Teilen auf
Whistleblower kennen wir eher aus den internationalen Medien. Vorkommen kann es allerdings überall, dass ein:e sogenannter Hinweisgeber:in für die Öffentlichkeit wichtige und vertrauliche Informationen veröffentlicht. Um sich rechtssicher aufzustellen, bleibt Unternehmen nicht mehr viel Zeit. Bis zum 17. Dezember 2021 muss die Whistleblower-Richtlinie der EU in nationales Recht umgesetzt sein.
Die Ziele der EU-Whistleblowing-Richtlinie lauten:
- Verstöße aufdecken,
- Prävention,
- Rechtsdurchsetzung verbessern:
- effektive, vertrauliche und sichere Meldekanäle,
- wirksamer Schutz von Hinweisgeber:innen vor Repressalien,
- Hinweisgeber:innen können weder zivil-, straf- oder verwaltungsrechtlich in Bezug auf ihre Beschäftigung haftbar gemacht werden.
Rechtlich bindend – Bußgelder drohen
Das Hinweisgeberschutzgesetz (HinSchG-E, E steht für Entwurf) umfasst vier wesentliche Bereiche: persönlicher Anwendungsbereich (§ 1), sachlicher Anwendungsbereich (§ 2), interne und externe Meldekanäle (§§ 7 – 30) sowie der Schutz des Whistleblowers (§§ 32 – 38). Das HinSchG macht dabei keinen Unterschied hinsichtlich der Organisation (§ 1 HinSchG-E). Es soll für Unternehmen und Behörden gelten und stellt somit die gleichen Anforderungen an nicht-öffentliche wie öffentliche Stellen. Eines der Hauptziele ist, Anonymität für die Enthüllerin oder den Hinweisgeber sicherstellen zu können. Das Gesetz sieht aber keine Pflicht für die Möglichkeit einer anonymen Meldung vor.
Wichtig zu wissen: Zuwiderhandlung gegen Verpflichtungen aus dem HinSchG stellen eine Ordnungswidrigkeit dar – verbunden mit Bußgeldern in Höhe von bis zu 100.000 Euro. Auch deshalb sollten Unternehmen und Organisationen die Implementierung, wie bei der Einführung jedes anderen Managementsystems (zum Beispiel Datenschutz oder Qualität), schnell, zielgerichtet und strukturiert angehen.
Pflicht zur Implementierung eines Hinweisgebersystems
Es bleibt den öffentlichen und nicht-öffentlichen Stellen überlassen, wie sie Meldestellen einrichten. Eine konkrete Organisation ist bei mehr als 50 Beschäftigten jedoch zwingend erforderlich. Der Regierungsentwurf des HinSchG sieht mehrere Möglichkeiten und Vorgehensweisen vor:
- Eine interne Meldestelle, das heißt beim Beschäftigungsgeber wird eine beschäftigte Person, eine interne Organisationseinheit oder ein Dritter mit den Aufgaben einer internen Meldestelle betraut.
- Eine gemeinsame Stelle, die mehrere Beschäftigunsgeber betreiben. Dies gilt für Beschäftigungsgeber mit in der Regel 50 bis 249 Beschäftigten.
- Die Beauftragung eines Dritten, welcher eine gemeinsame Stelle betreibt.
Zentral: Der Schutz von Hinweisgeber:innen
Gemäß §§ 32 ff. HinSchG-E hat die Organisation Maßnahmen zu treffen, welche die hinweisgebende Person, insbesondere vor Repressalien und Benachteiligungen oder Offenlegung des Sachverhalts, schützen. Der „Nichtschutz“ kann zu Schadensersatzpflichten des Verursachers (zum Beispiel unbefugte Offenlegung) gegenüber dem Hinweisgeber führen und ist gemäß § 39 Abs. 1 Nr. 3 HinSchG-E auch bußgeldbewährt. Der Hinweisgeber soll außerdem für die Meldung oder Offenlegung der Informationen oder für daraus eventuelle entstehende Schäden auf Seiten des oder der Betroffenen nicht verantwortlich gemacht werden können. Ein starkes Instrument in der praktischen Anwendung: Es gilt die Beweisumkehr. Für den Arbeitgeber bedeutet dies, dass er nachweisen muss, dass beispielsweise die Beendigung des Beschäftigungsverhältnisses nichts mit der Aufdeckung der gemeldeten Missstände zu tun hat.
Meldekanäle in der praktischen Umsetzung
Die Einrichtung der nötigen internen Kommunikationswege für hinweisgebende Personen sind für Unternehmen, Behörden und Organisationen spätestens mit dem 17. Dezember unumgänglich. In der Praxis bieten sich verschiedene Möglichkeiten an:
- telefonisch
Einrichten einer kostenlosen Hotline. Da die Meldung zu jeder Zeit möglich sein muss, sollte sichergestellt werden, dass die Hotline permanent besetzt ist und sich keine sprachlichen Barrieren ergeben.
- persönlich / physisch
Ein:e direkter Ansprechpartner:in; beispielsweise bietet sich die oder der Datenschutzbeauftragte sowie der Compliance Officer oder die Revision an.
- E-Mail
Zugriff durch einen kleinen und definierten Kreis; Abwesenheiten von Ansprechpartner:innen dürfen nicht zu Bearbeitungsverzögerungen führen.
- Post
Eine exakte Postadresse sollte für alle Beschäftigten barrierefrei einsehbar sein. Bei der Bearbeitung des Posteingangs gilt absolute Vertraulichkeit und Stillschweigen.
- elektronisches Hinweisgebersystem
Ein IT-gestütztes Hinweisgebersystem ist gesetzlich nicht verpflichtend, aber möglich. Die Identifizierung des Meldenden unter anderem über die IP-Adresse muss selbstverständlich ausgeschlossen sein.
Datenschutzrechtliche Anforderungen
Die datenschutzrechtlichen Vorgaben bleiben von der Whistleblower-Gesetzgebung unberührt. Das heißt, die Datenschutzgrundverordnung (DSGVO), das Bundesdatenschutzgesetzt und andere spezialgesetzliche Normen sind auch hier im Umgang mit personenbezogenen Daten einzuhalten. Ein:e Datenschutzbeauftragte:r kann die Planung zur Umsetzung der Whistelblower-Richtlinie respektive HinSchG und die Bewertung der datenschutzrelevanten Anforderungen mit der nötigen Fachexpertise begleiten. Auch für die Funktion als Ombudsmann im Sinne der Meldekanäle bietet sich der oder die Datenschutzbeauftragte (vor allem der externe) an: Als Vertrauensperson innerhalb der Organisation ist er weisungsfrei, vertritt per se die Rechte der betroffenen Person und ist in seiner Funktion zu Vertraulichkeit und Verschwiegenheit verpflichtet.
Ob der Referentenentwurf des Bundesministerium für Justiz und Verbaucherschutz im Herbst das parlamentarische Verfahren durchläuft und die Frist bis zum 17. Dezember eingehalten werden kann, bleibt abzuwarten. Genau das allerdings können Unternehmen und Organisationen nicht, denn: Die Bestimmungen des neuen Hinweisgeberschutzgesetzes (HinSchG) sind spätestens ab dem Stichtag rechtlich bindend. Eine Übergangsfrist ist nicht vorgesehen. Wer sich rechtssicher aufstellen möchte, sollte also schnellstens mit der Umsetzung beginnen.
