Hinweisgeberschutzgesetz – Whistleblower-Richtlinie der EU

Am 16. Dezember 2019 ist die EU-Whistleblower-Richtlinie (ein Hinweisgeberschutzgesetz) in Kraft getreten. Dabei wurde für die Umsetzung in ein nationales Gesetz in den EU-Mitgliedstaaten der 17. Dezember 2021 festgelegt. Bislang ist eine gesetzliche Umsetzung in Deutschland gescheitert, soll aber von der Regierungskoalition in Angriff genommen werden.

Unternehmen sollten sich bereits jetzt mit dem anstehenden Gesetz auseinander setzen, und sich entsprechend vorbereiten.

Sie erhalten in diesem Beitrag einen Überblick darüber, wie Sie in Ihrem Unternehmen das Hinweisgeberschutzgesetz beachten müssen, und was Sie bei der Planung und Umsetzung berücksichtigen sollten.

Ziel des Gesetzes

Durch das anstehende Hinweisgeberschutzgesetz sollen sog. Whistleblower, also Hinweisgeber, einen besseren und einheitlichen Schutz erhalten wenn sie mögliche Verstöße gegen deutsches oder EU-Recht aufzudecken. Persönliche Nachteile sollen sie dann nicht befürchten müssen.

Ein Whistleblower ist

„eine Person, die für die Öffentlichkeit wichtige Informationen aus einem geheimen oder geschützten Zusammenhang veröffentlicht.“

Durch die geplanten Regelungen sollen Whistleblower besser vor Repressalien geschützt werden. Darunter fallen beispielsweise Entlassung oder Herabstufung im Job, Mobbing, Nötigung, Einschüchterung, Rufschädigung, oder Boykott als Folgen.

Die zugrundeliegende Richtlinie schreibt in allen Unionsmitgliedstaaten einheitliche Standards zur Meldung von Missständen und zum Schutz der Meldenden vor.

Sachlicher Anwendungsbereich

Der Sachliche Anwendungsbereich der Richtlinie umfasst Verstöße gegen EU-Recht:

  • öffentliches Auftragswesen
  • Finanzdienstleistungen, Finanzprodukte und Finanzmärkte sowie Verhinderung von Geldwäsche und Terrorismusfinanzierung
  • Produktsicherheit und -konformität
  •  Verkehrssicherheit,
  • Umweltschutz
  • Strahlenschutz und kerntechnische Sicherheit
  • Lebensmittel- und Futtermittelsicherheit, Tiergesundheit und Tierschutz
  • öffentliche Gesundheit
  •  Verbraucherschutz
  • Schutz der Privatsphäre und personenbezogener Daten sowie Sicherheit von Netz- und Informationssystemen

Vermutlich wird das deutsche Hinweisgebergesetz die Vorgaben um das deutsche Recht ergänzen.

Vorteile für Unternehmen

Mittlere und große Unternehmen erhalten die Möglichkeit, basierend auf einer gesetzlichen Grundlage einen entsprechenden Meldekanal einzurichten. Damit können Sie Meldeprozesse lenken und Fehlverhalten ordnungsgemäß bearbeiten, ohne dabei in Graubereichen agieren zu müssen.

Ein Hinweisgebersystem ist ein vertraulicher Kommunikationskanal für Meldende unter dem sie auf Missstände aufmerksam machen können, und sich nicht an Behörden oder die Öffentlichkeit wenden müssen. Unternehmen können zu diesem Zeitpunkt noch intern reagieren und die Situation steuern.

Missstände bedeuten für Unternehmen Risiken. Es ist wichtig diese zu erkennen und entsprechend zu reagieren, bzw. Verbesserungen für die Zukunft einzuleiten. Eine offene Kritikkultur soll Schäden wie Imageverlust und negativer PR vorbeugen.

Für wen Whistleblower Richtlinie und Hinweisgeberschutzgesetz gelten

Die Whistleblower-Richtlinie gilt für öffentliche Stellen und private Unternehmen mit mehr als 50 Mitarbeitern.

Die Richtlinie gilt auch für Gemeinden mit mehr als 10.000 Einwohnern.

Wer geschützt wird

Durch die Whistleblower-Richtlinie und das Hinweisgeberschutzgesetz werden unterschiedliche Personen geschützt. Nicht nur die Meldenden, sondern auch Personen, die Gegenstand der Meldung sind, fallen unter sie.

  • Angestellte
  • Freiberufler
  • Dienstleister
  • Gesellschafter
  • usw.

Zusätzlich dazu genießen weitere Gruppen in diesem Zusammenhang einen Schutz. Dazu gehören

  • Mittler (diejenigen, die Hinweisgeber z.B. bei der Beschaffung von Informationen unterstützen)
  • Dritte wie Kollegen oder Verwandte (alle, die mit Hinweisgebern in Verbindung stehen und in ihrem beruflichen Kontext auch Repressalien erleiden könnten)
  • juristische Personen (Unternehmen die Eigentum des Hinweisgebers sind, oder für diesen arbeiten, bzw. in anderer Weise beruflich verbunden sind)

Auch nach Beendigung eines Anstellungsverhältnisses, bzw. eines solchen, das gerade entsteht, gilt ein Schutz.

Anforderungen an Unternehmen und Gemeinden

Die Whistleblower-Richtlinie verpflichtet unter die Regelung fallende Unternehmen und Gemeinden zuverlässige und funktionierende Meldekanäle zu etablieren.

Auf diese Punkte kommt es dabei an:

  1. Wahrung der Vertraulichkeit
  2. Einhaltung der Verfahren und Maßnahmen für die Meldekanäle
  3. Dokumentation der Meldungen

Meldekanal für Hinweise

Ein Meldekanal kann für Hinweisgeber schriftlich über einen Briefkasten, bzw. auf dem Postweg, elektronisch über ein Online-System, aber auch mündlich über eine Hotline, bzw. über ein Anrufbeantwortersystem eingerichtet werden.

Wichtig ist, dass über den gewählten Meldekanal, bzw. das Meldesystem die Vertraulichkeit und Details über die Identität des Hinweisgebers gewahrt bleiben.

Richten Sie keine internen Meldekanäle ein, besteht die Gefahr, dass Meldungen von Hinweisgebern direkt an Medien, Staatsanwaltschaft, Aufsichtsbehörden, o.ä. geleitet werden. Mit ihrem eigenen Meldesystem können Sie also dazu beitragen, dass Missstände zuerst zu Ihnen gelangen, und Sie entsprechend darauf reagieren können, bevor andere Sie konfrontieren.

Was das Hinweisgeberschutzgesetz mit Datenschutz zu tun hat

Vielleicht fragen Sie sich, was das Hinweisgeberschutzgesetz mit Datenschutz zu tun hat. Eine einfach und kurze Erklärung ist, dass es um den Schutz von Personen vor Nachteilen geht. Man kann wohl behaupten, dass Nachteile für Menschen entstehen, wenn man sie identifizieren kann. Genau hier setzt das Hinweisgeberschutzgesetz an. Personen sollen eben nicht identifizierbar sein, so dass deren personenbezogene Daten geschützt werden müssen.

Natürlich findet beim Schutz von Whistleblowern eine Verarbeitung personenbezogener Daten statt, denn die Meldungen sind nicht anonym, sondern „nur“ vertraulich.

In diesem Zusammenhang sollten Sie Ihre Verarbeitung im Rahmen des Hinweisgeberschutzgesetzes im Verzeichnis von Verarbeitungstätigkeiten dokumentieren. Zusätzlich achten Sie bei der Verarbeitung dieser personenbezogenen Daten auf die Sicherheit der Verarbeitung ergreifen die dafür notwendigen technischen und organisatorischen Maßnahmen.

Empfehlung zur Umsetzung des Hinweisgeberschutzgesetzes

Beschäftigen Sie sich bereits heute mit der Einführung eines Meldekanals, der den Anforderungen des kommenden Gesetzes auf Basis der Richtlinie entspricht.

So können Sie Haftungsrisiken entgegenwirken. Diese existieren, da die Richtlinie vorliegt, jedoch noch nicht in nationales Recht umgesetzt wurde. Die Richtlinie ist sehr konkret und könnte möglicherweise direkt durchgreifen.

Für Unterstützung bei der Auswahl eines Kanals im Hinblick auf den Datenschutz, und der Dokumentation Ihrer getroffenen Maßnahmen sprechen Sie uns gerne an.