Sondernewsletter zum Hinweisgeberschutzgesetz
Was Compliance-Verantwortliche zum Hinweisgeberschutzgesetz JETZT wissen müssen
Handlungsbedarf:
Das Hinweisgeberschutzgesetz wird Mitte Juni 2023 in Kraft treten.
Das Gesetz dient der Umsetzung der EU-Whistleblower-Richtlinie.
Einrichtungspflicht:
Unternehmen mit mehr als 50 Beschäftigten sind verpflichtet, eine Stelle für interne Meldungen einzurichten.
Für Unternehmen mit 50 bis 249 Beschäftigten gilt die längere Umsetzungsfrist bis 17. Dezember 2023.
Für die Nicht-Einrichtung und das Nicht-Betreiben eines Meldesystems ist eine Geldbuße von bis zu EUR 20.000 vorgesehen.
Zugang:
Unternehmen müssen das Meldesystem den Beschäftigten zugänglich machen.
Empfehlenswert ist, das System auch für Dritte zu öffnen, beispielsweise Geschäftspartnern oder Lieferanten.
Anonymität und onlinebasierte Hinweisgebersysteme:
Die unternehmensinterne Meldestelle sollte auch anonym eingehende Meldungen bearbeiten.
Es besteht gesetzlich keine Verpflichtung, die Meldekanäle so zu gestalten, dass sie die Abgabe anonymer Meldungen ermöglichen.
Praxistipp:
In der Unternehmenspraxis und bei den Behörden gelten onlinebasierte Hinweisgebersysteme als „Best Practice“. Die Gründe dafür sind einleuchtend:
Bei anonymen Hinweisen über Telefon oder auf dem Postweg ist eine Rückkopplung mit dem Whistleblower nicht möglich.
Internetbasierte Hinweisgebersysteme ermöglichen die Einbeziehung des Whistleblowers in den weiteren Verlauf der Ermittlungen, ohne dass dieser seine Identität preisgeben muss.
Hinweisgeber und Fallbearbeiter greifen von ihren jeweiligen Standorten auf den Server zu.
Eine technische Rückverfolgung des Hinweises basierend auf den gespeicherten Daten ist unmöglich.
Die anonyme Kommunikation zwischen Hinweisgeber und Fallbearbeiter erfolgt über ein geschütztes Postfach.
Bei Einführung eines onlinebasierten Hinweisgebersystems sind die Mitbestimmungsrechte des Betriebsrats zu beachten.
Anwendungsbereich:
Der persönliche Anwendungsbereich umfasst alle Personen, die in ihrem beruflichen Umfeld Informationen über Compliance Verstöße erlangt haben.
Der sachliche Anwendungsbereich des Gesetzes umfasst neben EU-Recht auch Verstöße gegen nationale Strafvorschriften und bußgeldbewährte Vorschriften.
Wahlrecht:
Whistleblower haben ein Wahlrecht zwischen interner und externer Meldung.
Hinweisgebende Personen können denjenigen Meldekanal wählen, der sich angesichts der fallspezifischen Umstände am besten eignet.
Beschäftigungsgeber sollten Anreize dafür schaffen, dass sich Hinweisgeber vor einer Meldung an eine externe Meldestelle zunächst an die jeweilige interne Meldestelle wenden.
Kommunikation:
Das Unternehmen soll die Bereitstellung leicht zugänglicher und verständlicher Informationen über die Möglichkeit einer Meldung und das Hinweisgeberverfahren gewährleisten, z. B. über die Homepage oder das Intranet.
Vertraulichkeitsgebot:
Die Meldestellen haben die Vertraulichkeit der Identität des Hinweisgebers und der von der Meldung betroffenen Person(en) zu wahren.
Dokumentationspflicht:
Alle eingehenden Meldungen müssen in dauerhaft abrufbarer Weise unter Beachtung des Vertraulichkeitsgebots dokumentiert werden.
Die Einhaltung der Dokumentationspflichten kann mit einem onlinebasierten Hinweisgebersystem gut nachgewiesen werden, insbesondere wenn das System blockchainbasiert ist.
Vertrauensanwälte / Ombudsmann:
Unternehmen können externe Anwälte als Ombudspersonen mit der Einrichtung und dem Betreiben der internen Meldestelle beauftragen.
Die Vereinigung deutscher Vertrauensanwälte e. V. definiert das Konzept des externen Vertrauensanwalts wie folgt:
„Ombudspersonen werden von Unternehmen bestellt, um Hinweise über potenzielle Straftaten im Unternehmen zu erlangen. Hinweisgeber können auf diesem Weg Informationen in einem geordneten Verfahren übermitteln, ohne dabei ihre Identität preisgeben zu müssen. Wenn und soweit gewünscht, wahrt der Vertrauensanwalt ihre Anonymität gegenüber dem Unternehmen. Hemmschwellen bei Hinweisgebern werden durch die Zusicherung von Vertraulichkeit überwunden. Das Unternehmen wiederum erhält verlässliche Informationen, auf deren Grundlage über die weiteren Schritte (Aufklärung, Beseitigung, arbeitsrechtliche Maßnahmen, Strafverfolgung) entschieden werden kann.“
Verfahren bei internen Meldungen:
Die interne Meldestelle bestätigt der hinweisgebenden Person den Eingang einer Meldung spätestens nach sieben Tagen.
Eine Rückmeldung an Hinweisgeber über geplante sowie bereits ergriffene Folgemaßnahmen sowie Gründe für diese hat innerhalb von drei Monaten nach Eingangsbestätigung zu erfolgen.
Folgemaßnahmen:
Interne Meldestellen haben die Aufgabe, Meldungen nachzugehen, deren Stichhaltigkeit zu prüfen und dazu beizutragen, etwaige Compliance-Verstöße abzustellen.
Unternehmen können interne Untersuchungen durchführen und betroffene Personen und Stellen kontaktieren.
Schutzmaßnahmen:
Whistleblower werden umfangreich vor Repressalien wie Kündigung oder sonstigen Benachteiligungen geschützt.
Voraussetzung des Schutzes ist, dass der Hinweisgeber zum Zeitpunkt der Meldung hinreichenden Grund zu der Annahme hatte, dass die gemeldeten Informationen der Wahrheit entsprachen und Verstöße betreffen, die in den Anwendungsbereich des Gesetzes fallen.
Wird gegen das Verbot von Repressalien verstoßen, hat der Hinweisgeber einen Schadensersatzanspruch.
Der Whistleblower ist zum Ersatz des Schadens verpflichtet, der aus einer vorsätzlichen oder grob fahrlässigen Meldung unrichtiger Informationen entstanden ist.
Bußgeldtatbestände:
Mit einem Bußgeld von bis zu EUR 50.000 wird belegt, wer eine Meldung oder die darauffolgende Kommunikation verhindert (oder dies versucht), wer verbotene Repressalien ergreift (oder dies versucht) oder wer vorsätzlich oder fahrlässig das Vertraulichkeitsgebot missachtet.
Konzernweite Meldesysteme:
Das Hinweisgeberschutzgesetz sieht vor, dass auch bei einer anderen Konzerngesellschaft eine unabhängige und vertrauliche Meldestelle als „Dritter“ eingerichtet werden kann, die für mehrere selbstständige Unternehmen im Konzern tätig sein kann.
Beispiel: Eine Konzernobergesellschaft hat eine Compliance-Abteilung. Die Tochtergesellschaft mit 300 Beschäftigten hat keine eigenständigen Compliance-Funktionen geschaffen. Die Compliance-Abteilung der Konzernobergesellschaft ist eine unabhängige Dritte, die im Auftrag der Tochtergesellschaft eingehende Meldungen empfangen und – nach Gesellschaften getrennt – vertraulich bearbeiten kann. Das Zurückfallen auf Konzernfunktionen darf nicht mit einem Übergang der Verantwortung gleichgesetzt werden. Die originäre Verantwortung für das Abstellen von Verstößen verbleibt bei jeder (Konzern)Gesellschaft.
Beschäftigtendatenschutz im Hinweisgeberverfahren:
Datenschutzbeauftragte und Verantwortliche müssen den Beschäftigtendatenschutz im Kontext von unternehmensinternen Hinweisgebersystemen beachten.
Die Konferenz der Datenschutzbehörden des Bundes und der Länder haben für Unternehmen eine umfangreiche Orientierungshilfe zu Whistleblowing-Hotlines und Beschäftigtendatenschutz herausgegeben, die unbedingt zu beachten ist.
Fazit:
Bei der Umsetzung des Hinweisgeberschutzgesetzes sollten sich Unternehmen an folgenden „Best Practice“ Grundsätze orientieren:
Onlinebasierte Hinweisgebersyteme und Compliance-Ombudsleute / Vertrauensanwälte garantieren den besten Schutz.
Ein Whistleblowing-System muss klar und verständlich kommuniziert werden.
Eine Unternehmensrichtlinie, Datenschutzrichtlinien sowie eine Betriebsvereinbarung müssen das Hinweisgeberverfahren rechtssicher und transparent abbilden.
Der Autor des Sondernewsletter zum Hinweisgeberschutzgesetzt ist unserem Kooperationspartner Dr. Burkhard Fassbach.
Compliance Rechtsschutz Versicherung
Wo strafrechtlich relevante Verfehlungen im Unternehmen im Raum stehen, ziehen diese umfangreiche externe, aber gerade auch interne Ermittlungen nach sich. Mit ganz beträchtlichen Kosten. Auch bei weniger schwerwiegenden Regelverstößen sind Geschäftsleitung und Aufsichtsgremien gehalten, diesen nachzugehen, andernfalls machen sie sich schadenersatzpflichtig.
Um die Aufklärung von Regelverstößen im Unternehmen verbundene Kostenrisiko adäquat abzusichern wurde die Compliance Rechtsschutz Versicherung entwickelt.
Sie möchten Näheres über die Compliance Rechtsschutz Versicherung erfahren? Sprechen Sie uns jederzeit gerne an.
Das könnte Sie auch interessieren
EuGH-Urteil zur Gruppenversicherung
EuGH-Urteil zur Gruppenversicherung Der Europäische Gerichtshof (EuGH) hat kürzlich entschieden, dass jeder, der externe Mitglieder für seine Gruppenversicherung anwirbt, als
Die Funktionsweise der D&O‑Versicherung im Schadenfall – Teil 2
Die Funktionsweise der D&O‑Versicherung im Schadenfall – Teil 2 Vorsatz- bzw. Wissentlichkeitsausschluss D&O‑Policen enthalten stets eine Vorsatz- bzw. Wissentlichkeitsausschlussklausel. Gemäß dieser
Risiko-Management in China
Risiko-Management in China Risiko-Management in China China-Experte Senff über Blacklistings, Managerhaftung und De-Risking in China Herr Senff, Sie sind spezialisiert