Hinweisgeberschutzgesetz: Alles was ihr wissen müsst

Liz ist Head of Legal bei twinwin.
Als Expertin für Arbeitsrecht gibt Liz gerne wertvolles juristisches Wissen an Personalverantwortliche weiter, damit diese kostspielige rechtliche Fehler vermeiden können. Ihre Mission bei twinwin ist es, das Arbeitsrecht für die Personalabteilung einfach zu machen.

Was lange währt, wird endlich gut? Nicht nur auf den sozialen Medien wurde zum Thema Hinweisgeberschutz in den letzten Monaten heftig diskutiert, auch die Politik tat sich mit einer Einigung schwer.

Nun ist es endlich soweit: Nach einem langen Entwurfsprozess einigten sich Bundestag und Bundesrat am 12.05.2023 endgültig auf das neue Hinweisgeberschutzgesetz. Damit wird nun endlich die bereits 2019 ergangene EU-Whistleblower Richtlinie umgesetzt.
Erklärtes Ziel des Gesetzes ist der Schutz vor beruflichen Benachteiligungen Hinweisgebender, die auf Rechtsverstöße innerhalb ihres Unternehmens aufmerksam machen. Das neue Gesetz tritt bereits am 02.07.2023 in Kraft.

Um herauszufinden, was es damit im Detail auf sich hat, und was Arbeitgeber nun unternehmen müssen, haben wir mit Dr. Thomas Altenbach, CEO von LegalTegrity in folgendem Interview gesprochen:

Lieber Dr. Altenbach, welche Pflichten kommen nun auf Arbeitgeber zu, ab wann gelten die neuen Regelungen und macht die Unternehmensgröße einen Unterschied?

Arbeitgeber in Unternehmen ab 250 Mitarbeitenden sind bereits ab dem 2. Juli 2023 verpflichtet, ein Hinweisgebersystem zu implementieren. Kleinere Unternehmen ab 50 Mitarbeitenden sind auch von dem Gesetz betroffen, haben mit der Implementierung aber noch bis zum 17. Dezember diesen Jahres Zeit. 


Gibt es spezifische Anforderungen an das Hinweisgebersystem? Wie müssen wir uns so etwas vorstellen?

Oberstes Gebot ist die Vertraulichkeit. Das betrifft die Identität der hinweisgebenden Person aber auch der Personen, die in einer Meldung genannt sind. Entsprechend dürfen nur die für die Meldestelle verantwortlichen Personen Zugriff auf diese Informationen haben.  Der Meldekanal bzw. die Dokumentation der Meldungen muss DSGVO konform sein und personenbezogene Daten dürfen nur verarbeitet werden, soweit dies zur Erfüllung der Aufgaben der Meldestelle notwendig ist. Die Anforderungen an Datenschutz und Datensicherheit sind oberste Priorität. Dazu muss ein Meldekanal muss sowohl für mündliche als auch Meldungen in Textform verfügbar sein.


Welche Art Hinweise bzw. Fehlverhalten soll über das System gemeldet werden? Kannst du uns vielleicht ein oder zwei Beispiele nennen?

Der Anwendungsbereich des Gesetzes ist auf Ordnungswidrigkeiten und Straftaten beschränkt. Das heißt, unter den Schutz des Gesetzes fallen nur Meldungen dieser Art. Ein Beispiel einer Straftat wäre z.B. Diebstahl. Eine beschäftigte Person beobachtet über einen längeren Zeitraum, wie regelmäßig von einer anderen beschäftigten Person teures Inventar aus dem Lager entwendet wird. So etwas kann einen Betrieb schnell Zehntausende Euro im Jahr kosten. 

Ein Beispiel für eine Ordnungswidrigkeit: aus der Belegschaft eines Unternehmens lädt regelmäßig jemand Müll aus dem Betrieb an dafür nicht vorgesehen Orten ab. Solche Vorfälle können nicht nur große Umweltschäden auslösen - sondern auch die Reputation des Unternehmens nachhaltig schädigen. 


Wie ist mit den erhaltenen Hinweisen umzugehen?

Der Eingang eines Hinweises ist der meldenden Person innerhalb von 7 Tagen zu bestätigen. Die Meldestelle prüft dann, ob die Meldung in den Anwendungsbereich fällt und stichhaltig ist. Über diesen Prozess hinweg hält die meldestellenverantwortliche Person ständigen Kontakt mit der hinweisgebenden Person. Nach spätestens drei Monaten muss der hinweisgebenden Person ein Ergebnis der Prüfung sowie die daraus resultierenden Folgemaßnahmen mitgeteilt werden. Der gesamte Prozess muss DSGVO-konform dokumentiert und sicher aufbewahrt werden. 

Wir bekommen häufig die Frage gestellt, ob denn ein Briefkasten bzw. ein Telefon als Meldekanäle nicht ausreichend seien. Sowohl in punkto Prozessvereinfachung und Vertraulichkeit als auch Dokumentation und Aufbewahrung sind diese Kanäle alles andere als praktikabel – ein digitaler Meldekanal ist im Jahr 2023 aus unserer Sicht das einzig sinnvolle und zeitgemäße Tool.


Wie steht es um die Anonymität der Hinweisgeber? Können Verstöße anonym gemeldet werden?

Hier gab es im Vermittlungsausschuss leider Änderungen zum ursprünglichen Gesetzentwurf. Anonyme Meldungen sollen, müssen laut Gesetz aber nicht zugelassen werden. Wir empfehlen jedoch allein aus Haftungsgründen dringend, anonyme Meldungen zuzulassen. Unternehmensleitungen haften persönlich dafür, dass die Organisation ihres Unternehmens so aufgestellt ist, dass im Unternehmen keine Rechtsverletzungen begangen werden können und Schäden ausbleiben. Wenn anonyme Meldungen Hinweise auf solche Rechtsverletzungen beinhalten, gerät das Unternehmen schnell in ein Haftungsrisiko, wenn es diese Meldungen nicht zulässt. Studien zeigen zudem, dass anonyme Hinweise überdurchschnittlich viele relevante Meldungen zu schweren Fällen von Wirtschaftskriminalität enthalten. 


Was ist beim Umgang mit Hinweisgebern zu beachten?

Wenn hinweisgebende Personen unter den Schutz des Gesetzes fallen, die Person also wahre Angaben macht, die in den Anwendungsbereich fallen, dann darf sie keinerlei Benachteiligungen erfahren. Wichtig ist, Vertrauen zu vermitteln und Hinweisgebenden zuzusichern, dass ihr Hinweis ernst genommen wird. In der Regel ist es sogar so, dass anonyme Meldende im Laufe des Prozesses ihre Identität preisgeben, wenn sie das Gefühl haben, dass ihr Anliegen ernst genommen wird.


Was droht, wenn Arbeitgeber den neuen Pflichten nicht nachkommen, gibt es Sanktionen?

Es gibt nach dem Hinweisgeberschutzgesetz Sanktionen bis zu 50.000 Euro. Wenn eine Meldestelle nicht eingerichtet wird, können Bußgelder bis zu 20.000 Euro anfallen. Teurer kann es z.B. werden, wenn eine hinweisgebende Person Repressalien durch den Arbeitgeber erfährt. Besonders beim Thema Vertraulichkeit muss man zusätzlich sehr sorgsam sein – denn hier können auch Bußgelder nach DSGVO verhängt werden. Diese DSGVO-Bußgelder sind ein Vielfaches höher als die Bußgelder nach dem HinSchG, meist 5% vom Umsatz der Unternehmensgruppe.


Vielen Dank für die Aufklärung!

Übrigens: Ihr habt noch keinen Partner an eurer Seite beim Thema Hinweisgeberschutz? LegalTegrity’s digitales Hinweisgebersystem für den Mittelstand schützt euer Unternehmen vor Regelverletzungen und Gesetzesverstößen!
Interesse geweckt? Lasst es uns ganz einfach wissen unter support@twinwin.org!