Hinweisgebersysteme nach dem HinSchG: Pflichten, Umsetzung und Bußgeldrisiken für Unternehmen

Was ist ein Hinweisgebersystem?

Unter einem Hinweisgebersystem (auch Whistleblower-System genannt) ist ein System oder ein Verfahren zu verstehen, welches in Unternehmen und innerhalb der Verwaltung eingesetzt wird, um den Beschäftigten einen vertraulichen Kommunikationskanal zu eröffnen.

Der Zweck eines solchen Hinweisgebersystems soll darin liegen, rechtswidrige Vorfälle im Unternehmen vertraulich aufzeigen und melden zu können und dadurch eine Prüfung des Vorfalls zu veranlassen, ohne Repressalien befürchten zu müssen.

Welche Unternehmen brauchen ein Hinweisgebersystem?

Hinweisgebersysteme sind nichts Unbekanntes für Unternehmen. Gerade größere Unternehmen haben schon vor Inkrafttreten des Hinweisgeberschutzgesetz (HinSchG) vergleichbare Stellen oder Meldekanäle als Bestandteil ihrer Compliance eingerichtet. Ebenso bestand bereits für gewisse Branchen (bspw. Finanzinstitute) die Pflicht, ein Hinweisgebersystem zu betreiben.

Durch das HinSchG wird die Ausnahme nun jedoch zur Regel. Die Einrichtung eines Hinweisgebersystems ist nunmehr für eine Vielzahl der in Deutschland ansässigen Unternehmen Pflicht.

Nach § 12 Abs. 1 S. 1 und Abs. 2 HinSchG müssen Beschäftigungsgeber eine interne Meldestelle einrichten, wenn sie in der Regel mindestens 50 Beschäftigte haben. Zur Bestimmung der erforderlichen Beschäftigtenanzahl wird nicht auf einen Stichtag abgestellt. Die Anzahl wird vielmehr durch eine Gesamtschau ermittelt, die sowohl die vergangene Beschäftigtenanzahl als auch die zukünftig zu erwartende Anzahl umfasst.

Darüber hinaus werden in § 12 Abs. 3 HinSchG verschiedene Bereiche der Finanzbranchen unabhängig von der Beschäftigtenanzahl ebenfalls zur Einrichtung verpflichtet.

In welchen Fällen können Beschäftigte das Hinweisgebersystem nutzen?

Die Fälle, in denen die Beschäftigten das Hinweisgebersystem nutzen können, sind in § 2 HinSchG abschließend aufgezählt. Der Anwendungsbereich lässt sich in zwei Bereiche unterteilen:

• Verstöße gegen EU-Recht: Im Wesentlichen werden unionsrechtliche Themen erfasst. Es handelt sich hierbei um Vorgaben aus der EU-Whistleblowing-Richtlinie. So können Beschäftigten etwa Verstöße gegen Regelungen des Verbraucherschutzes, gegen Regelungen zur Bekämpfung von Geldwäsche oder gegen Vorschriften der Produktsicherheit melden. Auch Verstöße gegen die DSGVO werden von dem Anwendungsbereich umfasst.
• Verstöße gegen nationales Recht: Daneben hat der deutsche Gesetzgeber den Anwendungsbereich um Verstöße erweitert, die strafbewehrt sind oder eine Ordnungswidrigkeit betreffen, soweit die verletzte Vorschrift dem Schutz von Leib, Leben, Gesundheit oder dem Schutz der Rechte von Beschäftigten und ihren Vertretungsorganen dient.

Aufgrund des weiten Anwendungsbereiches des HinSchG, sind Unternehmen gut beraten, genau zu prüfen, ob und welche der in § 2 HinSchG genannten Regelungen auf sie anwendbar sind.

Welche Arten von Hinweisgebersystemen gibt es?

Unternehmen können dem HinSchG nur in Bruchstücken entnehmen, auf welche Arten sie ein Hinweisgebersystem einrichten können und haben bei der Einrichtung gewisse Freiheiten.

Mittlerweile haben sich verschiedene Arten etabliert:

• Ombudsperson: Hierbei wird eine interne oder externe Ombudsperson (etwa eine Rechtsanwältin oder einen Rechtsanwalt) als Anlaufstelle für die Beschäftigten benannt.
• Physischer oder elektronischer Briefkasten (E-Mail-Postfach): Bei dieser Art wird lediglich ein physischer oder elektronischer Briefkasten eingerichtet, bei dem Meldungen eingereicht werden können. Ein solcher Briefkasten stellt eine der einfachsten Methoden dar.
• Telefon Hotline: ähnlich leicht umsetzbar wie ein Briefkasten, ist die Einrichtung einer Telefon-Hotline zur Entgegennahme von Meldungen.

Diese Arten haben gemeinsam, dass sie niedrigschwellig umsetzbar sind. Gleichzeitig weisen sie alle Lücken im Hinblick auf die gesetzlichen Vorgaben auf. So können bei Briefkästen und Telefon-Hotlines die geforderte Wahrung der Vertraulichkeit aufgrund von Zugriffsmöglichkeiten Dritter nicht vollständig gewahrt werden.

Bei dem Einsatz von (externen) Ombudspersonen ist stets zu prüfen, ob diese Person nicht aufgrund der Beauftragung durch das Unternehmen in einem Interessenskonflikt mit der nach dem HinSchG geforderten Unabhängigkeit besteht.

Stark zugenommen am Markt haben digitale Hinweisgebersysteme. Diese bieten vor allem den Vorteil, die vorgeschriebenen Verfahrensschritte einzuhalten, diese lückenlos zu dokumentieren und diejenigen Lücken, die den anderen Arten von Hinweisgebersystemen innewohnen, insbesondere an die Vertraulichkeit und den Datenschutz zu schließen. Zudem gewährleistet ein digitales Hinweisgebersystem die Erreichbarkeit rund um die Uhr.

Was ist der Unterschied zwischen einer internen und externen Meldestelle?

Die Aufgaben und das Verfahren sind bei internen und externen Meldestellen gleich. Der wesentliche Unterschied zwischen einer internen und einer externen Meldestelle liegt darin, wer für die Einrichtung und den Betrieb der Meldestelle verantwortlich ist.

Die Beschäftigten haben ein Wahlrecht und können entscheiden, ob sie sich an die interne oder externe Meldestelle wenden. Dabei sollen die Beschäftigten die interne Meldestelle nutzen, wenn internes Vorgehen wirksam und keine Repressalien zu befürchten sind.

• Interne Meldestellen: werden bei den Unternehmen selbst angesiedelt und sind Bestandteil der Unternehmensstruktur bzw. wenn die Meldestelle durch einen Dritten vorgenommen wird, stehen damit in Verbindung. In ihrer Aufgabenwahrnehmung sind die Meldestellen, vergleichbar mit einem DSB, unabhängig.
• Externe Meldestellen: werden von staatlicher Seite eingerichtet. Auf Bundesebene wird jeweils eine Meldestelle beim Bundesministerium für Justiz, bei der Bundesanstalt für Finanzdienstleistungsaufsicht und dem Bundeskartellamt eingerichtet. Die jeweiligen Bundesländer können ebenfalls externe Meldestellen einrichten, die die Landes- und Kommunalverwaltung betreffen. Die externen Meldestellen haben auch eine Informations- und Beratungsfunktion für Personen, die eine Meldung in Erwägung ziehen

Welche Anforderungen muss ein Hinweisgebersystem erfüllen?

Die Anforderungen an ein Hinweisgebersystem sind nur teilweise im Gesetz geregelt. Zunächst muss das Hinweisgebersystem Meldungen in mündlicher oder Textform ermöglichen.

Eine der wichtigsten Anforderungen ist es, die Identität der hinweisgebenden Person zu schützen und die Vertraulichkeit zu wahren. In diesem Rahmen erlangen auch datenschutzrechtliche Vorgaben Bedeutung und müssen befolgt werden. Das Verfahren ist von Anfang bis zum Abschluss lückenlos zu dokumentieren.

Des Weiteren muss das System die vorgeschriebenen Verfahrensschritte aus § 17 HinSchG einhalten. So hat zunächst innerhalb von sieben Tagen eine Eingangsbestätigung an die meldende Person zu erfolgen.

Auch muss die Möglichkeit bestehen, mit der Person in Kontakt zu bleiben und gegebenenfalls weitere Informationen anzufordern. Nach spätestens drei Monaten muss die Meldestelle die meldende Person über den Ausgang des Verfahrens, die ergriffenen Maßnahmen sowie die Gründe hierfür mitteilen.

Daneben hat das Unternehmen zu gewährleisten, dass das Personal, welches mit dem Hinweisgebersystem beauftragt ist, unabhängig ist und die notwendige Fachkunde hat. In technischer Hinsicht wird darüber hinaus gefordert, dass ausschließlich das beauftragte Personal Zugriff auf die Meldungen hat.

In praktischer Hinsicht sollte das Hinweisgebersystem eine Erreichbarkeit rund um die Uhr gewährleisten und auch für Meldungen offenstehen, die durch Dritte erfolgen, die mit dem Unternehmen im Zusammenhang stehen (bspw. Lieferanten).

Welche Vorteile bietet ein Hinweisgebersystem?

Der wohl ausschlaggebendste Vorteil eines Hinweisgebersystems liegt in der damit erreichten Compliance des Unternehmens. Zudem stärkt die Einrichtung eines Hinweisgebersystems die Transparenz des Unternehmens und das Vertrauen der Beschäftigten wie auch der Öffentlichkeit in das Unternehmen. Das Unternehmen drückt dadurch aus, dass es seine Pflichten ernst nimmt und eine offene Kommunikations- und Fehlerkultur fördert.

Daneben kann ein Hinweisgebersystem auch Kosten einsparen. Durch eine frühzeitige Erkennung von Missständen, kann schnell und effizient reagiert werden, bevor das Problem überhandnimmt und nur noch durch erhebliche Kosten eingedämmt werden kann.

Ebenfalls sollte nicht unterschätzt werden, dass eine Aufklärung durch die interne Meldestelle im Vergleich mit den externen (staatlichen) Stellen weniger belastend und rufschädigend sein kann. Denn mit solchen geht regelmäßig ein sehr förmliches und eingriffsintensiveres Verfahren einher.

Welche Sanktionen gibt es für Unternehmen, die kein oder nur ein ungenügendes Hinweisgebersystem einrichten?

Das HinSchG sieht für Unternehmen, die ihre Pflichten nach dem HinSchG nicht erfüllen, in § 40 Abs. 2 bis 6 HinSchG Sanktionen in Form von Bußgeldern vor. Die Höhe der Bußgelder ist abhängig davon, gegen welche Pflicht das Unternehmen verstoßen hat.

• Ungenügende Umsetzung: Nach § 40 Abs. 2 Nr. 1 und Nr. 3 HinSchG droht den Unternehmen ein Bußgeld, wenn es die Meldung oder die Kommunikation behindert oder Repressalien gegen die Hinweisgeber ergreift. Dieses Bußgeld beträgt in diesen Fällen nach § 40 Abs. 6 S. 1 ein Bußgeld bis zu 50.000 Euro. Zu beachten ist hierbei das dieses Bußgeld über eine Verweisung in das Gesetz über Ordnungswidrigkeiten (OWiG) in schwerwiegenden Fällen sogar das zehnfache betragen kann.
• Fehlende Einrichtung einer internen Meldestelle: Für den Fall, dass ein Unternehmen zur Einrichtung eines Hinweisgebersystems verpflichtet ist und dieser Pflicht nicht nachkommt, droht ein Bußgeld bis zu 20.000 Euro (§ 40 Abs. 2 Nr. 2, Abs. 6 HinSchG).
• Verstöße gegen die Wahrung der Vertraulichkeit: Unternehmen haben auch zu beachten, dass die erforderliche Vertraulichkeit stets eingehalten wird - ansonsten kann ein Bußgeld bis zu 50.000 Euro drohen, welches in gravierenden Fällen das zehnfache betragen kann. Besonders ist hierbei, dass auch fahrlässiges Verhalten geahndet werden kann. Unternehmen haben insofern verstärkt darauf zu achten, dass die gebotene Sorgfalt an die Wahrung der Vertraulichkeit stets eingehalten wird.

So kann ISiCO bei der Einrichtung eines Hinweisgebersystems unterstützen

Wir kombinieren rechtliche Expertise mit modernster Technologie, um eine nahtlose und sichere Meldelösung bereitzustellen. Wir analysieren Ihre Unternehmensstruktur und -kultur im Detail, um ein tiefes Verständnis für Ihre spezifischen Anforderungen zu entwickeln. Darauf aufbauend entwickeln wir eine maßgeschneiderte Lösung, die nicht nur die technischen Aspekte, sondern auch die Schulung Ihrer Mitarbeiterinnen und Mitarbeiter und die Erstellung aller notwendigen rechtlichen Dokumente umfasst.

FAQ

Wie kann die Anonymität des Hinweisgebers gewährleistet werden?

Für Unternehmen besteht keine Pflicht, anonyme Meldungen entgegenzunehmen und zu bearbeiten. Indes sind Unternehmen gut beraten, anonyme Meldungen zu ermöglichen. Denn dies stärkt die zwingend vorgeschriebene Wahrung der Vertraulichkeit. Die Wahrung der Anonymität der Hinweisgeber lässt sich am besten durch ein digitales und datenschutzkonformes Hinweisgebersystem gewährleisten.

Welche Rolle spielt der Datenschutz in einem Hinweisgebersystem?

Dem Datenschutz kommt eine besondere Rolle bei Hinweisgebersystemen zu. Bei der Prüfung einer Meldung werden regelmäßig personenbezogene Daten verarbeitet, sodass die Vorgaben der DSGVO zwingend zu beachten sind. Ein rechtskonformes Hinweisgebersystem kann ohne eine datenschutzkonforme Einrichtung nicht existieren.

Gibt es Branchen oder Unternehmenstypen, für die ein Hinweisgebersystem besonders wichtig ist?

Hinweisgebersysteme sind zum einen für solche Unternehmen besonders relevant, die gemäß § 12 Abs. 3 HinSchG unabhängig von ihrer Beschäftigtenanzahl dem HinSchG unterliegen, also in dort genannten Bereichen der Finanzbranche tätig sind. Des Weiteren werden die Vorgaben des HinSchG durch spezialgesetzliche Hinweisgeberregelungen verdrängt. So findet bspw. die Pflicht, eine Meldestelle nach § 6 Abs. 5 des Geldwäschegesetzes (GWG) einzurichten, vorrangig Anwendung vor den allgemeinen Regelungen des HinSchG.