open search
close
Neueste Beiträge Whistleblowing & Compliance

Hinweisgeberschutzgesetz – Fails in der Umsetzung durch Unternehmen

Print Friendly, PDF & Email

Seit dem 17. Dezember 2023 gibt es keine Ausreden mehr: Alle Unternehmen ab 50 Beschäftigten müssen eine interne Meldestelle eingerichtet haben. Nach einer aktuellen Umfrage sollen die allermeisten Beschäftigten aber überhaupt nicht wissen, dass es nun Regelungen zum Whistleblowing gibt, die in ihrem Unternehmen Geltung beanspruchen. Vielleicht liegt das daran, dass sich Unternehmen hier und da schwer tun in der Umsetzung des Hinweisgeberschutzgesetzes (HinSchG). Was sind die größten Fails, wie wir sie derzeit in der Beratungspraxis beobachten?

Fail #1: Kommunikation wird unterschätzt

Es ist nicht damit getan, eine Rundmail zu schreiben, in der auf die neu geschaffene interne Meldestelle hingewiesen wird. Solch eine Kommunikation geht unter oder wird schnell vergessen. Vor allem aber entspricht ein schnöder Hinweis in einer Rundmail nicht den Vorgaben des HinSchG. Danach müssen Arbeitgeber nämlich „klare und leicht zugängliche Informationen über die Nutzung des internen Meldeverfahrens“ bereitstellen. Hierzu wird man jedenfalls eine Erläuterung des Prozesses nach Abgabe einer Meldung zählen müssen. Und losgelöst von dieser rechtlichen Verpflichtung sollten Unternehmen im eigenen Interessen durch Erklärungen Vertrauen in die Tätigkeit ihrer Meldestelle schaffen, damit das Hinweisgebersystem im Alltag auch genutzt wird. Dies kann in FAQ, Videos oder klassischen Schulungsformaten geschehen. Hierbei sollte die obere Führungsebene eingebunden werden, denn schließlich ist die Kommunikation der Schlüssel dazu, den Change of Culture beim Thema Whistleblowing aus der Unternehmensführung heraus zu begleiten.

Fail #2: Aktionismus wird betrieben

Manche Unternehmen, die die rechtzeitige Umsetzung des HinSchG vielleicht nicht hoch genug priorisiert hatten, verfallen nun in Aktionismus. Da wird schnell mal eine Mailadresse eingerichtet und ein Verantwortlicher für die Bearbeitung eingehender Hinweise benannt. Hauptsache, man hat irgendetwas aufgesetzt, mit dem man argumentieren kann, man habe eine interne Meldestelle eingerichtet. Dieser Ansatz ist nicht zu empfehlen. Selbst wenn Unternehmen spät dran sind, nehmen sie sich lieber etwas mehr Zeit, um die Strukturen und Workflows rechtlich sauber aufzusetzen, als mit 1b-Lösungen zu arbeiten. Warum? Zum Beispiel weil eine nicht existente interne Meldestelle „nur“ ein Bußgeld von maximal 20.000 EUR nach sich ziehen kann, während ein Verstoß gegen die Vertraulichkeitsvorgaben bei existenter interner Meldestelle das Unternehmen viel mehr – nämlich bis zu 500.000 EUR – kosten kann. Und ein Vertraulichkeitsverstoß kann bei einem technisch nicht hinreichend gesicherten E-Mail-System oder einem nicht geschulten Meldestellenbeauftragten durchaus vorkommen.

Fail #3: Regelungen zu Zuständigkeiten bei zentraler Meldestelle werden nicht getroffen

Wird die interne Meldestelle bei einer Konzerngesellschaft für mehrere Konzerngesellschaften eingerichtet, bleibt dennoch jede Gesellschaft in der Letztverantwortung für die Aufarbeitung von Meldungen ihrer Beschäftigten und vor allem für das Abstellen zu Tage getretenen Fehlverhaltens. Hierzu bedarf es einer Kooperation zwischen den Konzerngesellschaften, die in klare Regelungen gegossen werden sollte. Wir empfehlen den Abschluss von Intercompany Agreements. Darin sollte u. a. geregelt werden: Aufgaben und Pflichten der Meldestelle, Art und Weise der Gewährleistung der Vertraulichkeit, Inhalte und Intervalle des Reportings, Zuständigkeiten für interne Untersuchungen, datenschutzrechtliche Themen sowie der Umgang mit verschiedenen Sprachen.

Fail #4: Datenschutz wird nur „on the fly” berücksichtigt

Die Datenschutzthemen spielen keine Nebenrolle. Beispiele: Informationen zu Betroffenenrechten müssen dem Hinweisgeber bei Abgabe der Meldung erteilt werden, bei zentralen Meldestellen im Konzern muss die Erfüllung der datenschutzrechtlichen Pflichten geregelt sein aufgrund der üblicherweise bestehenden gemeinsamen Verantwortlichkeit nach Art. 26 DS-GVO, vor dem „Go Live“ der Meldestelle ist eine Datenschutz-Folgenabschätzung durchzuführen. Eine unsaubere Aufstellung bei diesen Themen tut vor allem dann weh, wenn die Datenschutz-Compliance auf den Prüfstand kommt – sei es durch eine Datenschutzbehörde oder etwa in Verkaufsprozessen – oder wenn datenschutzrechtliche Auskunftsansprüche geltend gemacht werden.

Fail #5: Schulung der Meldestellenbeauftragten wird vergessen

Das Unternehmen hat nach dem HinSchG dafür Sorge zu tragen, dass die Meldestellenbeauftragten „über die notwendige Fachkunde verfügen“. Das Gesetz macht dazu zwar keine näheren Vorgaben, aber ohne eine gezielte Schulung wird man kaum argumentieren können, dass diese Fachkunde besteht. Neben der häufig kniffligen Frage, ob eine Meldung überhaupt in den Anwendungsbereich des HinSchG fällt, sind vor allem die Regelungen zur Wahrung der Vertraulichkeit in der Fallbearbeitung herausfordernd. Hier sollten Meldestellenbeauftragte anhand von Fallbeispielen lernen, wann sie wen im Unternehmen mit welchem Inhalt aus der Meldung jeweils einbeziehen müssen. Empfehlenswert ist, dass Schulungen nicht nur zu Beginn der Meldestellentätigkeit, sondern fortlaufend nach 6 – 12 Monaten unter Einbeziehung zwischenzeitlich gewonnener Erfahrungen durchgeführt werden.

Wir bieten eine Beratung zu allen Themen im Bereich Whistleblowing & Compliance an. Näheres erfahren Sie hier – sprechen Sie uns gerne an.

Dr. Jan Heuer

Rechts­an­walt
Fachanwalt für Arbeitsrecht
Principal Counsel
Jan Heuer berät deutsche und internationale Unternehmen sowie öffentlich-rechtliche Institutionen umfassend in allen Fragen des Arbeitsrechts. Einen Schwerpunkt bilden die Begleitung von Reorganisationen und Restrukturierungen sowie die Vertretung in Arbeitsgerichtsprozessen. Besondere Expertise hat er außerdem im Datenschutzrecht (z. B. DS-GVO-Checks, Abschluss von IT-Betriebsvereinbarungen) und im Bereich arbeitsrechtlicher Compliance (z. B. interne Untersuchungen bei Fehlverhalten von Mitarbeitern, Vermeidung von Scheinselbständigkeit und illegaler Arbeitnehmerüberlassung, Einhaltung Betriebsverfassungsrecht). Jan Heuer ist bei KLIEMT.Arbeitsrecht verantwortlich in den Fokusgruppen "Whistleblowing und interne Untersuchungen" sowie "Digitalisierung und Mitbestimmung".
Verwandte Beiträge
Compliance ESG Individualarbeitsrecht Neueste Beiträge Vergütung

"Der Andere zahlt mehr!" – Vergütung im Einklang mit der Entgelttransparenzrichtlinie?

Die Umsetzung der Entgelttransparenzrichtlinie (RL (EU) 2023/970 vom 10. Mai 2023, nachfolgend „ETRL“ oder „Richtlinie“) in nationales Recht wird einige Veränderungen mit sich bringen. Für Arbeitgeber besteht (trotz Umsetzungsfrist bis 7. Juni 2026) bereits jetzt Handlungsbedarf. Was Arbeitgeber jetzt konkret tun sollten, haben wir bereits in unserem Blogbeitrag vom 24. April 2024 aufgezeigt. Mit diesem Blogbeitrag wollen wir nun einen spannenden Aspekt des WIE näher…
Compliance Neueste Beiträge Whistleblowing Whistleblowing & Compliance

EU-Kommission zur Whistleblowing-Richtlinie: Welche Bestimmungen des HinSchG stehen auf dem Prüfstand?

Rund ein Jahr nach Inkrafttreten des deutschen Hinweisgeberschutzgesetzes (HinSchG) hat die EU-Kommission nun ihren Bericht über die Umsetzung der Whistleblowing-Richtlinie (WB-RL) in den EU-Mitgliedsstaaten veröffentlicht und dabei erhebliche Mängel festgestellt, die auch das HinSchG betreffen. Bereits im März 2023 hatte die EU-Kommission vor dem EuGH Klage gegen Deutschland wegen nicht rechtzeitiger Umsetzung der WB-RL erhoben. Die Entscheidung des EuGH und Sanktionszahlungen im zweistelligen Millionenbereich werden…
Internationales Arbeitsrecht Neueste Beiträge

Israel expands sexual harassment law to service contractor employees

A recent amendment to Israel’s sexual harassment law expands the obligations of an employer under the law to cover employees of contractors providing services to the employer. The Law for the Prevention of Sexual Harassment is intended to address, among other issues, occurrences of sexual harassment in the workplace. Towards this goal, various obligations applying to employers are set out, including an obligation to establish…
Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

 

Die Abmeldung ist jederzeit möglich.