Seit 02.07.2023 ist das neue Hinweisgeberschutzgesetz in Kraft – eine echte Herausforderung für Unternehmen. Mit dem Hinweisgeberschutzgesetz (HinSchG) trifft Unternehmen ab einer gewissen Größenordnung die gesetzliche Pflicht, eine interne Meldestelle einzuführen.
Die Einrichtung des Hinweisgeberverfahrens gilt dabei für Unternehmen mit mehr als 250 Beschäftigten bereits seit 02.07.2023. Kleineren Betrieben mit mehr als 50 Beschäftigten, aber weniger als 250 Mitarbeitenden wird noch eine „Schonfrist“ bis zum 17.12.2023 zur Implementierung einer internen Meldestelle eingeräumt.
Die Anschaffung und die Inbetriebnahme eines funktionierenden Hinweisgebersystems verursachen Aufwände in finanzieller und personeller Hinsicht. Gerade kleinere Unternehmen stehen vor der Frage, einen professionellen Anbieter eine Meldestelle zu beauftragen oder eigene betriebsinterne Personalressourcen für die Entgegennahme und Bearbeitung von Hinweisen entsprechend einzusetzen und zu schulen. Nicht zuletzt verlangt das HinSchG für die mit dem internen Meldesystem beauftragten Mitarbeiter eine gewisse Fachkunde, sodass entsprechende Schulungen für das Personal zu empfehlen sind, um eine ordnungsgemäße Bearbeitung von Hinweisen zu gewährleisten.
Die Einführung eines internen Meldesystems sollte von Betriebsinhabern und Geschäftsführern nicht stiefmütterlich behandelt werden, auch wenn die Nicht-Umsetzung eines internen Hinweisgebersystems oder aber eine kostengünstige Hinweisgeberplattform, wie eine einfache E-Mail-Adresse, zunächst lukrativer erscheint.
Ordnungswidrigkeiten nach dem HinSchG – gestaffelte Bußgelder
Verstöße gegen die Vorgaben des HinSchG können als Ordnungswidrigkeiten mit empfindlichen Geldbußen bewertet werden. § 40 Abs. 2 HinSchG normiert als bußgeldbewehrten Tatbestand, die Nicht-Einrichtung und Nicht-Inbetriebnahme einer internen Meldestelle trotz gesetzlicher Verpflichtung der Implementierung eines internen Meldesystems. Gleichzeitig werden die Behinderung der Kommunikation entgegen der gesetzlichen Vorschiften und der Verstoß gegen Repressalien mit Bußgeldern bedroht. Gemäß § 40 Abs. 3 HinSchG stellt auch die Verletzung der Vertraulichkeit ein bußgeldbewährtes Verhalten dar.
Die Bußgelder nach dem HinSchG unterliegen einer Staffelung:
Der Gesetzgeber hat Unternehmen ab 250 Beschäftigten aufgrund der kurzen Frist zwischen Verkündung des Gesetzes und Inkrafttreten ab dem 02.07.2023 eine „Übergangsfrist“ hinsichtlich der Verhängung von Bußgeldern wegen Nicht-Einrichtung einer internen Meldestelle gewährt. So werden Bußgelder wegen Nicht-Einrichtung erst ab dem 01.12.2023 vorgesehen. Während die Nicht-Einrichtung einer internen Meldestelle eine Geldbuße bis zu 20.000 € nach sich ziehen kann, fallen die Bußgelder für die Behinderung der Kommunikation und dem Einsatz von Repressalien deutlich höher aus.
Die Behinderung der Meldung von Hinweisen oder die Kommunikation zwischen hinweisgebender Person und der Meldestelle kann ebenso wie die Androhung oder Anwendung von Repressalien gegenüber hinweisgebenden Personen und die Verletzung der Vertraulichkeit mit einer Geldbuße von bis zu 50.000 € geahndet werden. Unter bestimmten Voraussetzungen verzehnfacht sich das Höchstmaß der Geldbuße im Fall der Behinderung der Kommunikation oder dem Einsatz von Repressalien auf mitunter 500.000 €. Betriebsinhaber, die sich aus finanziellen Gründen weigern eine interne Meldestelle einzuführen und darauf spekulieren, dass die Nicht-Implementierung unentdeckt bleibt, riskieren daher ein erhebliches Bußgeld, welches in der Summe höher ausfallen dürfte als die Einrichtung einer internen Meldestelle und die dazugehörige Personalschulung oder Beauftragung externer Dritter.
Kostengünstige Meldestellenvarianten – Problem der Vertraulichkeit
Die Verunsicherung vieler Unternehmen hinsichtlich der Einrichtung eines internen Meldesystems ist groß. Es gibt daher vielerorts Überlegungen, ein internes Meldesystem durch geringfügige Änderungen zu generieren.
Eigene Meldekanäle wie betriebseigene E-Mail-Adressen über einen allgemeinen E-Mailanbieter werden ebenso wie allgemeine Telefonhotlines den Anforderungen des Vertraulichkeitsgrundsatzes nach dem HinSchG nicht gerecht. Es besteht bei diesen Alternativen keinerlei Garantie, dass ausschließlich die mit dem internen Meldesystem beauftragte Person Zugriff auf interne Meldekanäle erhält und die Anonymität des Hinweisgebenden gewahrt wird.
Nicht zuletzt die interne IT-Administration des Unternehmens oder des Server-Anbieters kann auf das entsprechende E-Mail-Konto zugreifen und so die Kommunikation mitlesen. Die Rufnummer des Hinweisgebers kann gespeichert und ausgelesen werden, sodass Rückschlüsse auf den Hinweisgebenden bzw. sogar auf den Inhalt des Hinweises gezogen werden können.
Dies steht im direkten Widerspruch zum Vertraulichkeitsgebot des HinSchG. Das gesamte Hinweisgebersystem beruht auf dem Schutzgedanken des Hinweisgebers und muss dergestalt konzipiert sein, ein Meldesystem einzurichten, bei welchem die Vertraulichkeit der Identität der hinweisgebenden Person gewahrt wird. Nur die beauftragten Personen, die eingehende Hinweise bearbeiten, sollen auf diese Informationen Zugriff haben, sofern nicht eine Weitergabe nach § 8 HinSchG zulässig ist.
Weitergehende Schutzvorkehrungen wie eine Zwei-Faktor-Authentifizierung sind bei den genannten Konstellationen auch nur schwer realisierbar, aber zum Schutz der Vertraulichkeit dringend anzuraten. Beispielsweise bei Verhinderung der für die Meldestelle beauftragten Person müssen Zugangsbeschränkungen zur Hinweisgeberplattform wie Passwörter etc. an Vertreterpersonen weitergegeben werden. Dies stellt mitunter ein weiteres Risiko dar, dass Unberechtigte Zugang zur Hinweisgeberplattform erhalten oder etwa ausgeschiedene Mitarbeitende auch nach Beendigung des Arbeitsverhältnisses auf ein allgemeines E-Mail-Postfach zugreifen können.
Auch aus datenschutzrechtlicher Sicht bereiten derartige kostengünstigere Varianten Probleme, sodass hier weitere Bußgelder für die Unternehmen oder Betriebe drohen können.
Schadensersatz bei Verstößen – weitere finanzielle Belastung für Unternehmen
Neben den genannten empfindlichen Bußgeldern verpflichtet der Gesetzgeber Unternehmen und Betriebe zur Zahlung von Schadensersatz. Wird eine hinweisgebende Person im Zusammenhang mit ihrer beruflichen Tätigkeit nach einer Meldung benachteiligt, so steht ihr nach dem HinSchG ein Anspruch auf Schadensersatz zu. Dieser Anspruch besteht neben der Auferlegung des Bußgeldes, sodass es hier zu einer doppelten finanziellen Belastung des Unternehmens kommen kann.
Fazit
Das HinSchG stellt betroffene Unternehmen vor besondere Herausforderungen. Um hohe Bußgelder zu vermeiden, sollten Unternehmen innerhalb der für sie geltenden Frist IT-geschützte Hinweisgebersysteme einführen und entsprechende Kosten auf sich nehmen, um später nicht mit noch größeren finanziellen Konsequenzen konfrontiert zu werden.
Wir beraten Sie gerne zu den rechtlichen Anforderungen nach dem HinSchG und unserem sicheren Hinweisgebersystem White Sparrow der MKM Compliance GmbH.