Im Juni gab die EU-Kommission zwei Stellungnahme ab, in denen es heißt, dass ein rein zentrales Hinweisgebersystem im Konzern nicht ausreicht. Unternehmen mit mehr als 50 Mitarbeiter sind daher verpflichtet ein eigenes dezentrales Hinweisgebersystem einzurichten. Was das für die Unternehmen zur Folge hat und welche Umstrukturierungen auf sie zukommen werden, wird in einem Blogbeitrag der Kanzlei CMS von Partner Florian Block und Associate Pia Kremer erläutert.
Die EU-Kommission äußert sich zu Hinweisgebersystemen in Konzernen. Ein zentrales Meldesystem wird künftig vielfach nicht mehr ausreichen.
Erstmalig seit Verabschiedung der EU-Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (Richtlinie (EU) 2019/1937), hat sich die EU-Kommission (Kommission) in zwei kürzlich bekannt gewordenen Stellungnahmen (am 2.Juni und am 29. Juni 2021) zu Wort gemeldet und Auslegungshinweise zur Umsetzung der Hinweisgeberrichtlinie gegeben. Den Stellungnahmen waren Anfragen verschiedener Großkonzerne vorausgegangen.
Die von der Kommission nun vorgegebenen Anforderungen dürften sich in der Praxis vielfach nur mit erheblichem Aufwand umsetzen lassen – vor allem in Unternehmen mit größeren Tochtergesellschaften.
Klare Absage an rein zentrale Hinweisgebersysteme im Konzern
Gerade in weltweit tätigen Großunternehmen sind Hinweisgebersysteme schon heute vergleichsweise verbreitet. Dabei ist es gängige Praxis, dass eine zentrale oder mehrere regionale Meldestellen eingerichtet werden, die Hinweise auf mögliche Compliance-Verstöße entgegennehmen. Häufig werden diese Meldungen durch eine zentrale Stelle – nicht selten die Compliance-Abteilung – bearbeitet und etwaige Aufklärungsmaßnahmen von dort koordiniert.
Die Gründe hierfür liegen auf der Hand: Die zentrale Bearbeitung führt zu Erfahrungs- und Effizienzgewinnen, die regelmäßig knappen personellen Ressourcen werden geschont und die Compliance-Abteilung erhält einen Überblick über mögliche Gesetzesverstöße im gesamten Konzern oder Schwachstellen in der Compliance-Organisation.
Diese Art der Organisation des Whistleblowings dürfte jedoch künftig nicht mehr ausreichen. Denn ein zentral organisiertes, konzernweites Hinweisgebersystem soll nach Auffassung der Kommission den Anforderungen der Hinweisgeberrichtlinie nicht genügen. Die Kommission findet deutliche Worte in Bezug auf Hinweisgebersysteme, bei denen sowohl Melde- als auch Untersuchungsstelle bei einer zentralen Einheit im Konzern angesiedelt sind. Ein solches System sei „contra legem″ – jede Gesellschaft, die mehr als 50 Mitarbeiter beschäftige, sei nach Art. 8 Abs. 3 der Hinweisgeberrichtlinie verpflichtet, ein eigenes Hinweisgebersystem einzurichten. Dies gelte für eigenständige Gesellschaften ebenso wie für Konzerngesellschaften und unabhängig davon, ob bereits ein konzernweites Hinweisgebersystem bestehe. Die Hinweisgeberrichtlinie lasse hier keinen Raum für Interpretationen.
Immerhin stellt die Kommission klar, dass ein bereits bestehendes zentrales Hinweisgebersystem selbstverständlich weiterhin parallel betrieben werden kann. Es sei dann die Entscheidung des Hinweisgebers, ob er sich an die dezentrale Stelle in „seiner″ eigenen Tochtergesellschaft oder an das zentrale System wenden wolle. Durch eine gezielte Informationspolitik könne das Unternehmen versuchen, die Akzeptanz des bestehenden zentralen Systems zu stärken und somit darauf hinwirken, dass dieses System bevorzugt genutzt werde. Notwendig sei aber in jedem Fall, dass dem Hinweisgeber neben dem zentralen auch ein dezentrales Hinweisgebersystem offen stehe.
Erleichterungen für mittelgroße (Tochter-) Gesellschaften
Die Kommission zeigt immerhin auf, dass auch im Konzernverbund für mittelgroße (Tochter-)Gesellschaften mit 50 bis 249 Mitarbeitern gewisse Erleichterungen gelten sollen.
So sieht Art. 8 Abs. 6 der Hinweisgeberrichtlinie vor, dass sich mittelgroße Gesellschaften zum Betrieb eines gemeinsamen Hinweisgebersystems zusammentun und Kapazitäten sowohl für die Entgegennahme von Meldungen als auch für anschließende Untersuchungsmaßnahmen teilen können; dies soll auch für konzernangehörige Gesellschaften gelten. Jedenfalls für Tochtergesellschaften mit weniger als 250 Mitarbeitern steht daher die Möglichkeit offen, ein regionales Hinweisgebersystem aufzubauen, bei welcher eine (Tochter-)Gesellschaft für mehrere Gesellschaften als Melde- und Untersuchungsstelle fungiert.
Die Kommission legt Art. 8 Abs. 6 der Hinweisgeberrichtlinie außerdem dergestalt aus, dass mittelgroße (Tochter-)Gesellschaften unter bestimmten Bedingungen auch auf die zentrale Untersuchungsstelle des Konzerns zurückgreifen können und keine eigene Untersuchung durchführen müssen. Voraussetzung hierfür soll jedoch sein, dass diese Tochtergesellschaften gleichwohl eigene Meldekanäle anbieten, den Hinweisgeber über die Abgabe der Untersuchung an die zentrale Stelle informieren, dieser damit einverstanden ist und dass Folgemaßnahmen und Rückfragen gegenüber dem Hinweisgeber ausschließlich auf Ebene der Tochtergesellschaft erfolgen. Verweigert der Hinweisgeber sein Einverständnis mit der Abgabe der Untersuchung, so muss die Meldung auf Ebene der Tochtergesellschaft untersucht werden. Die Kommission stellt jedoch klar, dass in diesem Fall zumindest das Ergebnis der Untersuchung konzernintern mitgeteilt werden darf.
Große Konzerntöchter müssen eigenes Hinweisgebersystem einrichten
Für große (Tochter-)Gesellschaften mit mehr als 250 Mitarbeitern sollen die vorgenannten Erleichterungen hingegen nicht gelten. Diese Gesellschaften müssen daher zwingend eigene Melde- und Untersuchungsstellen einrichten, die eingehende Hinweise unabhängig vom und außerhalb des zentralen Hinweisgebersystems bearbeiten können. Eine Ressourcenteilung soll bei diesen Gesellschaften ausdrücklich nicht möglich sein.
Untersuchung gesellschaftsübergreifender Hinweise
Für den Fall, dass eine Meldung auf einen gesellschaftsübergreifenden Verstoß hinweist, der eine Untersuchung auf Konzernebene erforderlich macht, hat die Kommission eine ganz eigene Lösung parat: Die weitere Bearbeitung und Aufklärung des Hinweises soll durch eine andere Stelle im Konzern – z.B. die zentrale Compliance-Abteilung – erfolgen dürfen.
Dies soll allerdings nur dann gelten, wenn der Hinweisgeber zuvor über die geplante Weiterleitung der Meldung informiert wurde und sein Einverständnis zur Abgabe erteilt. Ist der Hinweisgeber mit der Abgabe der Untersuchung hingegen nicht einverstanden, soll er seine Meldung „zurücknehmen″ und eine externe Meldung bei der zuständigen Behörde abgeben können.
Wie das Unternehmen mit der zurückgenommenen Meldung umzugehen hat, wird von der Kommission nicht weiter thematisiert. Dabei wirft diese Regelung gewichtige Fragen auf. Darf das Unternehmen trotz Rücknahme der Meldung intern ermitteln und muss es das nicht sogar? Die Hinweisgeberrichtlinie sowie die Stellungnahmen der Kommission schweigen hierzu.
Zentral, dezentral oder regional? Einmal alles, bitte!
Die Stellungnahmen der Kommission dürften viele Großunternehmen etwas ratlos zurücklassen. Klar ist, dass es für Konzerne mit Blick auf ihre in der EU ansässigen Tochtergesellschaften nicht mehr ausreichend sein wird, ausschließlich ein zentral organisiertes Hinweisgebersystem zu betreiben, sofern diese mehr als 50 Mitarbeiter beschäftigen.
Zwar mögen die erwähnten Erleichterungen für mittelgroße Tochtergesellschaften mit bis zu 249 Mitarbeitern die Situation für manche Unternehmen etwas entschärfen. Nichtsdestotrotz bedeutet die Positionierung der EU-Kommission für Unternehmen mit Konzernstrukturen einen erheblichen Mehraufwand bei der Neuorganisation ihrer Hinweisgebersysteme. Vielfach wird es erforderlich sein, Doppelstrukturen zu schaffen und zusätzliche personelle Ressourcen aufzubauen, um Meldungen nicht nur zentral oder regional, sondern auf Wunsch des Hinweisgebers auch dezentral in der jeweiligen Tochtergesellschaft entgegenzunehmen und bearbeiten zu können.
Es entsteht der Eindruck, als ob die Sichtweise der Kommission die Wirklichkeit in vielen Konzernen ausblendet. Insbesondere für Unternehmen mit gesellschaftsübergreifenden Matrixstrukturen sind diese neuen Vorgaben absolut unpraktikabel. Ob hierdurch die berechtigten Interessen der Hinweisgeber wirklich besser geschützt werden, ist fraglich.
Es bleibt abzuwarten, inwieweit die Auffassung der Kommission in den noch ausstehenden nationalen Umsetzungsgesetzen zur Hinweisgeberrichtlinie Niederschlag finden wird und welche konkreten Risiken für Unternehmen im Fall einer abweichenden Gestaltung ihrer Hinweisgebersysteme bestehen. Eine Ausgestaltung, die nicht im Einklang mit den Vorgaben der Hinweisgeberrichtlinie steht, kann sich aber negativ auf die Reputation des Unternehmens auswirken und birgt zudem das Risiko, dass sich Hinweisgeber sogleich an die externe (staatlich betriebene) Meldestelle wenden, was sicherlich nicht im Unternehmensinteresse liegt.
Fazit: Unternehmen, die ein den Anforderungen der Hinweisgeberrichtlinie entsprechendes Hinweisgebersystem mit den Vorzügen einer zentralen oder regionalen Lösung kombinieren möchten, werden daher ihr bestehendes System ergänzen und die verschiedenen Gestaltungsmöglichkeiten miteinander kombinieren müssen – einmal alles, bitte!
Die formale Einrichtung einer internen Meldestelle ist nur der erste Schritt – danach ist einiges zu tun, damit sie auch Akzeptanz im Unternehmen oder der Dienststelle findet.
Damit eine interne Meldestelle ihren Aufgaben nachkommen kann, muss sie bei den Beschäftigten Akzeptanz finden. Wie kann das erreicht werden?
Geeignete Unternehmenskultur
Eine der wichtigsten Voraussetzungen für die Akzeptanz der internen Meldestelle ist eine Unternehmenskultur, in der die Abgabe von Hinweisen auf Fehlverhalten positiv bewertet wird. Nur dann haben die Beschäftigten das Gefühl, dass ihre Hinweisabgabe geschätzt wird und dass sie keinerlei Nachteile zu befürchten haben.
Das hört sich einerseits selbstverständlich an, doch die Praxis zeigt mitunter ein anderes Bild. So mussten hinweisgebende Personen persönliche Nachteile erleiden, weil ihr Hinweis nicht als Aufruf zur Klärung und Verbesserung einer Situation verstanden wurde, sondern als Denunziation. Verfestigt sich dieser Eindruck im Unternehmen oder der Dienststelle, wird bei der internen Meldestelle mit Sicherheit kein Hinweis mehr eingehen.
Die wohl wichtigste Maßnahme zur Erreichung einer geeigneten Unternehmenskultur ist die klare Kommunikationder obersten Führungsebene, dass Hinweise auf Fehlverhalten geschätzt werden, da nur so die Fehler abgestellt und Verbesserungen erzielt werden können. Diesem „Tone from the Top“ kommt daher eine nicht zu unterschätzende Wirkung auf die Akzeptanzerhöhung der internen Meldestelle zu.
Geeignete Beschäftigte in der internen Meldestelle
Von zentraler Bedeutung sind auch die Mitarbeiter und Mitarbeiterinnen der internen Meldestelle. Zu Ihrem Kompetenzprofil gehören Verschwiegenheit, Durchsetzungsvermögen, Menschenkenntnis, Zuverlässigkeit, Finanz-Know-How, rechtliche Kenntnisse und Kenntnisse der Unternehmensprozesse.
Nur unter diesen Voraussetzungen werden die Mitarbeiter und Mitarbeiterinnen der internen Meldestelle und damit die interne Meldestelle selbst Akzeptanz im Unternehmen oder der Dienststelle finden.
Geeignete Meldekanäle
Auch müssen die Meldekanäle so nutzerfreundlich gestaltet sein, damit die Hinweisabgabe nicht an technischen Hürden scheitert.
Dies gilt insbesondere für die webbasierte Hinweisabgabe. Das Hinweisgebersystem muss übersichtlich gestaltet sein, es muss eine klare, gut vorstrukturierte und einfache Führung durch den Hinweisabgabeprozess hinterlegt sein und das System muss sicher sein. Unbefugte dürfen sich keinen Zugriff auf die gemeldeten Inhalte im System verschaffen können.
Geeignete Kommunikation
Letztlich hängt die Akzeptanz der internen Meldestelle auch von einer geeigneten internen Kommunikation ab. Es muss in regelmäßigen Abständen die Existenz und die Wichtigkeit der internen Meldestelle kommuniziert werden. Dies kann wie bereits erwähnt erfolgen durch Botschaften der obersten Führungsebene, aber auch durch die Kommunikation des Nutzens eingegangener Meldungen und der daraufhin eingeleiteten nachfolgenden Verbesserungsmaßnahmen.
Zusammenfassung
Damit die interne Meldestelle im Unternehmen oder der Dienststelle Akzeptanz findet, müssen mehrere Voraussetzungen erfüllt sein: eine passende Unternehmenskultur, qualifizierte Beschäftigte in der internen Meldestelle, technisch optimierte Meldekanäle und eine begleitende interne Kommunikation.
Sind diese Voraussetzungen erfüllt, wird die interne Meldestelle Akzeptanz im Unternehmen oder der Dienststelle finden und nur dann kann sie ihren Aufgaben gerecht werden.
Wenn Sie sich über dieses Thema weiter informieren möchten, hören Sie gerne unseren Podcast WHISTLEpedia. Er ist bei iTunes,Spotify, YouTubeoder direkt hier auf der Seite kostenlos hörbar.
Stephan Rheinwald ist Gesellschafter und Geschäftsführer der Hinweisgebersystem24 GmbH und der Compliance Officer Services GmbH. Er schreibt diesen Blog für Einsteiger und Fortgeschrittene, die sich näher über Hinweisgebersysteme und interne Meldestellen informieren wollen.
Hinweisgebersysteme: Was kann man aus Hinweisen lernen?
Gehen im Hinweisgebersystem der internen Meldestelle Hinweise auf Fehlverhalten ein, zeigt das, dass etwas nicht in Ordnung ist im Unternehmen oder der Dienststelle. Analysiert man die Hinweise professionell, lassen sich in vielen Fällen Schwachstellen in den Prozessen identifizieren. Kann man aus Hinweisen also etwas lernen?
Vor Fehlverhalten ist kein Unternehmen und keine Dienststelle gefeit. Die Ursachen für dieses Fehlverhalten sind jedoch völlig unterschiedlich. Entsprechend unterschiedlich sind die Lehren, die aus den Hinweisen auf Fehlverhalten sowie der Ursachenanalyse gezogen werden können.
Personelle Ursachen
Auch wenn alle Regelungen im Unternehmen oder der Dienststelle perfekt gefasst und kommuniziert sind – was bekanntlich eher selten der Fall ist – kann es zu Fehlverhalten kommen. Das liegt dann daran, dass sich einzelne Mitarbeiter schlichtweg nicht an die vorgegebenen Regelungen halten und z.B. Geschenke oberhalb einer festgelegten Wertgrenze annehmen, Datenschutzvorschriften nicht beachten oder einem nahen Angehörigen einen Firmenauftrag geben. Letzteres ist ein klassischer Interessenkonflikt.
Beim Nicht-Einhalten gegebener Regelungen lassen sich wiederum zwei Fälle unterscheiden. Erstens kann es sein, dass der Mitarbeiter oder die Mitarbeiterin die entsprechende Regelung schlichtweg nicht kannte. Konsequenz wird dann eine kurzfristige Schulungsmaßnahme sein. Schwerwiegender ist jedoch der zweite Fall: Fehlverhalten trotz Kenntnis der Regelungen! Hier müssen angemessene personelle Konsequenzen gezogen werden. In leichteren Fällen wird dies eine Verwarnung oder ein Verweis sein, in schwerwiegenden Fällen kann es unabdingbar sein eine Kündigung auszusprechen.
Es kann hilfreich sein, die personellen Konsequenzen – in anonymisierter Form – im Unternehmen bzw. der Dienststelle intern zu kommunizieren. Für die Belegschaft ergibt sich hieraus ein wichtiger Lerneffekt: Fehlverhalten wird nicht toleriert und angemessen sanktioniert! Dies wirkt sich auch positiv aus auf die Bereitschaft bei der internen Meldestelle Hinweise auf Fehlverhalten abzugeben. Zeigt es doch, dass Hinweise Konsequenzen haben und nicht einfach „abgeheftet werden“.
Prozessuale Ursachen
„Gelegenheit macht Diebe“, heißt es. In diesem Sinne kann es sein, dass fehlerhafte Prozesse Fehlverhalten begünstigen. Zwei einfache Beispiele:
Rechnungsprüfung und Zahlung erfolgt nicht nach dem Vier-Augen-Prinzip. Hier wird Betrug durch bewusste Falschüberweisungen offensichtlich Tür und Tor geöffnet.
Ein zweites Beispiel: Aus dem Lager werden in einem kurzen Zeitraum in nennenswertem Umfang Druckerpatronen gestohlen. Dies kann nur erfolgen, wenn der Prozess der Lagerhaltung nicht optimiert ist.
Jeder Hinweis auf Fehlverhalten muss also daraufhin analysiert werden, ob prozessuale Schwachstellen das Fehlverhalten begünstigt haben. Sind die Schwachstellen identifiziert, müssen Maßnahmen aufgesetzt werden, die die Schwachstellen kurzfristig beseitigen. Zielsetzung muss es ja sein ähnlich gelagertes Fehlverhalten in der Zukunft zu verhindern oder zumindest deutlich zu erschweren. Wenn dies gelingt ist neben dem Schaden aus dem Fehlverhalten zumindest ein positiver Lerneffekt eingetreten.
Zusammenfassung
Fehlverhalten schadet dem Unternehmen oder der Dienststelle, aber wenn es über ein Hinweisgebersystem gemeldet wird, eröffnet sich bei professioneller Ursachenanalyse und nachfolgender Maßnahmenumsetzung die Möglichkeit etwaige Prozessschwächen zu erkennen und zu beseitigen.
In diesem Sinne leistet die interne Meldestelle einen wichtigen Beitrag, weiteren Schaden aus Fehlverhalten zu vermeiden bzw. zumindest zu minimieren.
Wenn Sie sich über dieses Thema weiter informieren möchten, hören Sie gerne unseren Podcast WHISTLEpedia. Er ist bei iTunes,Spotify, YouTubeoder direkt hier auf der Seite kostenlos hörbar.
Stephan Rheinwald ist Gesellschafter und Geschäftsführer der Hinweisgebersystem24 GmbH und der Compliance Officer Services GmbH. Er schreibt diesen Blog für Einsteiger und Fortgeschrittene, die sich näher über Hinweisgebersysteme und interne Meldestellen informieren wollen.
Folgemaßnahmen im Hinweisgeberschutzgesetz (HinSchG)
Beschäftigungsgeber mit mehr als 250 Mitarbeitern und Mitarbeiterinnen müssen laut dem Hinweisgeberschutzgesetz (HinSchG) ab dem 17.12.2021 eine interne Meldestelle einrichten. Zusätzlich werden auf Bundes- und Landesebene externe Meldestellen eingerichtet. Eine der Aufgaben dieser Meldestellen ist es, bei Meldungen sogenannte Folgemaßnahmen zu ergreifen. Aber was ist das genau?
Der Referentenentwurf des HinSchG thematisiert an unterschiedlichen Stellen die zu ergreifenden Folgemaßnahmen:
§ 17 des Referentenentwurfes zum Hinweisgeberschutzgesetz (HinSchG) regelt das Verfahren beim Eingang interner Meldungen. Die interne Meldestelle
bestätigt der hinweisgebenden Person den Eingang der Meldung spätestens nach sieben Tagen,
hält mit der hinweisgebenden Person Kontakt,
prüft die Stichhaltigkeit der eingegangenen Meldung,
ersucht die hinweisgebende Person erforderlichenfalls um weitere Informationen und ergreift angemessene Folgemaßnahmen.
§ 18 befasst sich dann ausschließlich mit den Folgemaßnahmen. Dies können insbesondere sein
interne Untersuchungen durchführen sowie betroffene Personen und Arbeitseinheiten kontaktieren; hier geht es also darum, nach der initialen Stichhaltigkeitsprüfung den Sachverhalt detailliert aufzuklären und die hierzu erforderlichen Informationen einzuholen,
die hinweisgebende Person an andere zuständige Stellen verweisen; dies ist z.B. dann erforderlich, wenn Meldungen eingehen, die nicht in den sachlichen Anwendungsbereich des Gesetzes fallen,
das Verfahren aus Mangel an Beweisen oder aus anderen Gründen abschließen; sollte sich also der Sachverhalt trotz interner Untersuchungen nicht aufklären lassen oder stellt sich heraus, dass der gemeldete Sachverhalt nicht zutreffend war, dann ist das Verfahren einzustellen,
das Verfahren an eine zuständige Behörde zwecks weiterer Untersuchungen abgeben; dies ist sinnvoll, wenn der Sachverhalt im Rahmen interner Ermittlungen nicht aufzuklären ist, dies aber einer Behörde mit umfassenderen Ermittlungsbefugnissen gelingen könnte.
Interessant ist, was das Gesetz nicht unter Folgemaßnahmen versteht. Es sind dies Sanktionen und all die Maßnahmen, die implementiert werden müssen, damit sich ein ähnlich gelagerter Fall nicht in Kürze wiederholt. In der Praxis ist hier etwa zu denken an Kündigungen oder Schulungen. Dies sieht das Hinweisgeberschutzgesetz (HinSchG) offensichtlich nicht mehr in der Zuständigkeit der internen Meldestelle. Es muss dann aber klar geregelt sein, wer bzw. welche Abteilung hierfür verantwortlich ist. Der Anstoß hierzu kann aber prozessbedingt eigentlich nur von der internen Meldestelle kommen.
Folgemaßnahmen der externen Meldestelle
Drei der vier der in § 28 aufgeführten Folgemaßnahmen der externen Meldestellesind identisch mit Folgemaßnahmen der internen Meldestelle:
die hinweisgebende Person an andere zuständige Stellen verweisen,
das Verfahren aus Mangel an Beweisen oder aus anderen Gründen abschließen und
das Verfahren an eine zuständige Behörde zwecks weiterer Untersuchungen abgeben.
Die Folgemaßnahme „Interne Untersuchungen durchführen“ ist bei einer externen Meldestelle jedoch nicht umsetzbar. Sie wird wie folgt ersetzt:
Die externe Meldestelle kann nach pflichtgemäßem Ermessen Auskünfte von den betroffenen natürlichen Personen, von dem betroffenen Beschäftigungsgeber oder der betroffenen Dienststelle, von dritten und von Behörden verlangen, soweit dies zur Überprüfung der Stichhaltigkeit erforderlich ist.
Ergänzend wird geregelt, dass für die Beantwortung des Auskunftsverlangens eine angemessene Frist einzuräumen ist, dass im Einklang mit der Strafprozessordnung das Zeugnis- und das Auskunftsverweigerungsrecht gelten und dass auf Antrag eine finanzielle Entschädigung von Zeugen gezahlt werden kann.
Im Unterschied zur internen Meldestelle wird für die externe Meldestelle in § 30 des Referentenentwurfs zum Hinweisgeberschutzgesetz (HinSchG) der Abschluss des Verfahrens geregelt:
Weiterleitung an die jeweilige für Aufklärung, Verhütung und Verfolgung des Verstoßes zuständige Stelle, falls die externe Meldestelle nicht zuständig ist oder es ihr unmöglich ist, dem gemeldeten Verstoß weiter nachzugehen;
bei Geringfügigkeit Einstellung des Verfahrens;
dies ebenso, wenn keine neuen Tatsachen gemeldet werden.
Die hinweisgebende Person ist über den Ausgang des Verfahrens zu informieren.
Ähnlich wie bei der internen Meldestelle thematisiert das Gesetz auch bei der externen Meldestelle nicht detailliert, was zu tun ist, wenn ein Sachverhalt von der externen Meldestelle eigenständig aufgeklärt werden kann. Zu denken ist hier etwa an die Information der Beschäftigungsgeber, der betroffenen Personen oder ggfs. der Strafverfolgungsbehörden.
Zur Bedeutung von Folgemaßnahmen im Hinweisgeberschutzgesetz (HinSchG)
In der Praxis kann die Bedeutung der Maßnahmen, die zur Sanktion des Fehlverhaltens oder zur Vermeidung künftigen Fehlverhaltens ergriffen werden, nicht überschätzt werden. Die Schäden aus Fehlverhalten für Finanzen und Reputation des Unternehmens oder der Dienststelle können groß sein. Daher sollte es zumindest das Ziel sein, aus den Fehlern zu lernen und durch angemessene Maßnahmen, wie z.B. Schulungen, neuen Regelungen bzw. Richtlinien und in schwerwiegenden Fällen auch personellen Maßnahmen künftiges Fehlverhalten zu verhindern oder doch zumindest deutlich zu erschweren.
Wenn Sie sich über dieses Thema weiter informieren möchten, hören Sie gerne unseren Podcast WHISTLEpedia. Er ist bei iTunes,Spotify, YouTubeoder direkt hier auf der Seite kostenlos hörbar.
Stephan Rheinwald ist Gesellschafter und Geschäftsführer der Hinweisgebersystem24 GmbH und der Compliance Officer Services GmbH. Er schreibt diesen Blog für Einsteiger und Fortgeschrittene, die sich näher über Hinweisgebersysteme und interne Meldestellen informieren wollen.
Für welche Hinweise gilt das Hinweisgeberschutzgesetz?
Um den Schutz von Hinweisgebern zu garantieren, müssen Beschäftigungsgeber mit mehr als 250 Mitarbeitern laut dem Hinweisgeberschutzgesetz (HinSchG) ab dem 17.12.2021 eine interne Meldestelle einrichten. Aber welche Hinweise können an eine interne Meldestelle abgegeben werden und welche nicht? Schauen wir in den aktuellen Referentenentwurf des Gesetzes!
Der Referentenentwurf des HinSchG thematisiert an unterschiedlichen Stellen, welche Hinweise vom Gesetz umfasst werden und welche nicht:
In § 2 wird der sachliche Anwendungsbereich geregelt; dort wird definiert, welche Hinweise zu einem Schutz des Hinweisgebers führen
§ 5 regelt den Vorrang von Sicherheits-, Verschwiegenheits- und Geheimhaltungspflichten vor dem Hinweisgeberschutzgesetz
§ 6 regelt das Verhältnis zu sonstigen Verschwiegenheits- und Geheimhaltungspflichten
In § 31 werden die mit der Offenlegung von Informationen verbundenen Schutzaspekte geregelt
Vom Hinweisgeberschutzgesetz umfasste Hinweise
§ 2 des Referentenentwurfes zum HinSchG regelt den sachlichen Anwendungsbereich. Dort werden also die Verstöße benannt, über die eine Meldung abgegeben werden kann und bei denen die hinweisgebende Person im Nachgang unter die Schutzvoraussetzungen des Gesetzes fällt.
Von zentraler Bedeutung ist, dass Meldungen über Verstöße, die straf- oder bußgeldbewehrt sind, in diese Kategorie fallen.
Darüber hinaus gilt das Gesetz auch für die Meldung und die Offenlegung sonstiger Verstöße gegen Gesetze, Rechtsverordnungen und sonstige Vorschriften des Bundes und der Länder sowie unmittelbar geltende Rechtsakte der Europäischen Union und der Europäischen Atomgemeinschaft
zur Vergabe von öffentlichen Aufträgen und Konzessionen,
zur Bekämpfung von Terrorismusfinanzierung,
mit Vorgaben zur Produktsicherheit und -konformität,
mit Vorgaben zur Sicherheit im Straßen-, Eisenbahn-, See-, und im zivilen Luftverkehr sowie bei der Beförderung gefährlicher Güter,
aus dem Bereich Umweltschutz, Strahlenschutz und kerntechnische Sicherheit
zur Förderung der Nutzung von Energie aus erneuerbaren Quellen und der Energieeffizienz,
zur Lebensmittel- und Futtermittelsicherheit, sowie Tiergesundheit und zum Tierschutz, sowie den Schutz von landwirtschaftlichen Nutztieren,
zu Qualitäts- und Sicherheitsstandards für Substanzen menschlichen Ursprungs, Arzneimittel und Medizinprodukte sowie die grenzüberschreitende Patientenversorgung,
zur Herstellung, zur Aufmachung und zum Verkauf von Tabakerzeugnissen und verwandten Erzeugnissen,
zur Regelung der Verbraucherrechte und des Verbraucherschutzes im Zusammenhang mit Verträgen zwischen Unternehmen und Verbrauchern sowie zum Schutz von Verbrauchern im Bereich der Zahlungskonten und Finanzdienstleistungen, bei Preisangaben sowie vor unlauteren geschäftlichen Handlungen,
zum Schutz der Privatsphäre und personenbezogener Daten sowie zur Sicherheit von Netz- und Informationssystemen,
zur Regelung der Rechte von Aktionären von Aktiengesellschaften.
Würde ein Hinweisgeberschutzgesetz lediglich EU-Recht einbeziehen, wäre der Schutz für Whistleblower nicht ausreichend garantiert. Anders verhält es sich, wenn sich das Hinweisgeberschutzgesetz auch auf nationales Recht ausweitet. Der aktuelle Referentenentwurf sieht diese Ausweitung auf nationales Recht vor.
In § 6 HinSchG geht es um die Fälle, bei denen trotz bestehender Verschwiegenheits- oder Geheimhaltungspflichten Hinweisgeberschutz besteht. Eine hinweisgebende Person, die einen Hinweis abgibt, der ein Geschäftsgeheimnis, ein Sozialgeheimnis oder ein Steuergeheimnis zum Gegenstand hat, genießt nur dann den Schutz des HinSchG, wenn der Hinweisgeber hinreichend Grund zu der Annahme hatte, dass die Weitergabe oder die Offenlegung notwendig ist, um einen Verstoß im sachlichen Anwendungsbereich aufzudecken.
§ 31 HinSchG regelt die Offenlegung von Informationen. Ein Hinweisgeber, der eine Information offenlegt, kann durch das Hinweisgeberschutzgesetz geschützt werden. Dies erfordert jedoch gewisse Voraussetzungen. Zunächst, und das ist wohl die wichtigste Voraussetzung, darf die Meldung nicht sofort an die Öffentlichkeit gegeben werden. Die hinweisgebende Person hat die Meldung zuerst an eine externe Meldestelle abzugeben. Und erst, wenn die hinweisgebende Person in der im Referentenentwurf genannten Frist von drei Monaten keine Rückmeldung von der externen Meldestelle über das Ergreifen geeigneter Folgemaßnahmen erhalten hat, darf die Meldung offengelegt werden. Wichtig ist also, dass sich der Whistleblower als erstes an eine externe Meldestelle wendet.
Nicht vom Hinweisgeberschutzgesetz umfasste Hinweise
§ 5 regelt den Vorrang von Sicherheitsinteressen sowie Verschwiegenheits- und Geheimhaltungspflichten. Dies bedeutet: nicht für alle Meldungen oder Offenlegungen kann Hinweisgeberschutz erwirkt werden. Nationale Sicherheitsinteressen, Verschwiegenheits- und Geheimhaltungspflichten haben also Vorrang vor dem Schutz hinweisgebender Personen.
Dies betrifft zum Beispiel:
militärische Belange,
Informationen, die die Vergabe öffentlicher Aufträge und Konzessionen auf EU-Ebene betreffen,
Hinweise, denen eine Geheimhaltungs- oder Vertraulichkeitspflicht zum Schutz von Verschlusssachen entgegensteht,
Meldungen, denen das richterlicher Beratungsgeheimnis entgegensteht oder
Verschwiegenheitspflichten von Rechtsanwälten, Verteidigern oder Notaren oder
Verschwiegenheitspflichten von Ärzten, Zahnärzten oder Apothekern.
Ein Beispiel: In unserem Blogbeitrag „Bekannte Whistleblower-Fälle im Lichte des neuen Hinweisgeberschutzgesetzes“ haben wir den Fall von Edward Snowden dargestellt und eine rechtliche Bewertung durchgeführt, ob er vom Hinweisgeberschutzgesetz geschützt worden wäre. Da Edward Snowden auch Informationen über militärische Belange publizierte und diese laut Hinweisgeberschutzgesetz einen Vorrang haben, wäre er vom HinSchG nicht geschützt worden.
Wenn Sie sich über dieses Thema weiter informieren möchten, hören Sie gerne unseren Podcast WHISTLEpedia. Er ist bei iTunes,Spotify, Youtubeoder direkt hier auf der Seite kostenlos hörbar.
Martin Walter ist Gesellschafter und Geschäftsführer der Hinweisgebersystem24 GmbH. Er schreibt diesen Blog für Einsteiger und Fortgeschrittene, die sich näher über Hinweisgebersysteme und interne Meldestellen informieren wollen.
Dr. Martin Walter, geschäftsführender Gesellschafter der Hinweisgebersystem24 GmbH, gehört dem Fachbeirat der Online-Zeitschrift Compliance an. In der Ausgabe Juli/ August 2021 erläutert Dr. Quast von der Sozietät Hengeler Mueller den aktuellen Stand der Diskussion, ob ein Hinweisgebersystem im Konzern im Einklang mit der EU-Directive zum Hinweisgeberschutz zumindest teilweise dezentralisiert werden müssen.
Im Kern geht es um die Frage, ob die heute in Konzernstrukturen vielfach zentral organisierten Hinweisgebersysteme zumindest teilweise dezentralisiert werden müssen. Dies legt jedenfalls ein Schreiben der EU-Kommission von Anfang Juni nahe. Nach Auffassung der Kommission verlange die Richtlinie auch in Konzernstrukturen, dass jedes Konzernunternehmen mit mehr als 249 Mitarbeitern grundsätzlich über ein eigenes Hinweisgebersystem verfügen muss.
Eigenes Hinweisgebersystem im Konzern
Es soll zwar zulässig sein, dass im Einzelfall Dritte den Berichtskanal für das Unternehmen betreiben. Der Dritte sei dann jedoch darauf beschränkt, den Hinweis entgegenzunehmen und dessen Eingang gegenüber dem Hinweisgeber zu bestätigen. Sämtliche Folgemaßnahmen (Aufklärung etc.) müssten jedoch durch die zuständigen Stellen innerhalb des Konzernunternehmens, d.h. dezentral erfolgen. Die Ergebnisse der Aufklärungsmaßnahmen dürften dann nachträglich mit der Konzernmutter geteilt werden.
Zentrales Hinweisgebersystem
Gleichzeitig sollen jedoch zentral betriebene Hinweisgebersysteme nicht ausgeschlossen sein. Es stehe den Unternehmen vielmehr frei, zusätzlich auch zentrale Hinweisgebersysteme auf Ebene der Konzernmutter zu betreiben. Sollte ein Hinweisgeber aus einem Konzernunternehmen das zentrale Hinweisgebersystem nutzen, sollten die Hinweise dort entgegengenommen und entsprechende Aufklärungsmaßnahmen ergriffen werden. In dezentral gemeldeten Sachverhalten, die strukturelle Probleme erkennen ließen, mehrere Konzernunternehmen beträfen oder einen grenzüberschreitenden Aufklärungsansatz erforderten, soll es zudem zulässig sein, den Hinweis nach vorheriger Einwilligung des Hinweisgebers an die zentrale Compliance-Funktion weiterzugeben.
Es läge an den Unternehmen, durch entsprechende Regelwerke Vertrauen in das zentrale Hinweisgebersystem zu schaffen. Informationskampagnen etc. könnten dazu beitragen, dass Hinweisgeber von vornherein das zentrale Hinweisgebersystem nutzen. Diese Auslegung der EU-Kommission würde indes die Wirksamkeit der vorhanden Compliance-Management-Systeme schwächen und zu einem erheblichen bürokratischen Mehraufwand führen. Gerade der europäische Normgeber nimmt bei Compliance-Pflichten und Haftungsfolgen von Compliance-Verstößen immer stärker auch verbundene Unternehmen in den Blick. Entsprechendes gilt für die deutsche Rechtspraxis, die zunehmend eine Konzernverantwortung betont.
Nachteile einer Dezentralisierung
Würden nun lediglich die Ergebnisse der dezentral durchgeführten Folgemaßnahmen – u.U. mit erheblichem Zeitversatz – an die zentrale Compliance-Funktion gemeldet, würde dies die Wahrnehmung einer möglichen Konzernverantwortung deutlich erschweren. Es wäre gerade vor diesem Hintergrund nicht überzeugend, die Weiterleitung des Hinweises an die zentrale Compliance-Funktion selbst bei Hinweisen auf strukturelle Probleme von der Einwilligung des Hinweisgebers abhängig zu machen. Diese Auslegung würde auch nicht zu einem höheren Schutzniveau für Hinweisgeber oder zu effektiveren Aufklärungsmaßnahmen führen. Je kleiner das Konzernunternehmen ist, das den Hinweis erhält und Folgemaßnahmen ergreifen muss, desto höher ist das Risiko für den Hinweisgeber, unbeabsichtigt identifiziert zu werden.
Die Aufklärungsmaßnahmen ausschließlich dezentral auf Ebene des Konzernunternehmens zu konzentrieren, erschwert aufgrund der typischen Berichtsstrukturen angemessene Folgemaßnahmen durch eine unabhängige Stelle. Dies gilt insbesondere, falls Leitungsorgane des Konzernunternehmens betroffen sein können.
Zugang zu Hinweiskanal
Die EU-Kommission betont demgegenüber die Notwendigkeit niedrigschwelliger Angebote zur Meldung vor Ort und das Recht des Hinweisgebers auf physische Treffen. Dies steht jedoch einem zentral betriebenen Hinweisgebersystem nicht entgegen. Auch in einem zentral betriebenen System ist selbstverständlich, dass der Hinweiskanal für jeden Mitarbeiter der Konzerngesellschaften vor Ort leicht zugänglich ist und persönliche Treffen mit Compliance-Verantwortlichen erfolgen können.
Die nächsten Monate bis zum Ablauf der Umsetzungsfrist im Dezember werden zeigen, ob die derzeitigen Bemühungen der großen europäischen Unternehmen und Verbände erfolgreich sein werden, die Kommission und die nationalen Gesetzgeber für eine flexiblere Lösung zu gewinnen, die ohne unnötigen bürokratischen Mehraufwand ein hohes Schutzniveau für Hinweisgeber herstellt.
Post by Martin Walter
Martin Walter ist Gesellschafter und Geschäftsführer der Hinweisgebersystem24 GmbH. Er schreibt diesen Blog für Einsteiger und Fortgeschrittene, die sich näher über Hinweisgebersysteme und interne Meldestellen informieren wollen.
Pav Gill hat als Whistleblower den Wirecard-Skandal an die Öffentlichkeit gebracht. Wäre der Whistleblower vom Hinweisgeberschutzgesetz geschützt worden?
Das Drama um Wirecard begann im Jahr 2015, als die britische Financial Times (FT) einen kritischen Artikel über den Zahlungsdienstleister veröffentlichte. Das Geschäftsmodell von Wirecard war es, den digitalen Zahlungsstrom zwischen Händlern und Millionen von Kunden zu ermöglichen. Anfang 2019 häuften sich kritische Berichte der FT. Im Visier stand das Geschäft von Wirecard in Singapur. Dort seien Verträge gefälscht und Geldwäsche betrieben worden. Die Financial Times berichtete weiter, dass eine von Wirecard beauftragte externe Anwaltskanzlei bei einer Prüfung der Niederlassung in Singapur Belege für schwere Straftaten gefunden habe. Konkret soll es um gefälschte Rechnungen und um Bilanzfälschung gegangen sein. Zudem gebe es Dokumente, die belegen, dass Führungskräfte in Deutschland von den Machenschaften Kenntnis gehabt hätten.
Zu diesem Zeitpunkt war Pav Gill, der spätere Whistleblower im Fall Wirecard, bereits als Senior Legal Counsel für die Asien-Pazifik-Region im Unternehmen tätig.
Dort trat er in Kontakt mit einer internen Informantin, die ihm umfangreiches Material zur Verfügung stellte, darunter gefälschte Rechnungen und Kontoauszüge, die Zahlungen an Firmen dokumentierten, mit denen Wirecard keinerlei Geschäftsbeziehungen unterhielt.
Daraufhin wandte sich Gill mithilfe eines Kollegen, der bei Wirecard für Compliance zuständig war, an die Konzernzentrale in Aschheim bei München. Mithilfe einer externen Anwaltskanzlei kam es zu internen Untersuchungen. Infolgedessen bestätigten sich vermehrt die Anschuldigungen, zu Konsequenzen kam es dennoch nicht. Gill habe man gesagt, dass Jan Marsalek, damals Vorstandsmitglied von Wirecard, den Fall übernehmen werde. Aber gerade gegen ihn bestanden Verdachtsmomente, sodass er gegen sich selbst hätte ermitteln müssen.
Daraufhin wurde Gill bedroht und vor die Wahl gestellt entweder selbst zu kündigen und positive Referenzen zu erhalten oder entlassen zu werden. Gill entschied sich dazu Wirecard zu verlassen. Trotz seiner Kündigung fühlte er sich weiterhin bedroht.
Schließlich wandte sich Pav Gill an den FT Journalisten Dan McCrum, der zuvor bereits kritisch über Wirecard berichtet hatte und stellte ihm belastende Unterlagen zur Verfügung, die Gill nach seiner Kündigung mitgenommen hatte. Am 30. Januar 2019 erschien jener inzwischen berühmte Financial Times Artikel, der Ungereimtheiten bei Wirecard in Singapur thematisierte und den Aktienkurs einbrechen ließ.
Im Februar 2019 gab die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) eine Sonderprüfung in Auftrag. Auch die Wirtschaftsprüfung KPMG untersucht den Zahlungsdienstleister, wobei sie auf weitere Ungereimtheiten stieß. Anfang 2020 wurde die Luft für Wirecard merklich dünner. Das Unternehmen konnte keine plausiblen Belege dafür finden, dass es Konten in Asien gab, auf denen fast 2 Milliarden Euro liegen sollten. Im Juni 2020 wurde der Firmensitz in Aschheim schließlich von der Staatsanwaltschaft München durchsucht. Am 25.06.2020 meldet Wirecard Insolvenz wegen eines 1,9 Milliarden Euro schweren Lochs in der Bilanz an.
Der ehemalige Vorstandschef Markus Braun sitzt seitdem in Untersuchungshaft. Das ehemalige Vorstandsmitglied Jan Marsalek ist untergetaucht.
Rechtliche Bewertung nach dem Hinweisgeberschutzgesetz:
Nachfolgend soll dargestellt werden, ob das derzeit im Referentenentwurf vorliegende Hinweisgeberschutzgesetz (HinSchG) – wenn es im Jahr 2020 schon in Kraft gewesen wäre – Pav Gill vor Repressalien geschützt hätte.
Als hinweisgebende Person fällt Pav Gill in den persönlichen Anwendungsbereich des Hinweisgeberschutzgesetzes (HinSchG).
Zurzeit diskutieren die Regierungsparteien, in welcher Form das Hinweisgeberschutzgesetz in Kraft treten soll. Besonders umstritten ist, ob sich das Gesetz nur auf Meldungen über Verstöße gegen EU-Recht bezieht oder ob auch Verstöße gegen deutsches Recht miteinbezogen werden. Würde bis zum Inkrafttreten des Gesetzes am 17. Dezember 2021 entschieden werden, dass sich Meldungen über Verstöße nur auf EU-Recht beziehen müssen, so wäre Pav Gill trotzdemgeschützt. Gegen Wirecard bestanden auch Vorwürfe gegen Geldwäsche. Diese wären nach der EU-Geldwäscherichtlinie vom Schutzgedanken der EU-Directive Whistleblowing umfasst. Der aktuelle Referentenentwurf sieht eine Ausweitung auf deutsches Recht vor. Gemäß § 2 HinSchG Abs. 1 werden Meldungen über Verstöße, die straf- oder bußgeldbewehrt sind, sowie sonstige Verstöße gegen Gesetze des Bundes und der Länder, geschützt. Danach fällt Pav Gill auch unter diesem Aspekt unter den Schutz des Gesetzes.
In § 3 des Hinweisgeberschutzgesetzes (HinSchG) wird definiert, dass das Bereitstellen von Informationen über Verstöße gegenüber der Öffentlichkeit als Offenlegung bezeichnet wird. Gill wandte sich an den Journalisten Dan McCrum der FT und übermittelte ihm Informationen über Verstöße durch Wirecard. Er hat die Informationen über das Fehlverhalten bei Wirecard also offengelegt. Das Hinweisgeberschutzgesetz (HinSchG) schützt jedoch bei einer Offenlegung nur dann die hinweisgebende Person, wenn diese sich zuvor an eine externe Meldestelle gewandt hat. Dies hat Pav Gill nicht getan (logischerweise, denn 2020 gab es ja noch keine externe Meldestelle). Er wandte sich lediglich an Personen im Unternehmen. Zur Erfüllung der Schutzvoraussetzung reicht dies jedoch ausdrücklich nicht aus. Pav Gill wäre also nicht unter die Schutzvoraussetzungen des HinSchG gefallen.
Einen Ausweg könnte ggfs. § 31 HinSchG bieten. Gemäß § 31 Nr. 2a HinSchG fällt die hinweisgebende Person trotz Offenlegung ohne vorherigen Kontakt zu einer externen Meldestelle unter die Schutzvoraussetzungen des Hinweisgeberschutzgesetzes (HinSchG), sobald „Gefahr im Verzug“ besteht, die hinweisgebende Person also hinreichend Grund zur Annahme hatte, dass der Verstoß eine unmittelbare Gefährdung des öffentlichen Interesses darstellt. Hätte also Pav Gill glaubhaft machen können, dass Gefahr im Verzug gemäß § 31 Nr. 2a HinSchG bestand, wäre er unter den Schutz des Gesetzes gefallen.
Das Hinweisgeberschutzgesetz (HinSchG) geht in § 35 auf das Verbot von Repressalienein. Bereits die Androhung Repressalien auszuführen ist untersagt. Vorliegend wurde Pav Gill die Kündigung angedroht. Damit hätte die Wirecard AG gemäß § 39 I Nr. 3 ordnungswidrig gehandelt und wäre gemäß § 39 Abs. 4 mit einem Bußgeld von bis zu 100.000 Euro sanktioniert worden.
Abschließend eine Anmerkung:
Betrachtet man den durch den Wirecard-Skandal hervorgerufenen Schaden, stellt sich die Frage, ob die im HinSchG für Repressalien vorgesehene maximale Bußgeldhöhe von 100.000 Euro nicht zu niedrig ist.
Wenn Sie sich über dieses Thema weiter informieren möchten, hören Sie gerne unseren Podcast WHISTLEpedia. Er ist bei iTunes, Spotify, Youtube oder direkt hier auf der Seite kostenlos hörbar.
Stephan Rheinwald ist Gesellschafter und Geschäftsführer der Hinweisgebersystem24 GmbH und der Compliance Officer Services GmbH. Er schreibt diesen Blog für Einsteiger und Fortgeschrittene, die sich näher über Hinweisgebersysteme und interne Meldestellen informieren wollen.
Missbrauch von Hinweisgebersystemen – Eine empirische Untersuchung
Hinweisgebersysteme können durch bewusst falsche Meldungen missbraucht werden. Aber wie häufig kommt das vor? Dr. Martin Walter, geschäftsführender Gesellschafter der Hinweisgebersystem24 GmbH, hat dies bei 43 Unternehmen untersucht.
Das Ergebnis: fast 90% aller Hinweise werden in guter Absicht abgegeben. Welche Konsequenzen sind hieraus abzuleiten? Lesen Sie dies und weitere interessante Ergebnisse im aktuell erschienenen Handbuch „Hinweisgebersysteme“; Herausgeber Ruhmannseder, Behr, Krakow.
Post by Martin Walter
Martin Walter ist Gesellschafter und Geschäftsführer der Hinweisgebersystem24 GmbH. Er schreibt diesen Blog für Einsteiger und Fortgeschrittene, die sich näher über Hinweisgebersysteme und interne Meldestellen informieren wollen.
Offenlegung von Informationen im Hinweisgeberschutzgesetz
Das Hinweisgeberschutzgesetzes (HinSchG), das aktuell in einem Referentenentwurf vorliegt, befasst sich mit der Offenlegung von Informationen. Aber was ist die Offenlegung im Hinweisgeberschutzgesetz eigentlich und sind Personen, die Informationen offenlegen, auch durch das Gesetz geschützt?
Die Offenlegung von Informationen – was ist das?
Das Hinweisgeberschutzgesetzes unterscheidet drei Adressaten einer Meldung:
In § 3 des Hinweisgeberschutzgesetzes wird definiert, dass das Zugänglichmachen von Informationen über Verstöße gegenüber der Öffentlichkeit als „Offenlegung“ bezeichnet wird. Praktisch gesprochen handelt es sich um eine Offenlegung, wenn etwa Informationen an die Presse gegeben werden oder in Social-Media-Kanälen gepostet werden.
Schutzvoraussetzungen bei Offenlegung von Informationen
Auch wenn Informationen über Verstöße an die Öffentlichkeit gegeben werden, können die Schutzvoraussetzungen des Hinweisgeberschutzgesetzes erfüllt sein. Dies ist allerdings nur unter streng definierten Voraussetzungen der Fall.
Die wohl wichtigste Voraussetzung ist, dass die Meldung nicht sofort an die Öffentlichkeit gegeben wird, sondern vorab an eine externe Meldestelle. Und erst, wenn die hinweisgebende Person in der im Referentenentwurf genannten Frist von drei Monaten keine Rückmeldung von der externen Meldestelle über das Ergreifen geeigneter Folgemaßnahmen erhalten hat, darf die Meldung offengelegt werden.
Offensichtlich beabsichtigt der Gesetzgeber mit dieser Regelung, dass Meldungen nicht spontan und unüberlegt an die Öffentlichkeit gegeben werden und der Betriebsfrieden möglicherweise unnötig empfindlich gestört wird. Vorgeschaltet ist also die externe Meldestelle des Bundes oder eines Bundeslandes, die die Stichhaltigkeit der eingegangene Meldung prüft und Folgemaßnahmen ergreift. Und wie gesagt: Erst wenn die externe Meldestelle ihren Aufgaben nicht nachkommt, darf die Meldung durch die hinweisgebende Person offengelegt werden; ansonsten ist sie durch das Hinweisgeberschutzgesetz nicht geschützt.
Bemerkenswert ist, dass es zur Erfüllung der Schutzvoraussetzungen nicht ausreicht, die Meldung vor der Offenlegung an die interne Meldestelle des Unternehmens oder der Dienststelle gegeben zu haben. Vor der Offenlegung soll erst eine neutrale dritte Partei eingeschaltet werden, die externe Meldestelle.
Von dieser Regel „Externe Meldestelle vor Offenlegung“ gibt es jedoch in § 31 des Hinweisgeberschutzgesetzes drei Ausnahmen:
der Verstoß, der gemeldet werden soll, stellt eine unmittelbare oder offenkundige Gefährdung des öffentlichen Interesses dar; man kann hier quasi von „Gefahr im Verzug“ sprechen
im Fall einer externen Meldung sind Repressalien zu befürchten oder
aufgrund der besonderen Umstände des Falles sind die Aussichten gering, dass die externe Meldestelle wirksame Folgemaßnahmen einleiten wird.
Während Ausnahme 1 (Gefahr im Verzug) sinnvoll ist, wäre es interessant, den Regelungsbedarf für die Ausnahmen 2 und 3 zu erfahren, der sich nicht unmittelbar erschließt.
Zusammenfassung
Zusammengefasst lässt sich also formulieren: Wenn nicht Gefahr im Verzug vorliegt, muss die Meldung zuerst an eine externe Meldestelle erstattet worden sein und diese hat innerhalb von drei Monaten nicht reagiert bevor die Meldung an die Öffentlichkeit gegeben wird – ansonsten ist die hinweisgebende Person durch das Hinweisgeberschutzgesetz nicht geschützt.
Abschließend sei erwähnt, dass neben dieser speziellen Schutzvoraussetzung für die Offenlegung im Hinweisgeberschutzgesetz auch die allgemeinen Schutzvoraussetzungen nach § 32 HinSchG erfüllt sein müssen:
Die Informationen der Meldung müssen zutreffend sein oder die hinweisgebende Person dachte zum Zeitpunkt der Hinweisabgabe, dass sie zutreffend sind
Die Informationen betreffen Verstöße, die in den Anwendungsbereich des Hinweisgeberschutzgesetzes fallen.
Wenn Sie sich über dieses Thema weiter informieren möchten, hören Sie gerne unseren Podcast WHISTLEpedia. Er ist bei iTunes, Spotify, Youtube oder direkt hier auf der Seite kostenlos hörbar.
Martin Walter ist Gesellschafter und Geschäftsführer der Hinweisgebersystem24 GmbH. Er schreibt diesen Blog für Einsteiger und Fortgeschrittene, die sich näher über Hinweisgebersysteme und interne Meldestellen informieren wollen.
Nach Inkrafttreten des Hinweisgeberschutzgesetzes (HinSchG), das aktuell in einem Referentenentwurf vorliegt, müssen Beschäftigungsgeber mit mehr als 249 Beschäftigten eine interne Meldestelle einrichten. Aber was muss dabei konkret getan werden?
Hauptzielsetzung des Hinweisgeberschutzgesetzes ist die Verbesserung des Schutzniveaus hinweisgebender Personen. Hierzu sieht das Gesetz Schadensersatz und Bußgeldzahlungen für Repressalien gegen hinweisgebende Personen vor. Darüber hinaus wird in § 12 geregelt, dass Beschäftigungsgeber und Dienststellen verpflichtet sind, bei sich eine Stelle für interne Meldungen einzurichten und zu betreiben, an die sich Beschäftigte wenden können, eine sogenannte interne Meldestelle.
Um dieser Pflicht nachzukommen, müssen in drei Feldern Entscheidungen getroffen und nachfolgend umgesetzt werden:
Um einen sicheren und strukturierten Weg der Hinweisabgabe zu ermöglichen, sieht das HinSchG in § 16 die Einrichtung von internen Meldekanälen vor. Diese Meldekanäle sind so zu gestalten, dass nur die für die Entgegennahme und Bearbeitung der Meldungen zuständigen Personen Zugriff auf die eingegangenen Meldungen haben. Das ist eine wesentliche Voraussetzung, um Vertraulichkeit gewährleisten zu können.
Die Meldekanälemüssen Meldungen in mündlicher oder in Textform ermöglichen. Auf Ersuchen der hinweisgebenden Person ist für eine Meldung innerhalb einer angemessenen Zeit eine persönliche Zusammenkunft mit den für die Entgegennahme einer Meldung zuständigen Personen der internen Meldestelle zu ermöglichen.
Zusammengefasst lässt sich also sagen, dass sicherzustellen ist, dass Meldungen unter Wahrung der Vertraulichkeit persönlich, telefonisch, postalisch und in Textform, also z.B. per gesichertem Mailverkehr oder über ein webbasiertes Hinweisgebersystem abgegeben werden können. In einem ersten Schritt sind somit diese technischen Voraussetzungen zu implementieren.
Mensch
Die über das interne Hinweisgebersystemeingehenden Meldungen müssen entgegengenommen und bearbeitet werden. Oft ist der Inhalt der Meldungen sensibel, da es um Fehlverhalten im Unternehmen oder der Dienststelle geht. Die mit den Aufgaben der internen Meldestelle betrauten Personen müssen daher besonders qualifiziert sein und Erfahrungen in den Gebieten Recht, Finanzen und Management aufweisen können. Persönliche Eigenschaften wie Zuverlässigkeit und Vertraulichkeit gehören ebenso zum notwendigen Kompetenzprofil. Dies haben wir in einem anderen Blog-Beitrag detailliert erläutert.
Nach der Schaffung der technischen Voraussetzungen sind somit in einem zweiten Schritt die personellen Voraussetzungen für den Betrieb der internen Meldestelle zu schaffen. Geeignete beschäftigte Personen müssen ausgewählt und geschult werden.
Interne Kommunikation der Meldestelle
Nach Implementierung der Technik und Auswahl und Schulung der mit den Aufgaben der internen Meldestelle betrauten Personen ist die Meldestelle eingerichtet. Aber es werden nur dann Meldungen eingehen, wenn die Existenz der internen Meldestelle im Unternehmen oder der Dienststelle bekannt ist.
Von nicht zu unterschätzender Bedeutung ist somit die Erstkommunikation zur Einrichtung der internen Meldestelle. Hierzu ist ein geeigneter Kommunikationsmix zu definieren, also z.B. eine Mail der Unternehmens- oder Dienststellenleitung an die Beschäftigten oder ein Intranet-Beitrag. Ebenso wichtig ist die Folgekommunikation: Nur, wenn das Thema interne Meldestelle in geeigneter Form und in regelmäßigen Abständen genügend „Airtime“ bekommt, wird es in den Köpfen verankert und nur dann werden auch Meldungen eingehen.
Zusammenfassung
Meldekanäle müssen technisch eingerichtet werden, Beschäftigte müssen geschult werden und die interne Meldestelle muss professionell im Unternehmen oder der Dienststelle kommuniziert werden. Das sind die drei wesentlichen Punkte, die bei der Einrichtung einer internen Meldestelle umzusetzen sind.
Alternativ hierzu kann das Unternehmen oder die Dienststelle einen externen Dienstleistermit den Aufgaben der internen Meldestelle betrauen. Diese Möglichkeit ist im § 14 des Hinweisgeberschutzgesetzes explizit vorgesehen.
Wenn Sie sich über dieses Thema weiter informieren möchten, hören Sie gerne unseren Podcast WHISTLEpedia. Er ist bei iTunes,Spotify, Youtube oder direkt hier auf der Seite kostenlos hörbar.
Stephan Rheinwald ist Gesellschafter und Geschäftsführer der Hinweisgebersystem24 GmbH und der Compliance Officer Services GmbH. Er schreibt diesen Blog für Einsteiger und Fortgeschrittene, die sich näher über Hinweisgebersysteme und interne Meldestellen informieren wollen.
Wir nutzen Cookies auf unserer Website. Einige sind notwendig, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern. Indem Sie auf „Alle Cookies akzeptiere" klicken, erklären Sie sich mit der Verwendung aller Cookies einverstanden.
Hier finden Sie eine Übersicht über alle verwendeten Cookies. Sie können Ihre Zustimmung zu ganzen Kategorien geben oder sich weitere Informationen anzeigen lassen und so nur bestimmte Cookies auswählen.