Für Unternehmen mit mindestens 250 Mitarbeitern folgt mit Inkrafttreten des Hinweisgeberschutzgesetzes (HinSchG) kurzfristiger Handlungsbedarf. Sie müssen entweder ihr bereits eingerichtetes Hinweisgebersystem auf seine Konformität mit dem HinSchG überprüfen oder überhaupt erst ein solches einrichten und betreiben. Unternehmen mit mindestens 50 Mitarbeitern betrifft dieser Handlungsbedarf ab Dezember 2023. Bei Nichteinhaltung drohen empfindliche Bußgelder sowie der (zulässige) Abfluss von kritischen Unternehmensinterna und Knowhow.

Ziel des Hinweisgeberschutzgesetzes

Ziel des HinSchG ist der verbesserte Schutz von hinweisgebenden Personen vor Benachteiligungen, die ihnen wegen ihrer Meldung drohen und sie davon abhalten könnten. Darüber hinaus sollen Personen geschützt werden, die Gegenstand einer Meldung oder Offenlegung durch eine hinweisgebende Person sind, sowie sonstige Personen, die von einer Meldung oder Offenlegung betroffen sind.

Gleichzeitig soll dieses Ziel mit den Interessen von Unternehmen und öffentlicher Verwaltung so in Einklang gebracht werden, dass bürokratische Belastungen handhabbar bleiben.

Aktueller Stand des Gesetzgebungsverfahrens

Obwohl die EU-Whistleblower-Richtlinie von den EU-Mitgliedstaaten bis zum 17. Dezember 2021 in nationales Recht umzusetzen gewesen wäre, ist dies in Deutschland - ebenso wie in vielen anderen Mitgliedstaaten - bislang nicht erfolgt.

Nachdem der Bundestag den Regierungsentwurf zum HinSchG im Dezember 2022 beschlossen hatte, hat der Bundesrat dem Gesetz seine Zustimmung in der Sitzung am 10. Februar 2023 verweigert. Der nächste Schritt dürfte nun der Vermittlungsausschuss sein. Wird eine Einigung erzielt, wird das HinSchG dann innerhalb von drei Monaten nach seiner Verkündung in Kraft treten.

Das HinSchG bedeutet einen Kulturwandel für KMUs

Insbesondere mittelständisch geprägte Unternehmen hegen bislang häufig Vorbehalte gegen die Einführung von Hinweisgebersystemen. Sie empfinden das abstrakte System für offene oder sogar anonyme Meldungen von Fehlverhalten als kulturellen Fremdkörper. Manch einer betrachtet es sogar als Einfallstor für Denunziantentum. Allen Einwänden zum Trotz, werden aber auch die KMUs in Zukunft um eine interne Meldestelle nicht herumkommen. Andernfalls droht ihnen das im HinSchG vorgesehene Bußgeld in Höhe von bis zu 20.000 Euro.

Die Pflicht zur Einrichtung einer internen Meldestelle trifft grundsätzlich jedes Unternehmen mit mindestens 50 Beschäftigen. Unternehmen aus bestimmten Branchen, etwa aus dem Finanz- und Versicherungssektor, müssen unabhängig von diesem Schwellenwert immer eine interne Meldestelle einrichten. Das Ziel dieser Einrichtung ist die Bereitstellung eines vertraulichen Meldekanals, um Informationen von Unternehmensangehörigen über potenzielle Rechtsverstöße entgegenzunehmen, darüber aufzuklären sowie Folgemaßnahmen zu ergreifen, falls erforderlich. Lediglich in einer Übergangsphase betrifft diese Verpflichtung zunächst nur Unternehmen mit mindestens 250 Beschäftigten, bevor ab dem 17. Dezember 2023 dann die Schwelle von 50 Beschäftigten gilt.

Was müssen Unternehmen umsetzen?

Die Einrichtung einer internen Meldestelle ist für die in den Anwendungsbereich des HinSchG fallenden Unternehmen verpflichtend, allerdings darf auch ein Dritter mit den Aufgaben der internen Meldestelle betraut werden. Für die Bearbeitung eingehender Meldungen ist ein Hinweisempfänger zu berufen und Meldungen von Whistleblowern sind sowohl mündlich wie auch schriftlich entgegenzunehmen.

Auf Wunsch müssen Unternehmen es dem Hinweisgeber innerhalb einer angemessenen Zeit ermöglichen, sich mit dem Hinweisempfänger persönlich zu treffen. Mit Einwilligung des Whistleblowers kann das Treffen auch virtuell erfolgen.

Welche Informationen werden erfasst?

Das Hinweisgeberschutzgesetz schützt nicht alle Informationen, die gemeldet werden könnten. Vorrangig sollen Meldungen geschützt werden, die die Verletzung von straf- oder bußgeldbewährten Vorschriften betreffen, sofern die Vorschrift dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient (§ 2 Abs. 1 HinSchG).

Es werden aber auch Meldungen zu weiteren Themenfeldern geschützt, beispielsweise zur Verfassungstreue von Beamten und zu Tierschutzverstößen in Landwirtschaftsbetrieben.

Rechte und Pflichten des Hinweisempfängers

Hinweisempfänger müssen unabhängig sein. Dabei ist sicherzustellen, dass andere (beispielsweise operative) Aufgaben und Pflichten nicht zu Interessenkonflikten führen. Zudem muss der Hinweisempfänger über die notwendige Fachkunde verfügen. Außerdem sind bei der Bearbeitung eingehender Hinweise gesetzlich vorgegebene Fristen zu beachten. Beispiele dafür sind:

• Eingangsbestätigung innerhalb von sieben Tagen,

• Rückmeldung zum Ermittlungsstand spätestens nach drei Monaten und

• die gesetzlichen Dokumentationspflichten.

Von besonderer Bedeutung - und im Falle eines Verstoßes mit einem erheblichen Bußgeld bewährt - ist in diesem Zusammenhang die Verpflichtung zur Wahrung der Vertraulichkeit. Diese besteht nicht nur in Bezug auf die Identität des Hinweisgebers, sondern auch im Hinblick auf alle in der Hinweismeldung genannten Personen.

Anonyme Meldungen: Interne und externe Meldestellen müssen nun auch anonym eingehende Meldungen bearbeiten. Dies bedeutet, dass dafür Meldekanäle vorgehalten werden müssen, welche die anonyme Kontaktaufnahme und anonyme Kommunikation zwischen hinweisgebender Person und interner Meldestelle ermöglichen.

Rechte und Pflichten des Whistleblowers

Whistleblower sind verpflichtet, ausschließlich nach subjektiven Maßstäben wahrheitsgemäße Angaben zu machen. Die hinweisgebende Person hat das Recht auf einen umfassenden Schutz vor arbeitsrechtlichen Repressalien - zum Beispiel vor:

• Diskriminierung oder Ausgrenzung,

• negativen Leistungsbeurteilungen,

• Abmahnungen,

• einer Kündigung,

• Versetzung,

• Degradierung

• oder Suspendierung.

Zu diesem Zweck sieht das HinSchG eine Beweislastumkehr vor. Das bedeutet, dass das Unternehmen beweisen muss, dass relevante arbeitsrechtliche Maßnahmen nicht aufgrund von Whistleblowing ergriffen worden sind.

Auswirkungen auf etablierte Hinweisgebersysteme

Die gesetzlichen Regelungen des Hinweisgeberschutzes werden auch für Unternehmen mit bereits etablierten Compliance-Strukturen nachhaltige Folgen mit sich bringen. Diese Unternehmen verfügen in der Regel bereits über Hinweisgebersysteme, die mit überschaubarem Aufwand auf Lücken zur gesetzlichen Neuregelung geprüft und - soweit erforderlich - angepasst werden können. Ob solche Anpassungen als Stückwerk genügen, ist allerdings aus zwei Gründen fraglich:

1. Die Anzahl von Compliance-Untersuchungen wird signifikant ansteigen
   Wegen der Aufmerksamkeit, die das Thema Whistleblowing, aber auch die Einrichtung von Compliance-Maßnahmen und -Strukturen in der Lieferkette derzeit erfahren, ist mit einer deutlichen Zunahme von internen und externen Hinweisen von Whistleblowern zu rechnen. Sind sie von rechtlicher Relevanz, muss das Unternehmen die Hinweise zur Vermeidung von Sanktionen aufklären, soweit es möglich ist.
   Nicht nur große Konzerne, sondern auch mittelständische Unternehmen werden sich daher zunehmend mit der Notwendigkeit der Aufklärung von Whistleblower-Hinweisen (Internal Investigations) konfrontiert sehen. Nicht bei allen KMUs sind dafür die Expertise oder die nötigen Kapazitäten vorhanden.

2. Die thematische Untersuchungs-Bandbreite erweitert sich
   Nicht zuletzt ausgelöst durch die Diskussionen rund um das Thema ESG (Environment, Social, Governance) müssen sich interne Meldestellen mehr und mehr mit Verstößen aus Bereichen befassen, die früher keine oder nur eine geringere Relevanz für Compliance-Abteilungen hatten.
   Traditionell standen eher Verstöße gegen das Kartellrecht und Korruption im Fokus notwendiger Aufklärungsmaßnahmen. Die jüngsten, häufig öffentlichkeitswirksamen Compliance-Fälle zeigen aber, dass vermehrt Themen wie sexuelle Belästigung (Stichwort #metoo), Datenschutz, Umweltschutz, Arbeitssicherheit und potenzielle Menschenrechtsverletzungen im Fokus interner Untersuchungen durch Compliance-Abteilungen stehen - eine Entwicklung, die das HinSchG noch verstärken wird.

Um dieser veränderten Themenstruktur gerecht zu werden, bedarf es in den Compliance-Abteilungen künftig einer breit aufgefächerten Fachexpertise sowie einer noch stärkeren Abstimmung und Verzahnung zwischen den betroffenen Fachabteilungen, wie zum Beispiel HR, Einkauf, Recht und Revision.

"Compliance" in der Compliance

Die Compliance-Untersuchungen im Unternehmen werden künftig auch in sich selbst noch ein höheres Compliance-Risiko tragen. In der Vergangenheit wurden Compliance-Untersuchungen mit Blick auf den zeitlichen Druck zur Aufklärung nicht selten ohne vorherige datenschutzrechtliche Risikoeinschätzung durchgeführt. Es galt, das Fehlverhalten möglichst rasch und effektiv aufzuklären. Bedenken im Hinblick auf etwaige Datenschutzverstöße wurden häufig wenig Bedeutung beigemessen.

Deutsche und europäische Datenschutzbehörden haben die "Internal Investigations" zuletzt jedoch immer mehr für sich entdeckt. Sie untersuchen derzeit vermehrt die Einhaltung von datenschutzrechtlichen Anforderungen bei internen Untersuchungen. Insofern dürfen die In­ves­ti­ga­ti­on und die Übermittlung der Ergebnisse, zum Beispiel an ausländische Strafverfolgungsbehörden, nicht auf Kosten der Arbeitnehmerschaft und zulasten des Datenschutzes gehen.

Die vom HinSchG angedrohten Bußgelder im Falle der Verletzung der Vertraulichkeit werden bei Compliance-Untersuchungen künftig wie ein Damoklesschwert über den Verantwortlichen schweben. Sie müssen einerseits einen Sachverhalt im Unternehmen ermitteln, dürfen dabei aber nicht die Identität des Hinweisgebers offenbaren. Auch dürfen sie keine Informationen im Rahmen der Nachforschungen preisgeben, die Rückschlüsse auf die Identität des Hinweisgebers zulassen. Im Rahmen von Interviews mit Mitarbeiterinnen und Mitarbeitern ist Letzteres aber häufig ein "Ritt auf der Rasierklinge".

Die Compliance-Abteilungen stehen daher künftig noch stärker vor der Herausforderung, den Ausgleich zwischen dem Aufklärungsinteresse des Unternehmens einerseits und den Schutz- und Vertraulichkeitsinteressen der beteiligten Arbeitnehmer andererseits zu schaffen.

Lesetipp: Bußgeldkatalog - Die teuersten Datenschutz-Fails

Störfaktor Arbeitsrecht

Überdies hat die arbeitsgerichtliche Rechtsprechung den Compliance-Abteilungen in jüngster Zeit einige zusätzliche Denksportaufgaben gestellt. So können Untersuchungen von den Vertretungen der Arbeitnehmerschaft, zum Beispiel dem Betriebsrat, unter Umständen gestoppt werden, sofern diese bei der Initiierung und Durchführung der Untersuchung nicht hinreichend beteiligt wurden.

Zudem können Betroffene im Unternehmen durch den datenschutzrechtlich abgesicherten Auskunftsanspruch Zugriff auf vertrauliche Zwischenergebnisse der Untersuchung erlangen und den Fortgang der Ermittlung so gegebenenfalls empfindlich stören. Dies gilt es, gemeinsam mit den HR-Abteilungen im Unternehmen, durch eine Einbindung der Mitbestimmungsorgane, bereits vor dem Eintritt einer Untersuchung zu regeln - zum Beispiel mit einer Betriebsvereinbarung.

Chancen für Unternehmen

Die vom Hinweisgeberschutzgesetz ausgelösten Impulse sollten als Chance und nicht als nur lästiges Übel angesehen werden. Durch die Einrichtung einer an die jeweiligen Bedürfnisse und Gegebenheiten angepassten internen Meldestelle kann jedes Unternehmen die drei Stadien eines Compliance-Management-Systems - Prävention, Erkennung, Reaktion - erfolgreich und möglichst risikoarm durchlaufen und damit für eine lückenlose Aufklärung sorgen.

Key-Take-Aways

• Unternehmen sollten schon jetzt interne Meldekanäle für Hinweisgeber einrichten und diese regelmäßig auf Konformität mit der Rechtslage überprüfen.

• Unternehmen müssen sich auf einen signifikanten Anstieg von internen und externen Hinweisen einstellen.

• Es sollte Awareness im Unternehmen und bei den Mitarbeitern geschaffen werden. Für Unternehmen sind beispielsweise regelmäßige Schulungen und interne Mitteilungen von Vorteil, da die Deutungshoheit über den Inhalt erhalten bleibt, kein Abfluss von Know-how droht und Schutz vor Reputationsschäden erhalten bleiben kann.

• Compliance-Abteilungen müssen den Balanceakt zwischen dem Aufklärungsinteresse des Unternehmens einerseits sowie den Schutz- und Vertraulichkeitsinteressen der beteiligten Arbeitnehmerschaft andererseits meistern, wollen sie nicht selbst einen Compliance-Verstoß begehen.

• Compliance-Abteilungen werden sich noch stärker mit den jeweiligen Fachabteilungen, insbesondere mit HR, Legal, Einkauf und Revision, verzahnen müssen, um der Komplexität von unternehmensinternen Untersuchungen im Nachgang von Meldungen durch eine hinweisgebende Person gerecht zu werden.

Eine effektive, interne Meldestelle hilft ganz erheblich dabei, zum Vorteil des eigenen Unternehmens, frühzeitig Kenntnis über mögliche Rechtsverstöße zu erlangen. Werden diese Vorgänge frühestmöglich bearbeitet, kann möglicher Schaden minimiert oder abgewendet werden. So gelangen Unternehmen regelmäßig "vor die Welle" möglicher Sanktionsmechanismen. (bw)