Icon für Compliance - weißes Paragrafenzeichen auf orangenen Grund –
Compliance

FAQ-Hinweisgeberschutzgesetz

Auch wenn klar ist, dass das Hinweisgeberschutzgesetz Veränderungen in Organisationen nach sich ziehen muss, wirft es häufig Fragen auf. Wir haben bei Christian Klande, Berater bei Althammer & Kill und Compliance Experte, nachgefragt.

Warum sollte eine interne Meldestelle eingerichtet werden? 

Es gibt eine gesetzliche Verpflichtung zur Einrichtung von internen Meldestellen, die vom deutschen Hinweisgeberschutzgesetz (HinSchG) gefordert wird. Diese Verpflichtung gilt in der Regel für alle Beschäftigungsgebenden mit mindestens 50 Mitarbeitenden. Das HinSchG ist die nationale Umsetzung der EU-Richtlinie 2019/1937, oft auch „Whistleblower-Richtlinie“ genannt. Es dient dem Schutz von Hinweisgebenden vor Repressalien durch den oder die Beschäftigungsgebenden und erleichtert die Aufdeckung von Verstößen im beruflichen Umfeld. Eine Nichteinrichtung ist bußgeldbewehrt. Daher könnte man sagen, dass die Einrichtung dieser Meldestellen zur Einhaltung der gesetzlichen Anforderungen erfolgt.

Es gibt jedoch weitere Gründe dafür. Die Rechtsprechung hat in den letzten Jahren und Jahrzehnten eine Art Pflichtenkatalog für die Organisationsleitung formuliert, insbesondere die sogenannte Legalitätspflicht. Diese besagt, dass die Leitung dafür sorgen muss, dass gesetzliche Regelungen umgesetzt werden. Wird dies nicht in ausreichendem Maße getan, kann es zu einer persönlichen Haftung der Leitung kommen. Werden bestimmte Maßnahmen, insbesondere die Implementierung eines wirksamen Compliance-Management-Systems, umgesetzt, kann dies haftungsmindernd wirken. Ein internes Hinweisgebersystem bzw. eine interne Meldestelle ist ein wesentlicher Bestandteil eines solchen Systems und hilft somit, persönliche Haftung zu vermeiden.

Warum sollte die interne Meldestelle sorgsam und glaubwürdig eingerichtet werden? 

Das HinSchG schützt alle Personen, die potenziell Kenntnis von einem Verstoß im beruflichen Umfeld erlangt haben können. Dazu zählen neben Beschäftigten unter anderem auch Bewerbende, ehemalige Mitarbeitende, Praktikanten, Gesellschafterinnen und Gesellschafter, Mitglieder, und Lieferantinnen und Lieferanten sowie deren Mitarbeitende. Der Anwendungsbereich ist vom Gesetzgeber bewusst weit gewählt worden, wobei es nach aktuellem Stand wahrscheinlich ist, dass Kunden und Kundinnen nicht darunterfallen. Trotzdem kann es sinnvoll sein, auch deren Meldungen sorgsam zu prüfen, da sich eine Bearbeitungspflicht aus der Legalitätspflicht ergeben könnte (sofern es sich nicht um Bagatellen oder bloße Beschwerden handelt). Berechtigte natürliche Personen haben ein Wahlrecht zwischen einer externen und einer internen Meldestelle. Die externen Meldestellen werden von staatlichen Stellen betrieben, z.B. dem Bundesjustizamt als Sammel- und Auffangstelle. Wenn die interne Meldestelle über keine ausreichende Reputation und Glaubwürdigkeit zur vertraulichen und objektiven Nachverfolgung von Hinweisen verfügt, wird ein Melder extern melden oder gar keine Meldung abgeben.  

Beides sollte vermieden werden, da dies zum einen die Kontrolle über das Verfahren erschwert und zum anderen die Bearbeitung durch externe Stellen in der Regel mehr Ressourcen erfordert. Ausnahmen wären beispielsweise schwerwiegende Fälle, bei denen die Strafverfolgungsbehörden eingeschaltet werden sollten, oder wenn gesetzliche Meldepflichten bestehen. Nicht gemeldete Verstöße können zudem einen erheblichen Nachteil für die Organisation darstellen, indem sie die Moral der Mitarbeitenden schwächen und möglicherweise zu einer demotivierten und zynischen Haltung führen. Jede Organisation sollte dankbar für Hinweise sein, insbesondere weil diese in der Regel von motivierten Mitarbeitenden kommen, die ein Interesse an einer gemeinsamen Zukunft haben. Eine Organisation, die sich nicht an Regeln hält, wird es in Zukunft schwerer haben, passende Mitarbeitende zu finden.

Welche Möglichkeiten der Implementierung gibt es? 

Die Implementierung kann komplett intern gelöst werden. Hierzu bedarf es entsprechend gesetzlich geforderter Meldekanäle und geeigneten Personals. Oftmals wird als Kommunikationskanal eine E-Mail-Adresse angeboten. Eine sichere Kommunikation darüber ist jedoch nur unter bestimmten Voraussetzungen möglich. Zudem haben auch Administrierende Zugriff, die mit der eigentlichen Bearbeitung zunächst nichts zu tun haben. Da jede eingehende Nachricht bearbeitet werden muss, ist der Einsatz von Spamfiltern separat zu prüfen. Dieses Einfallstor könnten sich auch Cyber-Angreifende zu Nutze machen.  

Eine andere Möglichkeit wäre es, ein externes Hinweisgeberportal bereitzustellen, auf denen sicher und geschützt jederzeit Hinweise eingehen können und mit dessen Hilfe auch eine anonyme Kommunikation mit den Hinweisgebenden sichergestellt werden kann. Ein entsprechender Auftragsverarbeitungsvertrag wäre zu schließen. Ein Teil der Angebote, so auch das von Althammer & Kill, bietet parallel dazu einen telefonischen Meldekanal an. Gerade für unsichere Meldende ist das vertrauliche persönliche Gespräch Grundvoraussetzung für eine Meldung und die telefonische Meldung erfreut sich steigender Beliebtheit, da für manche die Hemmschwelle geringer ist.

Die komfortabelste Lösung ist eine „externe“ interne Meldestelle, die durch einen geeigneten Dienstleistenden wie Althammer & Kill zur Verfügung gestellt wird. Hier sind verschiedene Faktoren wie geeignete Meldewege, die fachliche Qualifikation, Vertretungsfähigkeit, Unabhängigkeit und das Fehlen von Interessenskonflikten sichergestellt. Datenschutzrechtlich ist keine Datenschutzfolgenabschätzung zu erstellen und die Betroffenenrechte werden sichergestellt.

Was sind wichtige Vor- und Nachteile der Lösungen? 

In vielen Organisationen gibt es wenig Erfahrungswerte, was den Aufwand der internen Meldestelle betrifft. Daher ist es sinnvoll, zunächst eine Skalierbarkeit sicherzustellen und die Fixkosten gering zu halten. Dieses kann extern über ein aufwandsorientiertes Modell ohne hohe Pauschalen erreicht werden. Nichtsdestotrotz muss der Meldestellenbeauftragte bzw. die Ombudsperson über umfangreiche Kompetenzen (Fachkunde) verfügen, diese auf einem aktuellen Stand halten und eingehende Meldungen kompetent und fachkundig bearbeiten können. Gleiches gilt auch für die Vertretungsperson. Die Meldestelle muss auch arbeiten können, wenn der Hauptverantwortliche nicht im Dienst ist (Urlaub, Krankheit etc.). Bei einer externen Lösung fallen diese Aufwendungen zur Erlangung und Erhalt nicht an. 

Wichtiger jedoch als diese Argumente ist die Unabhängigkeit und Glaubwürdigkeit der jeweiligen Lösung sowie deren Haftungspotential. Eine interne Person kennt man, oftmals werden jedoch Ombudspersonen ausgewählt, die Führungskraft sind oder Personen, die per se der Leitung nahestehen. Die Gefahr von Interessenskonflikten liegt auf der Hand. Bei der externen Lösung ist diese Gefahr deutlich geringer. Die meisten Betriebsräte bzw. Mitarbeitervertretungen begrüßen daher die externe Lösung.  

Es muss auch kein eigener Mitarbeitender eine „Bürde“ auf sich nehmen. Denn das Haftungsrisiko liegt zum Großteil beim Dienstleister. Verstößt eine (interne) Ombudsperson bewusst oder unbewusst gegen das Vertraulichkeitsgebot, drohen Geldbußen bis zu 50.000 €, die nach derzeitigem Stand nicht versicherbar sind und als persönliches Haftungsrisiko drohen. Dem steht gegenüber, dass es keinen besonderen Kündigungsschutz für interne Ombudspersonen gibt. Der Initialaufwand für die interne Lösung dürfte indes umfangreicher sein als der für die externe.

Für wen sollte die interne Meldestelle geöffnet sein?  

Das Gesetz schützt alle natürlichen Personen umfangreich. Eine interne Meldestelle muss jedoch nur für Beschäftigte eingerichtet werden. Eine Öffnung für andere ist keine Pflicht, wird jedoch empfohlen. Sofern eine „andere“ berechtigte natürliche Person einen Missstand erfährt und melden möchte, aber keine interne Meldestelle zur Verfügung steht, wird sie extern oder gar nicht melden. Beides ist nicht wünschenswert.  

Die einfachste Lösung, ein System für alle berechtigten natürlichen Personen anzubieten, ist es, eine URL mit der entsprechenden Meldestelle auf der Website zur Verfügung zu stellen, z.B. im Footer neben dem Impressum oder der Datenschutzerklärung. Manchmal wird das Bedenken geäußert, dass dann ein Ansturm auf die Meldestelle folgt und Dinge gemeldet werden, die eher bei einer Beschwerdestelle richtig aufgehoben sind. Die bisherige Erfahrung auch von Althammer & Kill zeigt jedoch, dass dem nicht so ist. „Verirrt“ sich versehentlich jemand bei der internen Meldestelle, bekommt er einen entsprechenden Hinweis, an welche Stelle er sich eigentlich wenden sollte. 

Laut dem Hinweisgeberschutzgesetz muss der Meldekanal nicht anonym sein, oft wird es jedoch empfohlen – warum?  

Das HinSchG empfiehlt die Bearbeitung anonymer Hinweise. Es ist aber tatsächlich kein Muss. Eine anonyme Meldemöglichkeit ist grundsätzlich sehr einfach möglich, z.B. durch einen Briefkasten, der an einer nicht prominenten Stelle aufgehängt ist. Damit ist aber keine Kommunikation mit dem Hinweisgebenden möglich. Das ist daher unglücklich, da selten in der Erstmeldung alle wertvollen Informationen und Hinweise genannt werden, die für die Stichhaltigkeitsprüfung notwendig sind.  

Warum anonym? Weil dadurch die Hemmschwelle zur Meldung sinkt und auch Personen mit mehr Bedenken melden. Die Statistik spricht – je nach Quelle – von 45 - 65% abgegebener anonymer Meldungen. Diese würden zum Großteil wegfallen, wenn es keine anonyme Meldemöglichkeit gibt. Es gibt Bedenken, dass anonyme Meldungen dazu einladen würden, andere zu Unrecht an den Pranger zu stellen, also zu denunzieren. Diese Befürchtung kann aus Sicht von Althammer & Kill nicht bestätigt werden. Das Zulassen anonymer Hinweise kann man auch als Zeichen des Vertrauens interpretieren. Im Rahmen der gängigen ISO-Normenist eine anonyme Melde- und Kommunikationsmöglichkeit ein wichtiger und unverzichtbarer Bestandteil eines angemessenen Meldesystems. 

Unabhängig davon hinaus besteht bereits seit Jahren im Rahmen der Legalitätspflicht für die Leitung die Pflicht, substanzielle Hinweise auf Verstöße – auch wenn sie anonym sind – umgehend und sorgsam zu prüfen. Verstöße sind schnellstens abzustellen, um ein (vermeidbares) Risiko zu verhindern oder zumindest zu reduzieren.

Was ist noch wichtig für die Implementierung? 

Neben der richtigen Auswahl der Meldekanäle und der Ombudsperson ist Transparenz über das gewählte Verfahren und eine offene und vertrauensvolle Kommunikation an die Mitarbeitenden besonders wichtig. Es empfiehlt sich vorher den Betriebsrat bzw. die Mitarbeitendenvertretung mit ins Boot zu holen, eine entsprechende Richtlinie über die Meldestelle zu besprechen und in Kraft zu setzen und die Führungskräfte vorab zu schulen. 

Danach sollte eine Information am besten dauerhaft abrufbar erfolgen, z.B. im Intranet. Je mehr und offener sich eine Leitung zur Einhaltung von Regeln verpflichtet und das aktive Melden begrüßt, desto wirksamer wird der Meldeprozess sein.

 

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.