Mit dem Referentenentwurf des deutschen Hinweisgeberschutzgesetzes (HinSchG-E) unternimmt der deutsche Gesetzgeber den zweiten Anlauf, um die EU-Whistleblower-Richtlinie in nationales Recht umzusetzen, nachdem die Große Koalition damit gescheitert ist. Fristgerecht hätte dies bis Ende letzten Jahres erfolgen müssen. Auch wenn der deutsche Gesetzgeber also sehr lange gebraucht hat, sollten Arbeitgeber rasch aktiv werden, anstatt zu warten, bis die Neuregelung in Kraft ist. Denn die drohenden Bußgelder nach § 40 HinSchG-E sind mit bis zu 100.000 Euro sehr hoch, etwa wenn vorsätzlich oder fahrlässig die Vertraulichkeit der Identität des Hinweisgebers verletzt wird.
Auch KMU sind betroffen
Die Neuregelung soll Hinweisgeber in Unternehmen und Behörden schützen. Diese nehmen Missstände oft als erste wahr und können Rechtsverstöße aufdecken. Deshalb werden laut Entwurf Unternehmen mit mehr als 250 Beschäftigten ab Inkrafttreten des Gesetzes verpflichtet, entsprechende Meldekanäle einzurichten. Ab 17. Dezember 2023 gilt diese Pflicht dann auch für Unternehmen mit mehr als 50 Mitarbeiterinnen und Mitarbeitern. Vorrangiges Ziel des Gesetzgebers ist der Schutz von Arbeitnehmer*innen, wenn sie Verstöße gegen Strafvorschriften wie Korruption, Geldwäsche oder Produktsicherheit melden. Geht es um Verstöße gegen Ordnungswidrigkeiten, sollen sie nur dann geschützt sein, wenn die Vorschrift dem Schutz von Leib, Leben und Gesundheit oder den Arbeitnehmerrechten dient. Infolgedessen dürften juristische Laien häufig vor einer Meldung zurückschrecken, weil sie dies nur schwer beurteilen können.
Bei der Umsetzung in den Unternehmen kommt es auf acht Stellschrauben an:
- Interner oder externer Meldekanal? Unternehmen müssen eine interne Meldestelle errichten. Diese interne Meldestelle kann aber auch ein „Dritter“ sein. So kommen auch konzernweite Hinweisgebersysteme in Betracht. Eine interne Meldestelle kann eingerichtet werden, indem eine bei dem jeweiligen Unternehmen beschäftigte Person, eine aus mehreren beschäftigten Personen bestehende Arbeitseinheit oder ein Dritter mit den Aufgaben einer internen Meldestelle betraut wird. Zudem wird es externe Meldestellen beim Bundesjustizministerium und bei den Bundesländern geben.
- Eine konzernweit zuständige Meldestelle reicht: Klarheit schafft der deutsche Gesetzgeber nun in einer Frage, die bisher mit viel Unsicherheit behaftet war. So reicht es nach dem HinSchG-E aus, wenn bei einer Gruppengesellschaft konzernweit eine zuständige Meldestelle geschaffen wird. Allerdings hat die EU-Kommission Ende 2021 die Auffassung vertreten, dass ein zentraler Meldekanal nicht ausreiche. Somit stellt sich die Frage, ob es angesichts der deutschen Ausgestaltung noch zu einer Auseinandersetzung vor dem Europäischen Gerichtshof kommt.
Sinnvoll ist zudem Abgleich und Koordination mit den Anforderungen des Lieferkettengesetzes, das es ebenfalls erforderlich macht, einen Beschwerdeprozess einzurichten. - Kommunikationskanal bestimmen: Laut Gesetz müssen die Meldungen mündlich oder in Textform möglich sein, also beispielsweise per Telefon, E-Mail oder über eine digitale Plattform. Dabei ist sicherzustellen, dass die zuständigen Personen im Unternehmen keinen Zugriff auf das System beziehungsweise die übermittelten Meldungen haben.
- Länderspezifische Meldestellen? Konzerne mit Auslandsgesellschaften müssen zusätzlich die landesspezifischen Anforderungen prüfen. Unter Umständen kann es unabhängig von gesetzlichen Vorgaben sinnvoll sein, länderspezifische Meldestellen einzurichten, um Sprachbarrieren abzubauen.
- Zulassung anonymer Meldungen? Anders als in der EU-Whistleblower-Richtlinie vorgesehen, räumt der deutsche Gesetzgeber der Meldung an interne Kanäle keinen Vorrang ein. Wenn Whistleblower der internen Stelle nicht trauen, können sie sich direkt an die externe Stelle wenden.Das vereinfacht den Zugang, da nicht erst Zuständigkeitsfragen zu klären sind.
Es besteht keine Verpflichtung, die internen Meldekanäle so zu gestalten, dass sie die Abgabe anonymer Meldungen ermöglichen. Gleichwohl kann aber bei Ausgestaltung des internen Meldesystems die Möglichkeit einer anonymen Meldung vorgesehen werden. Bei der externen Meldestelle besteht kein Anspruch auf Anonymität, sofern dies nicht ausdrücklich gesetzlich vorgesehen ist. Aber wenn eine Gefährdung von öffentlichem Interesse etwa durch Gammelfleisch vorliegt, genießen Hinweisgeber Schutz, auch wenn sie mit der Information direkt an die Presse gehen. Der Entwurf des HinSchG verlangt dabei nicht zwingend, dass der Hinweisgeber wahre Tatsachen meldet. Es reicht, wenn er gutgläubig ist. Bei fahrlässig falschen Enthüllungen bleibt er geschützt.
Insofern sind Unternehmen gut beraten, ihre Kanäle für anonyme Meldungen zu öffnen. So bewahren sie sich die Möglichkeit, etwaige Probleme zuerst intern zu klären und zu lösen, bevor sie nach außen dringen. - Interne Richtlinie mit Zuständigkeiten und Abläufen formulieren: Wie wird Vertraulichkeit und Unabhängigkeit der Mitarbeiter*innen sichergestellt, welche die Hinweise bearbeiten? Wie werden formale Vorgaben wie Eingangsbestätigung und Rückmeldepflichten organisatorisch umgesetzt? Wie verlaufen Eskalations- und Berichtsprozesse? Worauf ist bei der Dokumentation zu achten?
- Mitbestimmung beachten: Bei der Einrichtung und Ausgestaltung des Hinweisgebersystems sollte aber ein Aspekt nicht vergessen werden: Der Betriebsrat hat bei der Ausgestaltung des Hinweisgebersystems mitzubestimmen. Das ergibt sich zum einen über § 87 Abs. 1 Nr. 6 BetrVG, wenn – wovon auszugehen ist – das Hinweisgebersystem IT-gestützt ist. Das wird bereits deshalb immer der Fall sein, weil laut HinSchG auch die mündliche Meldung per Telefon möglich sein muss. Darüber hinaus besteht ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 1 BetrVG (Ordnung des Betriebs).
Organisatorisch zuständig ist in Unternehmen mit lediglich einem Betrieb der lokale Betriebsrat. Unterhält das Unternehmen mehrere Betriebe, ist grundsätzlich der Gesamtbetriebsrat zuständig. Hiervon kann eine Ausnahme in Betracht kommen, wenn in jedem Betrieb eine eigene Meldestelle eingerichtet werden soll. Bei einer Konzernmeldestelle wäre der Konzernbetriebsrats Ansprechpartner.
Verletzt der Arbeitgeber die Mitbestimmungsrechte, drohen Unterlassungsansprüche, auch im Wege der einstweiligen Verfügung – zumindest bei IT-gestützten Systemen. Die Betriebsratsbeteiligung erfordert Zeit. Der Abschluss einer Betriebsvereinbarung bedarf eines ausreichenden zeitlichen Vorlaufs. Auch die Anrufung der Einigungsstelle kann hier in Betracht kommen – einschließlich deren gerichtlicher Einsetzung. - Datenschutzrechtliche Implikationen: Wenn Unternehmen Hinweisgebersysteme etablieren und nutzen, werden zahlreiche, nicht selten auch sensible personenbezogene Daten verarbeitet. Für die erstmalige Verarbeitung der Daten lässt sich dies mit einer gesetzlichen Pflicht zur Implemetierung eines Hinweisgebersystems gemäß Art. 6 Abs. 1 c) DSGVO rechtfertigen.
Doch auf welche Grundlage lassen sich etwaige Folgemaßnahmen datenschutzrechtlich stützen? Jedenfalls sofern sich diese Folgemaßnahmen unmittelbar gegen die Beschäftigten richten, die in dem Hinweis beschuldigt werden, dürfte Art. 88 Abs. 1 DSGVO in Verbindung mit § 26 Abs. 1 BDSG vorrangig anwendbar sein. Jedoch knüpft § 26 Abs. 1 S. 2 BDSG Verarbeitungsvorgänge zur Aufdeckung von Straftaten an zusätzliche, strenge Voraussetzungen. Soweit die im Hinweis geschilderten Missstände die Schwelle zur Strafbarkeit nicht überschreiten, gilt also weiterhin § 26 Abs. 1 S. 1 BDSG.
Die Unterrichtungspflicht gegenüber dem Betriebsrat sollten Unternehmen mit Blick auf den Datenschutz nutzen: Denkbar ist beispielsweise, in einer Betriebsvereinbarung Erlaubnistatbestände für derartige Folgemaßnahmen zu definieren. Das gilt umso mehr für Unternehmen, die noch nicht gesetzlich verpflichtet sind, ein Hinweisgebersystem einzuführen.
Weitere Anhaltspunkte für eine datenschutzkonforme Umsetzung liefert die Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines: Firmeninterne Warnsysteme und Beschäftigtendatenschutz.
Sofern Unternehmen bei der Einführung eines IT-gestützten Hinweisgebersystems auf einen externen Anbieter zurückgreifen wollen, kommt es darauf an, dass dieser die Anforderungen der Datenschutzausfsicht erfüllt. Eine Datenschutz-Folgenabschätzung ist zwingend erforderlich.
Unternehmen ab 50 Beschäftigten sollten angesichts der hohen Bußgelder jetzt handeln und ein internes Meldesystem einrichten – unter Beachtung der Mitbestimmungsrechte des Betriebsrats. Die Umsetzung der gesetzlichen Anforderungen ist insofern komplex, als Fragen im Arbeitsrecht, Datenschutz sowie Complianceanforderungen eng verzahnt sind. Strategisch sinnvoll und zeitsparend ist es, proaktiv auf die Arbeitnehmervertreter*innen zuzugehen und auf eine Betriebsvereinbarung hinzuarbeiten, die auch datenschutzrechtliche Aspekte mit abdeckt.