Behörden und Unternehmen müssen eine Hinweisgeberstelle einrichten. Was bedeutet das und was ist zu beachten?

Am 16. Dezember 2019 ist die EU-Richtlinie zum Schutz sog. Whistleblower[1] in Kraft getreten. Die Mitgliedsstaaten der Europäischen Union (EU) haben bis zum 17. Dezember 2021 Zeit, um die Vorgaben der EU in nationales Recht umzusetzen.

Auch wenn der von der EU anvisierte Umsetzungstermin vor der Tür steht, ist es dem deutschen Gesetzgeber noch nicht gelungen, den bereits vorgelegten Gesetzesentwurf final abzustimmen.

Unabhängig davon sind jedoch die Unternehmen gut beraten, schon jetzt an eine entsprechende Umsetzung zu denken, denn der Termin der EU steht fest. Der deutsche Gesetzgeber kann nur noch geringe Anpassungen und Klarstellungen gegenüber der Richtlinie der EU vornehmen.

Weiterhin ermutigt die EU-Kommission die einzelnen Mitgliedstaaten, die Anwendungsbereiche bei der Umsetzung der Richtlinie auszudehnen. Damit soll ein umfassender und kohärenter Rechtsrahmen auf nationaler Ebene gewährleistet werden.

Wer ist von der Neuregelung betroffen?

      • Ab 17. Dezember 2021: Unternehmen und Behörden ab 250 Mitarbeitern
      • Für Unternehmen mit 50 bis 249 Mitarbeitern sieht die EU-Richtlinie eine verlängerte Umsetzungsfrist bis 17. Dezember 2023 vor. Ob der deutsche Gesetzgeber diese ebenfalls gewährt, ist aktuell noch nicht bekannt.

 

    Ergänzend ist vorgesehen, dass grundsätzlich eine zentrale externe Meldestelle auch beim Bundesdatenschutzbeauftragten angesiedelt sein soll, sofern nicht bereits anderweitige Stellen eingerichtet sind (bspw. Verstöße gegen Aktionärsrechte, Buchführungsregeln, etc. sind an die BaFin zu melden).

      Unabhängig von den gesetzlichen Anforderungen des Hinweisgeberschutzgesetzes (HinSchG) macht es indes auch Sinn, eine neu einzurichtende Hinweisgeberstelle im Sinne dieses Gesetzes als übergreifendes Hinweisgebersystem zu konzipieren, das auch externen Stellen (z.B. Kunden und Lieferanten) offensteht. Die Praxis zeigt, dass immer mehr Unternehmen diesen Weg, auch im Sinne einer effektiven Compliance, gehen. Man kann dadurch außerdem Kunden und Lieferanten signalisieren, dass man an Hinweisen interessiert ist, die auf mögliche Gesetzesverstöße hindeuten, um entsprechend Abhilfe schaffen zu können.

        Was sind die Anforderungen an eine Hinweisgeberstelle?

          Grundsätzlich gilt, dass Personen, die entsprechende Hinweise geben, Vertraulichkeit zugesichert wird. Folgende Kernpunkte sind von Unternehmen bei der Errichtung einer Hinweisgeberstelle zu beachten:

              • Erteilung einer Eingangsbestätigung nach max. 7 Tagen sowie eine Rückmeldung über Folgemaßnahmen an den Hinweisgeber nach max. 3 Monaten
              • Pflicht zur Wahrung der Identität des Hinweisgebers sowie Schutz vor unbefugtem Zugriff auf die Hinweisgeberstelle
              • Verbot der Benachteiligung bzw. von Repressalien zu Lasten des Hinweisgebers „Beweislastumkehr“
              • Verpflichtende Durchführung von Schulungen
              • Dokumentationspflicht aller eingehenden Meldungen
              • Meldekanäle müssen in schriftlicher oder mündlicher Form verfügbar sein, weiterhin soll auf Anfrage des Hinweisgebers ein persönliches Treffen möglich sein

           

            Eine interne Meldestelle kann dergestalt eingerichtet werden, indem eine beim Unternehmen oder der Behörde beschäftigte Person, eine interne Organisationseinheit oder auch ein Dritter mit den Aufgaben der Meldestelle betraut wird. Eine Auslagerung ist daher möglich und gesetzeskonform (§ 14 Abs. 1 des Gesetzesentwurfs gem. Referentenentwurf v. 26.11.2020).

              Die beauftragten Personen sind unabhängig und müssen regelmäßig für diese Aufgabe geschult werden (§ 15 Abs. 1 und 2 HinSchG).

                Gem. § 16 HinSchG müssen die internen Meldekanäle folgende Kriterien erfüllen:

                    • Die Meldekanäle sind so zu gestalten, dass lediglich die für die Bearbeitung zuständigen Personen darauf Zugriff haben. Hierbei wird kritisch diskutiert, ob eine interne Mailadresse diesen Vorgaben gerecht wird, da zumindest die Systemadministratoren der IT auf diese Mailadresse Zugriff haben.
                    • Interne Meldekanäle müssen Meldungen in mündlicher oder in Textform ermöglichen. Bei Meldungen in mündlicher Form müssen entsprechende Aufzeichnungsmöglichkeiten bestehen.
                    • Auf Wunsch der meldenden Person muss innerhalb einer angemessenen Zeit auch eine persönliche Zusammenkunft mit der zuständigen Person der Meldestelle möglich sein.

                 

                  Für die eingegangenen Meldungen gibt § 11 HinSchG entsprechende Dokumentationspflichten vor:

                      • Tonaufzeichnung (Genehmigung der meldenden Person notwendig)
                      • Zusammenfassung in Form eines Vermerkes
                      • Vollständige Niederschrift in Form eines Protokolls (Genehmigung der meldenden Person notwendig)

                   

                    Grundsätzlich muss der hinweisgebenden Person die Möglichkeit gegeben werden, den Vermerk oder das Protokoll zu überprüfen, ggf. zu korrigieren und mit Unterschrift zu bestätigen.

                      Bei der Implementierung einer Hinweisgeberstelle im Unternehmen sind jedoch auch die Vorgaben des Datenschutzes, des Arbeits- und Gesellschaftsrechts sowie eventuelle internationale Bestimmung (bei internationalen Organisationen) zu beachten.

                        Die Vorteile eines Hinweisgebersystems für das Unternehmen sind:

                          Vertrauen schaffen

                            Indem Mitarbeitern, aber auch Geschäftspartnern bzw. der Öffentlichkeit (bei einem generellen Ansatz) die Möglichkeit gegeben wird, Hinweise auf strafbares Verhalten vertraulich zu melden, erzeugt dies Vertrauen in die Integrität des Unternehmens und kann maßgeblich zur Stärkung der Reputation beitragen.

                               

                                Schutz der Mitarbeiter

                                  Mitarbeiter werden geschützt, wenn sie entsprechende Informationen weiterleiten. Dadurch können potentielle Risikofelder schneller entdeckt und damit auch behoben werden. Durch den bestehenden Schutz der Mitarbeiter erfolgen tendenziell offene Rückmeldungen über eventuelle Fehlentwicklungen.

                                     

                                      Kontrolle

                                        Eine Hinweisgeberstelle fungiert als eine Art „Frühwarnsystem“, das potentielle Risikofelder durch das Einbinden der Mitarbeiter und deren frühzeitige Sensibilisierung (z.B. durch Schulungen) rechtzeitig aufzeigen kann.

                                           

                                            Teil der internen Compliance / Reduzierung von Haftungsrisiken möglich

                                              Neben der Umsetzung der Vorgaben des HinSchG (und damit der Whistleblower-Richtlinie der EU) ist ein effizientes und sinnvoll angelegtes Hinweisgebersystem ein wesentlicher Baustein für ein effektives Compliance-Management-System (CMS). Insbesondere im IDW PS 980 werden Hinweisgebersysteme ausdrücklich als präventive Maßnahme eines CMS (Tz. A17) aufgeführt. Bei einer Umsetzung eines CMS bzw. auch bereits bei einzelnen Bausteinen, wie der Implementierung eines Hinweisgebersystems können sich folgende Auswirkungen auf die potentiellen Sanktionen bei aufgetretenen Verstößen ergeben:

                                                  • die Sanktionshöhe kann erheblich geringer bemessen werden
                                                  • die Sanktionen können ggf. zur Bewährung ausgesetzt werden
                                                  • möglicherweise wird sogar ganz von einer Verfolgung abgesehen

                                               

                                                Stärkt den Unternehmenserfolg

                                                  Analog zu dem Punkt „Vertrauen schaffen“, erfolgt auch eine Stärkung des Unternehmens im Markt. Durch das Reduzieren von Risiken (sowohl rechtlicher als auch wirtschaftlicher Natur) und der Stärkung des Vertrauens wird die Reputation geschützt, die Unternehmenskultur gefördert und damit auch das „Standing“ im Wettbewerb. Insbesondere in Branchen mit einem hohen Wettbewerbsdruck kann zukünftig ein funktionierendes CMS dafür sorgen, bei ansonsten gleichen Faktoren gegenüber Mittbewerbern den Zuschlag zu erhalten.

                                                    Wie kann die Creditreform Compliance Services GmbH (CCS) unterstützen?

                                                      Die CCS hat langjährige Erfahrung im Betrieb einer externen Hinweisgeberstelle, da z.B. im Rahmen der Auslagerung der Funktion des Geldwäschebeauftragten entsprechende fachspezifische Meldekanäle vorgeschrieben waren und von der CCS erfolgreich betrieben wurden.

                                                        Die CCS setzt zur Umsetzung der Vorgaben der Richtlinie auf eine IT-gestützte Lösung. Hierbei fungiert die CCS als Bearbeiter der eingehenden Meldungen und somit auch als direkter Ansprechpartner für die Hinweisgeber, welche in der Regel den Kontakt zu einer externen Person bevorzugen, insbesondere bei Meldungen sensiblerer Themen.

                                                          Sprechen Sie uns an, wenn Sie Interesse an weitergehenden Informationen oder einer individuellen Beratung haben.

                                                            Als Ansprechpartner stehen Ihnen zur Verfügung:

                                                              Ralf Inderwies
                                                              Senior Consultant Compliance & AML
                                                              Tel: 02131 109 1202
                                                              Mail: r.inderwies@creditreform-compliance.de

                                                                Yassir Lahrichi
                                                                Consultant Compliance & AML
                                                                Tel: 02131 109 1079
                                                                Mail: y.lahrichi@creditreform-compliance.de

                                                                  Cornelia Schmitz
                                                                  Consultant Compliance & AML
                                                                  Tel: 02131 109 3810
                                                                  Mail: c.schmitz@creditreform-compliance.de

                                                                     

                                                                      [1] jmd., der als Eingeweihter Informationen an die Öffentlichkeit weitergibt und damit auf Missstände in Unternehmen, staatlichen Einrichtungen o. Ä. hinweist

                                                                        Autor: Yassir Lahrichi, Consultant Compliance & AML, Creditreform Compliance Services GmbH