Das Hinweisgeberschutzgesetz (HinSchG) ist eine Überführung der EU-Richtlinie 2019/1937 in deutsches Recht. Die EU-Direktive hat den Zweck, Personen zu schützen, die im Zusammenhang mit ihrer beruflichen Tätigkeit Verstöße gegen Unionsrecht melden. Die deutsche Ausgestaltung der Richtlinie schützt darüber hinaus Personen, die Verstöße gegen bestimmte nationale Rechtsbereiche melden. Grundsätzlich ist die Absicht hinter dem Gesetz, die Benachteiligung von Personen zu verhindern, die einen Beitrag zur Aufdeckung von Missständen leisten. Zu diesem Zweck werden Unternehmen und Organisationen verpflichtet, Maßnahmen umzusetzen. Die Hinweisgeberschutz-Maßnahmen sollen jedoch so ausgewogen sein, dass bürokratische Belastungen handhabbar bleiben.
Wer ist betroffen?
Generell sind durch das Gesetz alle Unternehmen ab 50 Mitarbeitern verpflichtet, Hinweisgebersysteme einzuführen. Für Unternehmen mit 50 – 249 Mitarbeitern gilt allerdings eine Übergangszeit bis Dezember 2023. Für Unternehmen bestimmter Branchen (z.B. Wertpapierdienstleistungsunternehmen oder Datenbereitstellungsdienste) sieht das Gesetz weder Mitarbeiteruntergrenze noch Übergangsfristen vor. Sie müssen unabhängig von der Mitarbeiterzahl ein sicheres Hinweisgebersystem betreiben.
Wichtigste Maßnahme
Die weitreichendste Bestimmung, die das neue HinSchG vorschreibt, ist die Pflicht zur Einrichtung interner Meldestellen und Meldekanäle. Wörtlich heißt es im Gesetzesentwurf: „Beschäftigungsgeber haben dafür zu sorgen, dass bei ihnen mindestens eine Stelle für interne Meldungen eingerichtet ist und betrieben wird, an die sich Beschäftigte wenden können.“ Die Art des Meldekanals dürfen Unternehmen und Organisationen selbst wählen. Mögliche Meldewege sind Ombudspersonen, Telefon-Hotline oder digitale Hinweisgebersysteme.
Voraussetzungen erfüllen
Das Gesetz formuliert als wesentliche Voraussetzung für den Melde- und Bearbeitungsprozess, dass die Identität der hinweisgebenden Person geschützt werden muss. Mit einer einfachen E-Mail-Adresse und einem zuständigen Mitarbeiter, der die eingehenden Nachrichten bearbeitet, ist es daher nicht getan. Denn ein E-Mail-Meldesystem, das auf dem unternehmenseigenen Server betrieben wird, kann den geforderten Schutz aus technischer Sicht nicht bieten. Von dem Unternehmen beauftragte, externe Ombudspersonen, die sich zur Verschwiegenheit verpflichten, können eine Lösung sein. Oder digitale Hinweisgebersysteme, die Identitätsschutz über Verschlüsselung und externen Betrieb sicherstellen.
Fristen zur Fallbearbeitung
Das HinSchG regelt Verfahrensabläufe, die nach Eingang einer Meldung eingehalten werden müssen. Dazu zählen Fristen für Eingangsbestätigung (7 Tage) und Rückmeldung (3 Monate). In der Rückmeldung muss der Hinweisgeber über geplante bzw. bereits getroffene Folgemaßnahmen samt Begründung informiert werden. Darüber hinaus müssen die einzelnen Meldungen umfassend dokumentiert werden.
Interne und externe Meldewege
Das Gesetz sieht vor, dass es zusätzlich zu den internen Meldestellen der Unternehmen und Organisationen einen weiteren Meldeweg geben soll: die externe Meldestelle des Bundesamts für Justiz. Dem Hinweisgeber ist freigestellt, ob er sich an eine interne oder die externe Meldestelle wendet. Eine interne Meldung ist jedoch in der Regel im Interesse des Unternehmens bzw. der Organisation. Interne Meldungen bieten die Möglichkeit, Maßnahmen zu ergreifen, bevor Behörden den Fall aufnehmen oder die Presse berichtet.
Sichere Hinweisgebersysteme
Welchen Meldeweg ein Hinweisgeber wählt und ob er sich überhaupt zur Abgabe einer Meldung entscheidet, hängt auch immer davon ab, wie vertrauenswürdig er das Prozedere einschätzt. Ein sicheres Hinweisgebersystem bedeutet für Unternehmen also mehr als „nur“ die Anforderungen des HinSchG zu erfüllen: Ein nachweislich sicheres und vertrauenswürdiges Hinweisgebersystem motiviert potenzielle Hinweisgeber, wertvolle Informationen über Missstände vertrauensvoll mit dem Unternehmen zu teilen.
