Am 2. Juli 2023 ist das Hinweisgeberschutzgesetz, kurz „HinSchG“, in Kraft getreten. Es dient der Umsetzung der Richtlinie aus 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden. Das HinSchG verpflichtet Unternehmen mit mehr als 50 Mitarbeitern dazu, Meldestellen einzurichten für die Entgegennahme von Hinweisen auf Rechts- und Regelverstöße in Unternehmen und Behörden.
Damit diese „Hinweisgeber“ dies tun können, ohne Repressalien fürchten zu müssen, stellt das Gesetz an die Einrichtung, Funktionen und Verfahren dieser Meldestellen bestimmte Anforderungen. Diese gesetzeskonform umzusetzen, ist durchaus tricky. So wäre es zum Beispiel völlig ungenügend, schlicht ein weiteres E-Mail-Postfach einzurichten für diese Zwecke, in dass dann jemand aus der Geschäftsführung ab und an einen Blick wirft. Auch kann diese Aufgabe nicht ohne Weiteres einfach dem betrieblichen Datenschutzbeauftragten – so er denn überhaupt existiert – als zusätzliche Aufgabe aufgedrückt werden.
Was und wie?
Die internen Meldestellen müssen verschiedene „Meldekanäle“ vorhalten, also neben zum Beispiel elektronischer und telefonischer Kommunikation auch – auf Wunsch – persönliche Treffen anbieten. Dabei ist strikte Vertraulichkeit zu wahren, d.h. die Identität des Hinweisgebers ist zu schützen, soweit nicht das HinSchG ausdrücklich deren Preisgabe vorsieht. Sicherheitsinteressen sowie Verschwiegenheits- und Geheimhaltungspflichten sind zu wahren bzw. gegeneinander abzuwägen. Die Personen, welche diese Meldestelle betreiben müssen also schon deshalb unabhängig sein. Der für einen Verstoß Verantwortliche soll ja von der Meldung gerade keinen Wind bekommen. Meldungen sind „dauerhaft abrufbar“ zu dokumentieren, auch die mündlichen Meldungen, über die ein Protokoll zu fertigen ist.
Dann braucht es gewisse Rechtskenntnisse, um beurteilen zu können, ob ein gemeldeter vorgeblicher Verstoß wirklich in den sachlichen Anwendungsbereich des HinSchG fällt und also ein Tätigwerden erfordert. Hier gibt es im HinSchG einen umfassenden Katalog von straf- und bußgeldbewehrten Rechtsverstößen, einschlägige Gesetzestexte wie Strafgesetzbuch (StGB) und Ordnungswidrigkeitengesetz (OWiG) beispielsweise sollten also nicht gerade sieben Siegel aufweisen für den Betreiber der Meldestelle. Eine wesentliche Stoßrichtung des Gesetzes sind Betrügereien, Geldwäsche, Terrorfinanzierung, die Gefährdung von wichtiger Infrastruktur, Verstöße gegen den Umwelt-, oder Datenschutz, gegen das Vergaberecht oder ganz allgemein den EU-Binnenmarkt. Da kann ein ganz schöner Strauß an Normen zusammenkommen, die man bei der Beurteilung einer Meldung überblicken können muss. Deshalb fordert das HinSchG neben der oben genannten Unabhängigkeit auch eine Fachkunde. Wie die genau aussehen soll, sagt das Gesetz aber nicht.
Zum Verfahren so viel: Dem Hinweisgeber ist der Eingang des Hinweises binnen gesetzlicher Frist zu bestätigen. Hinweise sind, sofern einschlägig, zu prüfen, etwa auf Stichhaltigkeit; gegebenenfalls sind Nachfragen zur Sachverhaltsaufklärung angezeigt. Und dann sind „Folgemaßnahmen“ einzuleiten, als da wären eine interne Untersuchung, zuletzt ist das Verfahren abzuschließen und etwaig zwecks weiterer Untersuchung abzugeben an die zuständigen Stellen – etwa eine interne Compliance-Abteilung oder eine Behörde. Bei alldem sind Maßnahmen zu implementieren zum Schutz des Hinweisgebers und weiterer, durch das Gesetz explizit geschützte Personen. Für dieses Zusammenspiel sieht das HinSchG recht komplexe Vorgaben vor. Nicht zuletzt deshalb fordert das Gesetz auch eine Schulungspflicht für Meldestellen.
Folgen:
Verstöße gegen das HinSchG sind bußgeldbewehrt. Hier reicht die Spanne von EUR 10.000 bis EUR 50.000, je nach Verstoß. Es geht dabei nicht nur um die Pflicht zur Einrichtung der Meldestelle, sondern auch um Pflichtverletzungen in den von ihr geführten Verfahren. Bei einer unzureichend ausgestatteten und schlecht geschulten Meldestelle kann sich das über die Zeit also ganz schön summieren.
Allerdings gewährt der Gesetzgeber hier eine Schonfrist: Bußgelder sollen überhaupt erst ab Dezember verhängt werden. Und die Pflicht zur Einrichtung einer Meldestelle soll zunächst nur für Unternehmen („Beschäftigungsgeber“) mit (in der Regel) 250 oder mehr Mitarbeitern („Beschäftigungsnehmern“) gelten. Unternehmen mit (in der Regel) nur 50 bis 250 Mitarbeitern sind erst ab dem 17. Dezember 2023 hierzu verpflichtet – denen bleibt also noch etwas Zeit.
Stolpersteine:
- Wie genau bemessen sich die maßgeblichen 50 bzw. 250 „Beschäftigungsnehmer“ und zu welchem Zeitpunkt?
- Was gilt als „Verstöße“ gem. HinSchG bzw. welche gemeldeten Vorgänge fallen genau in den Anwendungsbereich des HinSchG?
- Wie verhält sich das Vertraulichkeitsgebot des HinSchG zum Schutz personenbezogener Daten gem. DSGVO?
- Wie ist das Verhältnis zum Geschäftsgeheimnisgesetz, wenn also der Hinweis darunter geschützte vertrauliche Informationen enthält?
- Welche Anforderungen sind zu stellen an die geforderten „Einwilligungen“ und „Zustimmungen“ im Zusammenhang mit telefonischen oder im persönlichen Gespräch vorgetragenen Hinweisen, wenn diese aufgezeichnet bzw. protokolliert werden?
- Wie verträgt sich das Gebot der Unabhängigkeit mit anderen Aufgaben, die den für die Meldestelle Verantwortlichen auferlegt werden bzw. wie kann man Interessenskonflikte vermeiden?
- Ist die Einrichtung einer Meldestelle bei Bestehen eines Betriebsrats mitbestimmungspflichtig?
- Ist ein Verstoß gegen die Pflicht zur Einrichtung einer Meldestelle zugleich ein Verstoß gegen das Gesetz gegen den unlauteren Wettbewerb (UWG) und damit abmahnfähig?
Nicht zuletzt der Datenschutz provoziert interessante Fragen:
- Kann der interne Datenschutzbeauftragte die Meldestelle führen oder sind da nicht Interessenskonflikte vorprogrammiert bzw. wie kann man diese vermeiden?
- Wer ist „Verantwortlicher“ gem. Art. 4 Nr. 7 DSGVO für die von der internen Meldestelle verarbeiteten personenbezogenen Daten: die Meldestelle, das Unternehmen oder beide in gemeinsamer Verantwortlichkeit? Muss man also ggf. eine Vereinbarung zur Auftragsdatenverarbeitung abschließen?
- Muss ich bei Einrichtung der Meldestelle eine Datenschutzfolgenabschätzung erstellen?
- Wie werden Informations- und Auskunftspflichten nach Art. 12 bis 15 DSGVO erfüllt?
- Und welche Rechtsgrundlagen bestehen überhaupt für die Datenflüsse zwischen Meldestelle, Hinweisgeber, Beschäftigungsgeber etc.?
Nächste Schritte:
All das zeigt, dass die Einrichtung und Vorhaltung einer solchen Meldestelle nicht ohne ist. Das Unternehmen muss sich eingehend Gedanken dazu machen, welche Personen – intern wie extern – für diese Funktion in Frage kommen, wie diese hinreichend geschult und mit den erforderlichen Kompetenzen ausgestattet werden.
Informieren Sie sich! Es gibt zum Beispiel zahlreiche Softwareangebote am Markt, die das Handling von Hinweisen, Verfahren und Fristen sowie Dokumentation etc. ermöglichen. Auch externe Lösungen diverser Dienstleister gibt es. Zunächst aber müssen Sie wissen, ob Sie unter den Anwendungsbereich des Gesetzes fallen und Ihren konkreten Bedarf eruieren, um zielgerichtet vorgehen zu können.
Ich biete an, Sie umfassend zu informieren und auf dem Weg zur Einrichtung der eigenen Meldestelle zu begleiten. Gerne betreue ich Sie bzw. Ihre Meldestelle punktuell in den immer wieder aufkommenden Rechtsfragen. Auch übernehme ich die Schulung Ihrer Mitarbeiter in Bezug auf das HinSchG, initial und wiederkehrend.