„Das Gesetz wird viele Unternehmen unter Zeitdruck setzen“
Mit dem Hinweisgeberschutzgesetz soll der bislang lückenhafte und unzureichende Schutz für hinweisgebende Personen ausgebaut werden.
Das Hinweisgeberschutzgesetz (HinSchG) war eine politische Hängepartie. Nun hat der Vermittlungsausschuss am 9. Mai 2023 einen Kompromiss zum Schutz von sogenannten „Whistleblowern“ (Hinweisgebern) gefunden. Wie schnell das Gesetz jetzt in Kraft tritt, für welche Unternehmen es gilt und was kleine und mittelständische Unternehmen dabei zu beachten haben, erläutert Proliance-Gründer Alexander Ingelheim im DMB-Interview.
DMB: Guten Tag Herr Ingelheim, das Hinweisgeberschutzgesetz war eine politische Hängepartie. Wann tritt es denn nun in Kraft?
Ingelheim: Das Hinweisgeberschutzgesetz wird betroffene Unternehmen voraussichtlich noch im Juni zum Betrieb einer Meldestelle zur Entgegennahme von Hinweisen verpflichten. Nachdem der Bundesrat dem Gesetz am 12. Mai zugestimmt hat, tritt es nun bereits einen Monat nach Veröffentlichung im Bundesgesetzblatt in Kraft. Mit der Veröffentlichung wird noch im Mai gerechnet – auch weil Deutschland derzeit wegen verspäteter Umsetzung der zugrundeliegenden EU-Richtlinie täglich über 60.000 Euro Strafe an die EU zahlen muss.
Was ist der Hintergrund des Hinweisgeberschutzgesetzes?
Das Gesetz wird künftig Hinweisgeber vor negativen Konsequenzen schützen, wenn sie rechtswidrige Handlungen oder Missstände in ihrem Unternehmen melden. Hinweisgeber können essenziell für eine faire Wirtschaft sein, mussten in der Vergangenheit jedoch Kündigungen oder andere Sanktionen fürchten. Das neue Gesetz schafft nun einen rechtlichen Rahmen, der Whistleblower vor Repressalien und unbefugter Offenlegung ihrer Identität schützt. Zudem gibt das Gesetz vor, wie Hinweise bearbeitet werden müssen.
Gilt das Hinweisgeberschutzgesetz für alle Unternehmen?
Das Hinweisgeberschutzgesetz wird für alle Unternehmen mit mindestens 50 Beschäftigten gelten. Während Unternehmen ab 250 Mitarbeitenden die Gesetzesvorgaben bereits mit Inkrafttreten des Hinweisgeberschutzgesetzes im Juni umgesetzt haben müssen, gilt für mittlere Unternehmen mit 50 bis 249 Beschäftigten eine Schonfrist bis zum 17. Dezember 2023. Unternehmen mit weniger als 50 Angestellten verpflichtet das Gesetz nicht. Eine freiwillig eingerichtete Meldestelle kann jedoch sinnvoll sein.
Welche Herausforderungen bringt das Hinweisgeberschutzgesetz vor allem für kleine und mittlere Unternehmen für sich?
Die größten Herausforderungen bestehen darin, die für den Betrieb der internen Meldestelle erforderliche Infrastruktur zur vertraulichen Entgegennahme von Meldungen zu schaffen und die für die Bearbeitung von Meldungen zuständigen Vertrauenspersonen zu bestimmen und zu schulen. Diese Personen müssen laut Gesetz unabhängig sein und dürfen keinen Interessenkonflikten unterliegen. Eine sinnvolle Alternative stellt die Auslagerung der internen Meldestelle an einen spezialisierten Dienstleister dar.
Mit welchen Strafen müssen Unternehmen rechnen, wenn sie beispielsweise keine Meldestelle einrichten?
Das Hinweisgeberschutzgesetz führt verschiedene Ordnungswidrigkeiten auf, die mit Bußgeldern geahndet werden können. Unternehmen, die eine erforderliche Meldestelle nicht fristgerecht einrichten, riskieren bis zu 20.000 Euro Bußgeld. Bis zu 50.000 Euro können anfallen für die Behinderung der Abgabe von Meldungen oder der Kommunikation mit dem Hinweisgeber und das Ergreifen von Repressalien aufgrund einer Meldung. Dasselbe gilt, wenn die Identitäten betroffener Personen nicht geschützt werden.
Welche Daten werden typischerweise über Hinweisgebersysteme erhoben und verarbeitet?
Bei der Entgegennahme von Hinweisen werden neben Daten zum Sachverhalt auch personenbezogene Daten wie Name und Kontaktdaten des Hinweisgebers verarbeitet – sofern das Unternehmen nicht freiwillig auch anonyme Meldungen entgegennimmt. Hinzu kommen gegebenenfalls die Identitäten gemeldeter Personen und Zeugen. Aufgrund der Sensibilität der verarbeiteten Daten spielt die Einhaltung der DSGVO bei der Einrichtung der Meldestelle eine wichtige Rolle, sodass der Datenschutzbeauftragte einzubeziehen ist.
Und wie können Unternehmen sicherstellen, dass ihr Hinweisgebersystem datenschutzkonform ist?
Zunächst müssen Hinweise über die eingerichteten Meldekanäle sicher abgegeben und gespeichert werden. IT-gestützte Systeme müssen hierzu die erforderliche Verschlüsselung aufweisen. Meldungen dürfen zum Schutz der Identitäten nur streng vertraulich von den hierfür vorgesehenen Personen bearbeitet werden. Außerdem sind die vorgegebenen Löschfristen zu beachten. Digitale Hinweisgebersysteme spezialisierter Dienstleister berücksichtigen diese Anforderungen und entlasten Unternehmen bei der Implementierung eines konformen Hinweisgebersystems.
Unser Eindruck ist, dass es beim Hinweisgeberschutzgesetz ein wenig so ist wie bei der DSGVO: Erst findet das Thema wenig Beachtung und dann bricht plötzlich Panik in den Unternehmen aus – teilen Sie diese Einschätzung?
Ich habe einen ähnlichen Eindruck. Betroffene Unternehmen wissen seit Erlass der EU-Whistleblowing-Richtlinie im Jahr 2019, was auf sie zukommt. Doch Ende 2022 verfügte laut einer PwC-Umfrage nur jedes fünfte betroffene Unternehmen über ein Hinweisgebersystem. Im Gegensatz zur DSGVO ist die Frist für die Geltung des HinSchG mit nur einem Monat wesentlich kürzer. Das wird nun viele Unternehmen unter Zeitdruck setzen. Hier kann die Einbeziehung eines spezialisierten Dienstleisters mit digitalen Tools wie unsere Full-Service-Hinweisgeberlösung Proliance Whistle sinnvoll sein.