Einleitung
Auf europäischer Ebene verpflichtet die Richtlinie (EU) 2019/1937 (die „Richtlinie“) die Mitgliedstaaten, auf nationaler Ebene Transformations- und Schutzgesetze für sogenannte „Whistleblower“ zu erlassen. Die Vorgängerregierung der Bundesrepublik Deutschland legte Ende 2020 einen Entwurf vor, der letztlich an Meinungsverschiedenheiten innerhalb der damaligen Koalition scheiterte. Die Richtlinie wäre jedoch bis zum 17.12.2021 umzusetzen gewesen, weshalb die Europäische Kommission im Januar/Februar dieses Jahres ein Vertragsverletzungsverfahren unter anderem gegen Deutschland eingeleitet hat.
Am 13.04.2022 hat der neue Bundesjustizminister Marco Buschmann (FDP) einen neuen Referentenentwurf zum Hinweisgeberschutzgesetz (HinSchG) vorgelegt. Nachdem ursprünglich eine Behandlung des Entwurfs im Bundestag für Juni oder Juli 2022 erwartet wurde, ist seit der Vorlage des Referentenentwurfs legislativ nichts passiert. Ein Entwurf der Bundesregierung steht noch aus.
Im Folgenden werden die Inhalte des Entwurfs näher betrachtet und die Entwurfsbestimmungen auf Vor- und Nachteile für die Praxis beleuchtet.
Uneinheitlicher Anwendungsbereich
Der Anwendungsbereich des neuen HinSchG geht einerseits über die Anforderungen der Richtlinie hinaus, andererseits greift der Entwurf an einigen Stellen zu kurz.
Der persönliche Anwendungsbereich ist sehr weit gefasst. Alle hinweisgebenden Personen aus der Privatwirtschaft und des gesamten öffentlichen Sektors fallen in den Anwendungsbereich des HinSchG.
Was die Verpflichtung zur Einrichtung einer internen Meldestelle betrifft, bleibt der Entwurf aus dem Jahr 2022 unverändert zu den Vorgaben der Richtlinie. (Tochter-)Gesellschaften mit mehr als 50 Arbeitnehmern müssen demnach eine interne Meldestelle einrichten. Für Unternehmen mit 50 bis 249 Arbeitnehmern gilt bis zum 17.12.2023 eine Karenzzeit für die Einrichtung. Haben Unternehmen weniger als 50 Arbeitnehmer, soll die freiwillige Einrichtung einer internen Meldestelle nur erwogen werden. Eine Verpflichtung dazu besteht in diesem Fall nicht. Einige Unternehmen des Finanzdienstleistungssektors (etwa Kreditinstitute) sind unabhängig von ihrer Arbeitnehmerzahl zur Einrichtung einer internen Meldestelle verpflichtet.
Im Hinblick auf den sachlichen Anwendungsbereich weicht der neue Entwurf von dem im Jahr 2020 vorgelegten Entwurf ab. Zum einen schränkt der neue Entwurf den sachlichen Anwendungsbereich ein. Sollten vorher noch „alle straf- und bußgeldbewehrten Verletzungen von Vorschriften“ erfasst werden, wird nun die Verhängung von Bußgeldern begrenzt. Erfasst werden nur noch solche Verstöße, bei denen die verletzten Vorschriften dem Schutz von Leib, Leben, Gesundheit oder dem Schutz der Rechte von Beschäftigten oder Vertretungsorganen dienen. Andererseits geht der Anwendungsbereich weit über das von der Richtlinie Geforderte hinaus. Diese hat ihre Meldepflichten und den Schutz von Hinweisgebern auf Verstöße gegen EU-Vorschriften beschränkt. Der Entwurf des HinSchG sieht jedoch für aufgeführte Rechtsbereiche (etwa öffentliches Auftragswesen oder Umweltrecht) vor allem vor, dass auch Verstöße gegen deutsche Vorschriften gleichermaßen zu melden und Hinweisgeber entsprechend zu schützen sind.
Änderungen bei der zuständigen Meldestelle
Nach dem Entwurf der früheren schwarz-roten Koalition sollte der Bundesdatenschutzbeauftragte für externe Meldungen über Compliancefälle zuständig sein. Der neue Entwurf aus dem Jahr 2022 sieht nun vor, dass das Bundesjustizministerium selbst als externe Meldestelle fungieren soll.
Im Jahr 2021 sprach sich die Europäische Kommission noch dagegen aus, dass Unternehmen lediglich zentrale Meldestellen auf Konzernebene einrichten, die dann auch für Tochtergesellschaften mit mehr als 249 Arbeitnehmern zuständig sind. Stattdessen fordert die Kommission eigene Meldestellen für jede Tochtergesellschaft. Der Entwurf 2022 geht einen anderen Weg und sieht nun vor, dass die zentralen Meldestellen innerhalb des Konzerns bestehen bleiben sollen, aber als „Dritte“ eingerichtet werden, welche auch für andere Konzerngesellschaften zuständig sein sollen. Auch entfällt die Beschränkung auf verbundene Unternehmen mit mindestens 249 Arbeitnehmern. Vielmehr definiert der Entwurf nun die mit Unternehmen verbundenen Tochtergesellschaften als „Dritte“ im Sinne von Art. 8 Abs. 5 Satz 1 der Richtlinie, welche die Meldestelle auch für verbundene Unternehmen „in deren Auftrag“ übernehmen können.
Für Unternehmen gilt der Grundsatz der Gleichwertigkeit von internen und externen Meldestellen (vgl. § 19 HinSchG-E), wonach der Arbeitnehmer die Stelle frei wählen kann, an die er den möglichen Verstoß melden möchte. Damit relativiert der neue Entwurf die bisherige Tendenz des Bundesarbeitsgerichts, die Verpflichtung des Arbeitnehmers anzuerkennen, zunächst die interne Stelle des Unternehmens aufzusuchen. Der Entwurf hat diese deutliche Wegweisung an keiner Stelle berücksichtigt. Ebenso fordert die Richtlinie die Einrichtung einer internen Meldestelle, die eine erste Anlaufstelle für die Arbeitnehmer sein sollte. Die Intention war, dass vorrangig eine Meldung an eine interne Meldestelle erfolgen sollte und dass der Hinweisgeber im Fall der Nichtabhilfe seiner Meldung sich anschließend auch an eine externe Meldestelle wenden sollte. Die Meldung an eine externe Stelle sollte zwar ohne Einschränkungen oder Hindernisse möglich sein, sollte jedoch den letzten Schritt darstellen. Einerseits sollte es den Arbeitnehmern möglich sein, interne Regelverstöße ohne Repressalien zu melden, andererseits sollte es den Arbeitgebern möglich sein, etwaige Probleme intern mit den vorhandenen Ressourcen zu klären und gegebenenfalls zu lösen, bevor sie nach außen dringen. Diese Denkart und Zweckrichtung fehlt dem neuen Gesetzentwurf. Kritiker dieser Gleichschaltung argumentieren, dass eine valide Klärung des Verdachts mit internem Wissen und internen Ressourcen hätte priorisiert werden können, ohne dass das Bundesjustizministerium als externe Stelle involviert werde. Da der Entwurf des HinSchG keinen zwingenden Wahrheitsgehalt fordert, solange der Hinweisgeber gutgläubig ist, würde damit der Zweck des Gesetzes und der Richtlinie, alle Beteiligten in möglichen Compliancefällen zu schützen, nicht ausreichend gestärkt werden.
Vielmehr schützt der aktuelle Entwurf des HinSchG (HinschG-E) Hinweisgeber im Fall der Fahrlässigkeit ihrer Enthüllungen, mit der Folge, dass für die Unternehmen keine Rechtssicherheit bestehen bleibt. Kritiker sehen daher den Schutzzweck des HinSchG-E zugunsten des Hinweisgebers als überreizt an.
Teilweise ist es möglich, bestehende Ressourcen unter den Konzerngesellschaften zu teilen, etwa für die Entgegennahme von Meldungen oder für Maßnahmen zur Folgeuntersuchung. So können beispielsweise Unternehmen mit bis zu 249 Arbeitnehmern Ressourcen gemeinsam nutzen, während Unternehmen mit 250 Arbeitnehmern eigene Melde- und Untersuchungsstellen benötigen. Hier war die EU-Kommission bereits im Jahr 2021 sehr strikt. Der Hinweisgeber selbst erfährt jedoch nichts über die gemeinsame Nutzung von Ressourcen durch die Gesellschaften.
Interne Meldestellen können sogar von externen Dritten betrieben werden (zum Beispiel der Konzernmuttergesellschaft, vgl. Seite 85 HinSchG-E). Allerdings verbleibt die originäre Verantwortung immer beim betroffenen Unternehmen und geht nie auf Dritte über.
Nach dem neuen Entwurf des HinSchG soll die externe Meldestelle, die nun statt beim Bundesdatenschutzbeauftragten beim Bundesjustizministerium angesiedelt werden soll, separat vom sonstigen Ministerialapparat herausgelöst werden. Der zu begrüßende Zweck dieser organisatorischen Trennung ist es, den Zugang für Hinweisgeber zu vereinfachen, ohne dass zuvor Zuständigkeitsfragen geklärt werden müssen. Ein Anspruch auf Anonymität besteht bei der externen Meldestelle jedoch nicht, es sei denn, dies ist gesetzlich ausdrücklich vorgesehen.
Der Schutz des Hinweisgebers
Die wichtigsten Bestimmungen des neuen Entwurfs zum HinSchG drehen sich um den Schutz von Hinweisgebern selbst, der in Deutschland bisher nur uneinheitlich geregelt ist. Hinweisgeber in Unternehmen dürfen aufgrund ihrer Meldung keine Repressalien oder Benachteiligungen erfahren, ebenso sind Androhungen und Versuche dahingehend untersagt. Hiervon umfasst sind beispielsweise die Verweigerung von Fortbildungen oder Beförderung sowie die Vornahme unvorteilhafter Versetzung oder Abmahnung und Mobbing.
Um die Hinweisgeber in ihrer Position zu stärken und um sicherzustellen, dass die Benachteiligungs- und Diskriminierungsverbote nicht nur zahnlose Tiger sind, beinhaltet der Entwurf des HinSchG in § 36 Abs. 2 eine Beweislastumkehr, die für Hinweisgeber große Vorteile bringt. Der Hinweisgeber muss zwar selbst beweisen, dass er eine Benachteiligung erlitten hat. Die Unternehmen müssen dann aber darlegen und notfalls auch beweisen, dass die fraglichen Personalmaßnahmen nicht im Zusammenhang mit erfolgten Meldungen über mögliche Verstöße gegen europäische und nationale Vorschriften stehen. Dennoch sind die Unternehmen nicht gänzlich schutzlos gestellt. Die Pflicht zum Schadensersatz besteht auf beiden Seiten, sollten einerseits die Hinweisgeber aufgrund ihrer Meldungen Nachteile erfahren oder aber sollten andererseits die Unternehmen aufgrund falscher Angaben zu Unrecht gemeldet werden. Jede tragfähige Meldung erfordert daher tatsächliche Anhaltspunkte, während vage Vermutungen nicht ausreichen.
In jedem Fall sind die Identität des Hinweisgebers und beteiligter Dritter zu schützen. Anonymität wird allerdings nicht gewährt, um vor falschen Verdächtigungen zu schützen. An dieser Stelle haben bereits NGOs und Experten den alten Entwurf von 2020 kritisiert, weil er die Verpflichtung für Unternehmen, anonyme Hinweise anzunehmen, nicht aus der Richtlinie ableitet. Der Verzicht auf die ausdrückliche Freistellung in der Richtlinie beruhte auf der Annahme, dass dies zu Denunziationen führen würde. Die Kritiker äußerten dazu jedoch, dass gerade die Anonymität von Hinweisen die Hinweisgeber bestmöglich schütze und dass Studien zu diesem Argument keine gesteigerte Denunziationsbereitschaft belegen könnten.
Konsequenzen bei gemeldeten Verstößen
Der Katalog unter § 40 des HinSchG-E enthält einerseits Sanktionen zum Schutz des Hinweisgebers, aber auch des Meldeverfahrens. So kann ein Bußgeld von bis zu 100.000 Euro verhängt werden, wenn eine Meldung behindert wird oder der Hinweisgeber Repressalien ausgesetzt ist. Ebenfalls bußgeldbewehrt ist der Versuch der Vornahme von Repressalien oder die vorsätzliche oder fahrlässige Verletzung der Vertraulichkeit der Identität des Hinweisgebers und von betroffenen Personen. Andere Verstöße, wie etwa die Nichteinrichtung interner Meldestellen, werden mit Bußgeldern von bis zu 20.000 Euro geahndet. Aufgrund des Verweises in § 40 des HinSchG-E auf § 30 Abs. 2 Satz 3 Ordnungswidrigkeitengesetz (OwiG) kann das Bußgeld für Unternehmen durch die Verzehnfachung bis zu 1 Million Euro betragen.
Damit sind die Bußgelder verglichen zum alten Entwurf aus dem Jahr 2020 im Wesentlichen unverändert. Kritik wird dennoch dahingehend geäußert, dass nach den sehr weit gefassten Regelungen nahezu alles mit sehr empfindlichen Bußgeldern geahndet werden kann, was dazu führt, dass der Schutzzweck des HinSchG stark ausgereizt und durch die Sanktionen nicht immer erreicht wird.
Dies zeigt sich auch daran, dass die Unternehmen durch die erwähnte Beweislastumkehr gegenüber den Hinweisgebern berechtigterweise in eine schwächere Position gestellt werden. Andererseits ändert der HinSchG-E nichts am Haftungsmaßstab für fahrlässige oder vorsätzliche Falschinformationen durch Hinweisgeber selbst. Die Richtlinie ist in dieser Hinsicht möglicherweise falsch verstanden worden, denn allein der Verschuldensgrad für grob fahrlässige und vorsätzliche Fehlinformationen erscheint angesichts der möglichen persönlichen und unternehmerischen Konsequenzen unnötig großzügig, wenn Hinweisgeber für ihre fahrlässige Äußerung von Verdachtsmomenten auf Regelverstöße keine Konsequenzen zu befürchten haben, solange der Grad der groben Fahrlässigkeit nicht erreicht ist. Und das, obwohl sich der Schutzzweck der Richtlinie auf alle Beteiligten, nicht nur auf Hinweisgeber, erstreckt.
Kommentar
Aufgrund der mitunter sehr hohen Bußgelddrohungen sollten Unternehmen prüfen, ob sie die Anforderungen des neuen HinSchG bereits vor dessen Inkrafttreten erfüllen, insbesondere hinsichtlich der Einrichtung einer internen Meldestelle. Gerade die Ausweitung des Anwendungsbereichs auch auf Verstöße gegen nationale Vorschriften birgt das Potential für häufige Hinweisabgaben. Sind die Berichtswege nicht ausgereift, riskieren Unternehmen, die Aufmerksamkeit der Bußgeldstellen unnötig auf sich zu ziehen.
Die Zuständigkeiten der internen und externen Bußgeldstellen sind klar geregelt, sehr zum Vorteil für die tägliche Praxis. Sowohl die Dokumentation als auch der Umgang mit der Vertraulichkeit personenbezogener Daten sollten dennoch ernstgenommen und sichergestellt werden.
Zugunsten der Unternehmen sieht der HinSchG-E keine Verpflichtung zur Entgegennahme anonymer Hinweise vor. Auch wenn die Vertraulichkeit der Identität des Hinweisgebers streng geschützt ist, wird zukünftig eine Hemmschwelle bestehen, tatsächlich Meldungen an das Unternehmen abzugeben. Letztlich macht es aber keinen Unterschied, ob anonyme oder identifizierbare Meldungen abgegeben werden, da die bekannte Identität streng vertraulich bleiben muss und Verstöße mit empfindlichen Bußgeldern bewehrt sind. Unternehmen sind daher dazu angehalten, selbst zu entscheiden, ob sie ihren Arbeitnehmern die Möglichkeit einer anonymen Hinweisgabe bieten wollen.
Insgesamt ist der neue Entwurf des HinSchG erkennbar unternehmensfreundlich. Dies gilt insbesondere für die Eröffnung der Möglichkeit, eine interne Meldestelle als „Dritte“ bei einer anderen Konzerngesellschaft einzurichten, die dann für mehrere selbständige Unternehmen im Konzern zuständig wird. Zwar verbleibt die originäre Verantwortung bei den Tochtergesellschaften, auch wenn die zentrale Meldestelle der Muttergesellschaft die Bearbeitung der Meldungen für sie übernimmt, dennoch ist dies in erster Linie von administrativem Vorteil für die Gesellschaften. Das Argument für interne Meldestellen, dass die (Tochter-)Unternehmen zunächst mit internen Instrumenten und internem Wissen Hinweisen nachgehen können, bevor diese externe Meldestellen erreichen, verblasst, wenn es dann für Unternehmen aber möglich sein soll, interne Meldestellen in anderen Konzernunternehmen zu unterhalten. Aus Sicht des Hinweisgebers wird die Meldestelle vermutlich weiterhin ausgelagert sein und damit extern erscheinen.
Diese Definition der zentralen Meldestellen als „Dritte“ ist eine Auslegung, die die Europäische Kommission bisher weder vorgegeben noch geteilt hat. Es bleibt abzuwarten, ob der neue Entwurf zur nationalen Ausgestaltung europarechtskonform ist und nicht vor dem Europäischen Gerichtshof landet.
