Mit dem HinSchG-E wird die Richtlinie (EU) 2019/1937 (sog. Whistleblower-Richtlinie) in nationales Recht umgesetzt. Eigentlich hätte diese Richtlinie bereits bis 17.12.2021 national umgesetzt werden müssen, das Gesetzgebungsverfahren war aber in der letzten Legislaturperiode gescheitert.
© iStockIn Deutschland ist die Finanzwirtschaft bereits heute in weiten Teilen zur Einrichtung von Hinweisgebersystemen verpflichtet, die einen Schutz der Hinweisgeber gewährleisten sollen, so z. B. nach §§ 6 und 53 GwG oder § 25a Abs. 1 S. 6 Nr. 3 KWG. Die genaue Ausgestaltung der Systeme blieb aber in weiten Teilen den betroffenen Unternehmen selbst überlassen. Demgegenüber sieht nun das HinSchG-E konkrete Regelungen und Fristen, z. B. in Bezug auf Rückmeldungen an den Hinweisgeber, vor.
Aber auch für die Unternehmen des Finanzsektors, die bereits über Hinweisgebersysteme verfügen, besteht über das HinSchG-E Handlungsbedarf. Sie müssen ihre bestehenden Hinweisgebersysteme, eine schriftlich fixierte Ordnung und Prozesse an die teilweise konkreteren Regelungen des HinSchG-E anpassen und dabei ggfs. neu ausrichten. Bei Verstößen drohen u.a. empfindliche Geldbußen.
Hinweis: Für bspw. Finanzunternehmen, reine Anbieter von Nebendienstleistungen, Versicherungs-Zweckgesellschaften, Pensionsfonds sind die Regelungen zum Hinweisgeberschutz neu und damit künftig vollständig zu beachten.
Ab wann muss ein Hinweisgebersystem implementiert sein?
Die Unternehmen können grundsätzlich die Umsetzung der Richtlinie in deutsches Recht abwarten. Damit ist jedoch zeitnah zu rechnen, auch wenn derzeit noch offen ist, wann das Gesetz in Kraft tritt. Entsprechend der Übergangsregelung in § 42 Satz 1 HinSchG-E ist geplant, dass Arbeitgeber in der Privatwirtschaft mit in der Regel 50 bis 249 Beschäftigten ein entsprechendes Hinweisgebersystem erst bis 17.12.2023 einrichten müssen.
Die Übergangsfrist greift gemäß § 42 Satz 2 HinSchG-E allerdings nicht für die in § 12 Abs. 3 HinSchG-E aufgeführten Unternehmen des Finanzsektors, wie z. B. Institute i. S. d. § 1 Abs. 1b KWG, Wertpapierdienstleistungsunternehmen i. S. d. § 2 WpHG, Börsenträger i. S. d. BörsenG oder Kapitalverwaltungsgesellschaften i. S. d. 17 Abs. 1 KAGB.
Welche Unternehmen sind betroffen?
Von den Regelungen des HinSchG-E sind grundsätzlich alle Unternehmen mit mehr als 50 Beschäftigten betroffen. Bei Kreditinstituten, Kapitalverwaltungsgesellschaften, Börsenträger, Datenbereitstellungsdiensten, Wertpapierdienstleistungsunternehmen, bestimmten Gegenparteien und Versicherungsunternehmen greifen die Regelungen gemäß § 12 Abs. 2 HinSchG-E größenunabhängig für alle Unternehmen. Diese müssen nach dem vorliegenden Referentenentwurf sichere interne Meldekanäle vorhalten bzw. bestehende Kanäle an die neuen Anforderungen adaptieren und entsprechende Prozesse implementieren bzw. anpassen. Für diese Unternehmen ist keine Übergangsregelung vorgesehen.
Hinweis: Regulierte Unternehmen, wie Kreditinstitute, Kapitalverwaltungsgesellschaften, Wertpapierdienstleistungsunternehmen oder Versicherungsunternehmen, sind schon jetzt nach den für sie ergänzend geltenden branchenspezifischen Vorschriften zur Einrichtung von Hinweisgeberstellen verpflichtet (vgl. § 25a Abs. 1 Satz 6 Nr. 3 KWG, § 28 Abs. 1 Satz 2 Nr. 9 KAGB, § 58 WpHG und § 23 Abs. 6 VAG).
In welchem Verhältnis steht das HinSchG zu anderen bereits bestehenden Meldeverpflichtungen?
Das HinSchG-E ist subsidiär zu den branchenspezifischen Regelungen für den Finanzsektor sowie denen des Strafgesetzbuches. Gerade im Banken- und Versicherungssektor existieren bereits umfangreiche Regelungen, wie z. B. § 6 und § 53 GwG zur Meldung von Geldwäscheverstößen, Einrichtung entsprechender Meldesysteme und Schutz der Hinweisgeber.
Soweit bereits ein Meldesystem greift, auf das § 4 Abs. 1 HinSchG-E verweist, geht dieses vor, und das HinSchG-E soll nicht angewendet werden. Nur dort wo spezialgesetzliche, branchenbezogene Regelungen nicht greifen, findet das HinSchG-E Anwendung. So ist bspw. der Katalog der nach dem HinSchG-E möglichen zu meldenden Verstöße deutlich umfangreicher (z. B. Schutz bei elektronischer Kommunikation, Schutz personenbezogener Daten).
Welche Arten von Hinweisgebersystemen sind möglich?
Für hinweisgebende Personen sollen gemäß § 7 HinSchG-E zwei gleichwertig nebeneinanderstehende Meldewege bestehen. Hierbei handelt es sich zum einen um interne und zum anderen um externe Meldekanäle.
Bei der genauen Ausgestaltung des internen Meldekanals besteht Gestaltungsspielraum, z. B. in Form einer Einrichtung einer elektronischen Meldemöglichkeit oder der Entgegennahme der Meldungen durch einen Rechtsanwalt als externer Ombudsmann. Die betreffende Person benötigt hinreichende Kompetenzen, um die notwendige rechtliche Bewertung der Meldungen vornehmen zu können.
Die Meldewege müssen so ausgestaltet sein, dass Hinweise in schriftlicher oder mündlicher Form erfolgen können. Außerdem sollte auf Wunsch des Hinweisgebers auch eine physische Zusammenkunft innerhalb eines angemessenen Zeitrahmens ermöglicht werden.
In jedem Fall muss die Vertraulichkeit (Anonymität ist nicht vorausgesetzt) des Hinweisgebers gewahrt werden.
Hinweis: Die verschiedenen Meldemöglichkeiten können auch miteinander kombiniert werden. Welche Lösung favorisiert wird, hängt vom konkreten Einzelfall, u. a. von Größe, Struktur und Weiträumigkeit der Unternehmensorganisation und letztlich davon ab, ob intern eine fachlich geeignete Person bestimmt werden kann.
Zusätzlich sollte, hierzu besteht aber keine Verpflichtung, das Hinweisgebersystem auch von Personen außerhalb des Unternehmens genutzt werden können. Hierbei handelt es sich etwa um Organmitglieder und Aktionäre des Unternehmens, Bewerber, Selbstständige bzw. ehemalige Beschäftigte. Der Anwendungsbereich des HinSchG-E ist somit weitergefasst als bspw. die Regelung des § 25a KWG, der sich nur auf Mitarbeiter erstreckt.
Hinweis: Ein externer Zugriff auf die internen Meldekanäle ist zumindest bei Großbanken i. d. R. bereits heute vorgesehen.
Externe Meldekanäle
Neben der Etablierung eines internen Meldesystems müssen die Unternehmen ihren Mitarbeitern auch verständliche und leicht zugängliche Informationen über die Möglichkeiten externer Meldungen an bestimmte Behörden erteilen. Hierzu werden auf Landes- und Bundesebene externe Meldestellen eingerichtet, soweit solche noch nicht existieren.
Die BaFin hat bereits seit 2016 eine externe Hinweisgeberstelle zur anonymen Meldung vermuteter Verstöße bei von ihr beaufsichtigten Unternehmen gegen das Aufsichtsrecht aufgebaut, die sie jüngst über die Einrichtung eines speziellen Referats weiter ausgebaut und ihren Webauftritt neugestaltet hat.
Hinweis: Anders als bisher hat die interne Meldung keinen Vorrang mehr. Der Hinweisgeber kann frei entscheiden, ob er Verstöße unternehmensintern meldet oder sich extern an eine Behörde, z. B. die BaFin, wendet.
Welche Meldungen genießen Hinweisgeberschutz?
Das HinSchG-E geht in seinem Anwendungsbereich über die Vorgaben der Whistleblower--Richtlinie hinaus. Danach sind Hinweisgeber bei der Meldung von Verstößen geschützt, die strafbewehrt oder (mit einigen Einschränkungen) bußgeldbewehrt sind. Darüber hinaus erstreckt sich der sachliche Anwendungsbereich auf sonstige Verstöße gegen Rechtsvorschriften des Bundes und der Länder sowie unmittelbar geltende Rechtsakte der EU und der Europäischen Atomgemeinschaft. Darunter fallen u. a. Vorgaben
- zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung,
- zur Produktsicherheit und -konformität,
- zur Verkehrssicherheit inklusive Eisenbahnsicherheit, Seeverkehrs- und Luftverkehrssicherheit,
- zum Umweltschutz,
- zum Strahlenschutz und zur kerntechnische Sicherheit,
- zum Verbraucherschutz,
- zum Schutz der Privatsphäre und personenbezogener Daten sowie zur Sicherheit von Netz- und Informationssystemen,
- die weit über die im Finanzsektor bereits bestehenden Regelungen hinaus gehen.
Hinweisgeber-Meldung - und dann?
Geht eine Meldung im Unternehmen ein, ist die Vertraulichkeit der Identität des Hinweisgebers und Dritter, die in der Meldung erwähnt werden, zu wahren.
Unbefugte Mitarbeiter dürfen keinen Zugriff auf die Meldung haben. Dem Hinweisgeber muss der Eingang der Meldung innerhalb von sieben Tagen bestätigt werden.
Die Unternehmen müssen eine unparteiische Person oder Abteilung benennen, die basierend auf den Meldungen Folgemaßnahmen, etwa interne Nachforschungen und Ermittlungen, ergreift. Zudem muss den Hinweisgeber innerhalb von maximal drei Monaten eine Rückmeldung zu veranlassten Maßnahmen/Untersuchungen gegeben werden. Eingehende Meldungen sind zu dokumentieren.
Hinweis: Da es den Hinweisgebern offensteht, den Weg der internen oder externen Meldung zu beschreiten, sollten Unternehmen professionelle interne Strukturen schaffen. Nur wenn Hinweisgeber darauf vertrauen können, dass Unternehmen Hinweise ernst nehmen, ihnen sorgfältig nachgehen, Straftaten und Unregelmäßigkeiten aufklären und angemessen sanktionieren, werden sie sich interner Meldestrukturen bedienen.
Schutzwirkung für den Hinweisgeber
Hinweisgeber genießen nur dann rechtlichen Schutz, wenn ein berechtigter Grund zu der Annahme bestand, dass die gemeldeten Informationen über Verstöße zum Zeitpunkt der Meldung der Wahrheit entsprachen, in den Anwendungsbereich des Gesetzes fielen und sie diese über die vorgegeben internen oder externen Meldekanäle abgegeben haben. Unter diesen Voraussetzungen verbietet der Referentenentwurf jede Form von Repressalien, Diskriminierungen oder Benachteiligungen. Bei Verstößen sieht das HinSchG-E Sanktionierungen mit empfindlichen Geldbußen zwischen 20.000 Euro und 100.000 Euro vor. Diese Bußgelder können sowohl die Verantwortlichen als auch die jeweiligen Unternehmen betreffen.
Hinweis: Unternehmen des Finanzsektors sollten schon jetzt ihre vorgehaltenen Hinweisgebersysteme dahingehend prüfen, ob sie auch den geplanten Anforderungen des HinSchG-E genügen. Einzelaspekte sind z. B. die Sicherstellung der Vertraulichkeit, die Wirksamkeit der Prozesse und Verfahren zum Umgang mit internen Meldungen, die Beachtung datenschutzrechtlicher Vorschriften und die ergänzende Einführung externer Meldekanäle.
