HinSchG: Datenschutz und Dokumentationspflichten im Fokus

Nach langem Ringen hat der Gesetzgeber das Hinweisgeberschutzgesetz (HinSchG) verabschiedet. Seit seinem Inkrafttreten am 2. Juli 2023 verpflichtet das Gesetz Beschäftigungsgeber ab regelmäßig 50 Beschäftigten zur Einrichtung eines internen Meldesystems und stellt umfangreiche Informationspflichten auf. Bei Finanzdienstleistern gilt diese Pflicht sofort und unabhängig von der Beschäftigtenzahl. Trotz des längeren und umfangreichen Gesetzgebungsprozesses steht am Ende ein Gesetz, welches viele Fragen und Problemfelder offenlässt. Ist die Einrichtung einer konzernweiten internen Meldestelle zulässig? Darf eine solche konzernweite interne Meldestelle im Ausland sitzen? Wie muss mit Zweigniederlassungen umgegangen werden? Wir stellen die wesentlichen Kernpunkte des neuen HinSchG für Sie zusammen und geben Antworten auf die für die Praxis hoch relevanten Fragen.

Neben effektiven und zu begrüßenden Vorschriften zum Schutz von Whistleblowern, lässt das HinSchG seinen Rechtsanwender in vielen Fällen ohne ausdrückliche Antwort zurück:

• Beschäftigungsgeber mit in der Regel mehr als 50 Beschäftigten haben ein internes Hinweisgebersystem einzurichten. Je nach Größe der angesprochenen Beschäftigungsgeber schwankt die Umsetzungsfrist von sofort bis zum Ende dieses Jahres. Beim sachlichen Anwendungsbereich ungeklärt bleibt etwa die Frage der Anwendbarkeit auf Zweigniederlassungen. Denn: wenn der Gesetzgeber von Beschäftigungsgebern spricht, hat er v.a. juristische Personen des Privat- und/oder Öffentlichen Rechts im Blick. Da Zweigniederlassungen allerdings keine juristischen Personen im Rechtssinne darstellen, ist das HinSchG auf sie nicht anwendbar. Es bleibt daher abzuwarten, wie der europäische Gesetzgeber die - wohl unzureichende - Umsetzung durch Deutschland in diesem Fall bewerten wird.
• Unbedingt beachtet werden sollte der weite persönliche Anwendungsbereich des HinSchG: nicht nur momentan Beschäftigte sind zur Meldung eines (möglichen) Verstoßes berechtigt, sondern auch Stellenbewerber und bereits ausgeschiedene Mitarbeitende.
• Kontrovers diskutiert wird die Frage, ob auch ein bereits bestehendes internes Reporting-System im Ausland die Vorgaben des HinSchG erfüllt. Der deutsche Gesetzgeber geht in seiner Gesetzesbegründung von einem Konzernprivileg aus. Das HinSchG lässt dies jedenfalls ausdrücklich zu. Zu beachten sind allerdings die einschlägigen Datenschutzvorschriften und spezielle aus dem HinSchG resultierende Pflichten, etwa die Ermöglichung eines physischen Treffens auf Wunsch des Whistleblowers. Zur effektiven Anwendung des HinSchG sollte zudem darauf geachtet werden, dass die Informationen über das HinSchG auf deutscher Sprache verfügbar sind.
• Grundsätzlich besteht ein Wahlrecht zwischen der internen oder der externen Meldestelle. Da es der Gesetzgeber versäumt hat, eine vorrangige interne Meldung gesetzlich vorzuschreiben, sollten Beschäftigungsgeber ihre Speak-Up Kultur fördern und Anreize für eine vorrangige interne Meldung etablieren. Gerade deshalb empfehlen wir, auch von der Möglichkeit der Einführung von anonymen Meldungen Gebrauch zu machen. Nicht abschließend geklärt ist zudem die Frage, ob das Recht der hinweisgebenden Person, sich an die externe Meldestelle zu richten, verbraucht ist, falls sich die Person bereits an das interne Reporting-System gewandt hat.
• Hinweisgebende Personen genießen einen umfangreichen Schutz, sofern ihre Meldung in den Anwendungsbereich des HinSchG fällt und ein ausreichender Anlass für eine Meldung bestand. Richtigerweise nimmt das Gesetz auch nur solche Verstöße mit in den Anwendungsbereich, die einen unternehmerischen, dienstlichen oder beruflichen Bezug haben. Nach einer berechtigen Meldung sind vom Gesetz in zu begrüßender Weise etwaige Repressalien gegen den Whistleblower ausgeschlossen und führen u.U. sogar zum Schadensersatz. Umgekehrt ist aber richtigerweise die hinweisgebende Person zum Schadensersatz verpflichtet, wenn sie vorsätzlich oder grob fahrlässig eine Falschmeldung formuliert.
• § 10 HinSchG erlaubt die Verarbeitung personenbezogener Daten zum Zwecke der Erfüllung der Pflichten aus dem HinSchG. Rechtsprobleme ergeben sich, wenn das interne Reportingsystem neben den vom HinSchG erfassten Verstößen auch unternehmensinterne Richtlinien in den Anwendungsbereich einbezieht. In Bezug auf diese Verstöße kann § 10 HinSchG nicht herangezogen werden. Vor dem Hintergrund der neuen Rechtsprechung des EuGH zur Unwirksamkeit von § 26 Abs. 1 BDSG sollte beobachtet werden, auf welche Rechtsgrundlage der Beschäftigtendatenschutz - auch im Rahmen eines internen Reportingsystems - zukünftig begründet werden kann.
• Beschäftigungsgeber trifft eine dreijährige Dokumentationspflicht für eingegangene und bearbeitete Meldungen. Hier zeigt sich erneut die unflexible Handhabung des deutschen Gesetzgebers, indem er die Dokumentationszeit von drei Jahren nicht an das Erfordernis einer ernstzunehmenden Meldung knüpft. Die pauschale Frist von drei Jahren für alle Meldungen lässt unnötigerweise mögliches Entbürokratisierungspotential unberücksichtigt.
• Beschäftigungsgeber, die in den Anwendungsbereich des HinSchG fallen, sollten zukünftig daher folgende Punkte überprüfen und ggf. anpassen:
• Erfüllt das bereits bestehende Hinweisgebersystem über alle Anforderungen nach dem neuen HinSchG? Sind Anpassungen/Refreshments notwendig?
• Verfügen die mit der internen Meldestelle betrauten Personen über hinreichende Fachkenntnis? Oder sind etwaige Schulungen durchzuführen?
• Aktiv werden: Speak-Up Kultur fördern und fordern
• Mitbestimmungsrechte des Betriebsrates beachten
• Sind alle Verfahrensvorschriften eingehalten? Sind die gesetzlich vorgeschriebenen Löschungs- und Dokumentationsfristen eingehalten? Hier sollte insbesondere ein Augenmerk auf die unterschiedlichen Löschfristen nach dem LkSG geachtet werden.