Nachdem in Deutschland jahrelang über die Umsetzung der EU-Hinweisgeberrichtlinie debattiert wurde, könnte sich manch Compliance- und HR-Verantwortlicher kurz vor Weihnachten verwundert die Augen gerieben haben: Das Hinweisgeberschutzgesetz (HinSchG) könnte nun schon im Mai 2023 in Kraft treten, sofern der Bundesrat in seiner nächsten Plenarsitzung am 10. Februar zustimmt. Alle Unternehmen mit 250 oder mehr Beschäftigten müssen dann ein Hinweisgebersystem eingerichtet haben. Eine Übergangsfrist besteht nur für Betriebe mit in der Regel 50 bis 249 Mitarbeiterinnen und Mitarbeitern: Laut § 42 HinSchG müssen sie erst ab dem 17. Dezember 2023 interne Meldestellen einrichten.
Über den notwendigen Handlungsbedarf bei der Einrichtung von Hinweisgebersystemen haben wir bereits berichtet. In der aktuell vom Bundestag beschlossenen Gesetzesfassung hat der Gesetzgeber einige wesentliche Kritikpunkte aus dem Weg geräumt:
1. Die Kehrtwende: Bearbeitung anonymer Meldungen wird zur Pflicht
Laut § 16 Abs. 1 Hinweisgeberschutzgesetz müssen sowohl interne als auch externe Meldekanäle anonyme Hinweise ermöglichen und bearbeiten. Auch die anschließende Kommunikation mit den Hinweisgebern muss anonym möglich sein. Im Gegensatz dazu wurde im Referentenentwurf die Bearbeitung anonymer Meldungen bloß empfohlen. Der Regierungsentwurf sah dies als Soll-Vorschrift vor und nun wird es zur Pflicht, anonyme Meldungen zu bearbeiten. Der Grund für die Kehrtwende: Gegenüber der Befürchtung von Denunziantentum und drohender Überlastung von Unternehmen hat sich nun die Erkenntnis durchgesetzt, dass ansonsten eine Hemmschwelle für Hinweisgeber besteht, denen es an Sicherheit und Vertrauen fehlt. Tatsächlich werden schwere Verstöße in der Praxis häufig anonym gemeldet.
Entsprechende technische Kommunikationskanäle sind bis 1. Januar 2025 einzurichten. Die Übergangsfrist begründet der Gesetzgeber mit Aufwand und Zusatzkosten für die technische Einrichtung oder Beauftragung einer Ombudsperson. Traditionelle Meldewege wie der Briefkasten als Kummerkasten oder eine Emailadresse dürften also nicht mehr ausreichen.
2. Mehr Klarheit: Eine Meldestelle reicht
Für Erleichterung dürfte in Konzerngesellschaften sorgen, dass die Beschlussempfehlung zum Hinweisgeberschutzgesetz auf Seite 56 ausdrücklich die sogenannte Konzernlösung auf Grundlage von § 14 Abs. 1 HinSchG begrüßt. Konzernverbundene Unternehmen können also konzernweit eine zentrale Meldestelle einrichten. Voraussetzungen dafür sind: Die Meldestelle auf Ebene der Konzerngesellschaft wahrt Vertraulichkeit und ist unabhängig. Hinweisgeber finden leicht Zugang und sie werden nicht etwa durch Sprachbarrieren ausgebremst. Hinweise müssen also in der Arbeitssprache der jeweiligen Konzerngesellschaft möglich sein. Für die Bearbeitung der Meldung bleibt die jeweils betroffene Konzerngesellschaft zuständig.
Das spart Ressourcen und Expertise lässt sich an einer Stelle bündeln. Bestenfalls ist eine integrierte Lösung möglich, die auch die Anforderungen für das Beschwerdemanagement nach dem Lieferkettensorgfaltspflichtengesetz erfüllt.
Angesichts eines Flickenteppichs aus unterschiedlichen nationalen Umsetzungen, die teilweise eigene Meldestellen für jede Konzerngesellschaft erfordern, stehen grenzüberschreitende Konzerne weiter vor großen Herausforderungen. Darüber hinaus besteht das Risiko, dass die EU Kommission gegen die deutsche Auslegung der EU-Whistleblower-Richtlinie vorgeht, oder diese vor europäischen Gerichten keinen Bestand hat.
3. Attraktive Gestaltung interner Kanäle: Anreize sind erwünscht
Eine wichtige Klarstellung enthält § 7 Abs. 3 S. 1 HinschG: Arbeitgeber sollen Anreize schaffen, dass sich Hinweisgeber vor einer Meldung an eine externe Meldestelle zunächst an den internen Kommunikationskanal wenden. Wie sie diese konkret attraktiv gestalten, bleibt den Unternehmen überlassen. Als Anhaltspunkte nennt die Beschlussempfehlung auf Seite 58: eine gute Kommunikationskultur, das Fördern sozialer Verantwortung, ein wirksames Vorgehen gegen Verstöße sowie Schutz vor Repressalien. Grundsätzlich handeln Arbeitgeber im eigenen Interesse, wenn sie die internen Meldekanäle so attraktiv wie möglich gestalten: Schließlich bewahren sie sich so die Chance, von Fehlverhalten ihrer Beschäftigten, Geschäftspartner oder Kunden zu erfahren und drohenden Schaden noch rechtzeitig abzuwenden, bevor die Reputation ruiniert ist oder Behörden ermitteln.
4. Schadensersatz für Mobbing und Stalking
Repressalien gegenüber Whistleblowern sind in vielfältiger Weise vorstellbar und insbesondere psychische Belastungen wie Mobbing oder Stalking lassen sich schwer nachweisen. Deshalb können Hinweisgeber jetzt gemäß § 37 Abs. 1 S. 2 HinschG eine angemessene Entschädigung in Geld verlangen. Whistleblower erhalten so einen Schadensersatzanspruch ganz unabhängig davon, ob die Voraussetzungen des § 253 Abs. 2 BGB vorliegen. Dieser regelt den Ersatz immaterieller Schäden durch Verletzungen von Körper, Gesundheit, Freiheit oder sexueller Selbstbestimmung. Auch der Nachweis einer schwerwiegenden Verletzung des allgemeinen Persönlichkeitsrechts ist somit nicht notwendig, um eine angemessene Entschädigung zu erhalten. Damit wird nicht nur Art. 21 Abs. 8 und Erwägungsgrund 94 der EU-Whistleblower-Richtlinie genüge getan. Die Regelung fördert auch das Vertrauen von Whistleblowern und stärkt somit letztlich die Effektivität des Hinweisgebersystems.
5. Verlängerung der Aufbewahrungsfrist
Während der Referentenentwurf vorsah, Meldungen zwei Jahre nach Abschluss des Verfahrens zu löschen sind, sieht § 11 Abs. 5 HinschG jetzt gemäß Seite 59 der Beschlussempfehlung eine Aufbewahrungsfrist von drei Jahren vor.
Digitale Systeme für Whistleblower erleichtern die Umsetzung des Hinweisgeberschutzgesetzes. Allein deshalb, weil sich Sprachbarrieren leichter aus dem Weg räumen lassen. Nichtsdestotrotz müssen Unternehmen genug Vorlauf einplanen: Um Compliance-Richtlinien und -Management zu überarbeiten, aber vor allem auch für die Klärung der datenschutzrechtlichen Implikationen sowie die arbeitsrechtliche Implementierung. Denn der Betriebsrat bestimmt mit. Was mit Blick auf Datenschutz und Arbeitsrecht zu beachten ist, haben wir bereits berichtet. Immerhin lohnt die Mühe für die Umsetzung des neuen Gesetzes dieses Mal gleich mehrfach: Abgesehen von den kommenden Corporate Sustainability- Berichtspflichten zu Sozialstandards entlang der Lieferkette sowie Maßnahmen gegen Korruption und Bestechung lässt sich so auch die Reputation des Unternehmens nachhaltig schützen. Um Mehraufwand zu vermeiden und Prozesse zu optimieren, ist meist eine integrierte Lösung für Hinweisgeberschutzsystem und Beschwerdeverfahren nach dem Lieferkettensorgfaltspflichtengesetz sinnvoll.