Schritt-für-Schritt-Anleitung: Das Hinweisgeberschutzgesetz erfolgreich umsetzen

Wir geben Ihnen nun eine Schritt-für-Schritt-Anleitung, wie Sie das Whistleblower-Schutzgesetz umsetzen können und was dabei zu beachten ist.

Ab 50 Mitarbeitern: Pflicht zur Einrichtung interner Meldekanäle und Verfahren

Unternehmen mit 50 oder mehr Mitarbeitern sind verpflichtet, interne Meldekanäle und Verfahren für Verstöße einzurichten. Hierbei zählt jede im Unternehmen beschäftigte Person als Mitarbeiter, unabhängig von der Anzahl der gearbeiteten Stunden oder der Art der Anstellung. Wenn sich zum Beispiel drei Studenten eine Position teilen, werden sie als drei separate Mitarbeiter gezählt. Ebenso werden Teilzeit- und Zeitarbeiter in die Zählung einbezogen, da der Schutz des Gesetzes auch für sie sowie für Aushilfs- und Vertragsarbeiter gelten soll.

Um die Anzahl der Mitarbeiter zu ermitteln, gibt es keinen festgesetzten Stichtag. Es sollte die reguläre, allgemeine Beschäftigungssituation des Unternehmens berücksichtigt werden. Dabei sind sowohl eine Überprüfung der Personalstärke des vergangenen Jahres als auch eine Prognose der erwarteten Entwicklung für das kommende Jahr relevant. Dies schafft ein repräsentatives Bild der Beschäftigungssituation, welches zur Bestimmung der Anwendbarkeit des Gesetzes herangezogen wird.

Spezialfall Finanzunternehmen und Behörden

Im Kontext des Whistleblower-Schutzes wird sowohl Finanzunternehmen als auch öffentlichen Einrichtungen besondere Beachtung geschenkt.

Unabhängig von ihrer Größe sind Unternehmen im Finanzsektor, die in Bereichen wie Wertpapieren, Börsen und Kapitalverwaltung tätig sind, verpflichtet, Whistleblower-Systeme einzuführen. Parallel dazu sind auch öffentliche Institutionen mit mehr als 250 Mitarbeitern verpflichtet, interne Meldekanäle zu implementieren.

Bis wann müssen interne Whistleblower-Systeme eingerichtet werden?

Unternehmen mit mindestens 250 Mitarbeitern sind bereits seit dem 2. Juli 2023 dazu verpflichtet, interne Whistleblower-Systeme einzurichten, um einen angemessenen Schutz für Hinweisgeber zu gewährleisten. Unternehmen mit einer Mitarbeiterzahl zwischen 50 und 249 wurde eine verlängerte Frist bis zum 17. Dezember 2023 eingeräumt, um die Whistleblower-Systeme zu etablieren.

Wurde festgestellt, dass die Einrichtung eines Whistleblower-Systems obligatorisch ist, ist im nächsten Schritt die interne Meldestelle einzurichten, an die sich potenzielle Hinweisgeber wenden können.

Personalplanung: Externe vs. interne Besetzung

Bei der Einrichtung der internen Meldestelle steht den Unternehmen die Wahl offen, ob sie die Stelle mit einem oder mehreren eigenen Mitarbeitern besetzen, oder ob sie einen Dritten (extern) mit der Aufgabe betreuen. Die externe Besetzung der „internen Meldestelle“ darf allerdings nicht verwechselt werden mit den „externen Meldestellen“, die vom Bund beziehungsweise von den Ländern eingerichtet werden und im Rahmen dieses Leitfadens keine Rolle spielen sollen.

Die Implementierung der internen Meldestelle erfordert sorgfältige Überlegungen, insbesondere im Hinblick auf die Wahl zwischen interner und externer Besetzung der Stelle.

Vorteile und Nachteile

Bei der Wahl zwischen der internen und externen Besetzung der Meldestelle ist es entscheidend, die individuellen Bedürfnisse und Umstände Ihres Unternehmens zu berücksichtigen. In jedem Fall ist auf die Einhaltung der gesetzlichen Anforderungen, einschließlich der Datenschutzbestimmungen, und die Expertise der Meldestellen erforderlich, um einen effektiven Schutz von Whistleblowern zu gewährleisten.

Flexibilität bei der internen Besetzung der Whistleblower-Meldestellen

Bezüglich der internen Besetzung der Meldestellen gibt das Gesetz den Unternehmen erheblichen Spielraum. Es bietet keine strengen Richtlinien darüber, welche Person oder Abteilung innerhalb des Unternehmens für den Empfang von Meldungen und die nachfolgenden Schritte verantwortlich sein sollte.

• Mitarbeiterrollen: Mitarbeiter, die den Meldestellen zugewiesen sind, müssen nicht ausschließlich in dieser Funktion arbeiten. Jedoch muss sichergestellt werden, dass diese Mitarbeiter unabhängig agieren können und dass keine Interessenkonflikte mit ihren anderen Aufgaben bestehen.
• Risiken: Das Amt des vertraulichen Meldebeauftragten ist nicht frei von Risiken. Verstöße gegen die Vertraulichkeitsanforderung können zu Bußgeldern führen und sich gegen die im Meldebüro tätigen Personen richten. Zudem sind Schadensersatzansprüche nach Deliktsrecht von Whistleblowern und betroffenen Personen möglich.

Interne Besetzung der Meldestelle

Vorteile:

1. Kosteneffizienz: Die interne Besetzung ist in der Regel kostengünstiger, da hier oft nur Schulungsmaßnahmen als zusätzliche Kosten anfallen.
2. Nutzung bestehender Ressourcen: Unternehmen können bestehende Positionen nutzen, was zu Effizienzsteigerungen und Synergien führt.
3. Schnellere Reaktionszeit: Interne Meldestellen sind oft mit internen Verfahren und Prozessen vertrauter, was zu einer schnelleren Reaktion auf Hinweise führen kann.

Nachteile:

1. Mitarbeiter in Zwangssituationen: Intern besetzte Mitarbeiter könnten in Konfliktsituationen geraten, was zu Spannungen führen kann.
2. Überforderung: Es besteht das Risiko, dass Mitarbeiter überfordert werden, wenn sie plötzlich die Verantwortung für den korrekten Umgang mit Meldungen übernehmen müssen, insbesondere ohne angemessene Schulung.

Externe Besetzung der Meldestelle

Vorteile:

1. Unabhängigkeit und Neutralität: Externe Meldestellen sind unabhängig und neutral, was es Whistleblowern erleichtert, sich ohne Angst vor Konflikten oder Nachteilen an sie zu wenden.
2. Expertise: Externe Dienstleister sind spezialisiert und haben Erfahrung im Umgang mit Meldungen sowie in der Einhaltung rechtlicher Anforderungen.
3. Vermeidung von Interessenkonflikten: Externe Meldestellen minimieren das Risiko von Interessenkonflikten, die in internen Strukturen entstehen könnten.

Nachteile:

1. Zusätzliche Kosten: Die Beauftragung externer Meldestellen kann zusätzliche Kosten verursachen.
2. Mögliche Informationsverzögerung: Externe Dienstleister sind möglicherweise nicht so vertraut mit internen Abläufen, was zu Verzögerungen bei der Bearbeitung von Hinweisen führen kann.

Anforderungen an die Meldestelle

Damit die interne Meldestelle effektiv funktionieren kann, ist es unerlässlich, dass die Person oder Abteilung, die in dieser Funktion eingesetzt wird, unabhängig agieren kann und frei von möglichen Interessenkonflikten ist. Daher muss sichergestellt werden, dass diejenigen, deren Handlungen überwacht werden sollen, nicht selbst die Rolle der Meldestelle übernehmen.

Fachliche Expertise und Kontinuität

Gemäß der Begründung zum Gesetz ist die fachliche Kompetenz der internen Meldestelle entscheidend, um das Vertrauen potenzieller Whistleblower aufzubauen und zu erhalten.

Der ausgewählte Mitarbeiter muss somit über die "notwendige Fachkenntnis" verfügen, auch wenn der genaue Umfang dieser Expertise nicht spezifiziert ist. Auf jeden Fall muss die verantwortliche Person oder Abteilung nicht nur in der Lage sein, Meldungen kompetent aufzunehmen und geeignete Maßnahmen einzuleiten, sondern auch in der Lage sein, sensible Informationen mit höchster Vertraulichkeit zu behandeln.

Mindestens sollten sie daher ausreichend über die Funktion, Zuständigkeiten und Unabhängigkeit der Meldestelle sowie über die Vertraulichkeitsanforderung informiert sein. Dies kann beispielsweise durch eine geeignete Schulung erfolgen.

Die genauen Anforderungen an die Qualifikation des betreffenden Mitarbeiters können auch von der Unternehmensgröße und der "Verstoßgeneigtheit" abhängen. In diesem Zusammenhang gilt: Je größer die Risiken des jeweiligen Unternehmens sind, desto qualifizierter sollte die mit dieser Aufgabe betraute Person sein.

Vertraulichkeitsgebot

Die oben erwähnten Vertraulichkeitsanforderungen bilden einen zentralen Grundsatz des HinSchG. Zum Schutz des Hinweisgebers und sonstiger Betroffener müssen die Identität des Hinweisgebers und der Personen, die Gegenstand der Meldung sind oder zumindest in der Meldung genannt werden, vertraulich behandelt werden. Das heißt, dass grundsätzlich nur die mit dem Fall befasste Meldeperson oder die für das Ergreifen von Folgemaßnahmen zuständige Person (bzw. die diese dabei unterstützenden Personen) um die Identität der o.g. Personen wissen dürfen. Dieser Grundsatz ist fundamental und sollte daher allen beteiligten Personen bewusst sein.

Klare Rollen- und Verantwortlichkeitsverteilung innerhalb der Meldestelle

Um potenzielle Interessenkonflikte zu umgehen und das Mitarbeitervertrauen in die Meldestelle zu stärken, sollte eine eindeutige und transparente Verteilung von Rollen und Verantwortlichkeiten innerhalb der Meldestelle erfolgen. Die Strukturierung sollte dabei die spezifische Unternehmensstruktur und -kultur berücksichtigen und sich in bereits bestehende Strukturen eingliedern.

Hierbei ist die objektive und unvoreingenommene Bearbeitung aller Meldungen durch klar definierte Rollen entscheidend.

Mögliche Rollen für die Meldestelle:

Verschiedene Abteilungen oder Rollen innerhalb eines Unternehmens könnten die Aufgabe einer Meldestelle übernehmen, je nach spezifischer Unternehmensstruktur und -kultur:

• Compliance-Abteilung: Oftmals mit einem Fokus auf Regelkonformität und Ethik, kann diese Abteilung als neutrale Instanz fungieren, vorausgesetzt, sie ist nicht selbst Gegenstand der Meldung.
• Personalabteilung: Während sie den Vorteil hat, dass sie mit mitarbeiterbezogenen Angelegenheiten vertraut ist, könnte sie bei bestimmten Arten von Meldungen befangen sein.
• Datenschutzbeauftragter: Diese Rolle ist oft darauf geschult, sensible Informationen vertraulich zu behandeln, und könnte daher gut geeignet sein, solange keine Interessenkonflikte vorliegen.
• Auditor: Als Rolle, die oft mit der Überprüfung von Finanzen und Prozessen betraut ist, könnte der Auditor eine gute Wahl sein, wenn er nicht in potenzielle finanzielle Unregelmäßigkeiten verwickelt ist.
• Rechtsabteilung: Dank ihres rechtlichen Know-hows ist die Rechtsabteilung oft ideal als interne Meldestelle. die Rechtsabteilung verfügt über das notwendige Expertenwissen, um die gesetzlichen Anforderungen zu verstehen und rechtskonform umzusetzen. Allerdings muss darauf geachtet werden, dass sie nicht dazu neigt, potenzielle rechtliche Risiken für das Unternehmen zu minimieren, anstatt die Meldung objektiv zu betrachten. Eine klare Regelung der Zuständigkeiten, angemessene Richtlinien und Transparenz können das Vertrauen in die Unabhängigkeit der Rechtsabteilung stärken.

Betriebsrat als Meldestelle – mit Bedacht

Mitglieder des Betriebsrats können Meldeverantwortlichkeiten übernehmen, jedoch sollte dies ihre Kernfunktionen nicht beeinträchtigen. Die Ermutigung von Betriebsräten zur Übernahme dieser zusätzlichen Verantwortung kann problematisch sein und Arbeitgeber können diese nicht einseitig zuweisen. Es ist von essenzieller Bedeutung, dass die Hauptaufgaben des Betriebsrats durch zusätzliche Verantwortlichkeiten im Whistleblower-System nicht beeinträchtigt werden und dass die Zuteilung dieser Aufgaben im Einklang mit den betriebsverfassungsrechtlichen Vorschriften steht.

Einbindung von Führungskräften als Meldebeauftragte:

Die geeignetsten Personen oder Abteilungen eines Unternehmens zur Entgegennahme und Verfolgung von Meldungen zu bestimmen, hängt von dessen Struktur ab.

Es ist stets sicherzustellen, dass ihre Funktion Unabhängigkeit garantiert und Interessenkonflikte vermieden werden. Der Erwägungsgrund 56 der Whistleblower-Richtlinie nennt hierzu beispielsweise den Chief Compliance Officer, den Human Resources Officer, den Integrity Officer, den Legal- oder Privacy Officer, den Chief Financial Officer (CFO), den Chief Audit Executive oder ein Mitglied des Vorstands.

Es ist jedoch wichtig zu betonen, dass nicht jede Führungsposition automatisch als geeignet für diese Funktion angesehen werden sollte. Obwohl die Richtlinie den CFO als möglichen Meldebeauftragten zulässt, sollte dies nicht als Präzedenzfall für alle Führungsrollen angesehen werden. Es muss stets sichergestellt sein, dass die gesetzlichen Aufgaben unabhängig wahrgenommen werden können.

Das Gesetz erlaubt Unternehmen, flexibel zu entscheiden, welche Meldekanäle sie einrichten möchten, vorausgesetzt, die Vertraulichkeit ist gewährleistet. Das bedeutet, dass Unternehmen wählen können, ob sie schriftliche Meldungen ermöglichen, die per Post, E-Mail oder über Online-Plattformen eingereicht werden können. Ebenso können sie die Möglichkeit bieten, mündliche Mitteilungen über Telefon-Hotlines oder andere gesprochene Nachrichtensysteme abzugeben - oder beides.

IT-Tools und Meldebeauftragter

Die Implementierung einer Whistleblower-Meldestelle geht über reine IT-Lösungen hinaus und erfordert eine klare Definition und Trennung zwischen dem technischen Meldekanal und den Personen, die für die Bearbeitung der Meldungen zuständig sind.

• IT-Tools: Diese fungieren als technische Kommunikationsschnittstelle und sollen sicherstellen, dass Meldungen auf einer sicheren, anonymen und effizienten Plattform getätigt werden können. Sie bieten dem Hinweisgeber eine Plattform, auf der er sicher und vertrauensvoll Meldungen abgeben kann, und können auch dazu dienen, den Dialog zwischen dem Hinweisgeber und dem Meldebeauftragten zu ermöglichen und zu dokumentieren.
• Meldebeauftragter: Dies ist die Person oder Abteilung, die für die Bearbeitung, Untersuchung und Weiterverfolgung der Meldung zuständig ist. Der Meldebeauftragte sollte in der Lage sein, Meldungen unvoreingenommen zu bewerten, angemessene Maßnahmen einzuleiten und den Schutz des Hinweisgebers zu gewährleisten.

Die IT-Tools und Technologien stellen dabei lediglich ein Medium oder Werkzeug zur Kommunikation zwischen dem Hinweisgeber und dem Meldebeauftragten dar. Sie sind nicht als eigenständige Lösung ausreichend, sondern sollten als integraler Bestandteil eines umfassenden Whistleblower-Systems betrachtet werden, welches klare Prozesse, Richtlinien und Schutzmaßnahmen beinhaltet.

Bei der Einrichtung des Meldekanals ist es wichtig, organisatorische Maßnahmen zu ergreifen, die gewährleisten, dass Meldebeauftragte das Tool im Einklang mit den gesetzlichen Bestimmungen, insbesondere in Bezug auf den Datenschutz, verwenden können. Dabei sollte der Zugriff auf den Meldekanal so eingeschränkt werden, dass nur diejenigen Personen darauf zugreifen können, die für die Verarbeitung der Meldung zuständig sind (sog. „Need-to-know-Prinzip“).

Eine Umsetzung über ein (webgestütztes) IT-Tool ist aber nur eine der Möglichkeiten. In Betracht kommen daneben auch folgende Kommunikationskanäle:

• Schriftliche Meldungen: Unternehmen können schriftliche Meldungen durch verschiedene Kanäle wie Post, E-Mail oder Online-Plattformen ermöglichen.
• Mündliche Meldungen: Die Möglichkeit, mündliche Mitteilungen über Telefon-Hotlines oder andere gesprochene Nachrichtensysteme abzugeben, kann ebenfalls eingerichtet werden.
• Persönliche Meldungen: Wenn ein Hinweisgeber es vorzieht, besteht auf Anfrage auch die Möglichkeit, seine Meldung in einem angemessenen Zeitraum während physischer Treffen persönlich abzugeben. Sollte ein Mitarbeiter ein persönliches Treffen zur Abgabe seiner Mitteilung bevorzugen, ist das Unternehmen daher verpflichtet, dieses innerhalb einer angemessenen Frist zu organisieren. Die genaue Dauer dieses Zeitraums hängt von den organisatorischen Gegebenheiten und Prozessen im Unternehmen ab und das Treffen muss am Arbeitsplatz des Hinweisgebers ermöglicht werden.

Sollten anonyme Meldungen zugelassen werden?

Obwohl es gesetzlich nicht zwingend vorgeschrieben ist, anonyme Meldungen zuzulassen, wird dies häufig empfohlen, um eine umfassende und effektive Whistleblower-Meldestelle zu etablieren. Die Möglichkeit, Meldungen anonym abzugeben, kann sowohl Vor- als auch Nachteile mit sich bringen, die im Kontext des spezifischen Unternehmensumfelds sorgfältig abgewogen werden sollten.

Vorteile der Zulassung anonymer Meldungen:

• Ermutigung von Hinweisgebern: Ein beträchtlicher Anteil möglicher Whistleblower zieht es vor, anonyme Meldungen einzureichen. Dies könnte dazu führen, dass mehr Menschen Bedenken und Verstöße melden, da sie sich nicht um mögliche Konsequenzen oder Vergeltungsmaßnahmen sorgen müssen.
• Früherkennung von Problemen: Die Möglichkeit anonym zu melden, ermöglicht es Unternehmen, potenzielle Probleme und Verstöße frühzeitig zu identifizieren, bevor sie sich zu ernsthaften Compliance-Verstößen entwickeln. Das kann dazu beitragen, rechtliche und finanzielle Risiken zu minimieren.
• Vielfältige Perspektiven: Indem anonyme Meldungen zugelassen werden, können Unternehmen Hinweise aus verschiedenen Quellen und Abteilungen erhalten, die möglicherweise unterschiedliche Perspektiven und Informationen zu internen Vorgängen haben.
• Vermeidung von Meldungen an externe Meldestellen: Wie bereits kurz erwähnt, richten der Bund beziehungsweise die Länder sogenannte „externe Meldestellen“ ein, an die sich Hinweisgeber zusätzlich wenden können (auch wenn sie die internen Meldestellen bevorzugen sollen). Diese externen Meldestellen lassen anonyme Meldungen zu, weshalb die Gefahr besteht, dass sich die Beschäftigten lieber direkt an diese wenden, um so ihre Anonymität zu wahren. Damit die gemeldeten Verstöße zunächst intern geklärt werden können, ist es daher ratsam, ebenfalls anonyme Meldungen zu ermöglichen.

Nachteile der Zulassung anonymer Meldungen:

• Risiko des Missbrauchs: Die Anonymität kann das Risiko von Falschmeldungen und Missbrauch erhöhen. Einzelne Personen könnten Meldungen aus persönlichen Gründen oder aus Boshaftigkeit abgeben, wodurch Unternehmensressourcen möglicherweise unnötig beansprucht werden.
• Nachverfolgung erschwert: Anonyme Meldungen erschweren die Identifikation und Nachverfolgung des Hinweisgebers. Dies kann die Fähigkeit einschränken, weitere Informationen zur Überprüfung der Glaubwürdigkeit des Hinweisgebers anzufordern.

Es ist essenziell, dass Unternehmen die spezifischen Herausforderungen und Bedürfnisse ihres Betriebsumfelds berücksichtigen, wenn sie entscheiden, ob anonyme Meldungen ermöglicht werden sollten oder nicht. Diese Entscheidung sollte im Kontext der gesamten Whistleblower-Strategie und -Politik des Unternehmens getroffen werden.

Nachdem der Meldekanal eingerichtet wurde, ist es entscheidend, den Meldekanal klar und deutlich den Mitarbeitern zu kommunizieren. Dieser Schritt stellt sicher, dass Ihre Mitarbeiter wissen, wie sie Verstöße oder Bedenken melden können.

Es gibt mehrere Möglichkeiten, den Meldekanal bekannt zu machen, abhängig von der Größe und Struktur Ihres Unternehmens:

1. Intranet oder Mitarbeiterportal: Eine effektive Methode ist, Informationen auf Ihrem Intranet oder Mitarbeiterportal bereitzustellen. Erstellen Sie eine eigene Seite oder einen Bereich, auf dem Sie detaillierte Anweisungen zur Meldung von Hinweisen geben. Dies könnte einen Link zu einer speziellen Melde-Seite oder Kontaktinformationen für den Vertrauensbeauftragten enthalten.
2. E-Mail-Kommunikation: Senden Sie eine E-Mail an alle Mitarbeiter, in der Sie den Meldekanal vorstellen und erläutern, wie sie ihn nutzen können. Dies kann auch regelmäßig wiederholt werden, um das Bewusstsein aufrechtzuerhalten.
3. Schulungen und Workshops: Nutzen Sie interne Schulungen oder Workshops, um die Mitarbeiter über den Meldekanal zu informieren. Dies bietet die Möglichkeit für Fragen und Klärungen.
4. Poster und Informationsmaterialien: Hängen Sie Poster oder Informationsmaterialien in Schlüsselbereichen Ihres Unternehmens auf, die den Meldekanal und die Schritte zur Meldung von Hinweisen erklären.
5. Online-Tools: Wenn Sie eine Online-Plattform zur Entgegennahme von Meldungen verwenden, stellen Sie sicher, dass der Link oder die Anweisungen zur Verwendung dieses Tools kommuniziert und zugänglich sind.

Indem Sie diese Schritte unternehmen, können Sie sicherstellen, dass Ihre Mitarbeiter gut informiert sind und sich jederzeit wohl dabei fühlen, Verstöße oder Bedenken zu melden, und so den Whistleblower-Schutz in Ihrer Organisation effektiv umsetzen.

Sobald der Meldekanal eingerichtet und kommuniziert wurde, ist es entscheidend, einen klaren Prozess für den Empfang und die Handhabung von Meldungen zu etablieren. Dieser Schritt stellt sicher, dass eingehende Hinweise angemessen behandelt werden und die Vertraulichkeit gewahrt bleibt.

Überprüfen Sie, ob der Meldekanal richtig eingerichtet und funktionsfähig ist. Dies kann durch Testnachrichten oder einen Testlauf sichergestellt werden, um zu gewährleisten, dass Nachrichten die designierte Vertrauensperson oder das Team erreichen.

Welche Vorfälle sollten gemeldet werden?

Das HinSchG zielt darauf ab, Hinweisgeber zu schützen, die Verstöße gegen bestimmte Vorgaben melden. Welche Vorgaben genau gemeint sind, ist im Gesetz umfangreich aufgelistet. Dabei bezieht sich das Gesetz hauptsächlich auf Verstöße von besonderer Schwere, sodass jedenfalls Meldungen über strafbewehrte Handlungen erfasst werden. Unter Umständen reichen jedoch auch bußgeldbewehrte Verstöße oder solche gegen unternehmensinterne Richtlinien aus. Da es zentrale Aufgabe der Meldestelle ist, zu beurteilen, ob die gemeldete Handlung gegen eine Vorgabe aus dem Katalog des Gesetzes verstößt, sollten Unternehmen klare Richtlinien und Beispiele für meldewürdige Vorfälle bereitstellen. So können die Beschäftigten – die potenziellen Hinweisgeber – Verstöße als solche auch leichter erkennen. Typische Fälle, die gemeldet werden sollten, sind beispielsweise:

1. Betrugsverdacht in der Buchführung;
2. Manipulation von Geschäftsbüchern zur Steuervermeidung;
3. Diebstahl von Unternehmenseigentum;
4. Umweltverschmutzung durch unsachgemäße Entsorgung von Chemikalien;
5. Verstoß gegen Gesundheits- und Sicherheitsvorschriften am Arbeitsplatz.

Die genauen Definitionen und Anwendungen dieser Regelungen sowie deren Übereinstimmung mit der Whistleblower-Richtlinie sind noch Diskussionsgegenstand. Unternehmen sollten sicherstellen, dass Mitarbeiter genau wissen, welche Art von Verstößen gemeldet werden sollten und wie der Meldeprozess funktioniert, um einen effektiven Whistleblower-Schutz zu gewährleisten.

Welche Vorfälle sollten nicht gemeldet werden?

Es gibt bestimmte Vorfälle, die nicht Gegenstand einer Meldung im Rahmen des Whistleblower-Systems sein sollten, da sie nicht die Schwere oder Relevanz von berichtenswerten Verstößen aufweisen. Meldungen über solche Fälle sind unbeachtlich und sollten daher möglichst selten vorkommen. Damit die Meldestelle nicht durch zu viele unbeachtliche Meldungen „lahmgelegt“ wird, sollten Unternehmen ihre Mitarbeiter darauf hinweisen, welche Meldungen unzulässig sind, ohne dabei jedoch potenzielle Hinweisgeber davon abzuhalten, einen schwer zu beurteilenden oder nicht ganz eindeutigen Fall zu melden. Jedenfalls unbeachtlich sind beispielsweise folgende Meldungen:

1. Persönliche Meinung über einen Kollegen, ohne klare Beweise für ein Fehlverhalten;
2. Kritik am Essen in der Kantine;
3. Beschwerden über persönliche Bevorzugung oder Ungerechtigkeit, die keine gesetzlichen Verstöße darstellen;
4. Unwahre Anschuldigungen;
5. Meldungen über unmoralisches Verhalten.

Diese Beispiele illustrieren Vorfälle, die, obwohl sie möglicherweise für Unzufriedenheit am Arbeitsplatz sorgen können, nicht die Art von schwerwiegenden Verstößen darstellen, die das Whistleblower-System adressieren soll. Es ist essenziell, dass Mitarbeiter eine klare Vorstellung davon haben, was einen beachtlichen Verstoß ausmacht, um das System effektiv und im Sinne des Schutzes von Whistleblowern zu nutzen.

Verfahren bei Eingang von Meldungen

Wenn eine Meldung eingeht, ist es entscheidend, dass das Unternehmen ein strukturiertes Verfahren zur Bearbeitung und Untersuchung hat. Zunächst ist der Hinweisgeber binnen 7 Tagen über den Eingang seiner Meldung zu informieren (sofern dieser nicht anonym ist). Sodann muss geprüft werden, ob der gemeldete Verstoß in den Katalog des Gesetzes fällt, also ob es sich um einen „beachtlichen“ Verstoß handelt, und wenn ja, ob die Meldung des Verstoßes glaubwürdig ist. Parallel dazu müssen klare Kommunikationswege für weitere Korrespondenz mit dem Hinweisgeber etabliert werden. Hier ist grundsätzlich derselbe Weg zu wählen, den der Hinweisgeber seinerseits für die Meldung gewählt hat. Sollte dies zur Klärung des Falles erforderlich sein, ist der Hinweisgeber außerdem nach weiteren Informationen zu fragen. Darüber hinaus sollte ein System zur Dokumentation aller Schritte und Erkenntnisse im Untersuchungsprozess implementiert werden, um Transparenz und Rechenschaftspflicht zu gewährleisten.

Meldefristen

Fristen spielen eine wesentliche Rolle, um sicherzustellen, dass Meldungen zeitnah und effektiv bearbeitet werden. Die Etablierung klar definierter Meldefristen für verschiedene Phasen des Prozesses – von der Erstuntersuchung bis zur abschließenden Auflösung – hilft, den Prozess strukturiert und transparent zu gestalten. Ebenso ist es wichtig, dass diese Fristen sowohl für die Bearbeitung intern als auch für die Kommunikation mit dem Whistleblower festgelegt und eingehalten werden, um das Vertrauen in das System zu stärken. So muss sich die Meldestelle spätestens 3 Monate nach der Eingangsbestätigung an den Whistleblower rückmelden und ihn über geplante oder auch bereits ergriffene Folgemaßnahmen und deren Gründe informieren.

Folgemaßnahmen

Ein kritischer Aspekt des Whistleblower-Systems sind die Maßnahmen, die nach der Untersuchung einer Meldung ergriffen werden. Sowohl das Feedback an den Meldenden (wenn dessen Identität bekannt ist) als auch interne Maßnahmen zur Korrektur identifizierter Probleme oder zur Durchführung weiterer Ermittlungen sind entscheidend. Dies könnte disziplinarische Maßnahmen, Änderungen in den Prozessen oder auch rechtliche Schritte beinhalten. Es ist wichtig, dass diese Maßnahmen konsistent, rechtlich fundiert und proportional zu den gemeldeten Verstößen sind. Fehlt es an Beweisen oder kann der gemeldete Verstoß aus anderen Gründen nicht festgestellt werden, ist das Verfahren zu schließen. Gegebenenfalls kann der Fall auch an eine andere Abteilung oder eine Behörde delegiert werden.

Beendigung von Verfahren nach Meldung

Die Beendigung von Verfahren nach einer Meldung sollte ebenso klar und strukturiert erfolgen. Dies beinhaltet eine abschließende Kommunikation mit dem Whistleblower, eine umfassende Dokumentation aller unternommenen Schritte und Maßnahmen sowie eine Nachbereitung, um mögliche Verbesserungen im Whistleblower-System oder den Unternehmensprozessen zu identifizieren. Es ist wesentlich, dass die Schlussfolgerungen und ergriffenen Maßnahmen sorgfältig analysiert werden, um aus dem Vorfall zu lernen und zukünftige Präventionsstrategien zu entwickeln.

Im Kontext des Datenschutzrechts sind mehrere Schritte zu beachten:

• Ergänzung der Verzeichnisse von Verarbeitungstätigkeiten (VVT): Unternehmen müssen ihre VVT aktualisieren und um die Verarbeitungstätigkeit der internen Meldestelle ergänzen.
• Dienstleister prüfen: Vor der Zusammenarbeit mit einem Dienstleister sollten Unternehmen eine sorgfältige Prüfung durchführen, um sicherzustellen, dass der Dienstleister die Datenschutzanforderungen erfüllt.
• Abschluss eines Auftragsverarbeitungsvertrags (AVV): Es ist erforderlich, einen Vertrag abzuschließen, der die Bedingungen für die Verarbeitung personenbezogener Daten durch den IT-Dienstleister regelt, der das Tool für den digitalen Meldekanal zur Verfügung stellt.
• Durchführung einer Datenschutz-Folgenabschätzung (DSFA): Falls die geplante Verarbeitung von personenbezogenen Daten ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt, ist eine DSFA erforderlich. Dieser Prozess dient dazu, Risiken zu identifizieren und geeignete Maßnahmen zur Risikominimierung zu ergreifen.
• Ergänzung der Informationspflichten: Unternehmen müssen sicherstellen, dass sie ihre Datenschutzerklärungen in Hinblick auf das Meldeverfahren aktualisieren, um die Verarbeitung der Daten und ggf. auch die Zusammenarbeit mit einem Dienstleister transparent darzustellen und die betroffenen Personen angemessen zu informieren.

Das neue HinSchG verpflichtet jedes Unternehmen ab 50 Mitarbeitern zur Einrichtung eines Whistleblower-Meldekanals. Für kleine Unternehmen ist die Umsetzung weiterer Compliance-Maßnahmen nicht einfach. Da juristischer Sachverstand in kleinen Unternehmen nicht immer vorhanden sein wird, sollte auf vorhandene Strukturen – z.B. den Datenschutzbeauftragten – zurückgegriffen werden.

Wichtig ist hierbei zu beachten, dass dies nicht lediglich eine neue Aufgabe des Datenschutzbeauftragten ist, sondern eine getrennte und gesondert zu regelnde Stelle entsprechend den gesetzlichen Schutzzielen.