Deutsches Whistleblower-Gesetz tritt in Kraft: Was das für Unternehmen bedeutet

Ein Gesetz soll Hinweisgeber vor Repressalien schützen. Es verpflichtet außerdem Unternehmen, technische Systeme und Prozesse für solche Hinweise einzuführen.

In Pocket speichern vorlesen Druckansicht 8 Kommentare lesen
Lesezeit: 4 Min.
Von
  • Tobias Haar
Inhaltsverzeichnis

Mit einer Verspätung von 1,5 Jahren tritt nun auch in Deutschland ein Hinweisgeberschutzgesetz in Kraft. Es setzt eine EU-Richtlinie "zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden" um. Auch in anderen EU-Mitgliedstaaten haben sich die Gesetzgeber schwergetan, den Schutz von Whistleblowern in Gesetzesform zu gießen.

Mehr zu Recht, Verbraucher- und Datenschutz

Das Gesetzgebungsverfahren in Deutschland stockte nach einem Veto des Bundesrats, das zur Anrufung des Vermittlungsausschusses führte. Mitte Mai 2023 haben Bundestag und Bundesrat schließlich dem Gesetz zugestimmt, das am 2. Juli 2023 in Kraft tritt.

Ziel des Gesetzes ist der Schutz von Hinweisgebern, wenn sie Fehlverhalten natürlicher oder juristischer Personen aufdecken. Es verbietet Vergeltungsmaßnahmen oder Repressalien. Außerdem gilt eine Beweislastumkehr: Der Arbeitgeber muss nachweisen, dass Maßnahmen gegen einen Arbeitnehmer in keinem Zusammenhang mit der Aufdeckung von Missständen stehen.

Tobias Haar

Tobias Haar ist Rechtsanwalt mit Schwerpunkt IT-Recht bei Vogel & Partner in Karlsruhe. Er hat zudem Rechtsinformatik studiert und hält einen MBA.

Geschützt sind interne wie externe Meldungen und in Ausnahmefällen auch die Offenlegung. Erforderlich ist allerdings, dass der Hinweisgeber zum Zeitpunkt der Meldung einen hinreichenden Grund zur Annahme hatte, dass die gemeldeten oder offengelegten Informationen der Wahrheit entsprechen. Zudem muss es sich um Informationen handeln, die in den Anwendungsbereich des Gesetzes fallen. Dazu zählen strafbare Handlungen oder Verstöße gegen bußgeldbewehrte Bestimmungen, die den Schutz von Leben, Leib, Gesundheit oder die Rechte von Beschäftigten oder ihrer Interessenvertretungen zum Gegenstand haben.

Dazu gehört auch das Melden von Verstößen gegen EU-Recht, etwa in den Bereichen Geldwäschebekämpfung, Produktsicherheit, Verbraucherschutz, IT-Sicherheit oder Datenschutz. Allerdings müssen sich die Meldungen auf den Arbeitgeber oder einen Geschäftskontakt beziehen. Im Zweifel ist ein Hinweis an eine interne Stelle vorzuziehen, wenn dadurch wirksam gegen den Verstoß vorgegangen werden kann und der Hinweisgeber keine Repressalien zu befürchten hat.

Das Gesetz schreibt Unternehmen die Einführung eines Hinweisgeberverfahrens vor. Unternehmen mit mehr als 250 Mitarbeitenden müssen mit Inkrafttreten des Gesetzes Mitte Juni 2023 eine interne Meldestelle einrichten. Unternehmen mit mindestens 50, aber weniger als 250 Mitarbeitenden müssen die Vorgaben ab dem 17. Dezember 2023 erfüllen. Bußgelder bis 50.000 Euro werden allerdings erst sechs Monate nach Inkrafttreten des Gesetzes fällig. Kleinere Unternehmen sind von den Pflichten nicht betroffen.

Die internen Meldestellen müssen Hinweise in mündlicher und in Textform entgegennehmen und sicherstellen, dass kein unbefugter Zugriff auf Meldungen möglich ist. Das Gesetz sieht vor, die Identität des Meldenden umfassend zu schützen. Ein Kompromiss im Gesetzgebungsverfahren führte jedoch dazu, dass keine Pflicht zur Entgegennahme anonymer Meldungen besteht. Solche Meldungen "sollen" zwar bearbeitet werden, müssen aber nicht. Hier besteht ein Widerspruch zu den ISO-Normen 37301 und 37001 für Compliance- und Antikorruptionsmanagement, die auch das Annehmen anonymer Meldungen vorsehen.