Whistleblower: Vertrauliche und gesetzeskonforme Meldekanäle

Bereits im Oktober 2019 verabschiedete die Europäische Union eine Richtlinie zum Schutz von Personen, die in ihrem Arbeitsumfeld Verstöße gegen geltendes EU-Recht melden – sogenannte Hinweisgeber beziehungsweise Whistleblower. Der deutsche Gesetzgeber war danach angehalten, innerhalb von zwei Jahren gesetzliche Regelungen zu schaffen, die Hinweisgeber vor Repressalien schützen. Die ursprüngliche Umsetzungsfrist hierfür endete mit Ablauf des 17. Dezember 2021, ohne dass die Anforderungen der Richtlinie in nationales Recht umgesetzt wurden. Erst zum 2. Juli 2023 trat nun das zwischenzeitlich am 31. Mai 2023 beschlossene „Gesetz für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ oder Hinweisgeberschutzgesetz (HinschG) in Kraft.

Entlastung durch externes Know-how

Eine der zentralen Vorgaben des neuen Gesetzes ist, dass Unternehmen mit mehr als 249 Mitarbeitern einen sicheren Meldekanal einrichten müssen. Über diesen können sich Hinweisgeber geschützt anvertrauen. Ab dem 17. Dezember betrifft dies zudem bereits Firmen mit 50 Mitarbeitern oder mehr. Doch gerade für kleinere Betriebe ohne große Rechts- bzw. IT-Abteilung ist der damit einhergehende Aufwand oft kaum zu leisten. In solchen Fällen ist es häufig ratsam, auf externe Partner zu setzen, die entsprechende Expertise mitbringen und für prozessuale Entlastung sorgen. Konkret kann dies beispielsweise so aussehen. Das jeweilige Unternehmen, das einen Meldekanal einrichten möchte, wendet sich an eine spezialisierte Anwaltskanzlei. Diese arbeitet wiederum eng mit einem entsprechende IT-Dienstleister zusammen.

Von Seiten der Anwälte werden dann zunächst Schulungen mit den Verantwortlichen des Betriebs durchgeführt, um diese für die rechtlichen Rahmenbedingungen zu sensibilisieren und die individuellen Anforderungen zu definieren. Währenddessen kümmert sich die IT bereits um die technische Implementierung des Meldekanals – möglich sind hier etwa spezielle Whistleblower-Portallösungen, wie sie von der s.i.g. mbH entwickelt und vertrieben werden, oder per OpenPGP-Verschlüsselung gesicherte E-Mails. Aber auch analoge Kommunikationswege, zum Beispiel per Telefon oder Post sind grundsätzlich zulässig. Im Anschluss sollte die Verantwortlichen die Mitarbeiter über den neuen Meldekanal informieren. Sinnvoll ist hierzu ein FAQ, das die wichtigsten Fragen zum korrekten Vorgehen beantwortet und den Mitarbeitern etwa per Intranet zur Verfügung gestellt wird.

Whistleblower: Hinweise prüfen und plausibilisieren

Ist die Einrichtung des Meldekanals abgeschlossen, muss das Unternehmen vorerst nicht mehr tätig werden. Denn sämtliche Hinweise, die über einen der genannten, sicheren Kommunikationswege eingehen, können die zuständigen Anwälte zunächst plausibilisieren. Sie prüfen unter anderem, ob der vermeintliche Whistleblower tatsächlich für die Firma tätig ist, ob es sich überhaupt um einen rechtlich relevanten Verstoß des Unternehmens handelt und ob dieser im Einzelfall realistisch ist. Würde beispielsweise ein mittelständischer Onlinehändler eines Verstoßes gegen das Kriegswaffenkontrollgesetz bezichtigt, ließe sich dies in der Regel als unplausibler Hinweis verbuchen.

Erscheint die Meldung hingegen plausibel, nehmen die Anwälte Kontakt zum Whistleblower auf und befragen diesen nach weiteren Details sowie Belegen. Kommen sie daraufhin zum Ergebnis, dass es sich um einen tatsächlichen Gesetzesverstoß handelt, müssen sie erst das Unternehmen informieren. Die Identität des Whistleblowers wird dem Unternehmen hierbei nicht bekanntgegeben. Im Austausch mit den entsprechenden Fachabteilungen und Verantwortlichen ermitteln die Zuständigen hier, ob die Aussagen des Hinweisgebers zutreffen. Ist dies der Fall, versuchen sie im nächsten Schritt zu klären, ob es sich um ein wissentliches oder ein versehentliches Vergehen bzw. einen Einzelfall oder ein systemisches Problem handelt und raten zu den jeweils passenden Abhilfemaßnahmen.

Whistleblower sind geschützt

Stellt sich der gemeldete Verstoß als unwissentliches Fehlverhalten heraus, kann die Kanzlei zum Beispiel zusätzlich zu ihrem Abschlussbericht passende Schulungen anbieten. So kann das Unternehmen effektiv verhindern, dass es nochmals zu ähnlichen Vorfällen kommt. Bei bewusst begangenen Rechtsbrüchen wird die Meldestelle Folgemaßnahmen empfehlen, wie etwa eine Verschärfung der internen Compliance-Richtlinien, die Einführung von Kontrollmechanismen sowie gegebenenfalls die Empfehlung personeller Maßnahmen. Verspricht dies keinen Erfolg, können zudem unmittelbar die Behörden kontaktiert werden. Dies kann aber auch der Hinweisgeber selbst übernehmen.

In jedem Fall ist entscheidend, dass der Whistleblower durch das Hinweisgeberschutzgesetz umfassend vor Repressionen durch seinen Arbeitgeber geschützt wird. Dies gilt in den meisten Fällen auch, wenn sich eine Meldung im Nachhinein als falsch erweist. Lediglich wissentlich falsche Hinweise, insbesondere solche, die dem Unternehmen schaden sollen, fallen aus dem Schutzbereich des Hinweisgeberschutzgesetzes und können für den Whistleblower negative Konsequenzen haben. Ausschließlich unter diesen Umständen ist die Meldestelle befugt, die Identität des Hinweisgebers herauszugeben. Der Arbeitgeber darf dann entsprechend reagieren.

Standardisierte Lösung: Confidential Whistleblower Portals

Wie man sieht, sind die Herausforderungen beim Einrichten eines sicheren und gesetzeskonformen Meldekanals für Whistleblower nicht zu unterschätzen. Firmen, die möglichst effizient und unkompliziert alle Anforderungen erfüllen möchten, sind deshalb mit spezialisierten Partnern gut beraten. Dies gilt insbesondere, da in der Regel ausgerechnet diejenigen Personen im Unternehmen, die über die notwendige Fachkompetenz verfügen (allem voran in der Rechtsabteilung), aufgrund von Interessenskonflikten die Aufgabe der Meldestelle nicht übernehmen dürfen. Standardisierte externe Lösungen, wie die Confidential Whistleblower Portals der s.i.g. mbH, stellen hier sicher, dass den Anforderungen des Hinweisgeberschutzgesetzes technisch, rechtlich und prozessual einwandfrei Genüge getan wird.

Über den Autor: Tobias Marx ist Rechtsanwalt und Geschäftsführer der DSG datenschutz UG (haftungsbeschränkt). Er ist Fachanwalt für IT-Recht bei der Kanzlei LRHM (Lemor, Reisser, Holzmann, Marx) in Augsburg. Außerdem ist er Wirtschaftsmediator und Geschäftsführer der DSG datenschutz UG. In enger Zusammenarbeit mit dem IT-Dienstleister s.i.g. mbH aus Neu-Ulm entwickelt er unter anderem rechtssichere Datenschutzkonzepte. Diese enthalten einen passenden technischen Unterbau für mittelständischen Unternehmen und öffentliche Einrichtungen.

Lesen Sie auch: Datenschutz und Compliance: Wie diese miteinander zusammenhängen