Das Hinweisgeberschutzgesetz trat am 02.07.2023 in Kraft und dient der Umsetzung der Richtlinie (EU) 2019/1937 (Hinweisgeberrichtlinie) in nationales Recht. Stichtag zur Umsetzung für Unternehmen war der 17.12.2023. Etwas mehr als ein Jahr später bestätigen Erfahrungen aus der Praxis, dass Anpassungsbedarf beim Identitätsschutz und der Umsetzung im Konzern besteht (vgl. hierzu auch das Positionspapier des Bundesverbands der Wirtschaftskanzleien in Deutschland vom 12.10.2022 im Rahmen des Gesetzgebungsverfahrens, siehe hier). Zudem sind in Bezug auf die öffentliche Verwaltung Verfahrens- und Ermittlungsprinzipien unter Berücksichtigung der Rechte der Betroffenen und Beteiligten zu harmonisieren.
Zusammenfassung
Identitätsschutz
Das zentrale Anliegen des Hinweisgeberschutzgesetzes (HinSchG) ist der Identitätsschutz des Hinweisgebers. Dieser Schutz wird dadurch vermittelt, dass hinsichtlich der Identität der hinweisgebenden Person (und weiterer Personen) die Vertraulichkeit gewahrt werden soll. Ein vorsätzlicher, fahrlässiger oder leichtfertiger Verstoß gegen die Vertraulichkeitsregelungen ist bußgeldbewehrt (§ 40 Abs. 3, 4 HinSchG).
Insbesondere mittelständische Unternehmen stellt dies vor die nicht zu unterschätzende praktische Herausforderung, ihre Meldekanäle so einzurichten, dass nur bestimmte Personen Zugriff auf die Identität des Hinweisgebers erlangen.
Eine Überarbeitung des insoweit einschlägigen § 9 HinSchG ist angezeigt, um die Praktikabilität der Behandlung eingehender Hinweise zu verbessern.
Konzernlösung
Zur Schaffung von Rechtssicherheit für deutsche Unternehmen ist das deutsche HinSchG dahingehend zu ändern, dass die Möglichkeit, konzernweit eine zentrale interne Meldestelle zu nutzen (Konzernlösung), ausdrücklich im Gesetzestext und nicht nur – wie bisher – in der Gesetzesbegründung verankert wird. Um das nach wie vor bestehende Risiko einer Unionsrechtswidrigkeit zu beseitigen, sollte sich die neue Bundesregierung auch mit der EU-Kommission und den übrigen EU-Mitgliedstaaten auf eine möglichst einheitliche Auslegung der EU-Hinweisgeberrichtlinie verständigen, die die Möglichkeit der Konzernlösung stützt. Nur so haben international tätige Unternehmen ausreichende Rechtssicherheit bei der Ausgestaltung eines zentralen Hinweisgebersystems und werden von unnötigem Aufwand entlastet.
Grenzen des Identitätsschutzes in der öffentlichen Verwaltung
In der öffentlichen Verwaltung trifft das HinSchG auf bewährte Strukturen sowie Aufklärungs- und Ermittlungsmechanismen. Zugleich ist weder im HinSchG noch in den gesetzlich geordneten Verfahren des öffentlichen Dienstes das Verhältnis der Verfahren zueinander geregelt. Ob und inwieweit „interne Ermittlungen“ durch die Hinweisgeberstelle oder den Dienstherrn ergriffen werden (dürfen), bleibt gänzlich dem Rechtsanwender überlassen (siehe dazu das Positionspapier des BWD in dieser Ausgabe von fourword). Dadurch stehen insbesondere öffentliche Dienstherren vor der Herausforderung, zwei oder mehrere Verfahren – gegebenenfalls unter Aufhebung des Identitätsschutzes – betreiben zu müssen. Dieser Zustand ist weder für den Dienstherrn noch für die bei ihm beschäftigten Bediensteten, die sich vertrauensvoll an die Hinweisgeberstelle wenden, zufriedenstellend.
Es sollte Anliegen des Gesetzgebers sein, Verfahrens- und Ermittlungsprinzipien unter Berücksichtigung der Rechte der Betroffenen und Beteiligten zu harmonisieren – ähnlich, wie dies bei der Anpassung der Verschwiegenheitspflicht im öffentlichen Dienst geschehen ist.
Positionen
Identitätsschutz
§ 8 HinSchG regelt das Vertraulichkeitsgebot, welches den Unternehmen unter anderem die Pflicht auferlegt, die internen Meldestellen so einzurichten, dass Vertraulichkeit über die Identität der hinweisgebenden Person, der Personen, die Gegenstand der Meldung sind, und der sonstigen in der Meldung genannten Personen gewahrt ist.
§ 9 Abs. 2 HinSchG regelt die Zulässigkeit der Weitergabe von Informationen über die Identität einer hinweisgebenden Person oder über sonstige Umstände, die Rückschlüsse auf die Identität dieser Person erlauben. Dies ist etwa der Fall, wenn in einem Strafverfahren die Strafverfolgungsbehörde es verlangt, in Verwaltungsverfahren, einschließlich verwaltungsbehördlicher Bußgeldverfahren und aufgrund einer gerichtlichen Entscheidung.
§ 9 Abs. 3 HinSchG regelt die Zulässigkeit der Weitergabe der oben genannten Informationen – neben dem hier nicht relevanten Fall der Einwilligung – für die Zwecke der Folgemaßnahmen. Insbesondere die in § 9 Abs. 3 HinSchG enthaltenen Ausnahmen sind – auch unter Beachtung des im Gesetzeszweck angelegten Schutzes der hinweisgebenden Person – zu eng gefasst.
Unternehmen stellt es vor unüberwindbare Hürden, wirklich alle anderen Mitarbeiter außerhalb der internen Meldestelle von den relevanten Informationen abzuschirmen. (Auch) bei einer rein internen Meldestelle sind IT-gestützte Hinweissysteme als zumindest ein Meldekanal die Regel. Dabei ist technischer Support durch die IT-Abteilung des Unternehmens notwendig, mit der Folge, dass dort eine Kenntnis über die hinweisgebende Person eintreten kann. Weiter kann es unter Corporate-Governance-Gesichtspunkten nicht gewollt sein, dass eine interne Meldestelle der internen Revision und der Überwachung durch die Unternehmensleitung nicht unterliegt. Eine kontrollfreie Tätigkeit der Mitarbeitenden der internen Meldestelle würde dem Anforderungsprofil der guten Unternehmensführung, zumal bei hochsensiblen Angelegenheiten des Unternehmens, nicht gerecht.
Es wird empfohlen, in § 9 HinSchG vorzusehen, dass die normalen, im Unternehmen nötigen technischen Abläufe sowie die Wahrnehmung üblicher Überwachungsaufgaben beziehungsweise Unternehmerpflichten keinen (fahrlässigen oder leichtfertigen) Verstoß gegen die Verpflichtung zum Identitätsschutz darstellen, wenn im Zuge dieser Abläufe die Identität aufgedeckt würde.
Diese Ergänzungen sind bei der Abwägung der Interessen der Hinweisgeber sowie der in Hinweisen genannten anderen Personen und des Unternehmens gerechtfertigt. Ein hoher Schutz der Hinweisgeber und der betroffenen Personen ist richtig und wichtig. Dieser Schutz muss aber seine Grenze dort finden, wo das Unternehmen vor unüberwindbare praktische (Umsetzungs-)Hürden gestellt wird und die Mitarbeitenden des Unternehmens und sogar das Unternehmen nur deswegen der Gefahr einer Ordnungswidrigkeit ausgesetzt sind, weil die ordnungsgemäßen Abläufe des Meldesystems innerhalb des Unternehmens sichergestellt werden sollen.
Konzernlösung
Zentrale interne Meldestellen, die für die Bearbeitung aller eingehenden Hinweisgebermeldungen in einem Konzern zuständig sind, haben sich in der Praxis etabliert. Sie bieten den Vorteil, dass die internen Meldestellen in der Regel über angemessene personelle Ressourcen und bei der Bearbeitung von Meldungen über größtmögliches Know-how verfügen.
Konzernmeldestellen können zudem die gesetzlich vorgeschriebene Unabhängigkeit und Freiheit von Interessenkonflikten am besten gewährleisten. All dies sichert eine effektive Meldungsbearbeitung, die im Interesse sowohl der hinweisgebenden Personen als auch im Interesse der Unternehmen liegt. Der deutsche Gesetzgeber hat dies erkannt. In Deutschland ist die sogenannte Konzernlösung daher gängiger Standard, wenngleich deren Zulässigkeit nur in der Gesetzesbegründung, nicht jedoch im Gesetzestext klargestellt wird. Auch in einigen anderen EU-Mitgliedstaaten ist die Konzernlösung zulässig (so zum Beispiel in Frankreich und Österreich).
Demgegenüber vertritt die EU-Kommission weiterhin die Auffassung, dass die Konzernlösung die Anforderungen der EU-Hinweisgeberrichtlinie nicht erfüllt und dass „große“ Konzernunternehmen mit mehr als 249 Beschäftigten in jedem Fall eine eigene lokale Meldestelle einrichten müssen. Dieser strengen Auslegung sind auch einige andere EU-Mitgliedstaaten gefolgt (zum Beispiel in Schweden und Polen).
Die nach der Gesetzesbegründung des HinSchG zulässige Konzernlösung führt nicht zu einer Rechtssicherheit für in Deutschland ansässige Konzerne, da sie nach wie vor in Widerspruch zur Position der EU-Kommission steht. Auch in der juristischen Literatur wird die Zulässigkeit der Konzernlösung mitunter angezweifelt. Es besteht daher weiterhin das Risiko, dass die Konzernlösung nach dem HinSchG in einem von der Kommission initiierten Vertragsverletzungsverfahren kassiert werden könnte. Dies würde zu einem erheblichen Mehraufwand für deutsche Konzerne führen, die sich bislang auf die Zulässigkeit der Konzernlösung verlassen haben.
Die uneinheitliche Umsetzung der EU-Hinweisgeberrichtlinie in nationales Recht der EU-Mitgliedstaaten führt zudem dazu, dass international tätige Unternehmen neben der zentralen Konzernmeldestelle in manchen EU-Mitgliedstaaten zusätzlich lokale Meldestellen einrichten müssen. Dies führt zu einem erheblichen Mehraufwand, ohne dass hierdurch das Ziel eines verbesserten Hinweisgeberschutzes gefördert würde.
Daher ist es für international tätige Konzerne zur Schaffung von Rechtssicherheit in dieser Frage wesentlich, dass die künftige Bundesregierung die Zulässigkeit der Konzernlösung im Gesetzestext des HinSchG explizit klarstellt und sich mit den Mitgliedstaaten und der EU-Kommission auf eine einheitliche Auslegung der EU-Hinweisgeberrichtlinie verständigt.
Grenzen des Identitätsschutzes in der öffentlichen Verwaltung
Das HinSchG hat mit seinem Inkrafttreten am 02.07.2023 sowohl die Pflicht zu sowie die Organisation von Meldestellen als auch den Ablauf von Meldeverfahren geregelt. Auch die öffentliche Verwaltung – sowohl Gemeinden, Landkreise, Länder und der Bund als auch andere Dienstherren – werden vom HinSchG in die Pflicht genommen. Sie müssen – teils je Bundesland unterschiedlich – ab einer bestimmten Verwaltungsgröße ebenfalls Hinweisgeberstellen einrichten und betreiben.
Bisher ließ der Gesetzgeber offen, welche Befugnisse und gegebenenfalls Rechtseingriffe die Hinweisgeberstelle sowie Hinweisgeber, Beteiligte und Betroffene im Rahmen einer sich aus einem validierten Hinweis ergebenden „internen Ermittlung“ ausüben oder hinzunehmen haben. Auch fehlt es an jedem Hinweis darauf, inwiefern das Hinweisgeberschutzverfahren neben anderen gesetzlich geordneten Verfahren – insbesondere Disziplinarverfahren – steht.
Hinzukommend sieht das HinSchG keine Differenzierung zwischen Unternehmen und öffentlichen Dienstherrn vor. Dies ist mit Blick auf die differenzierten bestehenden Beschwerde- und Antragswege im öffentlichen Dienst problematisch. Zudem greift der Gesetzgeber das besondere Rechtsverhältnis, welches zwischen Bediensteten und Dienstherrn besteht, nicht auf. Anders als im privatwirtschaftlichen Bereich wirkt sich das (hergebrachte) Dienst- und Treueverhältnis der Beamten in einer Prinzipienstrenge und Offenheit aus, die dem Anonymisierungsgedanken des HinSchG entgegensteht. Dies gilt, wenngleich mit Abstrichen, auch für Tarifbeschäftigte im öffentlichen Dienst. Hintergrund ist, dass der Dienstherr und auch die Allgemeinheit darauf vertrauen dürfen, dass sich Bedienstete im öffentlichen Dienst nach Recht und Gesetz verhalten. Sie sind kraft ihres Amtes an diesen Grundsatz gebunden (Art. 20 Abs. 3 GG in Verbindung mit § 63 BBG). Im Unterschied zur Wirtschaft sind öffentliche Bedienstete schließlich auch keinen unternehmerischen oder wirtschaftlichen Interessen unterworfen.
Das HinSchG eröffnet nun das ungelöste Spannungsfeld zwischen Identitätsschutz und dem Aufklärungsanspruch. Daraus ergibt sich die rechtspolitische Fragestellung, ob und in welchem Maß dieses Spannungsfeld zugunsten der einen oder anderen Seite aufgelöst werden muss. Der europäische Gesetzgeber gibt insoweit eine Tendenz vor: Der Identitätsschutz muss nicht nur bei der Abgabe eines Hinweises, sondern auch bei sich anschließenden internen Untersuchungen gewahrt bleiben (Richtlinie [EU] 2019/1937 Erwägungsgrund Nr. 82). Es sollte, so erwägt es der Unionsgesetzgeber fort, nur dann möglich sein, die Identität des Hinweisgebers offenzulegen, wenn dies nach Unionsrecht oder nationalem Recht eine notwendige und verhältnismäßige Pflicht im Rahmen von behördlichen Untersuchungen oder von Gerichtsverfahren darstellt (vgl. Richtlinie [EU] 2019/1937 Erwägungsgrund Nr. 100). Dies ist bisher nicht erreicht.
Stattdessen wird vom HinSchG die Ergreifung „interner Ermittlungen“ neben die Maßnahme der Abgabe des Verfahrens an die zuständige Stelle, § 18 Nr. 4 HinSchG, gestellt. Durch die (notwendige) Abgabe des Verfahrens kann der Schutzzweck des HinSchG nicht stets gewahrt bleiben. Weder im Disziplinar- noch im Strafverfahren besteht ein entsprechender oder weiterführender Schutz der Identität der Hinweisgeber. Die Entscheidung von Art und Umfang dieser Ermittlungen andererseits allein in die Hand der Hinweisgeberstelle zu legen und der Rechtsfortbildung der Gerichte zu überlassen, gefährdet hingegen das Interesse an der rechtsförmigen Aufklärung von Verstößen.
Für die Task Force „Whistleblowing“:
