Seit dem 17. Dezember 2023 gibt es keine Ausreden mehr: Alle Unternehmen ab 50 Beschäftigten müssen eine interne Meldestelle eingerichtet haben. Nach einer aktuellen Umfrage sollen die allermeisten Beschäftigten aber überhaupt nicht wissen, dass es nun Regelungen zum Whistleblowing gibt, die in ihrem Unternehmen Geltung beanspruchen. Vielleicht liegt das daran, dass sich Unternehmen hier und da schwer tun in der Umsetzung des Hinweisgeberschutzgesetzes (HinSchG). Was sind die größten Fails, wie wir sie derzeit in der Beratungspraxis beobachten?
Fail #1: Kommunikation wird unterschätzt
Es ist nicht damit getan, eine Rundmail zu schreiben, in der auf die neu geschaffene interne Meldestelle hingewiesen wird. Solch eine Kommunikation geht unter oder wird schnell vergessen. Vor allem aber entspricht ein schnöder Hinweis in einer Rundmail nicht den Vorgaben des HinSchG. Danach müssen Arbeitgeber nämlich „klare und leicht zugängliche Informationen über die Nutzung des internen Meldeverfahrens“ bereitstellen. Hierzu wird man jedenfalls eine Erläuterung des Prozesses nach Abgabe einer Meldung zählen müssen. Und losgelöst von dieser rechtlichen Verpflichtung sollten Unternehmen im eigenen Interessen durch Erklärungen Vertrauen in die Tätigkeit ihrer Meldestelle schaffen, damit das Hinweisgebersystem im Alltag auch genutzt wird. Dies kann in FAQ, Videos oder klassischen Schulungsformaten geschehen. Hierbei sollte die obere Führungsebene eingebunden werden, denn schließlich ist die Kommunikation der Schlüssel dazu, den Change of Culture beim Thema Whistleblowing aus der Unternehmensführung heraus zu begleiten.
Fail #2: Aktionismus wird betrieben
Manche Unternehmen, die die rechtzeitige Umsetzung des HinSchG vielleicht nicht hoch genug priorisiert hatten, verfallen nun in Aktionismus. Da wird schnell mal eine Mailadresse eingerichtet und ein Verantwortlicher für die Bearbeitung eingehender Hinweise benannt. Hauptsache, man hat irgendetwas aufgesetzt, mit dem man argumentieren kann, man habe eine interne Meldestelle eingerichtet. Dieser Ansatz ist nicht zu empfehlen. Selbst wenn Unternehmen spät dran sind, nehmen sie sich lieber etwas mehr Zeit, um die Strukturen und Workflows rechtlich sauber aufzusetzen, als mit 1b-Lösungen zu arbeiten. Warum? Zum Beispiel weil eine nicht existente interne Meldestelle „nur“ ein Bußgeld von maximal 20.000 EUR nach sich ziehen kann, während ein Verstoß gegen die Vertraulichkeitsvorgaben bei existenter interner Meldestelle das Unternehmen viel mehr – nämlich bis zu 500.000 EUR – kosten kann. Und ein Vertraulichkeitsverstoß kann bei einem technisch nicht hinreichend gesicherten E-Mail-System oder einem nicht geschulten Meldestellenbeauftragten durchaus vorkommen.
Fail #3: Regelungen zu Zuständigkeiten bei zentraler Meldestelle werden nicht getroffen
Wird die interne Meldestelle bei einer Konzerngesellschaft für mehrere Konzerngesellschaften eingerichtet, bleibt dennoch jede Gesellschaft in der Letztverantwortung für die Aufarbeitung von Meldungen ihrer Beschäftigten und vor allem für das Abstellen zu Tage getretenen Fehlverhaltens. Hierzu bedarf es einer Kooperation zwischen den Konzerngesellschaften, die in klare Regelungen gegossen werden sollte. Wir empfehlen den Abschluss von Intercompany Agreements. Darin sollte u. a. geregelt werden: Aufgaben und Pflichten der Meldestelle, Art und Weise der Gewährleistung der Vertraulichkeit, Inhalte und Intervalle des Reportings, Zuständigkeiten für interne Untersuchungen, datenschutzrechtliche Themen sowie der Umgang mit verschiedenen Sprachen.
Fail #4: Datenschutz wird nur „on the fly” berücksichtigt
Die Datenschutzthemen spielen keine Nebenrolle. Beispiele: Informationen zu Betroffenenrechten müssen dem Hinweisgeber bei Abgabe der Meldung erteilt werden, bei zentralen Meldestellen im Konzern muss die Erfüllung der datenschutzrechtlichen Pflichten geregelt sein aufgrund der üblicherweise bestehenden gemeinsamen Verantwortlichkeit nach Art. 26 DS-GVO, vor dem „Go Live“ der Meldestelle ist eine Datenschutz-Folgenabschätzung durchzuführen. Eine unsaubere Aufstellung bei diesen Themen tut vor allem dann weh, wenn die Datenschutz-Compliance auf den Prüfstand kommt – sei es durch eine Datenschutzbehörde oder etwa in Verkaufsprozessen – oder wenn datenschutzrechtliche Auskunftsansprüche geltend gemacht werden.
Fail #5: Schulung der Meldestellenbeauftragten wird vergessen
Das Unternehmen hat nach dem HinSchG dafür Sorge zu tragen, dass die Meldestellenbeauftragten „über die notwendige Fachkunde verfügen“. Das Gesetz macht dazu zwar keine näheren Vorgaben, aber ohne eine gezielte Schulung wird man kaum argumentieren können, dass diese Fachkunde besteht. Neben der häufig kniffligen Frage, ob eine Meldung überhaupt in den Anwendungsbereich des HinSchG fällt, sind vor allem die Regelungen zur Wahrung der Vertraulichkeit in der Fallbearbeitung herausfordernd. Hier sollten Meldestellenbeauftragte anhand von Fallbeispielen lernen, wann sie wen im Unternehmen mit welchem Inhalt aus der Meldung jeweils einbeziehen müssen. Empfehlenswert ist, dass Schulungen nicht nur zu Beginn der Meldestellentätigkeit, sondern fortlaufend nach 6 – 12 Monaten unter Einbeziehung zwischenzeitlich gewonnener Erfahrungen durchgeführt werden.
Wir bieten eine Beratung zu allen Themen im Bereich Whistleblowing & Compliance an. Näheres erfahren Sie hier – sprechen Sie uns gerne an.