Das FDP geführte Bundesjustizministerium hat am 13. April 2022 seinen Referentenentwurf eines „Gesetzes für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ (Hinweisgeberschutzgesetz, im Folgenden HinSchG-E) veröffentlicht. Der Entwurf ist längst überfällig, da die Umsetzungsfrist der Richtlinie am 17. Dezember 2021 ausgelaufen ist und die Europäische Kommission bereits ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet hat.
Für die Praxis von besonderer Relevanz sind:
1. Eine für alle – Die zentrale Meldestelle im Konzern
2. Catch all – Ausweitung der erfassten Hinweisgeber und der geschützten Meldeinhalte
3. Anonyme Meldungen – Nicht zwingend, aber empfehlenswert
4. Gut aufgestellt – Konkrete Anforderungen an Case Manager
5. Trotz Beweislastumkehr – Whistleblower müssen Benachteiligung nachweisen
6. Bußgeldtatbestände – Achtung, es kann teuer werden!
Sofern noch nicht erfolgt, sollten Unternehmen prüfen, ob die bei ihnen bestehenden Prozesse die gesetzlichen Anforderungen erfüllen. Dies gilt mit Blick auf die europäischen und nationalen Vorgaben für interne Meldesysteme und sollte bei Bedarf auch gleich die nach dem Lieferkettensorgfaltspflichtengesetz („LkSG“) vorgesehene Verpflichtung zur Implementierung eines Beschwerdeverfahrens ab 2023 berücksichtigen. Es bietet sich dabei an, auf einer Gap-Analyse aufzusetzen, formalisierte Prozessabläufe hinsichtlich Zuständigkeiten, Umgang mit Hinweisen und Hinweisgebern, Berichtswegen und Dokumentation zu konzeptionieren und darauf beruhende übersichtliche Verfahrensanweisungen, Prozessbeschreibungen und eine (gruppenweite) Richtlinie zu erstellen.
1. Eine für alle – Die zentrale Meldestelle im Konzern
Anders als von vielen befürchtet und von der Europäischen Kommission im Zusammenhang mit der europäischen Hinweisgeberschutz-Richtlinie („HinSch-RL“) gefordert, soll das Hinweisgebersystem nach dem Referentenentwurf zentral im Konzern eingerichtet werden können. Auch vor dem Hintergrund, dass Unternehmen mit mindestens 3.000 Beschäftigten ab dem 1. Januar 2023 auch nach dem LkSG verpflichtet sind, ein – nach Wahl konzernweites – internes Beschwerdeverfahren einzurichten, ist diese Klarstellung sehr zu begrüßen.
Die Europäische Kommission hatte Konzernsachverhalte im Sommer 2021 sehr restriktiv ausgelegt: Gesellschaften mit 250 und mehr Beschäftigten dürften keine Ressourcen in Bezug auf interne Meldesysteme teilen. Ein zentraler Meldekanal der Holding könne nur ergänzend und parallel neben einem lokalen Meldekanal auf Ebene der Tochtergesellschaften betrieben werden; auf Wunsch des Hinweisgebers müsse der Hinweis bei der anstellenden Gesellschaft bleiben und dort auch bearbeitet werden. Entsprechend hat z.B. Schweden die HinSch-RL umgesetzt und fordert, dass Gesellschaften (≥ 250 Beschäftigten) einen eigenen internen Meldekanal einrichten und diesen vollumfänglich selbst betreiben, ohne auf Ressourcen anderer Gesellschaften innerhalb der Gruppe zurückgreifen zu dürfen. Betriebe mit 50 bis 249 Beschäftigten dürfen Ressourcen für die Entgegennahme von Meldungen und Maßnahmen zu Folgeuntersuchungen teilen; der Hinweisgeber darf jedoch nicht über geteilte Ressourcen kontaktiert werden.
Der Referentenentwurf sieht demgegenüber erfreulicherweise vor, dass auch bei einer anderen Konzerngesellschaft eine unabhängige und vertrauliche Meldestelle als „Dritter“ im Sinne von Art. 8 Abs. 5 HinSch-RL eingerichtet werden kann, die für mehrere selbstständige Unternehmen im Konzern tätig sein kann. Dabei sei es notwendig, dass die originäre Verantwortung für die Weiterverfolgung und Behebung von Verstößen bei dem jeweiligen beauftragenden Tochterunternehmen verbleibe. Dies gilt bei einer Unterstützung etwa durch externe Anwaltskanzleien gleichermaßen wie bei einer konzerninternen Unterstützung (vgl. S. 85 Entwurfsbegründung). Demnach wären konzernweite Meldesysteme für sämtliche Beschäftigte weiterhin zulässig. Bei der Bearbeitung der Meldungen durch die zentrale Meldestelle würde diese für die jeweiligen rechtlich selbständigen Tochterunternehmen (d.h. in deren Auftrag) tätig werden. Zu einem Übergang der Verantwortung käme es nicht.
Bei der Bearbeitung durch eine zentrale Meldestelle ist eine Binnentrennung nach den jeweiligen Tochtergesellschaften zu gewährleisten. Auch die vertrauliche Bearbeitung von Hinweisen muss sichergestellt sein. Eine Berichterstattung (unter Wahrung der Vertraulichkeit der Identität des Hinweisgebers) an die Konzernleitung dürfte nur durch oder im Auftrag der jeweiligen Konzerngesellschaft erfolgen.
Ein Beispiel: Eine Konzernobergesellschaft hat eine Compliance-Abteilung. Die Tochtergesellschaft mit 300 Beschäftigten hat keine eigenständigen Compliance-Funktionen geschaffen. Nach der Entwurfsbegründung des HinSchG-E ist die Compliance-Abteilung der Konzernobergesellschaft eine unabhängige Dritte, die im Auftrag der Tochtergesellschaft eingehende Meldungen empfangen und – nach Gesellschaften getrennt – vertraulich bearbeiten kann. Das Zurückfallen auf Konzernfunktionen darf jedoch nicht mit einem Übergang der Verantwortung gleichgesetzt werden. Die originäre Verantwortung für das Abstellen von Verstößen verbleibt bei jeder (Konzern)Gesellschaft.
Ob diese Auslegung der Konzernobergesellschaft als „Dritte“ europarechtlich standhält, bleibt abzuwarten.
Die in Art. 8 Abs. 6 HinSch-RL vorgesehenen Erleichterungen für Unternehmen mit 50 bis 249 Beschäftigten werden durch § 14 Abs. 2 S. 1 HinSchG-E umgesetzt und sollen für kleinere Unternehmen zusätzliche, über Absatz 1 hinausgehende Erleichterungen vorsehen, um eine ökonomische Überlastung zu vermeiden. Solche Unternehmen können sich für die Entgegennahme von Meldungen und hinsichtlich der Folgemaßnahmen zusammentun und eine gemeinsame Stelle einrichten und betreiben. Nichtsdestotrotz ist es an dem jeweiligen Unternehmen, Maßnahmen zur Abstellung des Verstoßes zu ergreifen und der hinweisgebenden Person entsprechend Rückmeldung zu geben.
2. Catch all – Ausweitung der erfassten Hinweisgeber und der geschützten Meldeinhalte
Persönlicher Anwendungsbereich: Unternehmen mit in der Regel ≥ 50 Beschäftigten sind verpflichtet, eine Stelle für interne Meldungen einzurichten, an die sich Beschäftigte wenden können (§ 12 Abs. 1, 2 HinSchG-E), wobei für Unternehmen mit 50 bis 249 Beschäftigten die längere Umsetzungsfrist bis 17. Dezember 2023 gilt. Bestimmte Unternehmen des Finanzdienstleistungssektors (z.B. Kreditinstitute) sind unabhängig von ihrer Beschäftigtenzahl zur Einrichtung interner Meldestellen verpflichtet.
Das interne Meldesystem ist den Beschäftigten zugänglich zu machen. Unternehmen können zur Verdeutlichung ihres Compliance-Bewusstseins ihr Hinweisgebersystem aber auch für Dritte öffnen. Das bietet sich insbesondere für Unternehmen an, die aufgrund ihrer Arbeitnehmeranzahl unter das LkSG fallen und ohnehin ein Beschwerdeverfahren einrichten müssen, das nicht auf Arbeitnehmer beschränkt ist.
Sachlicher Anwendungsbereich: Wie erwartet und im Koalitionsvertrag festgeschrieben, geht der sachliche Anwendungsbereich des HinSchG-E über das Unionsrecht hinaus. Das HinSchG-E umfasst neben Verstößen gegen von der Richtlinie erfasstes Unionsrecht auch Verstöße gegen nationale Strafvorschriften und bußgeldbewährte Vorschriften (soweit die Vorschrift dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient). Damit wird der Referentenentwurf den Erwartungen nach einem umfassenden Schutz von Hinweisgebern gerecht und folgt anderen Mitgliedstaaten.
3. Anonyme Meldungen – Nicht zwingend, aber empfehlenswert
Die HinSch-RL überlässt es den Mitgliedstaaten, ob Unternehmen auch zur Entgegennahme von anonymen Meldungen verpflichtet werden. Nach dem Referentenentwurf sind Unternehmen nicht verpflichtet, Meldekanäle vorzuhalten, die die Abgabe anonymer Meldungen ermöglichen, § 16 Abs. 1 a.E. HinSchG-E. Wir empfehlen jedoch, auch anonyme Meldungen zu ermöglichen, um die Hemmschwelle zur Abgabe einer Meldung so gering wie möglich zu halten. Eine Öffnung bietet sich zudem deshalb an, weil auch anonyme Hinweisgeber, deren Identität bekannt geworden ist, nach der Entwurfsbegründung Hinweisgeberschutz genießen.
4. Gut aufgestellt - Konkrete Anforderungen an Case Manager
Der Referentenentwurf positioniert sich auch zu Fragen zu den Anforderungen an Case Manager, die die HinSch-RL offenlässt. Insbesondere wird klargestellt, was bereits in vielen Unternehmen gelebte Praxis ist, dass keine „volle Stelle“ zur Erfüllung der Pflichten nach dem HinSchG-E geschaffen werden muss. Neben der Ausübung der Tätigkeit im Zusammenhang mit der internen Meldestelle dürfen Case Manager auch andere Aufgaben und Pflichten wahrnehmen (§ 15 Abs. 1 S. 2 HinSchG-E).
Zur Gewährleistung der geforderten Unabhängigkeit der zur Hinweisbearbeitung beauftragten Personen empfehlen wir ausdrücklich festzuhalten, dass Case Manager nicht angewiesen werden können, Meldeverfahren in einer bestimmten Art und Weise abzuschließen. Unternehmen haben außerdem dafür Sorge zu tragen, dass Case Manager über die notwendige Fachkunde verfügen, die z.B. mittels Schulung oder Weiterbildung vermittelt werden kann. Unter Berücksichtigung des „need to know“-Prinzips sind Meldekanäle nach dem HinSchG-E derart auszugestalten, dass nur Case Manager (und sie hierbei ggf. unterstützende Personen) Zugriff auf die eingehenden Meldungen haben. Die praktische Umsetzung dieser Vorgabe sollte gerade bei technischen Lösungen mittels Berechtigungskonzepten erfolgen.
Eingehende Meldungen sind in dauerhaft abrufbarer Weise unter Beachtung des Vertraulichkeitsgebotes zu dokumentieren, um insbesondere den Zugriff auf Unterlagen im Falle von Rechtsstreitigkeiten zu gewährleisten. Die Dokumentation wird zwei Jahre nach Abschluss des Verfahrens gelöscht.
5. Trotz Beweislastumkehr – Whistleblower müssen Benachteiligung nachweisen
Der Referentenentwurf setzt die in der HinSch-RL vorgesehene Beweislastumkehr um. Danach wird bei einer erlittenen Benachteiligung nach einer Meldung oder Offenlegung vermutet, dass diese Benachteiligung eine verbotene Repressalie (z.B. die Kündigung eines Arbeitsverhältnisses oder eine Abmahnung im Arbeitsverhältnis) ist. Es obliegt dann dem Arbeitgeber (bzw. Dienstgeber, Auftraggeber oder der sonstigen Organisation) zu beweisen, dass sie auf hinreichend gerechtfertigten Gründen basierte oder nicht auf der Meldung oder Offenlegung beruhte (§ 36 Abs. 2 HinSchG-E). Dabei stellt die Entwurfsbegründung begrüßenswerter Weise fest, dass der Hinweisgeber darlegen und beweisen muss, dass eine Maßnahme eine Benachteiligung darstellt. Insbesondere bei der Nichtumwandlung eines befristeten Vertrags oder der „Versagung“ einer Beförderung muss demnach der Hinweisgeber beweisen, dass er zu Recht erwarten durfte, einen unbefristeten Arbeitsvertrag oder die Beförderung angeboten zu bekommen.
Wird gegen das Verbot von Repressalien verstoßen, hat der Hinweisgeber einen Schadensersatzanspruch gegen den Verursacher. Es besteht allerdings kein Anspruch auf Begründung eines Beschäftigungsverhältnisses oder auf einen beruflichen Aufstieg.
Voraussetzung des Schutzes ist u.a., dass der Hinweisgeber zum Zeitpunkt der Meldung hinreichenden Grund zu der Annahme hatte, dass die gemeldeten Informationen der Wahrheit entsprachen und Verstöße betreffen, die in den Anwendungsbereich des Gesetzes fallen (§ 33 Abs. 1 HinSchG-E). Der Referentenentwurf übernimmt bedauerlicherweise die unbestimmten Rechtsbegriffe der HinSch-RL, anstatt an die bekannten Verschuldensmaßstäbe von Vorsatz und Fahrlässigkeit anzuknüpfen. Nach der Entwurfsbegründung müssen tatsächliche Anhaltspunkte für einen Verstoß vorliegen; Spekulationen oder leichtfertige Meldungen ohne ein zumutbares Bemühen nach Verifizierung werden nicht geschützt. Bei einer vorsätzlichen oder grob fahrlässigen Falschmeldung ist der Hinweisgeber zum Schadensersatz verpflichtet. Wie bereits in der HinSchG-RL angelegt, verhält sich auch der Referentenentwurf ambivalent zur Berücksichtigung der Motivation des Hinweisgebers. In der Entwurfsbegründung heißt es zwar, dass die subjektiven Beweggründe des Hinweisgebers keine Rolle spielen. An anderer Stelle wird hingegen aufgeführt, dass Personen nicht geschützt werden, die missbräuchlich oder böswillig unrichtige Informationen melden. Insofern scheint es nicht ausgeschlossen, die Motivation des Hinweisgebers bei Bewertung des „hinreichenden Grundes“ zu berücksichtigen.
6. Bußgeldtatbestände – Achtung, es kann teuer werden!
Die neu geschaffenen und in § 40 Abs. 2 HinSchG-E normierten Bußgeldvorschriften gehen über die HinSch-RL hinaus und haben für die Praxis besondere Brisanz. Mit einem Bußgeld von bis zu EUR 100.000 wird belegt, wer eine Meldung oder die darauffolgende Kommunikation verhindert (oder dies versucht), wer verbotene Repressalien ergreift (oder dies versucht) oder wer vorsätzlich oder fahrlässig das Vertraulichkeitsgebot missachtet. Darüber hinaus sieht der Referentenentwurf, anders als die HinSch-RL, auch für die Nicht-Einrichtung und das Nicht-Betreiben eines internen Meldesystems eine Geldbuße von bis zu EUR 20.000 vor.
Über § 40 Abs. 5 letzter Satz HinSchG-E finden §§ 30, 130 OWiG Anwendung. Folglich können juristische Personen mit einer Geldbuße sanktioniert werden, wenn eine Leitungsperson die Ordnungswidrigkeit begangen hat. Gleichzeitig können Aufsichtspflichtverletzungen sanktioniert werden. Insbesondere durch den Verweis auf § 30 OWiG besteht die Möglichkeit, dass sich die Höchstgrenze für Geldbußen bei bestimmten Verstößen verzehnfacht.
Sprechen Sie uns bei Fragen gern jederzeit an.
Weiterleiten