Schutz von Whistleblowern und die Wahrung der Vertraulichkeit mit dem PRIMA Hinweisgeber

Damit Ihnen „der Staat nicht die rote Karte zeigt“ haben wir uns mal wieder mit gesetzlichen Vorgaben zum Hinweisgeberschutz beschäftigt und zugleich kostengünstige Lösungen zur Einrichtung von Hinweisgebersystemen entwickelt. Wer mehr erfahren möchte, liest weiter…

Hinweisgebersystem – wieso schon wieder ein neues Gesetz?

In den meisten Fällen nehmen Mitarbeiter in Unternehmen und Behörden Rechtsverstöße als erste zur Kenntnis. Oftmals werden diese Missstände jedoch nicht aufgedeckt. Eine Untersuchung, Verfolgung und Unterbindung können daher nur erfolgen, wenn auf diese Missstände hingewiesen wird. Hinweisen können aber oftmals nur diejenigen, die die Rechtsverstöße auch wahrgenommen haben. Dies sind in den allermeisten Fällen Beschäftigte. Wer aber den eigenen Arbeitgeber meldet, läuft Gefahr, Benachteiligungen zu erleiden. Davor soll nun das sogenannte Hinweisgeberschutzgesetz (HinSchG) oder „Whistleblowergesetz“ schützen.

Im Juli 2022 veröffentlichte die Bundesregierung einen entsprechenden Gesetzentwurf. Der Bundestag und der Bundesrat berieten am 29. September 2022 erstmals zu dem Entwurf des Hinweisgeberschutzgesetzes. Schließlich diskutierte auch der Rechtsausschuss in einer öffentlichen Anhörung am 19. Oktober 2022 den Gesetzentwurf. Der Bundesrat verweigerte am Freitag 10.02.2023 die Zustimmung zum im Dezember 2022 vom Bundestag verabschiedete Hinweisgeberschutzgesetz. Das Gesetz kann daher vorerst in nicht in Kraft treten. In der Folge verklagt nun die EU-Kom­mis­si­on vor dem Europäischen Gerichtshof (EuGH) neben Deutsch­land auch einige weitere Länder wegen un­zu­rei­chen­den Schut­zes von Hin­weis­ge­bern.

Das „Whistleblowergesetz“ soll nicht nur einem besseren Schutz von Whistleblowern dienen, sondern zugleich die EU-Whistleblower-Richtlinie ((EU) 2019 / 1937) umsetzen.

Der uns vorliegende Entwurf des Hinweisgeberschutzgesetzes bzw. „Whistleblower-Gesetzes“ enthält nun die wesentlichen Anforderungen und Verfahren für den Schutz von Whistleblowern in Unternehmen, Behörden und sonstigen staatlichen Einrichtungen.

Was steht konkret im Entwurf des Whistleblower-Gesetzes? Was kommt auf Sie als Unternehmen oder Behörde zu? Worauf sollten Sie jetzt Acht geben?

Hinweisgebende Personen

Nach § 1 HinSchG-Entwurf sind diejenigen Personen besonders geschützt, die im Rahmen oder im Vorfeld ihrer beruflichen, unternehmerischen oder dienstlichen Tätigkeit Informationen über Rechtsverstöße beim Beschäftigungsgeber erlangt haben und diese an entsprechende Meldestellen melden oder offenlegen. Beschäftigte können auf diese Weise Missstände bei Ihrem Arbeitgeber aufdecken und dadurch sogar die behördliche Verfolgung anstoßen. Aber auch Kunden oder Lieferanten kommen als potenzielle Hinweisgeber in Betracht, sofern sie im Rahmen ihrer unternehmerischen Tätigkeit mit dem betroffenen Unternehmen oder der Behörde in Verbindung stehen.

Zum Schutz der hinweisgebenden Personen bzw. des Whistleblowers verbietet das Gesetz jegliche Repressalien vonseiten der Beschäftigungsgeber, wie zum Beispiel Abmahnung, Mobbing, Disziplinarverfahren oder Kündigung. Wer das Hinweisgeberschutzgesetz nicht beachtet, riskiert Geldbußen. Zur Erfüllung der gesetzlichen Kriterien bieten sich softwarebasierte Lösungen an. Unsere Cloudlösung ist der sog. „PRIMA-Hinweisgeber“. Sie wurde von unserem Schwesterunternehmen „Byte Solution“ entwickelt und trägt als leicht verständliches Hinweisgebersystem dazu bei, dass Sie Sicherheit und Struktur bei der Erfüllung der gesetzlichen Kriterien erhalten und Ihre Organisation rechtskonform leiten. Der PRIMA-Hinweisgeber fährt bewusst den „Keep-it-simple“-Ansatz.

Welche Verstöße können gemeldet werden?

§ 2 Abs. 1 HinSchG-Entwurf spricht von „Verstößen, die strafbewehrt“ und „bußgeldbewehrt sind“. Whistleblower können also sämtliche Straftaten bei Ihrem Beschäftigungsgeber melden. Auch Ordnungswidrigkeiten sind erfasst, soweit sie dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dienen. Auch Verstöße gegen Rechtsvorschriften des Bundes, des Landes und der EU, so etwa Vorgaben zum Umweltschutz, zur Lebensmittelsicherheit, zum Schutz der Privatsphäre in der elektronischen Kommunikation oder auch Vorgaben zum Datenschutz aus der DSGVO gehören dazu. Auch Vorschriften, die nicht direkt die genannten Rechtsgüter schützen, dazu aber nur beitragen, sollen erfasst sein. Verstößt ein Beschäftigungsgeber gegen die vorgenannten Vorschriften, liegt ein meldetauglicher Missstand vor.

Welche Organisationen sind betroffen?

Das Gesetz verpflichtet alle „Beschäftigungsgeber“ zur Einführung eines Hinweisgebersystems zur Meldung über Rechtsverstöße. Dabei wird der Begriff der Beschäftigungsgeber sehr weit verstanden. Hierzu gehören juristische Personen des Privatrechts, z.B. eingetragene Vereine, eingetragene Genossenschaften, die AG, die Kommanditgesellschaft auf Aktien, die GmbH und sonstige rechtfähige Personenvereinigungen (OHG, KG) . Auch juristische Personen des öffentlichen Rechts werden umfasst., z.B. Gemeinden und Gemeindeverbände.

Allerdings gibt es auch Ausnahmen. Beispielsweise fallen Informationen, die die nationale Sicherheit oder wesentliche Sicherheitsinteressen des Staates betreffen, nicht unter das Hinweisgeberschutzgesetz. Wer also besonders geschützte staatliche Geheimnisse meldet, ist somit kein zu schützender Whistleblower im Sinne des Hinweisgeberschutzgesetzes. Außerdem soll das Gesetz auch nicht gelten, wenn die Mindestbeschäftigtenanzahl (50) nicht erreicht ist.

Welche konkreten Unternehmen und Organisationen sind betroffen?

Nach § 12 des Gesetzentwurfs sind grundsätzlich alle Unternehmen, Behörden und sonstige Organisationen betroffen, die mindestens 50 Beschäftigte oder mehr haben.

Unternehmen als private Beschäftigungsgeber mit 50 bis zu 249 Beschäftigten müssen das Gesetz erst ab dem 17. Dezember 2023 umsetzen.

Unternehmen ab 250 Mitarbeitern sind jedoch verpflichtet, sofort zu handeln, sobald das Gesetz in Kraft tritt.

Unternehmen spezieller Branchen müssen ohne Übergangsphase und unabhängig von der Anzahl ihrer Mitarbeitenden handeln (z.B. Kreditinstitute oder Versicherungen).

> 1 MA (besondere Branchen)50-249 MA> 250 MA
ab Inkrafttreten des HinSchGUmsetzung bis 17.12.2023ab Inkrafttreten des HinSchG
z.B. Kreditinstitute, VersicherungenJeder BeschäftigungsgeberJeder Beschäftigungsgeber

Was müssen betroffene Unternehmen und Behörden beachten?

Zunächst sollten Beschäftigungsgeber Aufklärungsarbeit leisten. Hierbei hilft eine transparente und leicht verständliche Informierung über die eingerichteten internen und externen Meldestellen und deren Aufgaben sowie über die Möglichkeit, Hinweise über Missstände an die Meldestellen – auch anonym – geben zu können. Dies kann etwa auf der Unternehmens-Website erfolgen.

Nach dem Gesetzentwurf soll die hinweisgebende Person entscheiden können, ob sie sich an eine interne oder externe Meldestelle wenden möchte. Die Meldung kann schriftlich oder mündlich erfolgen. Mündliche Meldungen sollen per Telefon oder mittels einer anderen Art der Sprachübermittlung ermöglicht werden.

Beschäftigungsgeber sind zudem verpflichtet, die persönliche Kommunikation zwischen Whistleblowern und Meldestellen zu ermöglichen.

Da die Bearbeitung von Meldungen auch eine Verarbeitung persönlicher Daten darstellen kann, gilt auch hierbei selbstverständlich die DSGVO. Daher ist eine datenschutzkonforme Bearbeitung von Meldungen durch die Meldestellen unabdingbar. Dabei ist die Identität der hinweisgebenden Person grundsätzlich zu schützen. Der Entwurf verpflichtet die Beschäftigungsgeber zwar nicht, die Meldekanäle so zu gestalten, dass die Abgabe anonymer Meldungen ermöglicht wird.

Wir empfehlen jedoch, auch anonyme Meldekanäle einzurichten.

Anonymität schafft nicht nur Vertrauen und Offenheit, sondern ermöglicht, Hemmnisse von Whistleblowern abzubauen und Missstände frühzeitig zu erkennen und zu beheben!

Zudem soll nach dem Gesetzentwurf die Meldestelle anonym eingehende Meldungen bearbeiten, soweit dadurch die Bearbeitung nichtanonymer Meldungen nicht gefährdet wird. Durch ein effizientes und strukturiertes Hinweisgebersystem können sowohl anonyme als auch nicht-anonyme Meldungen gleichrangig bearbeitet werden. Dies hängt von dem jeweils eingesetzten Hinweisgebersystem ab.

Zu einem gut organisierten Hinweisgebersystem kommen wir gleich.

Einrichtung von Meldestellen

Unternehmen mit in der Regel 50 Mitarbeitern sind verpflichtet, interne Meldestellen für Informationen von Whistleblowern einzurichten und zu betreiben. Gleiches gilt für öffentlich-rechtlich organsierte Beschäftigungsgeber. Darüber hinaus können Unternehmen mit maximal 249 Mitarbeitenden mit anderen Unternehmen eine gemeinsame Meldestelle aufbauen. Konzernunternehmen haben die Möglichkeit, die Meldestelle zentral beim Mutterkonzern anzusiedeln.

Der Gesetzentwurf spricht von einer internen und externen Meldestelle.

Der Hinweisgeber kann sich aussuchen, an welche Stelle er sich zuerst wendet. Sollte die Meldung von der internen Stelle nicht bearbeitet und ihr abgeholfen werden, kann sich der Whistleblower dann auch an eine externe Stelle richten.

Interne Meldestellen

Beschäftigungsgeber sind nicht verpflichtet, die interne Meldestelle „im Unternehmen“ einzurichten. Die Bandbreite der möglichen Umsetzung der Verpflichtung „soll nicht eingeschränkt werden, solange die gesetzlichen Vorgaben insbesondere in Bezug auf die Unabhängigkeit und Vertraulichkeit eingehalten werden“, so die Gesetzesbegründung.

Grundsätzlich kann ein Mitarbeiter, z.B. ein Compliance-Manager oder ein Datenschutzbeauftragter, mit den Aufgaben der Meldestelle betraut werden. Auch mehrere Mitarbeiter eines Unternehmens kommen als eine Arbeitseinheit in Betracht, die die Aufgaben der internen Meldestelle erfüllen können.

Auch externe Dritte können nach dem Gesetzentwurf mit der Einrichtung und dem Betreiben der internen Meldestelle beauftragt werden. Hierbei handelt es sich ebenfalls um eine „interne Stelle“. Denn nach dem Erwägungsgrund 54 der EU-Whistleblower-Richtlinie können „auch Dritte ermächtigt werden, Meldungen von Verstößen im Namen von juristischen Personen des privaten und öffentlichen Sektors entgegenzunehmen, sofern sie entsprechende Garantien für die Wahrung der Unabhängigkeit und Vertraulichkeit des Datenschutzes und der Geheimhaltung bieten. Bei solchen Dritten könnte es sich um externe Anbieter von Meldeplattformen, externe Berater, Prüfer“ usw. handeln.

Neutralität und Unabhängigkeit der internen Meldestellen

In jedem Fall müssen Neutralität und Unabhängigkeit der internen Meldestelle gewährleistet sein. Es darf nicht einmal der Anschein einer Beeinflussung der Meldestelle durch den Beschäftigungsgeber vorliegen. Unternehmen und Behörden sollten daher darauf achten, dass Interessenkonflikte der mit den Aufgaben der Meldestellen betrauten Personen von vornherein ausgeschlossen werden.

Externe Meldestellen

Nach dem Gesetzentwurf sollen auch externe Meldestellen eingerichtet werden, an die sich Whistleblower wenden können. So errichtet der Bund beim Bundesamt für die Justiz eine Stelle für externe Meldungen (externe Meldestelle des Bundes). Vorzugsweise soll diese Meldestelle durch Richterrinnen und Richter sowie Staatsanwältinnen und Staatsanwälte besetzt werden. Externe Meldestellen können daneben auch von den Ländern eingerichtet werden. Ländereigene Meldestellen sollen für Meldungen über Missstände in der Landes- und Kommunalverwaltung zuständig sein.

Was passiert nach einer Meldung?

Die Regelungen zum Ablauf und Verfahren bei einer Meldung gelten sowohl für interne als auch für externe Meldestellen.

Zunächst haben die Personen, die in Meldestellen für die Entgegennahme von Meldungen zuständig sind, den Eingang der Meldungen in dauerhaft abrufbarer Weise und vertraulich zu dokumentieren.

Dem Whistleblower soll spätestens innerhalb von sieben Tagen der Eingang der Meldung bestätigt werden.

Dann prüft die Meldestelle, ob der gemeldete Verstoß in den Anwendungsbereich des Hinweisgeberschutzgesetzes fällt.

Geprüft wird zudem dien Stichhaltigkeit der eingegangenen Meldung.

Gegebenenfalls ersucht die Meldestelle den Whistleblower um weitere Informationen. Danach soll die Meldestellte angemessene Folgemaßnahmen treffen. Eine interne Meldestelle kann nach § 18 HinSchG-Entwurf folgende Maßnahmen ergreifen:

  • interne Untersuchungen bei dem Beschäftigungsgeber durchführen
  • die hinweisgebende Person bzw. den Whistleblower an andere zuständige Stellen verweisen
  • das Verfahren aus Mangel an Beweisen oder aus anderen Gründen abschließen oder
  • das Verfahren zwecks weiterer Untersuchungen abgeben an den betroffenen Beschäftigungsgeber bzw. dessen Abteilung für interne Ermittlungen oder an die zuständigen Behörden.

Innerhalb von drei Monaten muss die Meldestelle dem Whistleblower eine Rückmeldung über den Sachstand und Folgen seiner Meldung geben.

Der Whistleblowerschutz

Grundsätzlich sind Identität sowie sämtliche Informationen über Hinweisgeber auch nach Abschluss der Untersuchungen vertraulich zu behandeln. Darüber hinaus werden Personen geschützt, die gemeldet wurden oder von einer Meldung betroffen sind.

Whistleblower sind umfassend vor Benachteiligungen aufgrund einer erstatteten Meldung zu schützen. Nach § 36 HinSchG-E sind gegen diese Personen gerichtete Repressalien verboten. Das gilt auch schon für die Androhung und den Versuch, Repressalien auszuüben.

Kann der Whistleblower beweisen, dass er nach seiner Meldung Benachteiligungen erlitten hat, so geht das HinSchG-E zunächst davon aus, dass dies aufgrund einer Meldung geschehen ist. Das heißt, dass der Arbeitgeber beweisen muss, dass eine Benachteiligung nach einer Meldung, etwa eine Kündigung des Whistleblowers, nicht aufgrund der Meldung erfolgt ist.

Darüber hinaus kann dem Whistleblower bei Benachteiligungen durch den Arbeitgeber auch ein Schadensersatzanspruch zustehen. Etwaige Repressalien durch Mitarbeiter können bei Vorliegen der gesetzlichen Voraussetzungen u.U. dem Arbeitgeber zugerechnet werden. Die Folge wäre, dass der Beschäftigungsgeber für die Repressalien durch Mitarbeiter haften würde.

Einrichten von Hinweisgebersystemen

Betroffene private und öffentliche Beschäftigungsgeber sollten sich schon jetzt um die Implementierung gut organisierter und strukturierter Hinweisgeberschutzsystemen kümmern. Beschäftigungsgeber mit ungenügenden Hinweisgeberschutzsystemen laufen Gefahr, eine Geldbuße bis zu 100.000 Euro zu kassieren. Wer es unterlässt, eine interne Meldestelle einzurichten und zu betreiben, kann u.U. mit einer Geldbuße bis zu 20.000 Euro belegt werden. Zwar gilt für Beschäftigungsgeber mit in der Regel 50 bis 249 Beschäftigten eine Umsetzungsfrist bis Dezember 2023. Dennoch sollte schon jetzt die Umsetzung der gesetzlichen Kriterien geplant werden.

Wir haben ein cloudbasiertes Hinweisgeberschutzsystem entwickelt, das Ihnen nicht nur Sicherheit und Struktur bei der Erfüllung der gesetzlichen Pflichten bietet, sondern auch klare und transparente Handlungsempfehlungen vermittelt.

Der „PRIMA-Hinweisgeber“ – das cloudbasierte Hinweisgebersystem

Damit erreichen Sie Sicherheit bei der Erfüllung ihrer gesetzlichen Verpflichtungen nach dem Hinweisgeberschutzgesetz:

  • ausführliche Dokumentation
  • Eingangsbestätigung an den Whistleblower (innerhalb von 7 Tagen)
  • Rückmeldung an den Whistleblower (innerhalb von 3 Monaten)
  • Identitätsschutz für Whistleblower und sonstige schutzwürdige Personen nach dem HinSchG
  • Option zur Bearbeitung mündlich und schriftlich eingegangener Meldungen

Sowohl interne als auch externe Meldestellen können auf diese Weise das gesetzlich vorgegebene Verfahren zur Bearbeitung von Meldungen einhalten. Der „PRIMA-Hinweisgeber“ nimmt Sie an die Hand und trägt systematisch zur rechtssicheren Erfüllung sämtlicher Kriterien bei.

Die Starter-Edition stellt Ihnen die Byte Solution GmbH & Co.KG bereits zu einem monatlichen Nutzungspreis von lediglich 19,99 Euro in deutschen Qualitätsrechenzentren zur Verfügung. Die Einbindung kann simpel über Ihre eigene Webpräsenz erfolgen.

Die „Starter Edition“ unseres cloudbasierten Hinweisgeberschutzsystems zielt bewusst auf kostenbewusste Entscheidungsträger ab. Die auf dem Markt üblichen Kosten für die Nutzung von Hinweisgeberschutzsystemen halten wir für ungerechtfertigt. Wir sind der Meinung, dass Qualität und Kostenersparnis in einem Paket möglich sind. Testen Sie unser Hinweisgeberschutzsystem! Überzeugen Sie sich von unseren nachhaltigen und rechtssicheren Lösungen zum Hinweisgeberschutzgesetz.

Ihre Vorteile durch den „PRIMA-Hinweisgeber“ als Hinweisgeberschutzsystem:

  • Vertrauen der Mitarbeiter, Kunden und Lieferanten schaffen und stärken
  • Prozessoptimierung erweitern
  • Finanzschäden entgehen
  • Reputationsschäden abwenden
  • Missstände frühzeitig aufklären, verfolgen und behebenGesetzliche Vorgaben ökonomisch und rechtssicher umsetzen

Jetzt den PRIMA HInweisgeber für nur 19,99 €/Monat unter www.PRIMA-Hinweisgeber.de direkt buchen und noch heute einsetzen.

Der Autor und Ihr Kontaktweg:

Bernhard Brands und das Team der Brands Consulting stehen Ihnen gerne in Fragen des Datenschutzes zur Verfügung. Als externer Datenschutzbeauftragter und Datenschutzberater unterstützen wir Sie bei der Digitalisierung Ihrer Unternehmensprozesse. Flankierend dazu leistet die Byte Solution, als IT-Dienstleister und Schwestergesellschaft der Brands Consulting, den technischen Support für die Realisierung ihrer IT-Projekte und ist zudem Anbieter eigener Softwarelösungen. Die Byte Solution bietet nicht nur den PRIMA Hinweisgeber, sondern auch das Datenschutzmanagementsystem, PRIMA Cloud, an. Der PRIMA Hiweisgeber ist damit ein Teil der PRIMA Cloud bzw. der PRIMA Cloud Software-Suite.

Haben Sie noch Fragen? Hier geht es zum Kontakt oder direkt zum Datenschutz-Angebot, denn wir sind gerne für Sie da!

Ähnliche Beiträge