Deutsches Whistleblower-Gesetz tritt in Kraft: Was das für Unternehmen bedeutet
Ein Gesetz soll Hinweisgeber vor Repressalien schützen. Es verpflichtet außerdem Unternehmen, technische Systeme und Prozesse für solche Hinweise einzuführen.
Mit einer Verspätung von 1,5 Jahren tritt nun auch in Deutschland ein Hinweisgeberschutzgesetz in Kraft. Es setzt eine EU-Richtlinie "zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden" um. Auch in anderen EU-Mitgliedstaaten haben sich die Gesetzgeber schwergetan, den Schutz von Whistleblowern in Gesetzesform zu gießen.
Das Gesetzgebungsverfahren in Deutschland stockte nach einem Veto des Bundesrats, das zur Anrufung des Vermittlungsausschusses führte. Mitte Mai 2023 haben Bundestag und Bundesrat schließlich dem Gesetz zugestimmt, das am 2. Juli 2023 in Kraft tritt.
Ziel des Gesetzes ist der Schutz von Hinweisgebern, wenn sie Fehlverhalten natürlicher oder juristischer Personen aufdecken. Es verbietet Vergeltungsmaßnahmen oder Repressalien. Außerdem gilt eine Beweislastumkehr: Der Arbeitgeber muss nachweisen, dass Maßnahmen gegen einen Arbeitnehmer in keinem Zusammenhang mit der Aufdeckung von Missständen stehen.
Wahrheit muss wahrscheinlich sein
Geschützt sind interne wie externe Meldungen und in Ausnahmefällen auch die Offenlegung. Erforderlich ist allerdings, dass der Hinweisgeber zum Zeitpunkt der Meldung einen hinreichenden Grund zur Annahme hatte, dass die gemeldeten oder offengelegten Informationen der Wahrheit entsprechen. Zudem muss es sich um Informationen handeln, die in den Anwendungsbereich des Gesetzes fallen. Dazu zählen strafbare Handlungen oder Verstöße gegen bußgeldbewehrte Bestimmungen, die den Schutz von Leben, Leib, Gesundheit oder die Rechte von Beschäftigten oder ihrer Interessenvertretungen zum Gegenstand haben.
Dazu gehört auch das Melden von Verstößen gegen EU-Recht, etwa in den Bereichen Geldwäschebekämpfung, Produktsicherheit, Verbraucherschutz, IT-Sicherheit oder Datenschutz. Allerdings müssen sich die Meldungen auf den Arbeitgeber oder einen Geschäftskontakt beziehen. Im Zweifel ist ein Hinweis an eine interne Stelle vorzuziehen, wenn dadurch wirksam gegen den Verstoß vorgegangen werden kann und der Hinweisgeber keine Repressalien zu befürchten hat.
Das Gesetz schreibt Unternehmen die Einführung eines Hinweisgeberverfahrens vor. Unternehmen mit mehr als 250 Mitarbeitenden müssen mit Inkrafttreten des Gesetzes Mitte Juni 2023 eine interne Meldestelle einrichten. Unternehmen mit mindestens 50, aber weniger als 250 Mitarbeitenden müssen die Vorgaben ab dem 17. Dezember 2023 erfüllen. Bußgelder bis 50.000 Euro werden allerdings erst sechs Monate nach Inkrafttreten des Gesetzes fällig. Kleinere Unternehmen sind von den Pflichten nicht betroffen.
Die internen Meldestellen müssen Hinweise in mündlicher und in Textform entgegennehmen und sicherstellen, dass kein unbefugter Zugriff auf Meldungen möglich ist. Das Gesetz sieht vor, die Identität des Meldenden umfassend zu schützen. Ein Kompromiss im Gesetzgebungsverfahren führte jedoch dazu, dass keine Pflicht zur Entgegennahme anonymer Meldungen besteht. Solche Meldungen "sollen" zwar bearbeitet werden, müssen aber nicht. Hier besteht ein Widerspruch zu den ISO-Normen 37301 und 37001 für Compliance- und Antikorruptionsmanagement, die auch das Annehmen anonymer Meldungen vorsehen.
[11]Identität des Hinweisgebers muss geschützt werden
Das Einrichten solcher Meldestellen bringt einige Herausforderungen mit sich. Um Hinweisgeber zu schützen, muss sichergestellt werden, dass unternehmensinterne IT-Administratoren keinen Zugriff auf das Meldesystem haben. Das schließt eine eigene interne Telefonnummer aus. Gleiches gilt für interne E-Mail-Adressen. Letztlich dürften IT-gestützte Hinweisgebersysteme externer Dienstleister am ehesten die Vorgaben des Gesetzes erfüllen. In Verträgen mit ihnen sollte besonderes Augenmerk auf den Bereichen Geschäftsgeheimnisse und Datenschutz liegen.
Bei vorsätzlichen oder grob fahrlässigen Falschmeldungen ist die hinweisgebende Person zum Schadensersatz verpflichtet. Sie ist andererseits geschützt, wenn ein Arbeitgeber gegen das Repressalienverbot verstößt. Das Gesetz stellt keine überhöhten Anforderungen an den Hinweisgeber: Er ist geschützt, wenn er zum Zeitpunkt der Meldungen davon ausgehen konnte, dass sein Hinweis zutrifft.
Praxistauglich, oder nicht?
Ein Hinweisgeber muss innerhalb von sieben Tagen eine Bestätigung über den Eingang seiner Meldung erhalten. Zudem muss er innerhalb von drei Monaten über ergriffene Gegenmaßnahmen informiert werden. Konkrete Anforderungen an den "Meldestellen-Beauftragten" stellt das Gesetz nicht. In Betracht kommen dürften in der Regel aber Personen mit verwandten Aufgabenbereichen, etwa Datenschutzbeauftragte, Unternehmensjuristen oder Mitarbeiter aus den Bereichen Controlling et cetera. Ein besonderer Kündigungsschutz ist für sie aber nicht vorgesehen.
Mit dem Hinweisgeberschutzgesetz müssen sich Unternehmen und Behörden intensiv befassen. Es muss sich nun in der Praxis beweisen. (ur [12])
URL dieses Artikels:
https://www.heise.de/-9159013
Links in diesem Artikel:
[1] https://www.heise.de/hintergrund/Recht-Geheimhaltungsvorgaben-fuer-IT-Dienstleister-9645019.html
[2] https://www.heise.de/hintergrund/Digital-Markets-Act-Wie-die-EU-Weltkonzerne-zu-europaeischen-Sonderlocken-zwingt-9635495.html
[3] https://www.heise.de/hintergrund/Account-Sperren-auf-X-Facebook-und-Co-Digital-Service-Act-schuetzt-Verbraucher-9634247.html
[4] https://www.heise.de/hintergrund/IT-Recht-Wie-der-Digital-Services-Act-ohne-deutsches-Begleitgesetz-startet-9607325.html
[5] https://www.heise.de/hintergrund/Whistleblower-Schutz-Neue-Bestimmungen-jetzt-umsetzen-9352663.html
[6] https://www.heise.de/hintergrund/Datenschutzbehoerden-praezisieren-neue-Regeln-zum-US-Datentransfer-9315144.html
[7] https://www.heise.de/hintergrund/Data-Privacy-Framework-Wie-lange-es-halten-wird-ein-Report-9219648.html
[8] https://www.heise.de/hintergrund/Schmerzensgeld-bei-Datenschutzverstoss-Wer-Anspruch-haben-koennte-und-wer-nicht-9203494.html
[9] https://www.heise.de/hintergrund/Hinweisgeberschutz-Mehr-Rechtssicherheit-fuer-Whistleblower-7304857.html
[10] https://www.heise.de/hintergrund/Cookie-Banner-auf-Websites-Unklare-Rechtslage-bei-Ausgestaltung-8965233.html
[11] https://www.heise.de/ix/
[12] mailto:ur@ix.de
Copyright © 2023 Heise Medien