Neue Pflichten für Unternehmen – Umsetzung Hinweisgeberschutzgesetz – Einrichtung Meldestelle für Whistleblower

//

Liebe Leser und Datenschutz-Interessierte,

vielleicht haben Sie schon von der EU-Richtlinie zum Hinweisgeberschutz (sog. Whistleblower-Richtlinie) gehört. Auf dieser Basis hat das Bundesjustizministerium mit deutlicher Verspätung einen Gesetzesentwurf (Hinweisgeberschutzgesetz) vorgelegt, der zahlreiche neue und bußgeldbewehrte Pflichten für Unternehmen und für öffentliche Stellen enthält, über die wir Sie informieren möchten.

Dem Thema „Hinweisgeberschutz“ kommt aktuell eine immer größere Bedeutung zu. Die Unternehmensverbände und auch die Politik haben erkannt, wie essentiell es für alle Beteiligten ist, frühzeitig und umfassend Kenntnis von internen Rechtsverstößen zu erhalten und so die Unternehmens-Compliance insgesamt drastisch zu verbessern. Nach dem aktuellen Stand des Entwurfs des Hinweisgeberschutzgesetzes können die Hinweisgeber alle Sachverhalte melden, die straf- und bußgeldbewehrt sind.

Das bedeutet, dass das gesamte Straf- und Ordnungswidrigkeitenrecht, mithin von der Geldwäsche, Unterschlagung oder sexueller Belästigung bis hin zu Geschwindigkeits- oder Parkverstößen, Gegenstand der Meldung des Hinweisgebers sein kann. Ob diese Ergänzung und Erweiterung des Anwendungsbereichs im Gegensatz zur EU-Hinweisgeberrichtlinie bestehen bleibt, bleibt abzuwarten, da hierzu größere Streitpunkte in der Politik bestehen.

I. Umsetzung Hinweisgeberschutzgesetz – Ab wann muss ich als Unternehmen das Hinweisgeberschutzgesetz beachten?

Der Entwurf des Hinweisgeberschutzgesetzes befindet sich derzeit noch im Gesetzgebungsverfahrens im Bundestag. Der konkrete Stand ist unklar, wobei zeitnah (spätestens nach der Sommerpause des Bundestags) mit einer Verabschiedung gerechnet wird.

Für größere Unternehmen ab 249 Mitarbeiter wird es in Sachen Hinweisgeberschutzgesetz keine Umsetzungsfrist geben. Diese Unternehmen müssen sofort tätig werden und entsprechende Strukturen und Prozesse einrichten. Lediglich für kleinere Unternehmen ab 50 bis 249 Mitarbeiter wird es aller Voraussicht nach eine Umsetzungsfrist bis Mitte/Ende Dezember 2023 geben. Doch die Einrichtung einer solchen Meldestelle und damit die rechtskonforme Umsetzung des Hinweisgeberschutzgesetzes kostet einige Zeit, sodass die Unternehmen mit einer gewissen Vorlaufzeit in die betriebliche Umsetzung gehen müssen, wenn Sie die Umsetzungsfrist tatsächlich einhalten wollen.

Abweichend und damit unabhängig von der konkreten Anzahl der Mitarbeiter sind jedoch gemäß § 12 Abs. 3 HinwSchG ganz bestimmte Unternehmen (z.B. Kredit- und Finanzdienstleistungsunternehmen, inkl. FinTecs) immer zur Einrichtung einer Meldestelle nach dem Hinweisgeberschutzgesetzes verpflichtet. Ob die Umsetzungsfrist, die für kleinere Unternehmen unter 249 Mitarbeiter gilt, auch für die besonderen Unternehmen wie Kreditinstitute und Finanzdienstleister gilt, ist derzeit unklar. Insofern sollten sich insbesondere diese Unternehmen darauf vorbereiten, dass die gesetzlichen Vorgaben zur Einrichtung einer internen Meldestelle direkt und unmittelbar für Sie am 17.12.2022 gelten werden.

II. Meldekanäle Hinweisgeberschutzgesetz – Was muss ich alles bereitstellen?

Das Hinweisgeberschutzgesetz sieht im Wesentlichen – wie auch die EU-Hinweisgeberrichtlinie – drei verpflichtend einzurichtende Meldewege oder Meldekanäle vor. Meldungen müssen in mündlicher Form (z.B. per Telefon), in Textform (z.B. per E-Mail, per Online-Formular oder per Post) und auf Wunsch des Hinweisgebers auch persönlich, etwa im Rahmen eines persönlichen Treffens ermöglicht werden.

Damit das alles reibungslos funktioniert, müssen betriebliche Prozesse definiert, Arbeitsanweisungen erlassen und die jeweiligen Meldewege eingerichtet und an Mitarbeiter kommuniziert werden. Ebenso sollten aus Compliance-Gründen die eingerichteten Meldekanäle (z.B. das Online-Meldeformular) in regelmäßigen Abständen auf Funktionsfähigkeit getestet werden. Wenn der angebotene Meldeweg – etwa nach einem Software-Update – nicht mehr ordnungsgemäß funktioniert, so kann dies ein Bußgeld für das Unternehmen bis zur Höhe von 300.000€ nach sich ziehen.

Darüber hinaus ist wichtig zu wissen, dass das Hinweisgeberschutzgesetz auch konkrete Anforderungen an den Umgang mit eingegangen Hinweisen / Meldungen vorsieht. So muss die interne Meldestelle bzw. der Hinweisgeberschutzbeauftragte u.a. folgendes tun:

  • Dem Meldenden den Eingang seines Hinweises innerhalb einer bestimmten Frist bestätigen und ihm Informationen zum weiteren Verlauf des Verfahrens geben.
  • Kontakt mit dem Meldenden halten, etwa bei Rückfragen zu aufklärungsrelevanten Informationen des Sachverhalts
  • Die Stichhaltigkeit und Validität der Meldung juristisch und fachlich prüfen und im Anschluss angemessene Folgemaßnahmen ergreifen bzw. die Folgemaßnahmen zusammen mit den zuständigen Personen im Unternehmen besprechen und implementieren.
  • Dem Meldenden Rückmeldung über den aktuellen Stand seiner Meldung und das Ergebnis der internen Ermittlung geben.

Hinweis: Allerdings bestimmt in jedem Fall der Hinweisgeber, ob er seine Meldung / seinen Hinweis an die interne Meldestelle oder an externe Meldestellen (z.B. von den Mitgliedstaaten benannte Behörden) melden und damit auch direkt an die Öffentlichkeit gehen möchte. Hier kann Nudging helfen – deswegen ist die offene und kooperative Kommunikation mit den Beschäftigten hier von großer Wichtigkeit.

III. Umsetzung Hinweisgeberschutzgesetz – Kann das der Datenschutzbeauftragte übernehmen?

Das Hinweisgeberschutzgesetz sieht ebenso wie die EU-Hinweisgeberrichtlinie vor, dass die interne Meldestellen, die innerhalb der Unternehmen zu errichten sind, auch von Dritten und damit von externen Personen, wie bspw. vom externen Datenschutzbeauftragten, ausgeübt werden können. Die Funktion der internen Meldestelle vom (externen) Datenschutzbeauftragten des Unternehmens ausüben zu lassen, liegt nicht nur nahe, sondern ist auch sinnvoll.

Der Datenschutzbeauftragte fungiert als neutrale und verschwiegene Institution, er gewährleistet die Vertraulichkeit und bringt – zumindest sofern er einen juristischen Hintergrund besitzt – auch das fachliche/juristische Know-How zum rechtskonformen Umgang mit den Hinweisen mit sich. So sieht dies auch der EU-Gesetzgeber, da er in Erwägungsgrund 56 der Hinweisgeber-Richtlinie gerade KMU empfiehlt die interne Meldestelle durch den (externen) Datenschutz- oder Compliancebeauftragten zu realisieren.

Auf dem deutschen und europäischen Markt werden derzeit zahlreiche sog. Whistleblowing-Systeme als SaaS-Lösung angeboten. Mit ihrer Hilfe sollen die Unternehmen die gesetzlichen Vorgaben des Hinweisgeberschutzgesetzes umsetzen können. Die bloße Anschaffung eines solchen Systems ist für die Einhaltung der rechtlichen Vorgaben alleine jedoch nicht ausreichend. Hintergrund: Die Meldestelle muss im Wesentlichen mit fachkundigen und juristisch sehr versierten Personen ausgestattet sein; ein reines Software-Tool bietet nur die technischen Rahmenbedingungen für einen Meldeweg, da über die reine Bereitstellung des Tools seitens der Anbieter keine Unterstützung und kein fachlicher Support für die interne Meldestelle angeboten wird.

Diese Personen (auch als Hinweisgeberschutzbeauftragter bezeichnet) muss in der Lage sein, eingehende Hinweis auf rechtliche Validität, Bedeutung und Relevanz hin zu prüfen und ggf. weitere Schritte, wie etwa interne Ermittlungen und die Korrespondenz mit dem Hinweisgeber aufzunehmen.

IV. Hinweisgeberschutz und Betriebsrat – Was gilt es zu beachten?

Bei der Umsetzung des Hinweisgeberschutzgesetzes darf auch der Betriebsrat und dessen Rechte nicht unbeachtet bleiben. Sofern Sie in Ihrem Unternehmen also einen Betriebsrat haben, so empfiehlt es sich bereits frühzeitig – vor der Einrichtung der Meldestelle – Kontakt zum Betriebsrat aufzunehmen und mit diesem die wesentlichen Eckpunkte, mithin, wie die Meldestelle konkret ausgestaltet werden soll, zu besprechen. Des Weiteren müssen in diesem Zusammenhang auch etwaige Mitbestimmungsrechte des Betriebsrats (§ 87 BetrVG) beachtet werden. Auch der Abschluss einer Betriebsvereinbarung zur Einrichtung der Meldestelle ist denkbar, in der die wesentlichen Rahmenbedingungen festgeschrieben werden. Auch bei diesen Punkten unterstützt Sie i.d.R. Ihr betrieblicher Datenschutzbeauftragter, der als fachkundiger Ansprechpartner des Betriebsrat auf Augenhöhe fungiert.

V. Schutz der Arbeitnehmer vor Repressalien und Benachteiligungen im Unternehmen

Das Hinweisgeberschutzgesetz sieht einen umfangreichen Schutz der Beschäftigten vor Repressalien oder sonstigen wie auch immer gearteten Benachteiligungen im Falle von Meldungen vor. Meldet ein Beschäftigter einen Rechtsverstoß an die interne Meldestelle, so dürfen diesem Mitarbeiter durch die Meldung keinerlei ungerechtfertigte Nachteile, wie bspw. Kündigung, Abmahnung, Verssagen einer Beförderung, veränderte Aufgabenübertragung, Disziplinarmaßnahmen, Mobbing oder interne Versetzungen widerfahren. Die Beweislast hierfür liegt zugunsten des Beschäftigten beim Unternehmen. Kommt es im Nachgang einer Meldung doch zu ungerechtfertigten Nachteilen, so muss das Unternehmen nachweisen, dass diese nicht in Zusammenhang mit der vorherigen Meldung des Beschäftigten stehen.

Unsere Empfehlung: Hinweise (aller Art) müssen ernst genommen und seriös gehandhabt werden. Hierdurch wird auch eine offene Kommunikations- und Fehlerkultur im Unternehmen gefördert, die den Mitarbeitern gegenüber verdeutlicht, dass ihre Meinung zählt und wichtig ist. Wird im Unternehmen ein offener Umgang mit entsprechenden Hinweisen und Meldungen gepflegt, so bietet dies die große Chance externe Stellen bei Rechtsverstößen aus dem Unternehmen rauszuhalten und rechtliche Risiken für das Unternehmen zu reduzieren.

VI. Hinweisgeberschutzgesetz und Datenschutz

Wie sollte es anders sein: Auch bei der Einrichtung der Meldestelle und bei der Umsetzung des Hinweisgeberschutzgesetzes sind auch zahlreiche Datenschutzvorgaben von den Unternehmen zu beachten. Gerade bei Einrichtung und beim Betrieb der internen Meldestelle kommt es nämlich regelmäßig zu einer Vielzahl auch sensibler personenbezogener Daten, die verarbeitet werden. Als Rechtsgrundlage für die Datenverarbeitung kommt hierbei insbesondere Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 10 Hinweisgeberschutzgesetz, wonach die Meldestellen zur Verarbeitung von personenbezogenen Daten befugt sind, die zur Erfüllung ihrer in den §§ 13 und 24 bezeichneten Aufgaben erforderlich sind. Dies ist bspw. der Fall, wenn die Meldestelle die personenbezogenen Daten der meldenden Person zur Sachverhaltsaufklärung speichert und die Person in diesem Kontext kontaktiert und weitere Informationen von dieser anfordert.

Allerdings gibt es aus datenschutzrechtlicher Sicht noch weitere Pflichten zu beachten. Hierzu zählt etwa die Erstellung einer Datenschutzerklärung mit der die Beschäftigten über die Art und den Umfang der Datenverarbeitung bei der Bearbeitung von Meldungen informiert werden. Aufgrund des voraussichtlichen (hohen) Risikos für die Rechte und Freiheiten der Personen bei der im Rahmen der Meldestelle verarbeiteten Daten ist auch an die Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO zu denken. Sollten Sie sich ein Whistleblowing-Systems als SaaS-Lösung ohne fachliche Unterstützung einkaufen, so ist an den Abschluss eines Auftragsverarbeitungsvertrag (Art. 28 DSGVO) mit dem jeweiligen Dienstleister zu denken.

VII. Kosten für die Einrichtung der Meldestelle und für die Beauftragung externer Hinweisgeberschutzbeauftragter

Entscheidet sich das Unternehmen, dass es die interne Meldestelle – etwa mangels personeller und fachlicher Kapazitäten oder aufgrund der Probleme mit der Wahrung der Vertraulichkeit / Verschwiegenheit – nicht selbst rechtskonform betreiben und einrichten kann, muss ein externer Hinweisgeberschutzbeauftragter mit der Leitung der internen Meldestelle beauftragt werden. Wie für alle externer Dienstleister fallen auch für diesen Dienstleister Kosten an. Die Höhe der Kosten für die interne Meldestelle, mit denen das Unternehmen rechnen muss, richtet sich in allererster Linie nach dem konkreten Leistungsumfang des Dienstleisters und nach der Anzahl der Mitarbeiter als potentiell meldende Personen.

Es macht bspw. einen großen Unterschied, ob der Dienstleister die gesamte Betreuung und den Betrieb der internen Meldestelle aktiv übernimmt, mithin, ob er die eingehenden Meldungen juristisch prüft, mit dem Hinweisgeber Rücksprache hält und die internen Ermittlungen koordiniert oder ob er nur als (passiver) Ansprechpartner für Hinweisgeber fungiert, sich aber nicht selbst um eingehende Meldungen kümmert und diese nicht inhaltlich prüft. An dieser Stelle ist es von großer Bedeutung, dass Sie als Unternehmer den konkreten Leistungsumfang der zur Auswahl stehenden Dienstleister genau unter die Lupe nehmen, da ansonsten eine Vergleichbarkeit der Angebote nicht möglich ist.

Daneben richtet sich der Preis auch nach der Anzahl der Beschäftigten, da sich hieran auch der Aufwand für den Hinweisgeberschutzbeauftragten prognostizieren lässt. Zumeist wird die Vergütung hierbei pro Mitarbeiter und Monat festgesetzt, sodass für kleine und mittlere Unternehmen die Kosten in einem sehr überschaubaren Rahmen bleiben.

Wir von der GDPC GbR, mithin unsere externen Datenschutz- und Hinweisgeberschutzbeauftragten, bieten all unseren Mandanten ein Full-Service-Angebot, das bereits alle rechtlichen Anforderungen des Hinweisgeberschutzgesetzes erfüllt; alle Leistungen aus einer Hand durch uns im Komplettpaket; wir richten die Meldestelle für Sie ein, stellen alle erforderlichen Dokumente bereits, sodass Sie sich auf Ihr Kerngeschäft fokussieren können – einfach, transparent und kompetent! Sprechen Sie uns gerne an, sodass wir Ihnen ein individuelles auf Sie maßgeschneidertes Angebot erstellen und Sie sodann bei der Umsetzung der Pflichten zeitnah unterstützen können.

Ihre Datenschutzbeauftragten von der GDPC

Datenschutz ist einfacher mit den richtigen Weggefährten – kommen Sie gerne auf uns zu.