Hinweisgebersysteme für Unternehmen

Hinweisgebersysteme für Unternehmen

Ein Hinweisgebersystem ist Kern einer effektiven Compliance-Konzeption. Wir beraten und begleiten bei der Einführung und Weiterentwicklung solcher Systeme. Der rechtliche und organisatorische Rahmen ist vielschichtig und komplex. Wir stellen sicher, dass Unternehmen wissen, worauf es ankommt.

Warum brauchen Unternehmen Hinweisgeber?

„Whistleblower – Verräter oder Helden?“ – so zugespitzt wurde schon die Diskussion über den Wert oder Unwert von Hinweisgebern und damit auch von Hinweisgebersystemen geführt.

Unter Hinweisgebern (Whistleblower) versteht man dabei allgemein Personen, die Informationen über Missstände am Arbeitsplatz oder allgemein das Fehlverhalten von Einzelnen in Organisationen weitergeben. Sie tun dies an eine zur Entgegennahme solcher Informationen zuständige Stelle. Es kann sich um Straftaten wie Korruption, Betrug, Untreue, Geldwäsche oder andere Regelverstöße handeln.

Ziel eines verantwortungsvollen Hinweisgebers ist es, Missstände im Unternehmen oder der Organisation zu beenden. Ihnen geht es dabei auch um eine Schadensbegrenzung als Vorteil für Unternehmen. Bereits im Jahr 2005 betonte die International Chamber of Commerce in ihren ICC Guidelines on Whistleblowing die Wichtigkeit effektiver Hinweisgebersysteme zur Verhinderung und Aufdeckung von Straftaten gegen die Wirtschaft.

Der aktuelle Rechtsrahmen

Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte

Schon im Jahr 2011 – in einem Fall aus Deutschland – wurde die Offenlegung von Missständen durch Hinweisgeber in einer Grundsatzentscheidung des Europäischen Gerichtshofs für Menschenrechte (EGMR) behandelt. Das Gericht sah den Hinweisgeberschutz als Bestandteil der Freiheit der Meinungsäußerung nach Artikel 10 der Europäischen Menschenrechtskonvention (EMRK) (EGMR, Urteil vom 21.07.2011 – 28274/08, Heinisch v. Germany).

Seitdem musste sich der EGMR immer wieder mit dem Schutz von Hinweisgebern befassen; mit unterschiedlichen Ergebnissen.

Im Jahr 2021 sah als der EGMR in einem Urteil vom 16.02.2021 – 23922/19 (Gawlik v. Liechtenstein) die fristlose Kündigung eines Arztes als rechtmäßig an. Der Arzt hatte einen Verdacht einer schweren Straftat eines Vorgesetzten direkt bei der Staatsanwaltschaft angezeigt. Der EGMR warf dem Arzt jedoch vor, zuvor keine sorgfältige interne Prüfung seines Verdachts vorgenommen zu haben. Bei einem solchen Unterlassen verdient der Hinweisgeber keinen Schutz.

Rechtsprechung des Bundesarbeitsgerichts

Auch das Bundesarbeitsgericht (BAG) betonte in seiner Leitentscheidung aus dem Jahr 2003 den Schutz von berechtigt handelnden Hinweisgebern. Arbeitnehmer sind beim Whistleblowing verpflichtet, in zumutbarem Umfang auf die geschäftlichen Interessen ihrer Arbeitgeberin Rücksicht zu nehmen (BAG, Urteil vom 03.07.2003 – 2 AZR 235/02).

Die Richtlinie (EU) 2019/1937

Der europäische Gesetzgeber hat am 23.10.2019 die Richtlinie (EU) 2019/1937 (EU-Whistleblower-Richtlinie) beschlossen. Sie trat am 16.12.2019 in Kraft und regelt den Schutz von Personen, die Verstöße gegen das Unionsrecht melden.

Den sachlichen Anwendungsbereich legt Art. 2 Abs. 1 der EU-Whistleblower-Richtlinie fest. Erfasst werden Verstöße u.a. in den folgenden Bereichen:

  • Finanzdienstleistungen, Finanzprodukte und Finanzmärkte sowie Verhütung von Geldwäsche und Terrorismusfinanzierung,
  • Produktsicherheit,
  • Verkehrssicherheit,
  • Umweltschutz,
  • Lebensmittel- und Futtermittelsicherheit,
  • Tiergesundheit und Tierschutz,
  • öffentliche Gesundheit,
  • Verbraucherschutz,
  • Schutz der Privatsphäre und personenbezogener Daten sowie Sicherheit von Netz- und Informationssystemen.

Der persönliche Anwendungsbereich der EU-Whistleblower-Richtlinie umfasst Hinweisgeber, die im privaten oder im öffentlichen Sektor tätig sind und im beruflichen Kontext Informationen über Verstöße erlangt haben.

Pflicht zur Einrichtung eines Hinweisgeber-Systems

Gemäß Art. 8 EU-Whistleblower-Richtlinie sind Unternehmen mit 50 oder mehr Mitarbeitern, jegliche Unternehmen der Finanzdienstleistungsbranche sowie juristische Personen des öffentlichen Sektors zukünftig verpflichtet, ein internes Whistleblowing-System einzurichten. Diese internen Meldekanäle müssen die Meldung in schriftlicher, mündlicher oder persönlicher Form ermöglichen.

Interne Meldung, externe Meldung und Offenlegung

Durch die EU-Whistleblower-Richtlinie sind für eine Meldung von Missständen grundsätzlich drei Stufen vorgesehen: Interne Meldung, externe Meldung an eine zuständige Behörde oder Offenlegung bzw. Meldung an die Öffentlichkeit.

Hinweisgeber dürfen grundsätzlich frei wählen, ob die Meldung an eine interne Stelle innerhalb des Unternehmens gerichtet wird oder ob sie sich an eine externe zuständige Meldestelle/Behörde wenden.

Zentral ist der Schutz vor Repressalien und deren Androhung, beides ist durch Art. 19 EU-Whistleblower-Richtlinie, verboten.

Hinweisgeber sind auch vor einer Haftung geschützt, sofern ein hinreichender Grund für die Meldung oder Offenlegung besteht.

Das Hinweisgeberschutzgesetz

In Deutschland ist die Umsetzung der EU-Whistleblower-Richtlinie in nationales Recht durch das Gesetz für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (Hinweisgeberschutzgesetz – HinSchG) vom 31.05.2023 erfolgt. Das HinSchG tritt am 02.07.2023 vollständig in Kraft. Zunächst gilt die Pflicht der Einrichtung einer internen Meldestelle nur für Betriebe mit mehr als 250 Mitarbeitern. Ab dem 01.12.2023 gilt der Ordnungswidrigkeitskatalog aus § 40 HinSchG und ab dem 17.12.2023 müssen Unternehmen mit 50 und mehr Beschäftigten auch eine interne Meldestelle einrichten.

Pflicht zur Einrichtung interner Meldestellen

Durch die Einführung des Hinweisgeberschutzgesetzes sind für eine Meldung von Missständen grundsätzlich drei Stufen vorgesehen:

Der Arbeitgeber muss gemäß § 12 HinSchG sicherstellen, dass mindestens eine Stelle für interne Meldungen eingerichtet und betrieben wird, an die sich die Beschäftigten und Leiharbeitnehmer wenden können (interne Meldestelle). Diese Verpflichtung gilt – mit Ausnahmen – nur für Arbeitgeber mit in der Regel mindestens 50 Beschäftigten.

Der interne Meldekanal kann nach § 16 HinSchG so gestaltet werden, dass er auch natürlichen Personen offensteht, die im Rahmen ihrer beruflichen Tätigkeiten mit dem jeweiligen zur Einrichtung der internen Meldestelle verpflichteten Beschäftigungsgeber oder mit der jeweiligen Organisationseinheit in Kontakt stehen. Die interne Meldestelle sollte auch anonym eingehende Meldungen bearbeiten. Es besteht allerdings keine Verpflichtung, die Meldekanäle so zu gestalten, dass sie die Abgabe anonymer Meldungen ermöglichen. Interne Meldekanäle müssen zusätzlich Meldungen in mündlicher oder in Textform ermöglichen.

Vorzug der internen Meldestelle

Hinweisgeber können wählen, ob sie sich an eine interne Meldestelle nach
§ 12 HinSchG oder an eine externe Meldestelle nach §§ 19 ff. HinSchG wenden wollen. Arbeitnehmer sollten darüber informiert werden, dass sie in Fällen, in denen der Verstoß intern wirksam behoben werden kann, der Meldung an eine interne Meldestelle den Vorzug geben sollten. Und dass sie keine Repressalien zu befürchten haben. Wenn ein intern gemeldeter Verstoß nicht behoben wurde, steht es dem Hinweisgeber frei, sich an eine externe Meldestelle zu wenden. In Ausnahmefällen, wie beispielweise bei einer unmittelbaren oder offenkundigen Gefährdung öffentlicher Interessen, dürfen Hinweisgeber gemäß § 32 HinSchG die Informationen über Missstände jedoch auch direkt offenlegen.

Verfahren bei Hinweisen an eine Meldestelle

Geht ein Hinweis bei der internen Meldestelle ein, ist sie nach § 17 HinSchG verpflichtet:

  1. der hinweisgebenden Person den Eingang einer Meldung spätestens nach sieben Tagen zu bestätigen,
  2.  zu prüfen, ob der gemeldete Verstoß eine geschützte Meldung ist,
  3. mit der hinweisgebenden Person Kontakt zu halten
  4. die Stichhaltigkeit der eingegangenen Meldung zu prüfen,
  5. die hinweisgebende Person erforderlichenfalls um weitere Informationen zu ersuchen und
  6. Folgemaßnahmen zu ergreifen.

Die interne Stelle hat dem Hinweisgeber innerhalb von drei Monaten nach der Bestätigung des Eingangs der Meldung oder, wenn der Eingang nicht bestätigt wurde, spätestens drei Monate und sieben Tage nach Eingang der Meldung eine Rückmeldung zu geben. Dabei muss der hinweisgebenden Person sowohl mitgeteilt werden, was geplante Folgemaßnahmen sind, als auch welche Folgemaßnahmen bereits ergriffen wurden und weshalb.

Folgemaßnahmen, die die interne Meldestelle ergreifen kann, richten sich nach § 18 HinSchG. Danach können:

  1. interne Untersuchungen bei der Arbeitgeberin oder bei der jeweiligen Organisationseinheit durchgeführt und betroffene Personen und Arbeitseinheiten kontaktiert werden,
  2. die hinweisgebende Person kann an andere zuständige Stellen verwiesen werden,
  3. das Verfahren kann aus Mangel an Beweisen oder aus anderen Gründen abgeschlossen oder
  4. zwecks weiterer Untersuchungen abgegeben werden.

Die Abgabe des Verfahrens erfolgt dann an eine bei der Arbeitgeberin oder bei der jeweiligen Organisationseinheit für interne Ermittlungen zuständige Arbeitseinheit oder an eine zuständige Behörde.

Im Unterschied dazu steht das Verfahren bei Meldung an eine externe Meldestelle. Das Verfahren richtet sich in diesem Fall nach § 28 HinSchG. Auch die externen Meldestellen sind verpflichtet, die Meldung umgehend, spätestens aber nach sieben Tagen, zu bestätigen. Eine Ausnahme besteht dann, wenn die hinweisgebende Person darauf ausdrücklich verzichtet oder wenn hinreichender Grund zu der Annahme besteht, dass die Eingangsbestätigung den Schutz der Identität der hinweisgebenden Person beeinträchtigen würde. Außerdem sind die externen Meldestellen verpflichtet, die hinweisgebende Person auf die Möglichkeit der internen Meldung hinzuweisen. Danach müssen auch die externen Meldestellen prüfen, ob die Meldung eine vom Gesetz geschützte Meldung ist und es wird die Stichhaltigkeit der Meldung geprüft, bevor Folgemaßnahmen ergriffen werden können. Auch die externen Meldestellen sind verpflichtet, der meldenden Person eine Rückmeldung innerhalb einer angemessenen Zeit zu geben. Diese Rückmeldung hat spätestens innerhalb von drei Monaten zu erfolgen, bei umfangreicherer Bearbeitung beträgt die Frist sechs Monate. Verlängert sich die Frist, ist dies der hinweisgebenden Person mitzuteilen.

Offenlegung bezeichnet nach § 3 Abs. 5 HinSchG das Zugänglichmachen von Informationen über Verstöße gegenüber der Öffentlichkeit (z.B. den Medien). Eine Offenlegung der Informationen darf nach § 32 HinSchG nur dann stattfinden, wenn der Hinweisgeber zunächst einer externen Meldestelle Meldung erstattet hat und diese innerhalb der Fristen für eine Rückmeldung keine Folgemaßnahmen ergriffen hat oder der Hinweisgeber gar keine Rückmeldung erhalten hat. Im Übrigen muss der Hinweisgeber hinreichenden Grund zu der Annahme gehabt haben, dass

  1. der Verstoß wegen eines Notfalls, der Gefahr irreversibler Schäden oder vergleichbarer Umstände eine unmittelbare oder offenkundige Gefährdung des öffentlichen Interesses darstellen kann,
  2. im Fall einer externen Meldung Repressalien zu befürchten sind oder
  3. Beweismittel unterdrückt oder vernichtet werden könnten, Absprachen zwischen der zuständigen externen Meldestelle und dem Urheber des Verstoßes bestehen könnten oder aufgrund sonstiger besonderer Umstände die Aussichten gering sind, dass die externe Meldestelle wirksame Folgemaßnahmen nach § 29 HinSchG einleiten wird.
Vertraulichkeitsgebot und datenschutzgerechte Gestaltung

Die Meldestellen müssen gemäß § 8 HinSchG die Vertraulichkeit der Identität des Hinweisgebers, der Personen, die Gegenstand einer Meldung sind, und der anderen in der Meldung genannten Personen wahren.

Die Meldestellen sind nach § 10 HinSchG berechtigt, personenbezogene Daten zu verarbeiten, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist. In diesem Fall hat die Meldestelle besondere und geeignete Maßnahmen zum Schutz der Interessen des Betroffenen vorzusehen. Die Verarbeitung besonderer Kategorien personenbezogener Daten (z.B. Gesundheitsdaten) ist zulässig, wenn angemessene und spezifische Maßnahmen nach § 22 Abs. 2 S. 2 BDSG zur Wahrung der Interessen der Betroffenen vorgesehen sind.

Schutzmaßnahmen für Hinweisgeber

Gegen hinweisgebende Personen gerichtete Repressalien und deren Androhung sind gemäß § 36 Abs. 1 HinSchG verboten. Typische Repressalien wären Kündigung, Nichtverlängerung oder vorzeitige Beendigung eines befristeten Arbeitsvertrags, Änderung des Arbeitsortes / der Arbeitsbedingungen u.ä.

Wird ein Hinweisgeber durch eine Meldung oder Offenlegung benachteiligt, trägt die Person, die der meldenden Person einen Nachteil zugefügt hat, gemäß § 36 Abs. 2 HinSchG die Beweislast dafür, dass die nachteilige Maßnahme auf vernünftig vertretbaren Gründen beruhte oder dass sie nicht auf der Meldung oder Offenlegung beruhte. Der Hinweisgeber muss also nur vortragen: ein Zusammenhang bestehe zwischen Nachteil und Hinweisabgabe, diese Behauptung aber nicht beweisen. Aus dieser Regelung können sich Risiken für die Arbeitgeberin ergeben. Es ist deshalb ratsam, die Zuständigkeiten für die Durchführung personeller Maßnahmen anderen Personen zuzuordnen als denjenigen, die mit den Meldungen über das Hinweisgebersystem umgehen. So kann sich in einem Rechtsstreit, z.B. nach einer Kündigung, beweisen lassen, dass kein Zusammenhang zwischen der Meldung des Hinweisgebers und der Kündigenden bestand. Wenn aber die kündigende Person Kenntnis von der Meldung hatte, sollten die Gründe der Kündigung und alle wesentlichen Umstände der Maßnahmen besonders gründlich und sorgsam dokumentiert werden.

Einschränkung des Schutzes von Hinweisgebern

Um missbräuchliche Meldungen sowie leichtfertig falsche Meldungen zu verhindern, legt §§ 33 ff. HinSchG drei wesentliche Voraussetzungen für den Schutz von Hinweisgebern fest:

Sie müssen

  1. die Meldungen durch das Gesetz vorgesehenen Meldewege erstattet werden,
  2. hinreichenden Grund zu der Annahme gehabt haben, dass die gemeldeten Informationen zum Zeitpunkt der Meldung der Wahrheit entsprachen und
  3. die Informationen müssen Verstöße betreffen, die in den Anwendungsbereich dieses Gesetzes fallen, oder die hinweisgebende Person zum Zeitpunkt der Meldung hinreichenden Grund hatte anzunehmen, dass dies der Fall sei.
Schadensersatz nach Repressalien und nach einer Falschmeldung

Das Gesetz verbietet, der hinweisgebenden Person Repressalien aufzuerlegen. Wird gegen dieses Verbot verstoßen, hat die hinweisgebende Person nach § 37 HinSchG einen Anspruch auf Schadensersatz. Allerdings begründet der Verstoß gegen das Verbot von Repressalien keinen Anspruch auf ein Beschäftigungsverhältnis o.ä.

Damit die hinweisgebende Person nicht unüberlegt Meldungen abgibt, ohne die Informationen vorher genau zu prüfen, regelt § 38 HinSchG eine Schadensersatzpflicht der hinweisgebenden Person. Diese Pflicht greift ein nach einer Falschmeldung, wenn ein Schaden aus einer vorsätzlichen oder grob fahrlässigen Meldung oder Offenlegung unrichtiger Informationen entstanden ist.

Bußgeld bei Ordnungswidrigkeiten

Die hinweisgebende Person begeht eine Ordnungswidrigkeit nach § 40 HinSchG, sofern sie eine unrichtige Information offenlegt.

Ordnungswidrig handelt darüber hinaus, wer eine Meldung oder eine in § 7 Abs. 2 HinSchG genannte Kommunikation behindert, trotz Verpflichtung keine interne Meldestelle einrichtet oder betreibt, oder Repressalien trotz des Verbots ergreift.

Eine Ordnungswidrigkeit liegt im Übrigen vor, wenn die Vertraulichkeit nicht gewahrt wird. Dabei ist es unerheblich, ob dies vorsätzlich oder fahrlässig geschieht.

Die Ordnungswidrigkeiten können mit einer Geldbuße bis zu € 50.000 geahndet werden, abhängig von der Art der Ordnungswidrigkeit.

Andere gesetzliche Vorgaben mit Bezug zum Hinweisgeberschutz

Das seit dem 01.01.2023 geltende Gesetz über die unternehmerischen Sorgfaltspflichten in Lieferketten (Lieferkettensorgfaltspflichtengesetz – LkSG) regelt die Sorgfaltspflichten, die auf den UN-Leitprinzipien für Wirtschaft und Menschenrechte basieren. Diese Pflichten beinhalten Maßnahmen zur Einhaltung von Menschenrechten und Umweltschutzvorgaben, sowohl im eigenen Geschäftsbereich als auch innerhalb der Lieferkette von Unternehmen einer bestimmten Größe, die in Deutschland ansässig sind.

Diese Pflichten aus dem LkSG fordern von Unternehmen die Einrichtung eines Hinweisgeber-Systems. Denn gemäß §§ 3, 8 LkSG ist ein Beschwerdeverfahren im Unternehmen zu etablieren.

Damit können Angehörige des Unternehmens und Dritte auf menschenrechtliche und umweltbezogene Risiken oder Verletzungen im eigenen Geschäftsbereich sowie auch von mittelbaren- und unmittelbaren Zulieferern hinweisen. Das Beschwerdeverfahren kann man durch ein digitales Hinweisgebersystem effektiv gestalten.

Wie sollten Unternehmen den Schutz von Hinweisgebern umsetzen?

Orientieren Sie sich an der Rechtsprechung und den gesetzlichen Vorgaben

Unternehmen sollten sich bei der Umsetzung des Schutzes von Hinweisgebern vor allem an der Rechtsprechung und den gesetzlichen Vorgaben orientieren. Das HinSchG ist am 02.07.2023 in Kraft getreten. Neben der EU-Richtlinie seit dem Zeitpunkt gilt auch das deutsche Gesetz.

Darf der Betriebsrat beim Hinweisgeberschutz mitbestimmen?

Bei der Einführung eines Hinweisgebersystems müssen Unternehmen das Mitbestimmungsrecht des Betriebsrats nach § 87 Abs. 1 Nr. 1 und Nr. 6 BetrVG beachten. Das Mitbestimmungsrecht besteht bei der Einführung des Hinweisgeber-Systems (Hotline, Software usw.) hinsichtlich der Ordnung des Betriebs und des Verhaltens der Arbeitnehmer bei einer Meldung im Betrieb sowie hinsichtlich der Einführung und Anwendung von technischen Einrichtungen.

Ist Hinweisgeberschutz mit dem Geschäftsgeheimnisgesetz vereinbar?

Geschäftsgeheimnisse gemäß § 2 Nr. 1 Geschäftsgeheimnisgesetz (GeschGehG) unterliegen einem besonderen Schutz. Dieses Schutzniveau kann auch für die Meldungen von Hinweisgebern relevant werden. Hier ist § 5 Nr. 2 GeschGehG einschlägig. Daneben ist § 6 Abs. 1 HinSchG einschlägig, der Voraussetzungen für die erlaubte Weitergabe von Geschäftsgeheimnissen an eine Meldestelle oder sogar die Offenlegung regelt.

Ausgangspunkt ist das Aufdecken einer rechtswidrigen Handlung oder eines beruflichen oder sonstigen Fehlverhaltens. Dann liegt keine Verletzung von Geschäftsgeheimnissen und damit auch keine Strafbarkeit nach § 23 GeschGehG vor.

Ist Hinweisgeberschutz mit Datenschutz vereinbar?

Für den Hinweisgeberschutz ergibt sich der datenschutzrechtliche Rahmen aus der Datenschutz-Grundverordnung (DSGVO).

Nach § 8 HinSchG wird die Vertraulichkeit des Whistleblowings gewährleistet. Das bedeutet, dass die Meldestellen die Identität von Hinweisgebern vertraulich behandeln müssen. Das Whistleblowing darf daher anonym durchgeführt werden.

Nach § 10 HinSchG ist die Verarbeitung personenbezogener Daten durch Meldestellen erlaubt. Daneben kann aber eine Schwierigkeit auftauchen. Denn nach Art. 14 DSGVO müssen die betroffenen Arbeitnehmer, die in einer Meldung genannt oder gar beschuldigt werden, über die Zwecke der Datenverarbeitung sowie die Identität des Hinweisgebers informiert werden. Das hat grundsätzlich spätestens einen Monat nach der Meldung zu geschehen. Zusätzlich haben die betroffenen Arbeitnehmer nach Art. 15 DSGVO einen Anspruch auf Auskunft über den ihre Person betreffenden Inhalt der Meldung. Dem widerspricht, dass nach § 8 HinSchG die Identität von Hinweisgebern nicht offenzulegen ist.

Eine Lösung bietet hier § 9 HinSchG: Informationen über die Identität der hinweisgebenden Person dürfen weitergegeben werden bei Strafverfahren, auf Verlangen der Strafverfolgungsbehörden, aufgrund eines Verwaltungsverfahrens, einschließlich verwaltungsbehördlicher Bußgeldvorschriften, sowie aufgrund einer gerichtlichen Entscheidung, sowie an die Bundesanstalt für Finanzdienstaufsicht und an das Bundeskartellamt. Informationen dürfen ebenso weitergeben werden, wenn die Weitergabe für Folgemaßnahmen notwendig ist oder die hinweisgebende Person zuvor in die Weitergabe eingewilligt hat.

Überblick zu den Elementen eines Hinweisgeber-Systems

 

 

Einrichtung der verantwortlichen Stelle

Eine interne Meldestelle wird nach § 14 Abs. 1 HinSchG eingerichtet durch das Etablieren einer Arbeitseinheit, die mit den Aufgaben der internen Meldestelle betraut wird. Das können aber auch unternehmensinterne Dritte sein, z.B. eine spezialisierte Rechtsanwaltskanzlei. Die in der zuständigen internen Meldestelle beauftragten Personen müssen bei der Ausübung der Tätigkeit unabhängig sein. Sie dürfen aber nach § 15 HinSchG neben ihrer Tätigkeit in der Meldestelle auch andere Aufgaben und Pflichten wahrnehmen. Dabei ist dafür Sorge zu tragen, dass es dadurch nicht zu Interessenskonflikten kommt.

Arbeitgeber müssen nach § 15 HinSchG dafür sorgen, dass die mit den Aufgaben in der internen Meldestelle beauftragten Personen über die notwendige Fachkunde verfügen.

 

Aufbau einer Compliance-Kultur im Unternehmen

Eine einheitliche Compliance-Kultur im Unternehmen ist nach dem Internationalen Compliance-Standard ISO 37301 die Voraussetzung für ein wirksames Compliance-Management-System. Um ein wirksames Hinweisgebersystem aufzubauen, sollte vor allem ein Code of Conduct (Verhaltenskodex) im Unternehmen verbindlich und einheitlich gelten. Das ist der erste Schritt zum Aufbau der Unternehmens-Compliance. Im Code of Conduct sollte das Management möglichst den Prozess eines Hinweisgebersystems in einer verständlichen Weise beschreiben. Wichtige Aspekte dabei sind Antworten auf folgende Fragen:

  • Was darf und soll gemeldet werden?
  • An welche Stelle sollen Beschäftigte Missstände und Verstöße melden?
  • Wie wird eine Meldung dokumentiert?
  • Wer führt die notwendigen internen Ermittlungen, um Fehlverhalten aufzuklären?
  • Welche Sanktionen sind als Reaktion auf Compliance-Vorfälle möglich und nötig?

 

Einrichtung des internen Meldekanals

Vor dem Hintergrund der Pflicht nach § 16 HinSchG zur Einrichtung eines internen Meldekanals haben Unternehmen mehrere Möglichkeiten:

  • Angebot einer Hinweisgeber-Hotline:
    Bei den Hinweisempfängern kann es sich dabei um unternehmensinterne oder externe Ansprechpartner handeln. Zum einen ist die Dokumentation der Meldungen hier schwierig. Zum anderen zeigt die Erfahrung, dass solche Hotlines häufig von Arbeitnehmer auch für arbeitsrechtliche Fragen, Beschwerden usw. genutzt werden. Das ist nicht der Zweck einer Hinweisgeber-Hotline. Und schließlich kann der Kostenfaktor (Einrichtungskosten, Personalkosten für den Betrieb) eine Rolle spielen.
  • Einrichtung eines IT-gestützten Hinweisgebersystems:
    Hier kommen vor allem externe Anbieter ins Spiel. Eine IT-gestützte Hinweisgeber-Software hat im Vergleich zu einer Hinweisgeber-Hotline Vorteile. Ein digitales System bietet oft effiziente Verwaltung und Dokumentation der eingehenden Hinweise. Dazu kommt eine vollständig anonyme Meldung durch die Hinweisgeber. Diese Systeme sind weltweit und jederzeit erreichbar. Viele Anbieter arbeiten mit einer Software, die hohe Anforderungen an den internen Meldekanal erfüllt, insbesondere im Hinblick auf die Beschränkung der Zugriffsberechtigung und den Datenschutz.
  • Der interne Meldekanal ist außerdem verpflichtet, Meldungen auch in Textform, wie zum Beispiel durch Brief, E-Mail oder Fax, zu bearbeiten.
  • Einsatz externer Experten
    Rechtsanwälte erfüllen aufgrund ihrer berufsrechtlichen Verschwiegenheitspflicht eine wichtige Voraussetzung für den Einsatz als Ombudsleute. Sie können auch neben einer Hinweisgeber-Hotline oder einem IT-gestützten Hinweisgebersystem arbeiten. Rechtsanwälte als Ombudsleute sichern aufgrund ihrer Stellung eine umfassende Neutralität und genießen auf diese Weise oftmals gesteigertes Vertrauen und Akzeptanz bei potenziellen Hinweisgeber. Das wirkt sich positiv auf die Compliance-Kultur eines Unternehmens aus.

 

Kommunikation und Schulungen im Unternehmen

Die regelmäßige Kommunikation mit allen Beschäftigen sowie Schulungen im Unternehmen sind nach dem ISO 37301 sowie ISO 37002 Standard entscheidend für ein erfolgreiches Hinweisgebersystem. Daher sollten Schulungen insbesondere hinsichtlich der konkreten Inhalte des Code of Conduct sowie des Konzepts des Hinweisgebersystems für die Beschäftigen und die Compliance-Beauftragten durchgeführt werden.

Ergänzend kann eine Erhebung hinsichtlich der Zufriedenheit der Mitarbeiter mit dem Hinweisgebersystem sinnvoll für die Verbesserung des gemeinsamen Compliance-Management-Systems sein.

 

Dokumentation & Untersuchung – Behandlung der Meldungen

Gemäß § 11 HinSchG müssen alle eingehenden Hinweise, einschließlich der mündlichen Meldungen (z.B. im Rahmen von Hinweisgeber-Hotlines) im Einklang mit den Vertraulichkeitspflichten gemäß § 8 HinSchG dokumentiert werden.

Eine einfache Dokumentation der Meldungen ist nicht immer ausreichend für eine effektive Bearbeitung. Gerade bei mittleren und großen Unternehmen bietet es sich an, die Meldungen nach Art und den Meldungsgründen zu kategorisieren und priorisieren. Im Anschluss an die Bearbeitung muss eine Untersuchung durchgeführt werden, um den Compliance-Vorfall vollständig aufzuklären. Die Untersuchung kann sowohl durch Interne, als auch extern durch eine Rechtsanwaltskanzlei, oder eine externe Behörde (wenn notwendig), erfolgen.

Die Guidelines on Whistleblowing der International Chamber of Commerce empfehlen ausdrücklich den Einsatz einer unabhängigen Rechtsanwaltskanzlei zur Behandlung und Untersuchung von Hinweisgeber-Meldungen. Dafür spricht auch die ISO 37301, nach der der Untersuchungsprozess unabhängig, fair und ohne Interessenkonflikt von kompetenten Fachleuten gesteuert sein soll.

 

Monitoring, Analyse und Verbesserung

Schließlich spielen die regelmäßige Analyse und Überwachung des Hinweisgebersystems bzw. des Compliance-Management-Systems nach dem ISO 37301 Standard eine wichtige Rolle.

Die Compliance-Abteilung muss das Hinweisgebersystem lückenlos überwachen, um sicherzustellen, dass die Compliance-Ziele erreicht werden. Außerdem sollte man die Leistung und die Wirksamkeit des Hinweisgebersystems regelmäßig auswerten. Ziel muss es sein, die Eignung, Angemessenheit und Wirksamkeit kontinuierlich zu verbessern.

Wie können wir helfen?

Unser Team von arbeitsrechtlich spezialisierten Compliance-Expert:innen hat langjährige, umfangreiche und praktische Erfahrung in der Entwicklung, Einführung und Umsetzung der Instrumente, mit denen Unternehmen ein aktives und proaktives Whistleblowing-System implementieren können.

Das BUSE Compliance-Team steht Ihnen zur Verfügung, damit Sie Ihre Unternehmensziele erreichen. Wir helfen Ihnen dabei, Compliance-Risiken bereits zum Zeitpunkt ihrer Entstehung zu vermeiden. Wenn sich Compliance-Risiken realisiert haben, unterstützen wir Sie dabei, Gefahren schnell zu identifizieren und nachhaltig zu neutralisieren.

Basierend auf der langjährigen operativen Erfahrung unserer Team-Mitglieder implementieren wir strategische, flexible und praxiserprobte Konzepte, die höchsten Standards und Qualitätsanforderungen genügen. So gelingt es unseren Mandanten, die Anforderungen an ein Hinweisgeber-System zu erfüllen – in Deutschland, in der Europäischen Union und weltweit.