Schwerwiegende Verstöße in Unternehmen, Organisationen und Behörden fallen den Beschäftigten in der Regel sehr früh auf. Aus Angst vor negativen Folgen trauen sich viele jedoch nicht, die Missstände zu melden. Um Hinweisgeber zu schützen muss nun die bereits seit mehreren Jahren bestehende EU-Richtlinie in ein nationales Gesetz umgesetzt werden.

Am 16. Dezember 2022 hat der Bundestag das deutsche Hinweisgeberschutzgesetz (HinSchG) beschlossen. Da das Gesetz zustimmungspflichtig ist steht nun noch die Zustimmung des Bundesrates aus, ist diese erfolgt muss das Gesetz im Bundesgesetzblatt verkündet werden. Nach dem aktuell bekannten Terminplan des Bundesrates findet die nächste Plenarsitzung am 10. Februar 2023 statt. Zu diesem Termin könnte die Beschlussfassung erfolgen – eine Tagesordnung für die Sitzung ist aktuell noch nicht bekannt. Inkrafttreten soll das Gesetz 3 Monate nach seiner Verkündung, d.h. die Pflicht zur Einrichtung einer internen Meldestelle wird voraussichtlich etwa ab Mai 2023 greifen und trifft dann alle Unternehmen mit mehr als 249 Beschäftigten. Lediglich kleinen Unternehmen mit in der Regel 50 bis zu 249 Beschäftigten soll für die Einrichtung ihrer Meldestellt eine Übergangsfrist bis zum 17. Dezember 2023 eingeräumt werden.

Wie wird der Hinweisgeber über das Gesetz geschützt?

Den Hinweisgeberschutz verfolgt das Gesetz über 2 Instrumente: Einmal wird der Hinweisgeber dahingehend geschützt, dass verhindert werden soll, dass er Repressalien im Arbeitsverhältnis erleidet, wenn er gegenüber seinem Arbeitgeber einen Hinweis auf einen schweren Regelverstoß mitteilt. Konkret soll dies dadurch verhindert werden, dass es eine Regelung gibt die besagt, dass wenn es in zeitlichem Zusammenhang mit einer Hinweisabgabe zu einer Konsequenz im Arbeitsverhältnis kommt, z. B. eine Abmahnung oder im schlimmeren Fall auch eine Kündigung, dann ist aufgrund dieses zeitlichen Zusammenhangs davon auszugehen, dass dies nur wegen des Hinweises erfolgt ist. Der Arbeitgeber muss dann das Gegenteil beweisen. Ohne das Hinweisgeberschutzgesetz wäre es genau anders herum – dann müsste der Hinweisgeber beweisen, dass das auch tatsächlich so gewesen ist. Somit wird der Hinweisgeber zukünftig deutlich besser in einer möglichen Auseinandersetzung gestellt über die Frage, ob die Konsequenz rechtmäßig war oder nicht.

Das andere Instrument ist die Etablierung von internen Meldestellen in Unternehmen. Es soll für Hinweisgeber die Möglichkeit geschaffen werden, dass sie Hinweise auf schwere Regelverstöße unter dem Schutz der Vertraulichkeit ihrer Identität abgeben können. Das reduziert auch maßgeblich das Risiko, Opfer von Repressalien zu werden, wenn die eigene Identität gar nicht bekannt ist. Untersuchungen zum Thema Whistleblowing, die es seit vielen Jahren gibt, zeigen, dass die Möglichkeit die Identität zunächst nicht offenlegen zu müssen, den Hinweisgeber darin ermutigt zu einem viel früheren Zeitpunkt Hinweise abzugeben.

Welche Unternehmen betrifft die Umsetzung der gesetzlichen Vorgaben?

Umsetzen müssen es alle Unternehmen in Deutschland die mehr als 50 Beschäftigte haben. Die Richtlinie gibt es so vor und das deutsche Gesetz setzt das auch so um. Hier kommt es ganz klar auf die Beschäftigtenzahlen an. Wer mehr als 50 Beschäftigte hat, muss eine interne Meldestelle einrichten.

Die Meldestelle muss so strukturiert sein, dass ein Hinweisgeber sich dort melden kann und die Identität erst mal vertraulich bleibt. Vertraulich ist nicht gleich zu setzen mit anonym. Das heißt, wenn Unternehmen Kommunikationskanäle einrichten, die Hinweisgeber benutzen können und dabei ihre Identität offenlegen, dann muss zumindest über die Organisation des Kanals sichergestellt sein, dass diese Information vertraulich bei dem Ansprechpartner bleibt. Wenn also jemand aus dem eigenen Unternehmen die Meldestelle betreut, dann muss diese Person entsprechend geschult sein und verhindert werden, dass es zu Interessenkonflikten kommt.

Wie könnte die Kontaktaufnahme mit der Meldestelle organisiert werden?

Entscheidend ist, dass vorgegeben ist, dass bei Kontaktaufnahme mit der Meldestelle der Hinweisgeber innerhalb von 7 Tagen eine Rückmeldung erhalten muss, dass sein Hinweis eingegangen ist und bearbeitet wird. Weiter muss er auch spätestens nach 3 Monaten darüber informiert werden, ob sein Hinweis Folgemaßnahmen ausgelöst hat und was das Ergebnis dieser Folgemaßnahme war. Daraus ergibt sich also indirekt, dass die Meldestelle so aufgebaut werden muss, dass ein Dialog mit dem Hinweisgeber geführt werden kann. Das bedeutet, dass ein klassischer Briefkasten hierfür nicht geeignet ist, da er keinen Dialog ermöglicht. Alle anderen Möglichkeiten, wie z. B. eine Hotline oder eine E-Mail-Lösung sind denkbar. Man muss sich immer die Frage stellen, wie gut der Vertrauensschutz der Identität letztlich bei diesen Lösungen ist. Denn eine Hotline oder ein E-Mail-Kanal bedeutet immer, dass der Hinweisgeber etwas, was mit ihm in Persona verknüpft ist, hinterlassen muss, damit der Dialog fortgeführt werden kann.

Einen besseren Schutz der Personen bieten sicherlich digitale Kommunikationsplattformen. Es hat sich diesbezüglich bereits eine Reihe von Anbietern etabliert. Auch die Creditreform Compliance Services GmbH hat mit CrefoWhistle beispielweise eine Techniklösung im Angebot. Diese Plattformen funktionieren so, dass der Hinweisgeber über eine Webadresse, die er von überall auf der Welt erreichen kann, 24 Stunden, jeden Tag die Woche, durch einen Fragebogen geleitet wird. Da kann er seinen Hinweis abgeben. Der Hinweis wird bei den qualitativ hochwertigen Anbietern verschlüsselt und in verschlüsselter Form dann an das Unternehmen übermittelt. Bei einer guten Lösung besteht für den Hinweisgeber dann automatisch ein Postfach, was nur über einen alphanummerischen Code ihm zugeordnet ist. Eine Registrierung oder Angabe von persönlichen Daten ist hier nicht erforderlich. Über dieses Postfach ist er dann auch wieder erreichbar für den Bearbeiter. Auf diese Weise kann dauerhaft ein Dialog geführt werden, ohne dass der Hinweisgeber an irgendeiner Stelle seine Identität preisgeben muss. Das ist der maximale Vertrauensschutz im Hinblick auf die Identität, die man geben kann.

Was können Unternehmen tun, wenn sie nicht die Kapazität haben, um eine Person für die Meldestelle vorzuhalten?

Es ist sehr von der Unternehmensindividuellen Situation abhängig, ob die Kapazität und auch das Know-How vorhanden sind um eine interne Meldestelle zu betreiben. Aber das verlangt der Gesetzgeber auch nicht – Unternehmen können die Meldestelle selbst betreiben, müssen es aber nicht. Zulässig ist es auch, dass man einen Dritten damit beauftragt. Eine Lösung könnte darin bestehen, ein externes Compliance Office damit zu beauftragen, welches ein solches Hinweisgebersystem im Portfolio hat und dann auch die Betreuung der Anfragen übernimmt. So bietet es neben vielen anderen Anbietern auch die Creditreform Compliance Services an.

Wenn man, was den strafprozessualen Schutz angeht, noch eine Stufe weitergehen möchte, dann kann man Vertrauensanwälte beauftragen, die Entgegennahme von Hinweisen für das Unternehmen zu übernehmen. Die Anwälte unterliegen dann bei der Bearbeitung ihrer berufsrechtlichen anwaltlichen Verschwiegenheit, sodass dadurch nochmal im besonderen Maße die Informationen, die über das Hinweisgeberportal eingehen auch vor strafprozessualen Zwangsmaßnahmen geschützt werden.

Die Lösungen mit einem Compliance Office und einem Vertrauensanwalt können z. B. auch miteinander kombiniert werden – je nachdem, wie die individuellen Bedürfnisse des Unternehmens aussehen. „So kooperiert unsere Kanzlei z.B. mit der Creditreform Compliance Services um maßgeschneiderte Lösungen anbieten zu können“, so Stephanie Kappen.

Auch im Lieferkettensorgfaltspflichtengesetz gibt es die Anforderung, eine Beschwerdestelle einzurichten. Lässt sich das kombinieren?

Das Lieferkettensorgfaltspflichtengesetz verpflichtet an dem 1.1.2023 alle Unternehmen mit mehr als 3000 Mitarbeiter ein Beschwerdeverfahren einzurichten über das Personen auf die Verletzung menschenrechtsbezogener oder umweltbezogener Pflichten hinweisen können. Es geht hier also auch um die Einrichtung eines Meldekanals mit ähnlichen Vorgaben zur Bearbeitung und zu den zuständigen Personen wie im Bereich des Hinweisgeberschutzgesetztes. Aufgrund der Ähnlichkeit der Anforderung kann es sich anbieten, beide Themen in einem Hinweisgebersystem zusammenzufassen.

Welche praktischen Handlungsempfehlungen kann man für den Mittelstand geben?

Hier empfiehlt Frau Kappen den Unternehmen, sich zunächst Gedanken darüber zu machen, ob sie das Portal intern mit eigenen Mitarbeitern betreiben möchten oder sich lieber die Unterstützung von Dritten holen möchten. Dazu sollte man auch die verschiedenen Modelle, die oben beschrieben wurden, gedanklich auf das eigene Unternehmen anwenden und die konkrete Umsetzung durchspielen. Unternehmen sollten mit verschiedenen Anbietern, z. B. auch mit der Creditreform sprechen, um sich Lösungsmodelle konkret zeigen zu lassen. Wenn man sich für die Auslagerung an einen Dritten entschieden hat, rät Frau Kappen dazu, jemanden ins Projekt zu holen, der dann die Betreuung und Technik in Kombination anbietet.