Hinweisgeberschutzgesetz: Wie man das nächste Bürokratiemonster zähmt

Bürokratie und Überreglementierung werden in Umfragen als größtes Standorthemmnis für den Mittelstand genannt. Und kein Ende ist in Sicht – im Gegenteil. Jüngstes Beispiel: Das Hinweisgeberschutzgesetz, das im Juli in Kraft trat. Experte Achim Barth über drohende Bußgelder und pragmatische Wege der Umsetzung.

Neue Vorgaben für Unternehmen und Behörden: Das neue Hinweisgeberschutzgesetz (HinSchG) fordert das Einrichten eines Meldesystems für Rechtsverstöße. Grundlage ist die EU-Whistleblower-Richtlinie, die Mitarbeiter vor Entlassung, Mobbing, Disziplinarverfahren, Abmahnung oder anderweitiger Benachteiligung schützen soll, wenn sie Verstöße melden. Smarte Lösungen sind gefragt, denn jetzt wird es ernst: Ab 17. Dezember drohen Bußgelder. Achim Barth bietet die verpflichtende Einrichtung einer Ombudsstelle als Service an und beschreibt im Interview pragmatische Wege der Umsetzung.

Welche Unternehmen betrifft das Hinweisgeberschutzgesetz?

Achim Barth: Das Hinweisgeberschutzgesetz ist die Umsetzung der europäischen Whistleblower-Richtlinie in ein nationales Gesetz, welches jedes EU-Mitglied verbindlich umzusetzen hatte. Es ist relevant für alle Unternehmen und sonstigen Organisationen mit mehr als 49 Beschäftigten. Ab dieser Unternehmensgröße müssen die Vorgaben des Gesetztes vollständig umgesetzt werden. Bei Nichtbeachtung drohen Bußgelder in Höhe von bis zu 50.000 Euro. Unternehmen, die keine Meldestelle einrichten, müssen mit einem Bußgeld in Höhe von 20.000 Euro rechnen.

Unternehmen droht zudem ein “digitaler Pranger”. Was hat es damit auf sich?

Neben dem bereits genannten Bußgeld drohen Unternehmen zukünftig auch Meldungen außerhalb der eigenen Organisation, nämlich in den externen staatlichen Meldestellen. Wenn das passiert, verlieren Unternehmen die komplette Kontrolle über das Verfahren. Ein gut kommunizierter interner Meldekanal, der den Vorgaben des HinSchG entspricht, kann diesem Risiko effektiv begegnen.

Welche Herausforderungen bedeutet die Umsetzung des HinSchG für mittelständische Unternehmen?

Herausforderungen ergeben sich aus den Anforderungen für den Betrieb des internen Meldekanals und der neuen Funktion des internen Meldestellen-Beauftragten. Der Meldestellenbeauftragte benötigt Fachkunde, er muss unabhängig vom Unternehmen agieren und die Vertraulichkeit des Hinweisgebers waren. Darüber hinaus sorgt er dafür, dass wichtige Antwortfristen eingehalten werden und sorgt auch für die Vertraulichkeit, wenn Dritte zur Bearbeitung eines Hinweis eingebunden werden. Dazu kommen wichtige Fragen aus dem Datenschutz, wie Informationspflichten und natürlich die Lösung des technischen Datenschutzes, um die geforderte Vertraulichkeit zu wahren.

Gibt es auch Vorteile und Chancen für Unternehmen?

Die gibt es durchaus. Hinweisgeber haben nun die Möglichkeit, in einem geschützten Umfeld Missstände aufzudecken, deren Offenbarung durchaus auch im Interesse der Unternehmensleitung liegt: bei Sabotage, Diebstahl oder Korruption, beispielsweise.

Warum reichen Billiglösungen wie einfache E-Mail-Systeme oder Telefonhotlines nicht aus, um die Anforderungen des HinSchG zu erfüllen?

Wie schon 2018 mit der Einführung der DSGVO versuchen auch aktuell viele Leute auf den „Zug“ aufzuspringen. Hier gilt für mich der alte Grundsatz: Wer billig einkauft, muss meistens zweimal einkaufen. Ganz unabhängig davon, dass bei – auch unbewusster – Nichteinhaltung der Vorgaben des Gesetzes das Bußgeld droht, ist es betriebsorganisatorisch nur theoretisch möglich, für Hinweisgeber ein E-Mail-Postfach einzurichten. Spätestens, wenn zusätzliche Fallbearbeiter hinzugezogen werden sollen oder Dokumente des Hinweisgebers sicher gespeichert werden sollen, kommt man mit einem E-Mail-Postfach nicht mehr weiter. Telefonhotlines sind völlig unpraktikabel und auch gar nicht notwendig. Sie können dem Hinweisgeber auch die Aufnahme einer Sprachnachricht über den elektronischen Meldekanal ermöglichen.

Jetzt Handeln ist gefragt
Ab dem 17.12.23 droht Unternehmen Bußgeld, wenn das Hinweisgeberschutzgesetz nicht umgesetzt wurde. Achim Barth Datenschutz bietet DDW-Lesern an, eine Umsetzung bis zu diesem Stichtag zu garantieren, sofern eine Beauftragung bis zum 15.12.23 erfolgt.
Hier kann ein unverbindliches Angebot angefordert werden

Wie verhält es sich mit anonym gemachten Hinweisen? Was raten Sie in diesen Fällen?

Zwar ist man nicht verpflichtet, anonyme Meldungen zu bearbeiten, doch aus meiner praktischen Erfahrung nutzen Hinweisgeber gerne diese Möglichkeit. Man sollte das Risiko bedenken, dass sich der Hinweisgeber direkt an eine externe Meldestelle wendet, wenn ihm diese Möglichkeit nicht bereitgestellt wird. Ich empfehle daher nachdrücklich, anonyme Meldungen zu ermöglichen.

Was ist Ihre Lösung, um mittelständische Unternehmen bei der Umsetzung des HinSchG zu unterstützen?

Zunächst einmal muß man die Sorgen und aktuellen Probleme des Mittelstandes sehen: Immer mehr Bürokratie für die Geschäftsführung. Immer mehr Auflagen. Da setzen wir bei Barth Datenschutz an. Wir nehmen unseren Kunden das Thema „interne Meldestelle“ vollständig ab. Dabei achten wir auf Praktikabilität, Einfachheit für alle Beteiligten und darauf, dass alles gesetzeskonform umgesetzt wird, um das Bußgeldrisiko für die Unternehmen zu reduzieren. Konkret heißt das: Wir fungieren als Dienstleister und betreiben die interne Meldestelle für Unternehmen. Dazu stellen wir einen elektronischen Meldekanal bereit, der allen Anforderungen entspricht und technisch sicher ist. Wir garantieren die Einhaltung der Fristen und prüfen als Meldestellenbeauftragte die eingehenden Hinweise nach sachlicher Anwendung und Plausibilität. Dabei garantieren wir stets die Vertraulichkeit des Hinweisgebers und auch aller anderen Beteiligten.

Und die Kosten?

Das Ganze bieten wir zu einem transparenten monatlichen Pauschalpreis, zu dem im Regelfall keine weiteren Kosten hinzukommen. Außerdem wichtig: Auch der zeitliche und organisatorische Aufwand für unsere Kunden ist überschaubar. Wir benötigen für den Start lediglich eine Online-Fragebogen, der in wenigen Minuten ausgefüllt ist. Das war’s. Am Ende der Einrichtung erhalten unsere Kunden einen Zugangslink zum Meldekanal, einen QR-Code, der zum Kanal führt, und eine Whistleblower-Richtlinie für die Mitarbeiterinformation. Und wer mehr Leistung möchte, kann diese dazukaufen: Führungskräfteschulungen, Mitarbeiterunterweisungen, Datenschutzbewertungen oder gleich das Komplettmenü DSGVO und HinSchG aus einer Hand.

Viele Unternehmen fühlen sich beim HinSchG an das Datenschutzgesetz DSGVO erinnert: Mehr Lasten und Einschränkungen, als tatsächlicher Nutzen. Sie sind mit Barth Datenschutz in beiden Bereichen aktiv. Ihre Meinung?

In der Tat betreuen wir seit vielen Jahren mittelständische Unternehmen im Datenschutz und der konstruktiven Umsetzung der DSGVO-Vorgaben. Unser Beratungsansatz beruht auf der Prämisse, Dinge, die dem Unternehmen wichtig sind, möglich zu machen, nicht zu verhindern. Ähnlich verfahren wir auch im Hinweisgeberschutz. Für eine langfristige Zusammenarbeit mit unseren Kunden ist es wichtig, seine Ausgangslage zu verstehen und sich auf Augenhöhe zu begegnen. Entsprechend geht es darum, Melde-Hinweise auf konstruktive Art und Weise gemeinsam mit allen Beteiligten zu bearbeiten.

Kontakt zu Achim Barth:

• https://barth-datenschutz.de/meldestellen-beauftragter/
• https://barth-datenschutz.de/blog/