Q & A zum HinSchG
1. Benötigt mein Unternehmen ein Hinweisgebersystem?
Die Verpflichtung, ein Hinweisgebersystem einzurichten und zu betreiben, richtet sich nach der Anzahl der Beschäftigten. Ab einer Anzahl von in der Regel mindestens 50 Beschäftigten ist die Einrichtung einer „internen Meldestelle“ (unternehmenseigenes Hinweisgebersystem) verpflichtend (§ 12 Abs. 1, Abs. 2 HinSchG).
2. Was ist der Unterschied zwischen einen internen und einem externen Meldekanal?
Der interne Meldekanal ist das Hinweisgebersystem, das durch das Unternehmen selbst implementiert und betrieben wird (§ 12 Abs. 1 S. 1 HinSchG). Über den internen Meldekanal abgegebene Meldungen sollen somit durch die vom Unternehmen dazu beauftragten Personen entgegengenommen und bearbeitet werden. Es obliegt dem Unternehmen, durch angemessene Folgemaßnahmen auf den Hinweis zu reagieren (§ 13 Abs. 1 HinSchG).
Bei externen Meldekanälen handelt es sich um die von Bund, Ländern und weiteren benannten Aufsichtsbehörden einzurichtenden Hinweisgebersysteme (§§ 19 ff. HinSchG), z.B. die Meldestelle beim Bundesamt für Justiz. Die externen Meldestellen stehen allen hinweisgebenden Personen gleichrangig neben dem internen System des eigenen Unternehmens zur Verfügung.
3. Muss mein Unternehmen das Hinweisgebersystem selbst einrichten und betreiben?
Unternehmen mit in der Regel mehr als 50 Arbeitnehmern müssen nach dem Gesetzeswortlaut „dafür […] sorgen, dass bei ihnen mindestens eine Stelle für interne Meldungen eingerichtet ist und betrieben wird“ (§ 12 Abs. 1 S. 1 HinSchG). Sie müssen zum Betrieb des Hinweisgebersystems aber nicht zwingend eigenes Personal / eine eigene Organisationseinheit einsetzen, sondern es kann auch ein Dritter (z.B. ein externer Compliance-Beauftragter, eine externe Ombudsperson / Ombudskanzlei) beauftragt werden (§ 14 Abs. 1 S. 1 HinSchG).
4. Wen kann ich als Unternehmen mit dem Betrieb des Hinweisgebersystems beauftragen?
Die beauftragte Person muss, unabhängig davon, ob es sich um einen Angestellten oder einen Externen handelt, in ihrer Tätigkeit unabhängig sein und über die nötige Sachkunde verfügen (§ 15 HinSchG). Die Verpflichtung, Maßnahmen gegen einen durch das Hinweisgebersystem aufgedeckten Verstoß zu ergreifen, verbleibt bei den Verantwortlichen Organen des Unternehmens (§ 14 Abs. 1 S. 2 HinSchG).
Hinweis: Die Unabhängigkeit kann gerade im Falle kleiner Unternehmen am besten durch die Beauftragung einer außerhalb des Unternehmens stehenden Person gewährleistet werden. Nach den Vorgaben der Richtlinie (EU) 2019/1937 muss zudem auch bei Verpflichtung eines Dritten sichergestellt sein, dass die Wahrung der Unabhängigkeit und Vertraulichkeit, des Datenschutzes und der Geheimhaltung garantiert ist, vgl. RL (EU) 2019/1937, EG 54. Daher empfiehlt es sich, bei der Beauftragung eines Dritten z.B. auf externe Berufsgeheimnisträgerinnen oder Berufsgeheimnisträger zurückzugreifen. Diese werden in der Regel die Anforderungen an die Unabhängigkeit und Vertraulichkeit erfüllen und ebenso die notwendige Fachkunde aufweisen.
5. Was muss das Hinweisgebersystem können?
5.1 Wem muss das System / der Meldekanal offenstehen?
Das Hinweisgebersystem muss den eigenen Beschäftigten und ggf. Leiharbeitnehmerinnen und Leiharbeitnehmern zugänglich sein (§ 16 Abs. 1 S. 1 HinSchG), z.B. über das Intranet oder die Unternehmensseite. Darüber hinaus kann das System auch Personen zugänglich gemacht werden, die mit dem Unternehmen in sonstiger Weise im beruflichen Kontext in Kontakt stehen, z.B. Kooperationspartner, Zulieferer (§ 16 Abs. 1 S. 3 HinSchG.)
5.2 Was muss gemeldet werden können?
Es müssen Verstöße gegen nationales Recht gemeldet werden können. Hiervon umfasst sind Straftaten, z.B. Korruption, Diebstahl, Untreue und Ordnungswidrigkeiten, wenn die verletzte Vorschrift dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte der Beschäftigten oder ihrer Vertretungsorgane dient (§ 2 Abs. 2 Nr. 1 und 2 HinSchG).
Zudem müssen Meldungen möglich sein, die Verstöße gegen z.B. das Geldwäschegesetz, Vorgaben zu Produktsicherheit, Umweltschutzgesetze oder auch das Datenschutzrecht (DS-GVO) betreffen, vgl. den vollständigen Katalog in § 2 Abs. 1 Nr. 3 HinSchG.
ACHTUNG: Sofern Beschäftigte gesetzlich zur Verschwiegenheit verpflichtet sind (z.B. Ärzte und Ärztinnen), sieht § 5 HinSchG den Vorrang von Verschwiegenheits- und Geheimhaltungspflichten vor. Eine Meldung soll dann nicht in den Anwendungsbereich des Gesetzes fallen, wenn ihr die Pflicht zur Wahrung der Verschwiegenheit entgegensteht (§ 5 Abs. 2 lit. 3 und 4 HinSchG).
5.3 Wie muss gemeldet werden können?
Die Meldung muss mündlich oder in Textform erfolgen können, z.B. per Telefon, per E-Mail oder über das Portal eines digitalen Hinweisgebersystems (§ 16 Abs. 3 S. 1, 2 HinSchG). Es besteht keine Verpflichtung, die Meldekanäle so auszugestalten, dass anonyme Meldungen möglich sind, § 16 Abs. 1 HinSchG.
Es muss die Möglichkeit gegeben sein, eine Meldung in einem persönlichen Gespräch abzugeben (§ 16 Abs. 3 S. 3 HinSchG). Dieses Treffen kann mit Einwilligung der hinweisgebenden Person auch durch Telefonie oder Videotelefonie erfolgen (§ 16 Abs. 3 S. 4 HinSchG).
5.4 Was bedeutet Vertraulichkeit?
Vertraulichkeit bedeutet, dass die Identität der hinweisgebenden Person, ebenso wie der Personen, die Gegenstand des Hinweises sind oder im Zusammenhang mit der Meldung genannt werden, zu schützen ist. Die Identität darf mithin nur den für die Entgegennahme und die Bearbeitung des Hinweises zuständigen Personen bekannt werden. Die Meldestellen sind zur Vertraulichkeit verpflichtet (§ 8 HinSchG).
Vom Vertraulichkeitsgebot gibt es Ausnahmen (§ 9 HinSchG). Sie betreffen z.B. Fälle, in denen die Kenntnis der Identität für die Durchführung von Folgemaßnahmen wie einer internen Untersuchung erforderlich ist oder auch die Weitergabe des Hinweises an eine Ermittlungsbehörde.
5.5 Wie ist mit anonymen Hinweisen umzugehen?
Auch ohne extra eingerichteten anonymen Meldekanal können anonyme Hinweise eingehen. Das HinSchG regelt hierzu, dass diese auch bearbeitet werden sollen. Welche Folgemaßnahmen durch die Meldestelle ergriffen werden müssen, richtet sich auch bei anonymen Hinweisen einzelfallbezogen nach dem Ergebnis der Stichhaltigkeitsprüfung und dem Inhalt der Meldung.
5.6 Welche sonstigen Vorgaben gelten für den Umgang mit eingegangenen Hinweisen?
Der Gesetzesentwurf sieht, ebenso wie bereits die EU-Richtlinie, klare Vorgaben für den Umgang mit Hinweisen vor.
Aus den §§ 11, 17, 18 HinSchG ergibt sich folgendes Verfahren für die Bearbeitung eines Hinweises:
- Dokumentation des Hinweises,
- Bestätigung des Hinweises innerhalb von 7 Tagen,
- erste Überprüfung des Verstoßes auf Stichhaltigkeit,
- Einleitung angemessener Folgemaßnahmen (wie z.B. einer Internen Untersuchung),
- Rückmeldung zu ergriffenen und geplanten Folgemaßnahmen innerhalb von 3 Monaten.
5.7 Welche Vorgaben gelten für die Verarbeitung personenbezogener Daten?
§ 10 HinSchG berechtigt die Meldestelle zur Verarbeitung personenbezogener Daten, soweit dies zur Erfüllung der Aufgaben (s. Frage 5.6) erforderlich ist.
Diese Berechtigung bezieht sich auch auf die Verarbeitung besonderer personenbezogener Daten. Für die Verarbeitung besonderer personenbezogener Daten sind angemessene technische und organisatorische Maßnahmen (vgl. § 22 Abs. 2 S. 2 BDSG) zur Wahrung der Interessen des Betroffenen zu ergreifen.
6. Was droht, wenn ich trotz Verpflichtung kein Hinweisgebersystem einrichte?
Unternehmen mit mehr als 250 Beschäftigten sind nach Ablauf eines Monats nach Verkündung des Gesetzes verpflichtet, ein System vorzuhalten. Für Unternehmen mit mehr als 50 und weniger als 250 Beschäftigten gilt eine Übergangsfrist und die Pflicht besteht ab dem 17.12.2023.
Wird die Einrichtung des internen Hinweisgebersystems trotz Verpflichtung unterlassen, stellt dies eine Ordnungswidrigkeit dar, die mit einer Geldbuße von bis zu 20.000 EUR geahndet werden kann (§ 40 Abs. 6 S. 1 HinSchG). Die fehlende Einrichtung soll aber erst 6 Monate nach Verkündung geahndet werden können (§ 42 Abs. 2 HinSchG).