Whistleblower-Gesetz fordert neutrale Meldestelle
Was Unternehmen rund um die neue Hinweisgeberrichtlinie wissen sollten
2023 kommen auf Unternehmen neue Vorgaben zu: Das taufrische Hinweisgeberschutzgesetz (auch Hinweisgeberrichtlinie genannt) verlangt, dass Firmen ein neutrales Meldesystem für Rechtsverstöße einrichten. Die Pflicht gilt für Betriebe ab 50 Mitarbeiter. Aber auch kleinere Unternehmen profitieren von einer internen Meldestelle. Was fordert das neue Gesetz genau? Und was müssen Unternehmen jetzt tun?
Im Juli 2022 kam die Sache ins Rollen: Das Bundeskabinett beschließt den Entwurf für das Hinweisgeberschutzgesetz. Verabschiedet wird die neue Richtlinie voraussichtlich Anfang 2023. Nach Inkrafttreten haben Unternehmen mit mehr als 250 Beschäftigten drei Monate Zeit, die Anforderungen zu erfüllen. Für Betriebe ab 50 Mitarbeiter gilt das neue Gesetz ab Dezember 2023.
Dass die Richtlinie kommt, steht außer Frage. Auch ohne exakten Starttermin müssen Betriebe schnell aktiv werden. Wer die Vorgaben ignoriert, dem drohen 20.000 Euro Bußgeld. Bereits 2021 stand Deutschland in der Pflicht, die EU-Whistleblower-Richtlinie in nationales Recht umzusetzen. 2023 liefert das Papier nun die verspätete Antwort.
Team und Firmenimage schützen
Das Hinweisgeberschutzgesetz soll Mitarbeiter schützen, wenn sie in ihrem Betrieb Verstöße gegen Compliance-Richtlinien, EU-Recht oder deutsches Recht bemerken und diese melden. Gleichzeitig soll das System das Mitteilen kritischer Vorfälle erleichtern. Als Hinweisgeber gelten vom Festangestellten bis zum Freelancer alle Beschäftigen eines Unternehmens oder einer Behörde. Bisher waren diese bei einer Meldung weder vor Mobbing, Disziplinarverfahren, Abmahnung noch vor Kündigungen oder anderweitiger Schikanen geschützt. Das neue Gesetz soll Sicherheit geben. Aber auch Firmen profitieren von einer internen Anlaufstelle für Whistleblower.
Da Angestellte Missstände im Unternehmen oft als erste wahrnehmen, können sie leichter unentdeckte Rechtsverstöße ans Licht bringen. Firmen haben so die Chance, diese intern zu prüfen, zu verfolgen und zu unterbinden, bevor diese an die Öffentlichkeit gelangen und für großen Wirbel sorgen. Aus diesem Grund lohnt es sich ebenso für kleinere Betriebe unter 50 Mitarbeiter, freiwillig eine Meldezentrale einzurichten. Denn grundsätzlich können Informanten frei entscheiden, ob sie einen Verstoß direkt bei der hauseigenen Meldestelle oder bei einer der drei externen Anlaufpunkte des Bundes vorbringen (Bundesministerium für Justiz, Bundesanstalt für Finanzdienstleistungen, Bundeskartellamt).
Wendet sich ein Kollege direkt an eine Bundesstelle, kann diese sofort staatliche Kontrollen anordnen. Daher empfiehlt sich, ein möglichst attraktives, leicht nutzbares Meldesystem einzurichten – besonders, da bei Verhinderung von Meldungen durch das Unternehmen ein Bußgeld von bis zu 100.000 Euro droht. Ein komfortabler interner Kanal senkt die Wahrscheinlichkeit, dass Mitarbeiter sich bei staatlichen Stellen beschweren. Besonders im Handwerk leidet das Image extrem, wenn externe Ermittler den Betrieb unter die Lupe nehmen, weil es z.B. Andeutungen für Umweltschutzverstöße, Hygienemissachtungen oder Verdacht auf Straftaten wie Steuerbetrug, Korruption, sexuelle Übergriffe oder Datenmissbrauch gibt. Durch frühzeitiges internes Einschreiten lassen sich Haftungsansprüche und Reputationsschäden vermeiden, die mit einer externen Aufdeckung verbunden sein können.
Eine Meldung geht ein: Was ist jetzt zu tun?
Das Gesetz sieht vor: Jeder Angestellte muss die Möglichkeit haben, ohne Hürden und anonym über Verstöße zu informieren. Daraus ergibt sich, dass faktisch nur noch ein elektronischer Meldekanal den Anforderungen des Gesetzes entspricht – eine eigene E-Mail-Adresse oder eine Telefonhotline reichen nicht. Betriebe richten also am besten ein softwaregestütztes, elektronisches Onlineportal ein. So lassen sich weitere Dokumente hochladen und mit Hinweisgebern leichter kommunizieren. Der Kommunikationsverlauf lässt sich so ideal dokumentieren und vorgeschriebene Fristen einfacher einhalten. Anschließend muss der Betrieb seine Mitarbeiter über die Art der Meldestelle informieren.
Im Sinne von DSGVO und BDSG sind die Daten der Hinweisgeber also in jedem Fall vor dem Einblick Unbefugter zu schützen. Die Meldestellen haben die Identität sowohl des Hinweisgebers sowie der betroffenen als auch sonstiger erwähnten Personen zu wahren. All diese Identitäten dürfen ausschließlich der beauftragten Vertrauensperson bekannt werden.
Meldestelle kommuniziert, prüft und bewertet
Die Vorgabe besagt zudem, dass Organisationen neben den verschiedenen Kanälen einen Meldestellen-Beauftragten bestellen müssen. Hierbei gilt wie beim Datenschutzbeauftragten: Diese Person muss unabhängig arbeiten, nicht weisungsgebunden und frei von Interessenskonflikten sein. Somit kann diese Position weder jemand aus der eigenen Personalabteilung noch aus dem Betriebsrat oder der firmeneigene Datenschutzbeauftragte übernehmen. Gleichzeitig braucht der Kandidat entsprechende Fachkunde. Die Vertrauensperson muss sich zum Thema schulen und regelmäßig weiterbilden. Einen beauftragten Mitarbeiter bringt das schnell an den Rand seiner Kapazitäten. Alternativ dürfen Betriebe eine neutrale Ombudsperson bei einer Rechtsanwaltskanzlei oder einen externen Datenschutzbeauftragten einsetzen. Diese Experten verfügen über den aktuellen Wissenstand von Technik und Gesetzeslage und sind gleichzeitig versiert darin, Hinweise vertrauensvoll entgegenzunehmen, sie sachorientiert zu bewerten und mit den Akteuren angemessen zu kommunizieren.
Landet eine Meldung auf dem Tisch, bekommt der Informant innerhalb von sieben Tagen eine Eingangsbestätigung. Die Angelegenheit wird dokumentiert und revisionssicher eingepflegt. Dann beginnt die Ermittlung. Die Meldestelle prüft den Vorfall unparteiisch, spricht mit Betroffenen sowie Hinweisgebern und verweist gegebenenfalls an andere zuständige Stellen. Für all das hat die Vertrauensperson drei Monate Zeit. In diesem Zeitraum hält sie den Hinweisgeber über das bisher erfolgte beziehungsweise geplante Vorgehen informiert und begründen ihr jeweiliges Handeln. Wird niemand aktiv, können Mitarbeiter jederzeit staatliche Stellen und die Öffentlichkeit alarmieren.
Vertrauensschutz und Frühwarnsystem
Für Hinweisgeber ist der erweiterte Schutz und die damit verbundene leichtere Verfolgung von Missständen natürlich zu begrüßen. Durch diskrete Behandlung der Identität und Information bekommen Hinweisgeber einen hohen Vertrauensschutz. Doch auch Verantwortliche sollten das neue Gesetz nicht als Strafe empfinden. Mithilfe der unabhängigen Meldestelle werden die Prozesse rund ums Whistleblowing transparent reguliert. Wer als Betrieb keine bewussten Verstöße begeht, hat nichts zu befürchten. Wer unwissentlich Regelungen missachtet, kann das System als Frühwarnsystem betrachten.
Gleichzeitig sind Unternehmer der neuen Richtlinie nicht schutzlos ausgeliefert: Geht eine Fehlinformation ein und entsteht dadurch ein Schaden, muss der Hinweisgeber für diesen aufkommen. Das ist besonders wichtig, da für das Melderecht mitunter auch Verschwiegenheits- oder Geheimhaltungspflichten umgangen werden dürfen. Um auf Nummer sicher zu gehen, empfiehlt sich für Betriebe ähnlich wie bei der Frage nach dem Datenschutzbeauftragten, es sich nicht unnötig schwer zu machen: Wer die Sache an einen externen Partner abgibt, spart jede Menge Zeit und Nerven, die er sonst in das Einrichten und Pflegen des neuen Hinweissystems investieren
müssten.
