fuer-Whistleblower (aufgerufen am 28.07.2022)