·
04.04.2023
Strategie

Einrichtung einer internen Meldestelle (Hinweisgeberschutzgesetz) – Wie kann eine Umsetzung im Unternehmen aussehen?

Am 16. Dezember 2022 verabschiedete der Bundestag das Gesetz zum Schutz hinweisgebender Personen (Hinweisgeberschutzgesetz – HinSchG), welches der Umsetzung der EU-Whistleblower-Richtlinie (WBRL) dient. Ziel des HinSchG ist es, den Schutz hinweisgebender Personen und sonstiger von einer Meldung betroffener Personen zu stärken und sicherzustellen, dass ihnen im Rahmen der Vorgaben dieses Gesetzes keine Benachteiligungen drohen (§ 1 HinSchG-E). Kernstück des neuen HinSchG ist die Pflicht zur Einrichtung interner Meldestellen für Unternehmen mit jeweils in der Regel mindestens 50 Beschäftigten (§ 12 Abs. 2 HinSchG-E). In Deutschland werden rund 90.000 Unternehmen[1] unter den Anwendungsbereich des HinSchG fallen und damit verpflichtet sein, eine interne Meldestelle einzurichten.

Wie könnte die Umsetzung einer internen Meldestelle im Unternehmen aussehen?


Um diese Frage zu beantworten, müssen zunächst die rechtlichen Anforderungen des HinSchG an die Errichtung einer internen Meldestelle benannt werden.


Die nach dem Entwurf einzurichtenden Meldekanäle müssen zumindest den eigenen Beschäftigten und dem Unternehmen überlassenen Leiharbeitnehmern offenstehen. Darüber hinaus können die zur Einrichtung verpflichteten Unternehmen selbst entscheiden, ob der Meldekanal auch außenstehenden Personen, die im beruflichen Kontakt zu der Stelle stehen und dort einen Verstoß beobachten, offenstehen soll. Im ersten Schritt können die Unternehmen frei darüber entscheiden, ob sie Meldesysteme vorsehen, die die Abgabe und Bearbeitung anonymer Meldungen ermöglichen. Ab 01. Januar 2025 ist eine anonyme Kommunikation mit dem Hinweisgeber sicherzustellen. Letztes ist nicht nur aus dem Aspekt des Datenschutzes ratsam, sondern auch um dem Hinweisgeber eine niedrige Hemmschwelle zur Meldung zu eröffnen.


Die Vorgaben zur Einrichtung und Ausgestaltung interner Meldekanäle sind bewusst allgemein gehalten. Über die in diesem Gesetz genannten Vorgaben hinaus sollen die betroffenen juristischen Personen frei darin sein, wie sie die Meldestelle betreiben. Eine mögliche Zuordnung ist anhand der Struktur des Unternehmens zu wählen und erwähnt beispielhaft die folgenden Funktionen:

  • HR-Abteilung,
  • Rechtsabteilung,
  • Compliance-Abteilung,
  • Interne Revision,
  • Integritäts- oder Datenschutzbeauftragte.

Von Letzteren ist jedoch abzuraten, da es zu möglichen Interessenskonflikten der Funktionen des Datenschutzbeauftragen sowie Meldestellenbeauftragten bei der Verarbeitung personenbezogener Daten kommen kann.[2]


Die Meldungen können entweder mündlich oder in Textform an die interne Meldestelle gerichtet werden, solange bei dem gewählten Übertragungsweg die Vertraulichkeit der Identität der von der Meldung betroffenen Personen gewahrt ist.


Nach § 17 HinSchG-E bestätigt die interne Meldestelle der hinweisgebenden Person den Eingang der Meldung nach spätestens sieben Tagen, prüft, ob der gemeldete Verstoß in den sachlichen Anwendungsbereich fällt, hält mit dem Hinweisgeber Kontakt, prüft die Stichhaltigkeit der abgegebenen Meldung, ersucht den Hinweisgeber ggf. um weitere Informationen und ergreift angemessene Folgemaßnahmen. Hierüber gibt die interne Meldestelle dem Hinweisgeber innerhalb von drei Monaten nach Bestätigung des Eingangs der Meldung eine Rückmeldung. Dabei hat das Unternehmen sicherzustellen, dass eine Rückmeldung an den Hinweisgeber die interne Nachforschung oder Ermittlungen nicht berührt und Rechte der Personen, die Gegenstand der Meldung sind, nicht beeinträchtigt werden.


Unter Berücksichtigung der vorherigen Ausführungen könnte das Verfahren einer internen Meldung im Unternehmen wie in Abbildung 1 dargestellt aussehen.

Mögliches Verfahren zur Einrichtung einer internen Meldestelle gemäß Hinweisgeberschutzgesetz

Abbildung 1: Mögliches Verfahren einer internen Meldung.

Es gibt verschiedene Lösungen für die Ausgestaltung eines Meldekanals. Eine interne Lösung, wie die Einrichtung einer internen E-Mail-Adresse, ist pragmatisch und kann Kosten gering halten. Hier kann jedoch nicht garantiert werden, dass nicht zuständige Personen (IT-Personal des Unternehmens) Kenntnis vom Inhalt des Hinweises erhalten (durch Zugriff auf den Mail-Server), was wiederum dem Vertraulichkeitsgebot (vgl. § 8 HinSchG-E) widerspricht.[3] Weitere Lösungen könnten die Einrichtung eines IT-gestützten Systems oder die telefonische Entgegennahme des Hinweises über eine externe Telefonnummer einer Ombudsperson sein. IT-gestützte Systeme bereits etablierter Anbieter können die Anforderungen des HinSchG vollumfänglich erfüllen, sollten jedoch – ebenso wie der Anbieter als solches – im Hinblick auf Datenschutz und Informationssicherheit geprüft werden und insbesondere geeignete technisch-organisatorische Maßnahmen ergriffen haben und einschlägige Zertifizierungen wie ISO 27001 vorweisen können. Eine externe Telefonnummer bei einer Ombudsperson kann aufgrund der Sicherstellung der permanenten Erreichbarkeit sehr hohe Kosten verursachen. Für welche Lösung sich ein Unternehmen auch entscheidet, es kommen auf jeden Fall (zusätzliche) Kosten auf die Unternehmen zu.


Abschließend ist zu konstatieren, dass die Umsetzung des HinSchG für Unternehmen neben bürokratischen Hürden auch Chancen mit sich bringt. Grundsätzlich sollte jedes Unternehmen ein Interesse daran haben, Rechtsverstöße schnell aufzuklären und zu beseitigen, um Reputations- und andere Schäden (z. B. finanzielle) zu vermeiden bzw. zu minimieren.[4] Die Einrichtung eines (anonymen) Hinweisgebersystems kann Vertrauen gegenüber Mitarbeitenden und anderen Stakeholdern (z. B. Kunden) aufbauen und helfen, Prozesse zu optimieren. Schließlich kann die Summe der einzelnen Vorteile eines Hinweisgeberschutzsystems einen Wettbewerbsvorteil begründen.[5]

  1. Statistisches Bundesamt (Destatis), Kleine und mittlere Unternehmen, abrufbar unter: https://www.destatis.de/DE/Themen/ Branchen-Unternehmen/Unternehmen/ Kleine-Unternehmen-Mittlere-Unternehmen/_inhalt.html#sprg233752 (Stand: 13.02.2023).
  2. Stuke/Fehr, BB 2021, 2740.
  3. Birker/Würz, Hinweisgeberschutzgesetz im Bundestag verabschiedet, abrufbar unter: https://www.haufe.de/compliance/recht- politik/hinweisgebersysteme-und-die-eu- whistleblower-richtlinie_230132_528700.html (Stand: 13.02.2023).
  4. Franzen, EuZA 2022, 391 (392).
  5. PwC, Hinweisgebersysteme: So verwandeln Sie die Pflicht in einen Wettbewerbsvorteil, abgerufen unter: https://www.pwc. de/de/managementberatung/risk/hinweis gebersysteme-so-verwandeln-sie-die- pflicht-in-einen-wettbewerbsvorteil.html (Stand: 13.02.2023).

Zu den Personen:

Prof. Dr. Stefanie Fehr

Prof. Dr. Stefanie Fehr

Wirtschaftsjuristin, LL.M.

Daniel Rosemeyer

Compliance Officer

PROMOS consult

Bitte warten