Alle deutschen Unternehmen bis 50 Mitarbeitern müssen nach dem neuen Hinweisgeberschutzgesetz bis zum 17. Dezember 2023 ein internes Hinweisgebersystem einrichten – für Betriebe mit mehr als 250 Beschäftigten gilt dies sogar seit dem 2. Juli. Wie es zum Gesetz kam, wie Sie die Vorgaben zum Whistleblowerschutz in Ihrem Betrieb einführen und welche Strafen bei verzögerter Umsetzung drohen, erfahren Sie hier.
Whistleblower sind spätestens seit Edward Snowden, der weltweite Überwachungs- und Spionagepraktiken enthüllte, in aller Munde. Aber Whistleblower decken nicht nur Probleme von Geheimdiensten auf: Auch in Unternehmen kann es Personen geben, die Missstände offenlegen und Hinweise an Behörden weitergeben. Besonders wichtig hierbei ist, dass es einen geschützten Rahmen gibt, in dem sie ihr Wissen teilen können und die Hinweisgeber selbst geschützt werden. So möchte die Bundesregierung verhindern, dass Beschäftigte aus Angst vor negativen Folgen (bspw. Kündigung oder eine ausgeschlossene Lohnerhöhung) Rechtsverstöße nicht aufdecken.
Das Hinweisgeberschutzgesetz (HinSchG) schützt nicht nur die Hinweisgeber, sondern auch alle weiteren beteiligten oder genannten Personen der Offenlegung. Davon ausgenommen sind Whistleblower, die bewusst falsche Informationen verbreiten. Um diesen Schutz zu gewährleisten, sind Unternehmen ab 50 Beschäftigten mit dem neuen Gesetz dazu verpflichtet, interne, vertrauliche und geschützte Meldestellen einzurichten, über die Whistleblower (ggf. anonym) Hinweise geben. Sie haben dabei die Wahl sich selbst um die Einführung des Meldesystems zu kümmern oder Dienstleister dafür hinzuziehen. Es gibt Firmen, die extra dafür entwickelte Softwarelösungen anbieten oder sogar den gesamten Betrieb der Meldestelle übernehmen.
Betriebe ab 250 Mitarbeitern müssen bereits seit dem 2. Juli eine Hinweisgeberstelle eingerichtet haben. Für Unternehmen von 50-249 Mitarbeitern gilt die Frist bis zum 17. Dezember 2023.
Die EU-Richtlinie zum Schutz von Hinweisgebern beschloss die EU-Kommission bereits im Jahr 2019 – mit der Vorgabe, dass jeder Mitgliedsstaat die Vorgaben bis Dezember 2021 in nationales Recht umsetzen soll. In Deutschland erhielt das Gesetz allerdings erst im Mai 2023 die Zustimmung des Bundesrats, nachdem die Regierung mehrere Entwürfe vorlegte, die u.a. zunächst an einem Verfassungskonflikt scheiterten.
Seit der Umsetzung in nationales Recht hatten Unternehmen mit bis zu 250 Angestellten bis zum 2. Juli, Zeit ein internes Hinweisgebermeldesystem einzuführen. Dabei können Sie auf Dienstleister zurückgreifen oder sich eigenständig um die Umsetzung kümmern. Dienstleister können Softwarelösungen bereitstellen oder die gesamte Betreuung der Meldestelle übernehmen.
Mit der Verabschiedung des Hinweisgeberschutzgesetzes müssen Unternehmen ab 50 Mitarbeitern Folgendes beachten:
1. Internes Meldesystem: Um den Schutz der Hinweisgeber und aller involvierten Personen zu gewährleisten, müssen alle Unternehmen ab 50 Mitarbeitern ein internes Meldesystem einführen. Das System sollte:
2. Vertraulichkeit und Anonymität: Seit der Einführung des Hinweisgeberschutzgesetzes müssen Unternehmen einen vertraulichen Rahmen für Whistleblower bieten. Die Bundesregierung empfiehlt hierbei, Whistleblowern eine anonyme Meldemöglichkeit einzurichten. Verpflichtend ist diese Regelung nicht, allerdings schützt sie die Hinweisgeber mehr und ist dadurch ganz im Sinne des neuen Gesetzes.Damit kein Interessenskonflikt entsteht, sollte eine unparteiische Person die Hinweise entgegennehmen. Das kann je nach Größe des Betriebs ein Compliance Officer, die Geschäftsführung oder ein externer Dienstleister sein.
Falls ein Sachverhalt die zuständige Person betrifft, die das Hinweisgebersystem betreut, muss eine andere Person den Fall übernehmen, da in dem Fall Befangenheit besteht.
3. Zeitlicher Rahmen: Wenn ein Hinweis eingeht, haben Unternehmen
4. Prüfung aller Hinweise: Nach dem neuen Gesetz müssen Verantwortliche alle eingehenden Hinweise prüfen und ggf. juristische Maßnahmen einleiten, die EU- bzw. nationalem Recht basieren.
5. Sanktionierung: Vorsätzlich gemeldete Falschinformationen müssen vom Unternehmen bestraft werden.
Das neue Hinweisgeberschutzgesetz verpflichtet KMU ab einer Belegschaft von 50 Personen eine interne Meldestelle einzurichten. Kleinere Unternehmen mit weniger als 50 Beschäftigten sind von der neuen Regelung nicht betroffen. Die Frist, bis wann das Frühwarnsystem eingeführt werden soll, ist dabei von der Größe des Betriebs abhängig:
Was möglich ist: Betriebe können einen Dienstleister für die Einführung und je nach Anbieter auch die Betreuung der Meldestellen beauftragen. Zumeist handelt es sich um Softwarelösungen, die das Betreuen des Hinweisgebersystems deutlich vereinfachen. Vor allem für kleinere Unternehmen bis ca. 70 Mitarbeitern, die keine große HR- oder Compliance-Abteilung haben, ist es durchaus ratsam, den Service der Dienstleister in Anspruch zu nehmen – wie zum Beispiel:
Wenn Sie in ihrem Unternehmen das interne Hinweisgebersystem nicht fristgerecht einführen, droht eine Strafe von bis zu 50.000 Euro. Ein Bußgeld ist ebenfalls fällig, wenn das Frühwarnsystem nicht den Anforderungen entspricht.
Der Eingang von Hinweisen, die über das neu eingerichtete System eingehen, müssen innerhalb von sieben Tagen bestätigt und Maßnahmen sollten spätestens nach drei Monaten ergriffen werden. Ist dies nicht der Fall müssen, Sie Strafe zahlen.
Wenn ein Hinweis über das System eingeht, gibt es klare Vorgaben, was geschehen sollte. Wir haben den Prozess in einem Schaubild für Sie veranschaulicht:
Relevant sind vor allem die Fristen, die von den Betrieben beim Eingang eines Hinweises eingehalten werden müssen. Viele Softwarelösungen erinnern Sie automatisch im System, wenn eine Frist abläuft und Sie bspw. noch die Eingangsbestätigung verschicken müssen.