Hinweisgeber sind wichtig, indem sie mit ihren Meldungen Missstände aufdecken. Damit Hinweisgeber zukünftig besser vor negativen Konsequenzen und Repressalien, wie beispielsweise einer Kündigung, Versetzung, Degradierung oder Einschüchterung, geschützt sind, ist am 16. Dezember 2019 die EU-Direktive 2019/1937 zum Schutz von Hinweisgebern des EU-Parlaments in Kraft getreten.
Gleichzeitig können Hinweisgebersysteme jedoch auch durch bewusst falsche Meldungen missbraucht werden. Daher müssen die Mitgliedstaaten wirksame, angemessene und abschreckende Sanktionen für Hinweisgeber festlegen, denen nachgewiesen wird, dass sie wissentlich falsche Informationen gemeldet oder offengelegt haben. Gleiches gilt für Maßnahmen zur Wiedergutmachung von Schäden, die durch diese Meldungen oder Offenlegungen entstanden sind.
Deutschland hat bisher kein deutsches Gesetz zum Schutz von Hinweisgebern verabschiedet und somit die Frist zur Umsetzung der Richtlinie am 17. Dezember 2021 verstreichen lassen. Dies führt dazu, dass die EU-Richtlinie in Deutschland automatisch seit 17. Dezember 2021 gilt.
Die Ampelkoalition aus SPD, Grüne und FDP positionierte sich jedoch im November 2021 in ihrem Koalitionsvertrag pro Whistleblowerschutz. Bei der Umsetzung der EU-Whistleblowing-Richtlinie will sie über die Mindestanforderungen der Direktive hinausgehen. Ab wann mit dem deutschen Hinweisgeberschutzgesetz (HinSchg) zu rechnen ist, ließ der Vertrag allerdings offen.
Wer ist davon betroffen?
Kleine und große Unternehmen ab 50 Mitarbeitern, Einrichtungen des öffentlichen Sektors, Behörden sowie Gemeinden ab 10.000 Einwohnern müssen EU-weit künftig sichere interne Meldekanäle für Hinweisgeber bereitstellen. Für die Unternehmen ab 250 Mitarbeitern gilt diese Pflicht bereits seit 17.12.2021, für Unternehmen zwischen 50 und 250 Mitarbeitern gibt es eine Übergangsfrist von weiteren zwei Jahren, also bis 17.12.2023.
Wer gilt als Hinweisgeber?
Als Hinweisgeber gilt jede Person, die über Informationen eines regelwidrigen Vergehens oder einer bestimmten Straftat verfügt und diese mit einer Meldestelle teilt. In der Regel erfolgen Hinweise durch:
- Mitarbeiter und/oder ehemalige Mitarbeiter eines Unternehmens,
- Praktikanten und Bewerber,
- Lieferanten und/oder Mitarbeiter von Lieferanten,
- Kunden,
- Wettbewerber,
- (Ehe-) Partner,
Darüber hinaus können Hinweise auch durch eine Aufsichtsbehörde gemeldet werden sowie Erkenntnisse von Ermittlungsbehörden aus Durchsuchungen oder Urteilen als Hinweisgeber dienen.
Wovor soll der Hinweisgeber geschützt werden?
- Arbeitsrechtliche Konsequenzen wie Kündigung, Disziplinarmaßnahmen, Gehaltskürzung, etc.
- Einschüchterung, Mobbing, Diskriminierung, etc.
- (Ruf)Schädigung, insbes. in sozialen Medien
- …
Wie kann gemeldet werden?
Interne Meldungen:
- Meldung kann vom Unternehmen selbst verarbeitet werden -> eine bestimme Person oder Abteilung ist für die Aufgaben und Betreuung des Kanals zuständig.
- oder interner Meldekanal kann an eine externe Stelle ausgelagert werden, beispielsweise an eine Hotline bei einer Anwaltskanzlei, an die sich Hinweisgeber wenden können.
- Personen sollen Meldungen entweder online über eine Whistleblower Software, schriftlich über einen Briefkasten oder über den Postweg abgeben können und/oder mündlich per Whistleblower-Hotline oder ein Anrufbeantwortersystem.
- Die Meldekanäle müssen so sicher konzipiert, eingerichtet und betrieben werden, dass die Vertraulichkeit der Identität des Hinweisgebers und Dritter, die in der Meldung erwähnt werden, gewahrt bleibt und nicht befugten Mitarbeitern der Zugriff darauf verwehrt wird.
- Empfang einer Meldung muss innerhalb von 7 Tagen dem Hinweisgeber bestätigt werden.
- angemessener zeitlichen Rahmen für die Rückmeldung an den Hinweisgeber, und zwar von maximal drei Monaten ab der Bestätigung des Eingangs der Meldung.
Externe Meldungen:
- Durch die Whistleblower-Richtlinie müssen Unternehmen erstmals neben einem internen Meldekanal auch einen externen behördlichen Kanal einführen.
- Unter einer externen Meldestelle wird grundsätzlich die Meldung an eine zuständige Behörde verstanden.
- Die Mitgliedstaaten benennen die zuständigen Behörden, die befugt sind, Meldungen entgegenzunehmen, Rückmeldung dazu zu geben und entsprechende Folgemaßnahmen zu ergreifen, und statten diese Behörden mit angemessenen Ressourcen aus. Da in Deutschland bisher noch kein Gesetz erlassen wurde, sind die zuständigen Behörden bisher nicht benannt.
- Auch hier gelten grundsätzlich ähnliche Fristen wie bei einer internen Meldung.
Wie kann ein potentieller Ablauf aussehen?
- Eingangsbestätigung an den Hinweisgeber innerhalb von 7 Tagen
- Erstprüfung des Hinweises
- Klärung des Sachverhalts
- Gegebenenfalls Hinzuziehung von externen Dritten wie z.B. Rechtsanwälte, Forensiker, Staatsanwaltschaft etc.
- Festhalten der Untersuchungsergebnisse in einem Abschlussbericht inkl. Empfehlungen für erforderliche Maßnahmen
- Versenden von Informationen über eingeleitete Folgemaßnahmen an den Hinweisgeber
- Nachhalten der Umsetzung der Empfehlungen
- Revisionssichere Archivierung der Dokumentation
Was gilt es sonst zu beachten?
- Bei allen Meldekanälen muss die Vertraulichkeit der Identität des Whistleblowers gewahrt sein, damit dieser keinerlei Repressalien zu befürchten hat.
- Bei der Verarbeitung der Daten des Hinweisgebers und der belasteten Person sind zwingend die datenschutzrechtlichen Vorgaben der DSGVO einzuhalten.
- Alle eingehenden Meldungen müssen im Einklang mit den Vertraulichkeitspflichten dokumentiert werden. Die Meldungen werden nicht länger aufbewahrt, als dies erforderlich und verhältnismäßig ist. Hinsichtlich sprachlicher Aufbewahrungen gibt es weitere Vorschriften.
Hier der Link zu der EU-Whistleblowing-Richtlinie
Die Einführung eines solchen Prozesses hat im Übrigen auch Auswirkungen auf andere Themen wie Prozesslandkarte, das durch die DSGVO vorgeschriebene Verarbeitungsverzeichnis, Interne Kontrollsystem und vieles mehr.