Hinweisgeberschutzgesetz tritt in Kraft
Nach Kompromissfindung im Vermittlungsausschuss haben Bundestag und Bundesrat Freitag (12.05.2023) das Hinweisgeberschutzgesetz verabschiedet. Damit setzt Deutschland die EU-Whistleblower-Richtlinie mit 15 Monaten Verspätung in nationales Recht um. Die neuen Vorschriften treten voraussichtlich zu Mitte Juni in Kraft. Das setzt viele Unternehmen unter Zugzwang: „Wer sich noch nicht um die Einrichtung einer internen Meldestelle gekümmert hat, dem bleiben dafür nur noch wenige Wochen – sonst drohen Bußgelder“, erklärt Vincent Stöber, Director of Operations DACH des Tech-Lösungsanbieters Whistleblower Software. Er kennt die Herausforderungen aus Ländern wie Dänemark, Portugal und Spanien, wo die EU-Richtlinie zum Teil bereits angewendet wird.
Interne Meldestellen als „Safe Space“
Das neue Hinweisgeberschutzgesetz regelt den Schutz von Personen, die Rechtsbrüche und Verfehlungen im beruflichen Umfeld beobachten. Sie sollen sich künftig an eine eigens hierfür einzurichtende Meldestelle wenden können, ohne negative Konsequenzen oder Benachteiligungen befürchten zu müssen. Der im Vermittlungsausschuss erzielte Kompromiss setzt dabei vor allem in Fällen, die intern wirksam geregelt werden können, auf einen Vorrang interner Stellen als Anlaufpunkt: Unternehmen sollen durch nicht näher definierte Anreize darauf hinwirken, dass diese von Whistleblowern bevorzugt genutzt werden.
Vincent Stöber hält dies für eine vernünftige Regelung, die überdies im Interesse der betroffenen Unternehmen sei: „Sie erfahren so frühzeitig von Missständen und erhalten die Chance, Probleme intern zu lösen, bevor sie zum Gegenstand einer öffentlichen Diskussion werden.“ Dafür brauche es aber auch einen Safe Space, in dem sich Hinweisgeber angstfrei mitteilen können – und eine gut formulierte Whistleblowing-Politik: „Je besser Mitarbeitende Bescheid darüber wissen, wie und wo sie ihre Beobachtungen mitteilen können, desto höher die Wahrscheinlichkeit, dass der Kanal auch nur für relevante Vorfälle genutzt wird.“
Hinweisgeberschutzgesetz: Begrenzte Zeit zum Handeln
Handlungsbedarf haben auch Behörden als externe Meldestellen. Vorrangig nimmt der Gesetzgeber aber Unternehmen und andere sogenannte Beschäftigungsgeber in die Pflicht, zu denen beispielsweise auch Vereine oder Genossenschaften gehören. Nur wer weniger als 50 Mitarbeiter beschäftigt, ist von dieser Verpflichtung ausgenommen. Für alle anderen heißt es schnell handeln. Denn nur kleinere Unternehmen mit 50 bis 249 Mitarbeitern bekommen noch bis Ende des Jahres, genauer: bis zum 17. Dezember, Zeit für die Umsetzung. Alle anderen sind bereits deutlich früher in der Pflicht, ein entsprechendes System anzubieten.
Das Gesetz sieht vor, dass „Meldungen in mündlicher oder in Textform“ möglich sind, Hinweisgeber innerhalb von sieben Tagen eine Eingangsbestätigung erhalten und nach erfolgter Prüfung angemessene Folgemaßnahmen ergriffen werden müssen. Aufgrund der gebotenen Vertraulichkeit sind einfache Lösungen wie die Einrichtung einer internen Hotline und eines E-Mail-Postfachs für Whistleblower nicht zu empfehlen: „Nicht befugte Personen dürfen keine Möglichkeit haben, in das System einzugreifen und beispielsweise Kenntnis von der Identität eines Hinweisgebers zu erhalten“, erklärt Vincent Stöber.
Ombudsleute: Begrenzte Ressourcen
Rechtskonforme Angebote wären hingegen die Angabe einer externen Telefonnummer, die mit einer Ombudsperson besetzt ist, oder eine digitale, IT-gestützte Lösung. „Welchem Ansatz der Vorzug gegeben wird, ist am Ende auch eine Kostenfrage“, weiß Stöber. Eine möglichst mehrsprachige Vertrauensperson einzusetzen, die rund um die Uhr erreichbar ist, wäre zwar gesetzeskonform, aber teuer – und zudem nur für kleinere Organisationen mit wenigen Mitarbeitenden realisierbar. „Auch wenn sich die Meldequote nach unserer EU-weiten Erfahrung in relativ engen Grenzen hält – wir gehen von einer Meldung auf 250 Mitarbeiter pro Jahr aus – sollten die Beschäftigungsgeber ihren wirtschaftlichen Aufwand im Blick behalten“, rät Stöber. Die Bundesregierung rechnet immerhin mit einem jährlichen Erfüllungsaufwand in Höhe von rund 200,9 Mio. Euro allein für die Wirtschaft.
Viele Experten raten auch vor diesem Hintergrund zur Einrichtung einer spezialisierten Cloud- oder Software-Lösung. Wer hier noch auf der Suche ist, sollte vor allem an Zertifizierungen und Sicherheit hohe Ansprüche stellen, empfiehlt Vincent Stöber. „Nicht alle Anwendungen bieten eine zuverlässige Ende-zu-Ende-Verschlüsselung. Das bedeutet, dass schlimmstenfalls unbefugte Dritte Einblick in Fallinformationen bekommen könnten.“ Spezialisierte und vertrauenswürdige Anbieter erkennt man darüber hinaus auch an ihrer Konformität mit der Schrems II GDPR-Verordnung, der ISO 27001-Zertifizierung und ISAE 3000-Audit.
Mitbestimmung durch Hinweisgeberschutzgesetz beachten!
Einen wichtigen Tipp hat Stöber noch für alle HR-Verantwortlichen, die sich bisher noch auf keine Umsetzungsvariante festgelegt haben: „Je nach Betrieb kann die Auswahl der Lösung der betrieblichen Mitbestimmung unterliegen.“ Wer also kein Bußgeld riskieren und den Hinweisgeberschutz fristgerecht und rechtssicher umsetzen will, hat spätestens seit heute keine Zeit mehr zu verlieren.
Quelle: Whistleblower Software ApS / HARTZKOM