Update Whistleblowing: das erwartet Unternehmen

Überblick

Nach längerer Säumigkeit und der zwischenzeitlichen Einleitung eines Vertragsverletzungsverfahrens durch die EU-Kommission wurde nun endlich der erste Entwurf des HinweisgeberInnenschutzgesetzes ("HSchG") in Begutachtung geschickt. Der Entwurf macht nur in zwei Bereichen Gebrauch von möglichen Abweichungen von der Richtlinie und obwohl Änderungen durchaus noch möglich sind, können sich Unternehmen bereits jetzt daran orientieren und einen guten Eindruck davon gewinnen, welche Anforderungen an die praktische Umsetzung zu stellen sind.

Wer und was ist geschützt?

Das HSchG sieht die verpflichtende Einführung eines Meldesystems in Unternehmen und juristischen Personen des öffentlichen Rechts vor, über das Hinweisgeber:innen bestimmte Missstände aufzeigen können, ohne dass sie in der Folge Repressalien fürchten müssten. Geschützt sind im Grunde sämtliche Personen, die aufgrund ihrer dienstlichen Tätigkeit Kenntnis von Rechtsverstößen des betreffenden Unternehmens erlangen können, somit primär dessen eigene Mitarbeiter:innen, aber auch Mitarbeiter:innen von Lieferanten und Kunden. Umfasst sind nach der Richtlinie etwa Rechtsverletzungen in Bereichen wie dem öffentlichen Auftragswesen, Finanzdienstleistungen, Verhinderung von Geldwäsche und Terrorismusfinanzierung, Produktsicherheit, Datenschutz, Umweltschutz oder Verbraucherschutz. Abweichend von der Richtlinie sind nach dem HSchG zudem auch diverse Korruptionstatbestände erfasst. Unternehmen können den Anwendungsbereich jedoch freiwillig ausdehnen, etwa zur Einbeziehung interner Richtlinien.

Zur Ermöglichung solcher Meldungen haben Unternehmen mit mehr als 50 Mitarbeiter:innen geeignete interne Meldesysteme einzurichten, die die Vertraulichkeit und den Schutz der Identität von Hinweisgeber:innen sicherstellen (der Schwellenwert gilt allerdings nicht für Unternehmen, die im Bereich der Finanzdienstleistungen, Verhinderung von Geldwäsche und Terrorismusfinanzierung, Verkehrssicherheit und Umweltschutz tätig sind). Derartige Whistleblowing-Systeme sollen – und das ist die zweite Abweichung von der Richtlinie – auch anonyme Meldungen zulassen. Dabei ist jeder Hinweis grundsätzlich auf seine Stichhaltigkeit zu überprüfen. Einem Hinweis muss allerdings nicht nachgegangen werden, wenn er nicht in den gesetzlichen oder selbst gewählten Geltungsbereich des Systems fällt oder wenn aus ihm keine Anhaltspunkte für seine Stichhaltigkeit hervorgehen. Offenkundig falsche oder irreführende Hinweise sind zurückzuweisen.

Arbeitsrechtliche Implikationen

Das zentrale Element des HSchG ist der Schutz von Hinweisgeber:innen vor Vergeltungsmaßnahmen für berechtigte Hinweise. Maßnahmen, die in Vergeltung eines berechtigten Hinweises durch Vorgesetzte und Arbeitgeber:innen erfolgt sind, sind rechtsunwirksam. Das HSchG schützt dabei insbesondere vor Maßnahmen wie Kündigung, Nichtverlängerung oder vorzeitige Beendigung eines befristeten Arbeitsvertrages aber auch vor Herabstufung oder Versagen einer Beförderung, etc.

Sollten Hinweisgeber:innen Maßnahmen wie Nötigung, Einschüchterung, Mobbing oder dergleichen erfahren, steht diesen Personen nicht nur die Wiederherstellung des rechtmäßigen Zustandes, sondern auch ein Schadenersatzanspruch zu.

In gerichtlichen oder verwaltungsbehördlichen Verfahren, in denen Hinweisgeber:innen geltend machen, dass sie durch eine der eben dargestellten Maßnahmen benachteiligt worden sind, ist der Umstand, dass die Maßnahme als Repressalie aufgrund des gegebenen Hinweises gesetzt wurde, lediglich glaubhaft zu machen. Dem:der Arbeitgeber:in obliegt anschließend die Glaubhaftmachung, dass ein anderer Grund für die Maßnahme ausschlaggebend war (zB wirtschaftliche Gründe).

Datenschutzrechtliche Besonderheiten

Der Entwurf des HSchG ermächtigt ausdrücklich zur Verarbeitung personenbezogener Daten der Hinweisgeber:innen sowie der vom Hinweis oder von Folgemaßnahmen betroffenen Personen zum Zwecke des HSchG. Geht das im Einzelfall umgesetzte Hinweisgebersystem daher nicht über den vom HSchG abgesteckten Rahmen hinaus, begründet diese Regelung eine gesetzliche Verpflichtung zur Datenverarbeitung. Darüberhinausgehende Verarbeitungen, etwa im Rahmen von erweiterten Meldetatbeständen, müssten dagegen auf "berechtigte Interessen" gestützt werden. Sonderbestimmungen gibt es zur Verarbeitung von "sensiblen" Daten sowie von Daten über (potenzielle) Straftaten.

Entgegen den bislang tendenziell eher kurzen gesetzlichen Speicherfristen sind personenbezogene Daten des Hinweisgebersystems nach dem derzeitigen Entwurf für 30 Jahre aufzubewahren und darüber hinaus so lange, als es für die Durchführung gerichtlicher oder verwaltungsbehördlicher Verfahren oder zum Schutz einer betroffenen Person erforderlich und verhältnismäßig ist. Protokolldaten sind überdies noch drei Jahre länger aufzubewahren. Die grundsätzlich bestehenden Rechte von betroffenen Personen, etwa auf Auskunft oder Löschung, können so lange eingeschränkt werden, als deren Ausübung die Zweckerreichung des HSchG oder den Schutz von Hinweisgeber:innen beeinträchtigen würden.

Fazit

Im Wesentlichen setzt das HSchG somit lediglich die Vorgaben der Richtlinie um. Die beiden Abweichungen sind zwar zu begrüßen, doch wäre ein noch weiterer Anwendungsbereich durchaus sinnvoll. Da gravierende Änderungen nicht mehr zu erwarten sind, können sich Unternehmen bereits mit der Implementierung geeigneter Systeme und interner Prozesse auseinandersetzen. Dafür bleiben ab Inkrafttreten des HSchG sechs Monate Zeit. Für Unternehmen mit weniger als 250 Beschäftigten besteht eine Schonfrist zur Umsetzung bis 18.12.2023. Im Hinblick auf die oftmals notwendigen Verhandlungen mit dem Betriebsrat sowie die Auswahl, Beschaffung und Implementierung eines geeigneten Systems, könnte diese Umsetzungsfrist für viele Unternehmen allerdings knapp bemessen sein. Daher gilt es keine Zeit zu verlieren, denn es drohen Strafen von bis zu EUR 40.000.