19.05.2023

Newsflash I Erst langsam, dann schnell: Das Hinweisgeberschutzgesetz steht vor der Tür

Erst langsam, dann schnell: Das Hinweisgeberschutzgesetz steht vor der Tür

Nach einem langwierigen Gesetzgebungsprozess wird es nun ernst: Das Hinweisgeberschutzgesetz („HinSchG“) ist beschlossen und wird in Kürze in Kraft treten – abhängig von dem Zeitpunkt der Verkündung möglicherweise bereits im Juni 2023. Anders, als der Gesetzesname es vermuten lässt, geht es nicht nur um den Schutz von Hinweisgebern („Whistleblower“) vor Repressalien, sondern das Gesetz verlangt die Implementierung von Meldesystemen, um Hinweise überhaupt zu ermöglichen.

Das HinSchG dient der (verspäteten) Umsetzung der Richtlinie (EU) 2019/1937 des Europäischen Parlaments und des Rats vom 23. Oktober 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (geändert aufgrund der Verordnung (EU) 2020/1503).

Anwendungsbereich

In persönlicher Hinsicht schützt das HinSchG hinweisgebende Personen, die im Zusammenhang mit der beruflichen Tätigkeit oder im Vorfeld einer beruflichen Tätigkeit Informationen über Verstöße erlangt haben und diese an die vorgesehenen Meldestellen melden oder offenlegen. Geschützt werden sollen auch Personen, die Gegenstand einer Meldung oder Offenlegung sind sowie sonstige Personen, die von einer Meldung oder Offenlegung betroffen sind. Adressat der Verpflichtungen sind sog. Beschäftigungsgeber, die mindestens eine Person beschäftigen. Allerdings gilt die Verpflichtung zur Einrichtung einer internen Meldestelle nur für Beschäftigungsgeber mit in der Regel mindestens 50 Beschäftigten. Außerdem gibt es für private Beschäftigungsgeber mit 50 bis zu 249 Beschäftigten für die Verpflichtung zur Einrichtung der internen Meldestelle eine Übergangsfrist bis zum 17. Dezember 2023, soweit sie nicht bestimmten Kategorien angehören (z. B. im Finanzdienstleistungssektor tätig sind).

Gegenstand

Bezugspunkt des HinSchG sind Meldungen und Offenlegungen von Informationen über Verstöße, die das HinSchG katalogartig auflistet. Wichtig ist, dass Informationen über Verstöße nur in den Anwendungsbereich des Gesetzes fallen, wenn sie sich auf den Beschäftigungsgeber oder eine andere Stelle, mit der die hinweisgebende Person beruflich im Kontakt stand, beziehen.

Einrichtung interner Meldestellen

Beschäftigungsgeber sind verpflichtet, interne Meldestellen einzurichten. Diese Meldestellen betreiben Meldekanäle, über die sich z. B. Beschäftigte und dem Beschäftigungsgeber überlassene Leiharbeitnehmer an die internen Meldestellen wenden können, um Informationen über Verstöße zu melden. Die interne Meldestelle kann direkt bei dem Beschäftigungsgeber eingerichtet werden oder er kann einen Dritten damit beauftragen. Dies ermöglicht den Einsatz Externer (z. B. externe Anwälte als Ombudspersonen) oder ggf. die Einrichtung einer zentralen Meldestelle, die für alle Unternehmen einer Konzerngruppe zuständig ist. Die interne Meldestelle muss unabhängig sein und es dürfen sich keine Interessenkonflikte ergeben, sodass hier genau geprüft werden sollte, wer diese betreibt. Insofern ist noch umstritten, ob und unter welchen Voraussetzungen tatsächlich eine zentrale interne Meldestelle im Konzern eingerichtet werden kann; das HinSchG weicht hier von den unionsrechtlichen Vorgaben ab. Der Beschäftigungsgeber bleibt auch bei Einsatz eines Externen in jedem Fall dafür verantwortlich, den Verstoß abzustellen und sollte sich mit der Meldestelle auch hinsichtlich der zu ergreifenden Maßnahmen eng abstimmen.

Verfahren der internen Meldung

Meldungen müssen mündlich oder in Textform möglich sein, zudem sieht das Gesetz vor, dass auf Wunsch der hinweisgebenden Person ein persönliches Treffen mit der zuständigen Person der internen Meldestelle erfolgt. Nachdem der Gesetzesentwurf zwischenzeitlich eine Verpflichtung zur Bearbeitung anonymer Meldungen vorsah, wurde von dieser Verpflichtung nach dem Kompromiss des Vermittlungsausschusses Abstand genommen. Nunmehr „sollte“ die interne Meldestelle auch anonym eingehende Meldungen bearbeiten. Es besteht allerdings keine Verpflichtung, die Meldekanäle so zu gestalten, dass sie die Abgabe anonymer Meldungen ermöglichen.

Das HinSchG enthält zudem einen klaren Verfahrensablauf, wie mit eingehenden Meldungen umzugehen ist.

Die interne Meldestelle bestätigt der hinweisgebenden Person den Eingang einer Meldung spätestens nach sieben Tagen, prüft, ob der gemeldete Verstoß in den sachlichen Anwendungsbereich des HinSchG fällt, hält mit der hinweisgebenden Person Kontakt, prüft die Stichhaltigkeit der eingegangenen Meldung, ersucht die hinweisgebende Person erforderlichenfalls um weitere Informationen und ergreift angemessene Folgemaßnahmen.

Außerdem gibt die interne Meldestelle der hinweisgebenden Person innerhalb von drei Monaten nach der Bestätigung des Eingangs der Meldung eine Rückmeldung, die die Mitteilung geplanter bzw. bereits ergriffener Folgemaßnahmen enthält sowie deren Gründe. Allerdings darf eine Rückmeldung an die hinweisgebende Person nur insoweit erfolgen, als dadurch interne Nachforschungen oder Ermittlungen nicht berührt und die Rechte der Personen, die Gegenstand einer Meldung sind oder die in der Meldung genannt werden, nicht beeinträchtigt werden. Dies steht im Einklang mit dem durch das Gesetz ausdrücklich formulierten Schutz derjenigen Personen, die Gegenstand der Meldung sind.

Folgemaßnahmen nennt das Gesetz nur exemplarisch; in Betracht kommen z. B. eine interne Untersuchung oder der Abschluss des Verfahrens.

Externe Meldestellen

Weiterhin sieht das Gesetz vor, dass der Bund beim Bundesamt für Justiz eine Stelle für externe Meldungen einrichtet. Dazu kommen Meldestellen in speziellen Bereichen, wie das Bundeskartellamt. Auch die externe Meldestelle muss Meldekanäle einrichten, über die hinweisgebende Personen Informationen über Verstöße melden können und bearbeitet diese. Der Beschäftigungsgeber muss die Beschäftigten über diese Meldestellen informieren.

Das Gesetz enthält – ebenso wie bei der internen Meldestelle – z. B. Verfahrensvorgaben sowie Regelungen zu Folgemaßnahmen. Wichtig für Beschäftigungsgeber ist, dass es keinen gesetzlichen Vorrang gibt, nach dem Mitarbeitende Verstöße zunächst bei der internen Meldestelle melden müssten. Die Steigerung der Attraktivität einer internen Meldung überlässt das Gesetz den Beschäftigungsgebern. In der Praxis wird es im Interesse der Arbeitgeber liegen, dass hinweisgebende Personen Meldungen nicht gegenüber externen Meldestellen abgeben, da auf diese Weise die Kontrolle über den Umgang mit den Meldungen aus der Hand gegeben wird.

Schutz der Hinweisgebenden

Entsprechend seinem Namen enthält das HinSchG Vorgaben, die dem Schutz hinweisgebender Personen dienen, die intern oder extern Meldung erstattet bzw. eine Offenlegung vorgenommen haben sowie zu diesem Zeitpunkt hinreichenden Grund zu der Annahme hatten, dass die von ihr gemeldeten oder offengelegten Informationen der Wahrheit entsprechen. Weiterhin wird vorausgesetzt, dass die Informationen Verstöße betreffen, die in den Anwendungsbereich dieses Gesetzes fallen, oder die hinweisgebende Person zum Zeitpunkt der Meldung oder Offenlegung hinreichenden Grund zu der Annahme hatte, dass dies der Fall sei.

Nicht gefordert wird also, dass die gemeldeten Tatsachen oder Rückschlüsse zutreffen. Ausreichend ist, dass aus der sog. Ex ante Sicht bei einer objektiven Betrachtung tatsächliche Anknüpfungspunkte für einen Verstoß vorlagen. An den Hinweisgebenden sollen keine überhöhten Anforderungen gestellt werden; allerdings sollen leichtfertige Meldungen nicht geschützt werden. Auch für die Annahme, dass ein Verstoß i. S. d. HinSchG vorliegt, sollen keine hohen Anforderungen gelten. Jedenfalls reicht das Verständnis eines juristischen Laien. Erleidet eine hinweisgebende Person eine Benachteiligung, z. B. in Form einer Kündigung oder Abmahnung, im Zusammenhang mit ihrer beruflichen Tätigkeit und macht sie geltend, diese Benachteiligung infolge einer Meldung oder Offenlegung nach diesem Gesetz erlitten zu haben, so wird vermutet, dass diese Benachteiligung eine Repressalie für diese Meldung oder Offenlegung ist. Das Gesetz sieht also eine Beweislastumkehr vor. Diese war im Gesetzgebungsverfahren umstritten. Während die Beweislastumkehr im Gesetz verblieb, ist nun Voraussetzung, dass die Person geltend macht, dass sie aufgrund des Hinweises Repressalien ausgesetzt wird. In der Praxis wird dieser Zusatz wohl keinen Unterschied machen.

Beruft sich die hinweisgebende Person auf den Schutz des Gesetzes, muss der Beschäftigungsgeber darlegen, dass die Maßnahme nicht wegen der Meldung oder Offenlegung erfolgte. Im Rahmen der Beweiswürdigung kann das Gericht z. B. folgende Punkte berücksichtigen:

Geringfügigkeit der gemeldeten Verstöße

erfolgreicher Abschluss des Verfahrens (z. B. Abhilfe gemeldeter Missstände)

Unkenntnis von der Meldung bei der Person, die die benachteiligende Maßnahme ergriffen hat

zeitlicher Zusammenhang zwischen Meldung und benachteiligender Maßnahme

Schadensersatz und Bußgelder

Verstöße gegen das HinSchG können sowohl Schadensersatzansprüche als auch Bußgelder nach sich ziehen. Während im Gesetzesentwurf noch der Ersatz immaterieller Schäden vorgesehen war, wurde dies nach dem Kompromiss des Vermittlungsausschusses gestrichen. Daneben enthält das HinSchG Bußgeldvorschriften. Während die Offenlegung einer wissentlich unrichtigen Information ordnungswidrig ist, sind die Behinderung von Meldungen bzw. Offenlegungen, das Nichteinrichten einer internen Meldestelle oder das Ergreifen von Repressalien ebenso bußgeldbewehrt. Dies gilt auch für die Verletzung der Vertraulichkeit. Die Geldbußen können bis zu EUR 50.000 für einen Verstoß betragen. Für das Bußgeld bei Nichtbetreiben bzw. Nichteinrichtung einer internen Meldestelle gilt allerdings eine Schonfrist von sechs Monaten.

Mitbestimmungsrechte

Mitbestimmungsrechte im Zusammenhang mit der Umsetzung des HinSchG können sich aus § 87 Abs. 1 Nr. 1 BetrVG (Ordnung des Betriebs und Verhalten der Arbeitnehmer im Betrieb) sowie § 87 Abs. 1 Nr. 6 BetrVG (Einführung und Anwendung technischer Einrichtungen, die dazu bestimmt sind, Leistung und Verhalten zu überwachen) ergeben. Werden bestimmte Vorgaben zum Meldeverfahren aufgestellt, handelt es sich nicht lediglich um mitbestimmungsfreies Arbeitsverhalten, sondern auch um Vorgaben, die gerade das Verhalten der Arbeitnehmer im Betrieb steuern. Beim Betrieb technischer Meldekanäle z. B. über E-Portale liegt eine technische Einrichtung vor, die dazu bestimmt ist, die Leistung und das Verhalten der Arbeitnehmer zu überwachen. Nach der Rechtsprechung des BAG ist ausreichend, dass eine Einrichtung zur Überwachung geeignet ist; die Überwachung muss nicht bezweckt sein. Vor Implementierung das Meldekanals ist demnach eine entsprechende Regelung mit dem Betriebsrat (ggf. auch Gesamt- oder sogar Konzernbetriebsrat) zu treffen. Verortung und personelle Zusammensetzung der internen Meldestelle sind dagegen nicht mitbestimmungspflichtig. Allerdings können beim Einsatz von Arbeitnehmern Beteiligungsrechte des Betriebsrats berührt sein, soweit eine Versetzung oder Einstellung vorliegt.

Datenschutzrechtliche Herausforderungen

Die Anzeige von Missständen setzt stets voraus, dass die hinweisgebende Person den Namen etc. des möglichen Täters nennt und dessen Daten erfasst werden. Sie selbst kann anonym bleiben – benennt sie ihren Namen jedoch, muss sie damit rechnen, dass sie bei z. B. einer falschen Beschuldigung Ansprüchen ausgesetzt oder auch mit der Reaktion des Beschuldigten konfrontiert wird. 

Der Schutz der Daten aller von einer Meldung Betroffenen wird zunächst durch die Wahrung der Vertraulichkeit sichergestellt: Die interne Meldestelle bzw. die dort tätigen Personen sind zur Vertraulichkeit über die Identität der hinweisgebenden Person, der von der Meldung betroffenen Personen oder auch sonstiger genannter Personen verpflichtet. Ausnahmen gelten nur, wenn z. B. eine Einwilligung des jeweils Betroffenen in die Weitergabe seiner Daten vorliegt oder bestimmte Voraussetzungen erfüllt sind (wenn die Weitergabe z. B. für die Strafverfolgung oder für das Ergreifen von Folgemaßnahmen erforderlich sind). Im Übrigen regelt das HinSchG nur, dass die Meldestelle intern Daten verarbeiten darf.

Ergänzend gilt die Datenschutzgrundverordnung (DSGVO). Beschäftigungsgeber müssen daher die datenschutzrechtlichen Prinzipien des Art. 5 DSGVO umsetzen. Sie müssen sicherstellen, dass die Verarbeitung (inklusive der Weitergabe der Daten) rechtmäßig erfolgt, die erforderlichen Berechtigungs- und Löschkonzepte umgesetzt werden, die Transparenzpflichten der DSGVO und nicht zuletzt die umfassenden Rechte der Betroffenen auf Auskunft, Löschung etc. gemäß Art. 12 ff. DSGVO umgesetzt werden – dies kann zu Interessenkonflikten führen.

Neben der grundsätzlichen Datenschutzinformation nach Art. 13 DSGVO, die jedem Beschäftigten und auch weiteren Betroffenen bei Erhebung von Daten zur Verfügung zu stellen ist, muss geprüft werden, wann und wie z. B. die beschuldigte Person u.a. über die Herkunft der Daten und damit auch über die hinweisgebende Person informiert wird. Die DSGVO sieht hier grundsätzlich eine Informationspflicht innerhalb eines Monats nach Erhebung der Daten vor; nur unter bestimmten Umständen kann die Information unterbleiben. Es sind interne Prozesse zu schaffen, die den Umgang mit diesen Herausforderungen regeln.

Kritisch ist auch der Umgang mit Auskunftsbegehren nach Art. 15 DSGVO: Während die deutsche Rechtsprechung hier zwar umfassende Auskunftsansprüche der vom Hinweis betroffenen Person bejaht, kann unter Hinweis auf die Vorgaben des Bundesdatenschutzgesetzes (§§ 29, 33 BDSG) bzw. auf das Vertraulichkeitsgebot des HinSchG unter bestimmten Umständen von einer Information abgesehen werden, wenn der Beschäftigungsgeber im Rahmen einer Abwägung zwischen den Interessen der Beteiligten, wie der hinweisgebenden Person, der vom Hinweis betroffenen Person oder auch den weiteren Beteiligten, zu dem Ergebnis kommt, dass im Einzelfall die Auskunft verweigert werden kann. Hier sind auch Aspekte wie offene oder anonyme Meldung, Umfang der übermittelten Informationen, Richtigkeit der Angaben etc. mit einzubeziehen. Kritisch ist hier, dass Abwägungen den Einzelfall abbilden, stets subjektiv sind und es nie ausgeschlossenen werden kann, dass die Rechtsprechung oder eine Behörde eine von der des Beschäftigungsgebers abweichende Auffassung vertreten könnte. Es empfiehlt sich daher eine umfassende Dokumentation der Abwägung.

Dies gilt entsprechend für die Löschung – Löschkonzepte sind nicht nur hinsichtlich der Dokumentation des Meldeverfahrens, sondern auch für den Umgang mit Fehlmeldungen zu implementieren. Während die Datenschutzaufsichtsbehörden hier in der Vergangenheit von einer Speicherdauer von zwei Monaten nach Eingang der (Fehl-)Meldung ausgegangen sind, wird sich dies aufgrund der Vorgaben des HinSchG nicht mehr vertreten lassen: Dieses sieht vor, dass Dokumentationen zum internen Meldeverfahren nach Abschluss des Verfahrens grundsätzlich drei Jahre aufzubewahren sind und ggf. sogar eine Verlängerung der Speicherdauer möglich ist. Der Meldestelle soll keine Prüfung der Speicherdauer im Einzelfall zugemutet werden – ob dies dem Grundsatz der Datenminimierung und Speicherbegrenzung der DSGVO standhält, ist zumindest fraglich. Es empfiehlt sich eine sorgfältige Prüfung der Löschfristen und -konzepte. 

 Fazit

Die Prozesse sind komplex und es ist nicht damit getan, auf der Webseite Kontaktdaten der neuen internen Meldestelle zu veröffentlichen, sondern diese muss auch in die Lage versetzt werden, ihre Aufgaben im Einklang mit den geltenden Regelungen umzusetzen. Unternehmen müssen die Prozesse dokumentieren, implementieren und transparent kommunizieren. Neben der Abstimmung mit einem ggf. bestehenden Betriebsrat und dem Abschluss notwendiger Betriebsvereinbarungen sollte in jedem Fall auch eine Richtlinie implementiert werden, die die Anweisungen im Umgang mit Meldungen bzw. die Anforderungen des HinSchG umsetzt und über die Rechte, Pflichten und Risiken, die sich für die einzelnen Beteiligten ergeben können, informiert.

Daneben müssen Themen wie die korrekte Umsetzung der Vertraulichkeit, die Dokumentation des Meldeverfahrens und auch der Folgemaßnahmen, die Zugriffsberechtigungen, der Schutz der Systeme/Daten durch entsprechende technisch-organisatorische Maßnahmen, die Festlegung der Zuständigkeiten und Befugnisse der einzelnen Beteiligten, der Umgang mit Einwilligungen in die Weitergabe von Informationen, die Information der Betroffenen, der Umgang mit Auskunftsbegehren und die Dokumentation der entsprechenden Abwägungen, die Datenschutzfolgenabschätzung oder auch die Umsetzung der Löschkonzepte geregelt und dokumentiert werden. Sofern ein Dritter mit dem Betrieb der internen Meldestelle beauftragt oder eine globale Hotline eingerichtet wird, müssen zudem auch hier geeignete Vereinbarungen getroffen werden, die die rechtlichen Anforderungen umsetzen.

Bestehende Prozesse sind zu überprüfen, ggf. anzupassen oder sogar neu zu implementieren; aufgrund des engen Zeithorizonts sollte damit bald gestartet werden.

Wir unterstützen Sie gerne.

Ihr/e Ansprechpartner
Silvia C. Bauer

Silvia C. Bauer
Partnerin
Köln
silvia.c.bauer@luther-lawfirm.com
+49 221 9937 25789

Dr. Stefanie Hellmich, LL.M.

Dr. Stefanie Hellmich, LL.M.
Partnerin
Frankfurt a.M.
stefanie.hellmich@luther-lawfirm.com
+49 69 27229 24118

Dr. Astrid Schnabel, LL.M. (Emory)

Dr. Astrid Schnabel, LL.M. (Emory)
Partnerin
Hamburg
astrid.schnabel@luther-lawfirm.com
+49 40 18067 14072

Sandra Sfinis

Sandra Sfinis
Partnerin
Hamburg
sandra.sfinis@luther-lawfirm.com
+49 40 18067 12189

Martina Ziffels

Martina Ziffels
Counsel
Hamburg
martina.ziffels@luther-lawfirm.com
+49 40 18067 12189