EU-Whistleblower-Richtlinie und Hinweisgeberschutzgesetz: Was auf Unternehmen zukommt

Bereits am 16. Dezember 2019 wurde die EU-Whistleblower-Richtlinie beschlossen. Die Mitgliedstaaten haben bis zum 17. Dezember 2021 Zeit, die Richtlinie in nationales Recht umzusetzen. Das Bundesjustizministerium hat nun den Entwurf eines Hinweisgeberschutzgesetzes (HinSchG) in die Ressortabstimmung gegeben.

Anwendungsbereich des Hinweisgeberschutzgesetzes

Durch das Gesetz werden künftig alle Personen geschützt, die im Zusammenhang mit ihrer beruflichen oder dienstlichen Tätigkeit Informationen über Verstöße erlangt haben und diese an die nach diesem Gesetz vorgesehenen Meldestellen melden oder offenlegen. Damit können sich alle Arbeitnehmerinnen und Arbeitnehmer, Auszubildenden, Beamtinnen und Beamte, Richterinnen und Richter, Berufssoldatinnen und Berufssoldaten sowie Soldatinnen und Soldaten auf Zeit und Personen, die sich in „arbeitnehmerähnlichen“ Situationen befinden, auf das Gesetz berufen.

Sachlich bezieht sich das Gesetz auf alle Meldungen und Offenlegungen von Informationen über straf- und bußgeldbewehrte Verstöße, Verstöße gegen Gesetze, Rechtsverordnungen des Bundes und der Länder sowie gegen Rechtsakte der EU, zum Beispiel bei der Vergabe von öffentlichen Aufträgen und Konzessionen, deren geschätzter Auftrags- oder Vertragswert ohne Umsatzsteuer die nach § 106 Absatz 2 des Gesetzes gegen Wettbewerbsbeschränkungen maßgeblichen Schwellenwerte erreicht oder überschreitet, der Bekämpfung von Terrorismusfinanzierung, Verstößen aus den Bereichen Umweltschutz, Strahlenschutz und kerntechnische Sicherheit oder zum Schutz der Privatsphäre und personenbezogener Daten sowie zur Sicherheit von Netz- und Informationssystemen. Ebenfalls erfasst werden Verstöße, die von § 4d Absatz 1 des Finanzdienstleistungsaufsichtsgesetzes erfasst sind, und Vereinbarungen, die darauf abzielen, sich in rechtsmissbräuchlicher Weise einen steuerlichen Vorteil zu verschaffen, der dem Ziel oder dem Zweck des für Unternehmen geltenden Steuerrechts zuwiderläuft. Der sachliche Anwendungsbereich geht über die 1:1-Umsetzung der EU-Whistleblower-Richtlinie hinaus, um Wertungswidersprüche zwischen nationalem und EU-Recht zu vermeiden. So werden insbesondere das Strafrecht und das Recht der Ordnungswidrigkeiten mit einbezogen.

Zur Meldung werden interne und externe Meldestellen eingerichtet. Dem Hinweisgeber steht es frei, an welche Meldestelle er sich wendet. So kann er sich unmittelbar an eine externe Meldestelle wenden oder auch erst, nachdem er sich zunächst an eine interne Meldestelle gewandt hat. Er soll den Meldekanal wählen können, der für seine fallspezifischen Umstände am besten geeignet ist.

Einrichtung eines internen Hinweisgebersystems

Unternehmen oder Dienststellen mit mehr als 50 Beschäftigten sind verpflichtet eine Stelle für interne Meldungen einzurichten und zu betreiben. Für Gemeinden und Gemeindeverbände richtet sich die Pflicht zur Einrichtung einer internen Meldestelle nach dem jeweiligen Landesrecht. In Anlehnung an die EU-Richtlinie kann vorgesehen werden, dass diese nur für Gemeinden und Gemeindeverbände mit mehr als 10.000 Einwohnern gilt.

Im Gesetzentwurf sind keine Vorgaben enthalten, welche Personen oder Organisationseinheiten am besten geeignet sind, um die Aufgabe der internen Meldestelle zu erfüllen. Die Unternehmen sollen angesichts unterschiedlicher Größen und Organisationsstrukturen möglichst frei bei der Erfüllung der Anforderungen sein. Unerlässlich ist jedoch, dass die Person oder Organisationseinheit, die mit der Aufgabe betraut wird, im Rahmen dieser Tätigkeit unabhängig arbeiten kann. Auch mögliche Interessenkonflikte müssen auszuschließen sein. Wenn möglich, sollte eine gewisse Kontinuität bei der Besetzung der Stelle durch die jeweilige Person oder Organisationseinheit gegeben sein. Damit soll das Vertrauen in die Meldestelle selbst und in ihre Expertise geschaffen werden. Insbesondere in kleineren Unternehmen können Mitarbeiter auch eine Doppelfunktion innehaben. Hier kommen insbesondere Leiterinnen oder Leiter der Complianceabteilung, Integritätsbeauftragte, Rechts- oder Datenschutzbeauftragte oder Auditverantwortliche in Betracht. Auch können externe Dritte, etwa Rechtsanwälte, als Ombudspersonen mit der Einrichtung einer internen Meldestelle betraut werden.

Vertraulichkeitsgebot

Damit das System wirklich genutzt wird, ist es unerlässlich, dass die Identitäten aller von der Meldung betroffenen Personen geschützt sind. Dies gilt zunächst für die hinweisgebende Person selbst. Sie muss darauf vertrauen können, dass ihr aus der Meldung keine Nachteile entstehen. Aber auch die Personen, die durch eine Meldung belastet werden, haben ein Schutzinteresse. Außerdem erstreckt sich der Schutz auf beteiligte oder auch unbeteiligte Dritte, wie z. B. Kollegen oder Vorgesetzte. Diese könnten ebenfalls Verstöße beobachtet haben und daher im Verfahren eine wichtige Rolle spielen. Durch den Schutz dieser Personen sollen falsche Verdächtigungen, Verleumdungen oder die Einflussnahme auf potenzielle Zeugen verhindert werden. Der Kreis derjenigen Personen, die Kenntnis über die Identitäten haben, ist daher möglichst klein zu halten.

Eine Ausnahme erfährt das Vertraulichkeitsgebot, wenn Personen vorsätzlich oder grob fahrlässig falsche Informationen melden. In diesem Fall besteht ein berechtigtes Interesse daran, Kenntnis über die Identität der meldenden Person zu erlangen, um Schadensersatzansprüche geltend machen zu können.

Aufgaben der Meldestellen

Eine der Hauptaufgaben der Meldestellen ist der Betrieb der Meldekanäle. Auch hier sind die Vorgaben bewusst allgemein gehalten. Wichtig ist, dass die Meldekanäle mindestens den eigenen Mitarbeitern offenstehen. Die Unternehmen können selbst entscheiden, ob auch außenstehende Personen, die im beruflichen Kontakt zu der Stelle stehen und dort einen Verstoß beobachten, die Meldekanäle nutzen können. Die Meldekanäle müssen auf jeden Fall so konzipiert, eingerichtet und betrieben werden, dass nicht befugte Mitarbeiter keinen Zugriff auf die eingehenden Meldungen haben. Um die Hürden für Unternehmen nicht zu hoch werden zu lassen, genügt es, dass Meldungen entweder mündlich oder in Textform erfolgen können, solange bei dem gewählten Übertragungsweg die Vertraulichkeit der Identität der von der Meldung betroffenen Personen gewahrt ist.

Verfahren bei internen Meldungen

Die interne Meldestelle muss der hinweisgebenden Person den Eingang der Meldung spätestens nach sieben Tagen bestätigen. Weiterhin hält sie zu der Person Kontakt, ersucht sie gegebenfalls um weitere Informationen, prüft die Stichhaltigkeit der Meldung und ergreift angemessene Folgemaßnahmen. Die Meldestelle kann zur Prüfung interne Untersuchungen durchführen und betroffene Personen und Stellen kontaktieren. Sofern keine interne Möglichkeit besteht, den gemeldeten Verstoß zu überprüfen oder abzustellen, kann der Vorgang unter Beachtung der die Vertraulichkeit betreffenden Vorgaben zwecks weiterer Untersuchungen an eine zuständige Behörde abgegeben werden.

Spätestens nach drei Monaten erhält der Hinweisgeber eine Mitteilung über bereits ergriffene Folgemaßnahmen sowie die Gründe für diese. Dies gilt jedoch nicht, wenn dadurch interne Nachforschungen oder Ermittlungen berührt und die Rechte der Personen, die Gegenstand einer Meldung sind oder die in der Meldung genannt werden, beeinträchtigt werden.

Externe Meldestellen

Auf Bundesebene wird die externe Meldestelle beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) eingerichtet. Durch die zentrale Anlaufstelle soll eine niedrigschwellige Zugänglichkeit gewährleistet werde. Die hinweisgebende Person muss sich nicht bereits im Vorfeld mit Zuständigkeitsfragen auseinandersetzten. Die externe Meldestelle des Bundes ist mit übergreifender Zuständigkeit ausgestattet, soweit nicht die Länder eigene Meldestellen einrichten. Jedes Land kann für Meldungen, die die Dienststellen des jeweiligen Landes betreffen, eine eigene externe Meldestelle einrichten.

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) fungiert daneben als externe Meldestelle für Meldungen von straf- oder bußgeldbewehrten Verstößen gegen Rechnungslegungsvorschriften einschließlich der Grundsätze ordnungsgemäßer Buchführung bei Unternehmen, die kapitalmarktorientiert i. S. des § 264d HGB sind.

Externe Meldestellen müssen Meldungen in Textform und in mündlicher Form ermöglichen.

Verfahren bei externen Meldungen

Die externe Meldestelle muss den Eingang einer Meldung spätestens sieben Tage nach deren Eingang bestätigen. Dies gilt nicht, wenn die hinweisgebende Person darauf ausdrücklich verzichtet oder wenn ein Grund zur Annahme besteht, dass die Eingangsbestätigung den Schutz der Identität der hinweisgebenden Person beeinträchtigen würde. Die Meldestelle prüft anschließend die Stichhaltigkeit der Meldung und ergreift angemessene Folgemaßnahmen. Auch bei den externen Meldestellen erhält der Hinweisgeber spätestens nach drei Monaten eine Rückmeldung. Die Frist verlängert sich auf sechs Monate, wenn die Bearbeitung des Falles umfangreich ist.

Die externe Meldestelle kann zur Überprüfung des Sachverhaltes Auskünfte von den betroffenen natürlichen Personen, von dem betroffenen Beschäftigungsgeber oder der betroffenen Dienststelle, von Dritten und von Behörden verlangen, soweit dies zur Überprüfung erforderlich ist. Außerdem kann die externe Meldestelle den Hinweisgeber an andere zuständige Stellen verweisen, das Verfahren aus Mangel an Beweisen oder aus anderen Gründen abschließen oder das Verfahren an eine zuständige Behörde zwecks weiterer Untersuchungen abgeben.

Ist die Meldestelle nicht zuständig, so leitet sie die Meldung unverzüglich, unter Wahrung der Vertraulichkeit, an die zuständige Stelle weiter.

Verschwiegenheits- und Geheimhaltungspflichten

Das geplante Gesetz regelt auch das Verhältnis der Whistleblower-Meldung zu möglicherweise entgegenstehenden Verschwiegenheits- und Geheimhaltungspflichten des Hinweisgebers. Aus Gründen des Staatswohls ist die Weitergabe schutzbedürftiger Informationen unabhängig von ihrem Geheimhaltungsgrad nicht vom Anwendungsbereich dieses Gesetzes umfasst. Außerdem wird die Vertraulichkeit der Kommunikation zwischen Rechtsanwälten, Patentanwälten, Strafverteidigern, Kammerrechtsbeiständen und Notaren und ihren Mandanten geschützt. Sie unterliegen weiterhin der Verschwiegenheitspflicht. Für Berufsgruppen, die unter die ärztliche Schweigepflicht fallen, wird die Vertraulichkeit ebenfalls gewahrt. Erfasst werden hier alle Berufsgruppen, die Gesundheitsleistungen erbringen, also z. B. Ärzte, Zahnärzte, Tierärzte, Apotheker sowie Hebammen, Physiotherapeuten oder Masseure. Eine Weitergabe von Geschäftsgeheimnissen ist damit erlaubt, um einen Verstoß im sachlichen Anwendungsbereich dieses Gesetzes aufzudecken. Auf das Motiv des Hinweisgebers beziehungsweise des Geschäftsgeheimnisverräters kommt es dabei nicht an. Anders als bei der Geheimhaltungspflicht für Gründe des Staatswohls gilt die Weitergabe von Informationen, die unter sonstige berufliche Verschwiegenheitspflichten fallen, somit als zulässig.

Folgen für Unternehmen

Es ist damit zu rechnen, dass das Gesetz noch in diesem Jahr verabschiedet wird. Unternehmen sollten sich daher bereits jetzt mit der Implementierung eines entsprechenden Systems beschäftigen. Für kleinere und mittlere Unternehmen mit bis zu 249 Mitarbeitern soll es eine längere Vorbereitungsfrist geben. Für diese Unternehmen soll die Verpflichtung erst vom 17. Dezember 2023 an gelten.

Gerade für die kleineren Unternehmen werden die Regelungen eine große Herausforderung darstellen. Viele werden sich erstmalig mit der Einrichtung entsprechender Meldekanäle befassen müssen. Und auch wer bereits ein System besitzt, muss überprüfen, ob dieses auch künftig die gesetzlichen Vorgaben insbesondere an Meldewege und Vertraulichkeit erfüllt.

Internet Explorer 11 wird nicht unterstützt.

Wir haben festgestellt, dass Sie einen veralteten Browser verwenden. Wir empfehlen Ihnen, einen aktuellen Browser zu nutzen, um Ihre Sicherheit zu erhöhen und alle Funktionalitäten der RSM-Website nutzen zu können.

Wir empfehlen die folgenden Browser: