open search
close
Neueste Beiträge Whistleblowing & Investigations

Hinweisgeberschutzgesetz – Fails in der Umsetzung durch Unternehmen

Print Friendly, PDF & Email

Seit dem 17. Dezember 2023 gibt es keine Ausreden mehr: Alle Unternehmen ab 50 Beschäftigten müssen eine interne Meldestelle eingerichtet haben. Nach einer aktuellen Umfrage sollen die allermeisten Beschäftigten aber überhaupt nicht wissen, dass es nun Regelungen zum Whistleblowing gibt, die in ihrem Unternehmen Geltung beanspruchen. Vielleicht liegt das daran, dass sich Unternehmen hier und da schwer tun in der Umsetzung des Hinweisgeberschutzgesetzes (HinSchG). Was sind die größten Fails, wie wir sie derzeit in der Beratungspraxis beobachten?

Fail #1: Kommunikation wird unterschätzt

Es ist nicht damit getan, eine Rundmail zu schreiben, in der auf die neu geschaffene interne Meldestelle hingewiesen wird. Solch eine Kommunikation geht unter oder wird schnell vergessen. Vor allem aber entspricht ein schnöder Hinweis in einer Rundmail nicht den Vorgaben des HinSchG. Danach müssen Arbeitgeber nämlich „klare und leicht zugängliche Informationen über die Nutzung des internen Meldeverfahrens“ bereitstellen. Hierzu wird man jedenfalls eine Erläuterung des Prozesses nach Abgabe einer Meldung zählen müssen. Und losgelöst von dieser rechtlichen Verpflichtung sollten Unternehmen im eigenen Interessen durch Erklärungen Vertrauen in die Tätigkeit ihrer Meldestelle schaffen, damit das Hinweisgebersystem im Alltag auch genutzt wird. Dies kann in FAQ, Videos oder klassischen Schulungsformaten geschehen. Hierbei sollte die obere Führungsebene eingebunden werden, denn schließlich ist die Kommunikation der Schlüssel dazu, den Change of Culture beim Thema Whistleblowing aus der Unternehmensführung heraus zu begleiten.

Fail #2: Aktionismus wird betrieben

Manche Unternehmen, die die rechtzeitige Umsetzung des HinSchG vielleicht nicht hoch genug priorisiert hatten, verfallen nun in Aktionismus. Da wird schnell mal eine Mailadresse eingerichtet und ein Verantwortlicher für die Bearbeitung eingehender Hinweise benannt. Hauptsache, man hat irgendetwas aufgesetzt, mit dem man argumentieren kann, man habe eine interne Meldestelle eingerichtet. Dieser Ansatz ist nicht zu empfehlen. Selbst wenn Unternehmen spät dran sind, nehmen sie sich lieber etwas mehr Zeit, um die Strukturen und Workflows rechtlich sauber aufzusetzen, als mit 1b-Lösungen zu arbeiten. Warum? Zum Beispiel weil eine nicht existente interne Meldestelle „nur“ ein Bußgeld von maximal 20.000 EUR nach sich ziehen kann, während ein Verstoß gegen die Vertraulichkeitsvorgaben bei existenter interner Meldestelle das Unternehmen viel mehr – nämlich bis zu 500.000 EUR – kosten kann. Und ein Vertraulichkeitsverstoß kann bei einem technisch nicht hinreichend gesicherten E-Mail-System oder einem nicht geschulten Meldestellenbeauftragten durchaus vorkommen.

Fail #3: Regelungen zu Zuständigkeiten bei zentraler Meldestelle werden nicht getroffen

Wird die interne Meldestelle bei einer Konzerngesellschaft für mehrere Konzerngesellschaften eingerichtet, bleibt dennoch jede Gesellschaft in der Letztverantwortung für die Aufarbeitung von Meldungen ihrer Beschäftigten und vor allem für das Abstellen zu Tage getretenen Fehlverhaltens. Hierzu bedarf es einer Kooperation zwischen den Konzerngesellschaften, die in klare Regelungen gegossen werden sollte. Wir empfehlen den Abschluss von Intercompany Agreements. Darin sollte u. a. geregelt werden: Aufgaben und Pflichten der Meldestelle, Art und Weise der Gewährleistung der Vertraulichkeit, Inhalte und Intervalle des Reportings, Zuständigkeiten für interne Untersuchungen, datenschutzrechtliche Themen sowie der Umgang mit verschiedenen Sprachen.

Fail #4: Datenschutz wird nur „on the fly” berücksichtigt

Die Datenschutzthemen spielen keine Nebenrolle. Beispiele: Informationen zu Betroffenenrechten müssen dem Hinweisgeber bei Abgabe der Meldung erteilt werden, bei zentralen Meldestellen im Konzern muss die Erfüllung der datenschutzrechtlichen Pflichten geregelt sein aufgrund der üblicherweise bestehenden gemeinsamen Verantwortlichkeit nach Art. 26 DS-GVO, vor dem „Go Live“ der Meldestelle ist eine Datenschutz-Folgenabschätzung durchzuführen. Eine unsaubere Aufstellung bei diesen Themen tut vor allem dann weh, wenn die Datenschutz-Compliance auf den Prüfstand kommt – sei es durch eine Datenschutzbehörde oder etwa in Verkaufsprozessen – oder wenn datenschutzrechtliche Auskunftsansprüche geltend gemacht werden.

Fail #5: Schulung der Meldestellenbeauftragten wird vergessen

Das Unternehmen hat nach dem HinSchG dafür Sorge zu tragen, dass die Meldestellenbeauftragten „über die notwendige Fachkunde verfügen“. Das Gesetz macht dazu zwar keine näheren Vorgaben, aber ohne eine gezielte Schulung wird man kaum argumentieren können, dass diese Fachkunde besteht. Neben der häufig kniffligen Frage, ob eine Meldung überhaupt in den Anwendungsbereich des HinSchG fällt, sind vor allem die Regelungen zur Wahrung der Vertraulichkeit in der Fallbearbeitung herausfordernd. Hier sollten Meldestellenbeauftragte anhand von Fallbeispielen lernen, wann sie wen im Unternehmen mit welchem Inhalt aus der Meldung jeweils einbeziehen müssen. Empfehlenswert ist, dass Schulungen nicht nur zu Beginn der Meldestellentätigkeit, sondern fortlaufend nach 6 – 12 Monaten unter Einbeziehung zwischenzeitlich gewonnener Erfahrungen durchgeführt werden.

Wir bieten eine Beratung zu allen Themen im Bereich Whistleblowing & Compliance an. Näheres erfahren Sie hier – sprechen Sie uns gerne an.

Dr. Jan Heuer

Rechts­an­walt
Fachanwalt für Arbeitsrecht
Principal Counsel
Jan Heuer berät deutsche und internationale Unternehmen sowie öffentlich-rechtliche Institutionen umfassend in allen Fragen des Arbeitsrechts. Einen Schwerpunkt bilden die Begleitung von Reorganisationen und Restrukturierungen sowie die Vertretung in Arbeitsgerichtsprozessen. Besondere Expertise hat er außerdem im Datenschutzrecht (z. B. DS-GVO-Checks, Abschluss von IT-Betriebsvereinbarungen) und im Bereich arbeitsrechtlicher Compliance (z. B. interne Untersuchungen bei Fehlverhalten von Mitarbeitern, Vermeidung von Scheinselbständigkeit und illegaler Arbeitnehmerüberlassung, Einhaltung Betriebsverfassungsrecht). Jan Heuer ist bei KLIEMT.Arbeitsrecht verantwortlich in den Fokusgruppen "Whistleblowing und interne Untersuchungen" sowie "Digitalisierung und Mitbestimmung".
Verwandte Beiträge
Individualarbeitsrecht Neueste Beiträge

Ein schmaler Grat: Social Media-Nutzung im Arbeitsumfeld

Social Media hat privat und beruflich einen festen Platz in unserem Alltag. Arbeitgeber und Arbeitnehmer stellt das immer wieder vor Herausforderungen, gerade wenn Arbeitnehmer Fotos aus dem Arbeitsalltag, mit den Kollegen oder sogar von Kunden oder Mandanten auf Social Media veröffentlichen. Das kann für beide Seiten Konsequenzen haben. Dem Arbeitnehmer droht eine Abmahnung, im Wiederholungsfall sogar einer Kündigung sowie Unterlassungs- und Schadensersatzansprüche. Der Arbeitgeber muss…
Internationales Arbeitsrecht Neueste Beiträge Poland

New Polish government makes whistleblowing directive a priority

Implementation of the EU’s 2019 whistleblowing directive is a priority of the new Polish government. Despite its status as the fifth largest economy in the EU, Poland is the only EU member state that has not yet implemented the directive on the protection of persons reporting violations of EU law. The deadline for implementation of the directive into local law was 17 December 2021. The…
Arbeitszeit & Arbeitszeiterfassung Neueste Beiträge

Änderung des Arbeitszeitgesetzes – Warten auf den Gesetzgeber

Vor bald eineinhalb Jahren, am 13. September 2022, hat das Bundesarbeitsgericht (BAG) sich in seinem viel beachteten Beschluss mit der Pflicht zur Arbeitszeiterfassung befasst. Auch den deutschen Gesetzgeber schien dies wieder auf den Plan zu rufen. Das Bundesministerium für Arbeit und Soziales (BMAS) wollte nun endlich die damals bereits über drei Jahre alten Vorgaben des Europäischen Gerichtshofs (EuGH) umsetzen und im Arbeitszeitgesetz (ArbZG) Regelungen zur Arbeitszeiterfassung…
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.