Umsetzung der EU-Whistleblowing-Richtlinie entschieden – das Hinweisgeberschutzgesetz ist da

Regina Mühlich

vor 8 Monaten

EU-Whistleblowing-Richtlinie: Ein Mann im Anzug schreit in eine überdimensionale Trillerpfeife.

Die Richtlinie (EU) 2019/1937 des Europäischen Parlaments und Rates vom 23.10.2019 zum „Schutz von Personen, die Verstößen gegen das Unionrecht melden“, sog. Whistleblower-Richtlinie, ist am 16.12.2019 in Kraft getreten.

EXTRA: Das neue Hinweisgeberschutzgesetz – jetzt wird es sehr bald ernst

Die Ziele und Erwägungsgründe für den EU-Gesetzgeber waren u.a.:

Der bestehende Hinweisgeberschutz in der Union ist in den Mitgliedstaaten unterschiedlich und in den verschiedenen Politikbereichen uneinheitlich gestaltet. Die Folgen der von Hinweisgebern gemeldeten Verstöße gegen das Unionsrecht, die eine grenzüberschreitende Dimension aufweisen, zeigen deutlich, dass ein unzureichender Schutz in einem Mitgliedstaat die Funktionsweise der Unionsvorschriften nicht nur in diesem Mitgliedstaat, sondern auch in anderen Mitgliedstaaten und in der Union als Ganzem beeinträchtigt.
Der Schutz von Hinweisgebern ist notwendig, um die Durchsetzung des Unionsrechts im Bereich der öffentlichen Auftragsvergabe zu verbessern. Es ist erforderlich, nicht nur Betrug und Korruption bei der Auftragsvergabe im Zusammenhang mit der Ausführung des Unionshaushalts aufzudecken und zu verhindern, sondern auch die unzureichende Durchsetzung der Vorschriften bei der Vergabe öffentlicher Aufträge durch nationale öffentliche Auftraggeber und Auftraggeber bei der Ausführung von Bauleistungen, der Lieferung von Waren oder der Erbringung von Dienstleistungen anzugehen.
Die Meldung von Verstößen durch Hinweisgeber kann entscheidend dazu beitragen, Risiken für die öffentliche Gesundheit und den Verbraucherschutz, die aus andernfalls womöglich unbemerkten Verstößen gegen Unionsvorschriften erwachsen, aufzudecken, zu verhindern, einzudämmen oder zu beseitigen. Vor allem im Bereich Verbraucherschutz besteht eine starke Verbindung zu Fällen, in denen Verbraucher durch unsichere Produkte erheblich geschädigt werden können. […]
Die Achtung der Privatsphäre und der Schutz personenbezogener Daten, welche als Grundrechte in den Artikeln 7 und 8 der Charta der Grundrechte der Europäischen Union (im Folgenden „Charta“) verankert sind, sind weitere Bereiche, in denen Hinweisgeber dazu beitragen können, Verstöße gegen das Unionsrecht, die das öffentliche Interesse schädigen können, aufzudecken. […]

Das Hinweisgeberschutzgesetz (HinSchG) wurde am 11.05.2023 vom Bundestag verabschiedet und am 12.05.2023 vom Bundesrat gebilligt. Damit hatte das ewige Gezerre um die Umsetzung der EU-Whistleblowing-Richtlinie ein Ende. Nach der Ausfertigung durch den Bundespräsidenten wurde das Gesetz am 02.06.2023 im Bundesgesetzblatt verkündet (BGBl. I Nr. 140 vom 02.06.2023)*. Es ist im Wesentlichen am 02.07.2023 in Kraft getreten.

Ein Kernpunkt des Gesetzes ist die Verpflichtung zur Einrichtung und zum Betrieb einer internen Meldestelle, an die sich Beschäftigte wenden können. Ein weiterer Kernpunkt ist der Schutz des Hinweisgeber vor Repressalien.

Die wichtigsten Punkte

Ab 02.07.2023 müssen Unternehmen regulierter Industrien oder mit mindestens 250 Beschäftigten eine interne Meldestelle implementiert haben.

Ab 17.12.2023 müssen Unternehmen ab 50 Beschäftigte eine interne Meldestelle eingerichtet haben.

Unternehmen mit unter 50 Beschäftigten müssen keine Meldestelle einrichten (s.u.), die Schutzvorschriften des HinSchG bei Meldung eines Verstoßes gelten aber für alle Unternehmen.

Anonyme Meldungen sind möglich, allerdings besteht keine Pflicht für anonyme Meldekanäle. Die Bearbeitung von anonymen Meldungen ist keine Pflicht und sie sollten bearbeitet werden.
Bußgeldvorschriften sind in § 40 HinSchG geregelt. Das Fehlen einer internen Meldestelle wird mit bis zu 20.000 EUR sanktioniert.

Aufgaben einer internen Meldestelle

Grundsätzlich kann eine interne Meldestelle an einen externen Dienstleister outgesourced werden. Bei vielen klein- und mittelständischen Unternehmen wird dies auch ein sinnvoller und einfacher Weg sein, u.a. auch zur Vermeidung von Interessenskonflikten. Externe Meldestellen (§§ 22 ff. HinSchG) werden rechtzeitig zum Inkrafttreten des Hinweisgeberschutzgesetzes am 02.07.2023 auf der Webseite des Bundesamtes für Justiz veröffentlicht, über die sich hinweisgebende Personen an die externe Meldestelle des Bundes wenden können.

Die Pflicht zur Einrichtung einer internen Meldestelle ergibt sich für den Beschäftigungsgeber aus § 12 HinSchG. Die Aufgaben der internen Meldestellen sind in § 13 HinSchG geregelt:

Die internen Meldestellen betreiben Meldekanäle nach § 16, führen das Verfahren nach § 17 und ergreifen Folgemaßnahmen nach § 18.

Die Aufgaben der internen Meldestelle sind u.a.:

Betreiben von internen Meldekanälen (§ 16 HinSchG):
- Mündlich, d.h. Meldungen müssen per Telefon oder mittels einer anderen Art der Sprachübermittlung möglich sein;
- Meldung in Textform, z.B. per E-Mail;
- Persönlich auf Ersuchen der hinweisgebenden Person.

§ 17 HinSchG regelt das Verfahren bei internen Meldungen, wie z.B. die Bestätigung des Meldeeingangs an die hinweisgebende Person binnen sieben Tagen wie auch die Rückmeldung nach drei Monaten (Art. 17 Abs. 2 HinSchG).

Als Folgemaßnahmen kann die interne Meldestelle (§ 18 HinSchG) z.B.
- interne Untersuchungen durchführen und betroffene Personen kontaktieren;
- das Verfahren aus Mangel an Beweisen oder aus anderen Gründen abschließen;
- das Verfahren zwecks weiterer Untersuchung abgeben an z.B. eine zuständige Behörde.

Personen, die beabsichtigen Informationen über einen Verstoß zu melden, können wählen, ob sie sich an eine interne Meldestelle oder eine externe Meldestelle wenden. Das Unternehmen soll aber Anreize schaffen, damit die interne Meldestelle bevorzugt wird (§ 7 HinSchG).

Datenschutz

Nach Art. 9 Whistleblower-Richtlinie müssen die internen Meldekanäle so sicher konzipiert sein, dass die Vertraulichkeit der Identität des Hinweisgebers und Dritter, die in der Meldung erwähnt werden, gewahrt bleibt. Es gelten grundsätzlich die Anforderungen der Datenschutz-Grundverordnung (DSGVO).

Datenschutz-Folgenabschätzung

Unter Geltung der DSGVO gehört es zu den Pflichten des Verantwortlichen, bei Formen der Verarbeitung, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Eine DSFA sollte hier noch mehr als sonst als Chance verstanden werden, alles zu beleuchten, um neue Prozesse auf rechtliche Anforderungen abzustimmen.

Weitere datenschutzrechtliche Anforderungen

Die Grundsätze der Verarbeitung personenbezogener Daten (Art. 5 Abs. 1 DSGVO) wie u.a. Zweckbindung, Datenminimierung und Transparenz sowie die Rechenschaftspflicht (Abs. 2) sind selbstverständlich einzuhalten und zu gewährleisten.

Gemäß Art. 15 DSGVO besteht ein Auskunftsrecht des Betroffenen. Gemäß Art. 14 DSGVO (Informationspflicht) sind Unternehmen verpflichtet, Betroffene über die Datenverarbeitung, Eingang einer ihre Person betreffende Whistleblowing-Meldung, zu informieren.

Es sind geeignete technisch-organisatorische Maßnahmen (Artt. 32, 25 DSGVO) zu treffen. Ein Zugriff von Unbefugten ist auszuschließen und die Identität jeder von einer Meldung betroffenen Person muss geschützt sein. Ein Berechtigungskonzept („need-to-know-Prinzip), die Protokollierung von Dateieingaben sowie eine abrufbare Dokumentation ist sicherzustellen wie auch Löschkonzepte.

Die Verarbeitungen sind im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) zu dokumentieren.

Analog der Rechenschaftspflicht des Art. 5 Abs. 2 der DSGVO gilt auch beim HinSchG, dass die Organisation die Einhaltung nachweisen können muss. Vor allem ist es empfehlenswert die Prozesse für die hinweisgebende Person transparent darzulegen.

Der Datenschutzbeauftragte sollte hier frühzeitig in die unternehmerische Planung und für die Bewertung der datenschutzrelevanten Anforderungen einbezogen werden.