Ein Gastbeitrag von Astrid Meyer-Krumenacker, Rechtsanwältin.
Bis zum 17. Dezember 2023 müssen alle Unternehmen mit mehr als 50 Mitarbeitenden (gezählt wird die Kopfzahl, nicht die Kapazität) das Gesetz zum Schutz der Hinweisgeber (Hinweisgeberschutzgesetz – HinSchG) umgesetzt haben. Viele der betroffenen Firmen sind noch mitten in der Planungsphase oder machen sich sogar jetzt erst Gedanken, wie man das sinnvoll gestalten kann. Für die Realisierung sollten sie allerdings ausreichend Zeit mitbringen. Die einfachste Lösung ist die Nutzung eines digitalen Systems, das die gesetzlichen Anforderungen des Hinweisgeberschutzgesetzes ebenso erfüllt wie die Anforderungen an die IT-Sicherheit.
Allerdings ist es mit dem Installieren einer Softwarelösung alleine nicht getan. Die Anforderungen des Hinweisgeberschutzgesetzes sind vollständig umzusetzen, sonst drohen Bußgelder. Die Mitarbeitenden, die die Meldestelle für das Hinweisgebersystem betreuen sollen (die sogenannten „betrauten Personen“), benötigen nach § 15 Absatz 2 HinSchG einen Fachkundenachweis. Die Mitspracherechte des Betriebsrates nach § 87 Absatz 1 BetrVG sind zu berücksichtigen, oft besteht der Betriebsrat auf einer Betriebsvereinbarung.
Eine sehr wichtige Rolle spielt auch der Datenschutz. DSGVO und BDSG sind bei der Einführung eines Hinweisgebersystems ebenso zu beachten wie die Anforderungen aus dem Hinweisgeberschutzgesetz. Jede Meldung enthält personenbezogene Daten, mit denen sorgfältig umzugehen ist. Gelangen Informationen über ein angebliches Fehlverhalten an die Öffentlichkeit, kann dies gravierende Folgen für die betroffene Person haben. Deshalb sollte man zum Beispiel für ein Hinweisgebersystem eine Datenschutzfolgenabschätzung (DSFA) nach Art. 35 DSGVO durchführen.
Zweifellos ist es mit Aufwand verbunden, ein solches System zu installieren. Lohnt sich dieser Aufwand? Nach meiner Einschätzung ja.
Das Hinweisgebersystem markiert einen ganz wesentlichen Baustein eines Compliance Management-Systems und des betrieblichen Risikomanagements. Hat man dieses System ordentlich eingeführt und die Mitarbeitenden informiert, welches Fehlverhalten zu melden ist – nämlich Verstöße, die strafbar sind oder bestimmte Ordnungswidrigkeiten, die dem Schutz von Leben und Gesundheit der Bürger sowie dem Schutz der Rechte von Beschäftigten dienen – stellt es ein optimales Frühwarnsystem dar. Es ist einfach angenehmer, durch eine E-Mail im digitalen System von einem Problem zu erfahren, als durch die Strafverfolgungsbehörden.
In der Regel werden Diebstähle, Betrug, Korruption und Sachbeschädigungen gemeldet. Voraussetzung ist außerdem, dass dieses Fehlverhalten einen Bezug zur beruflichen Tätigkeit hat. Diese Meldungen führen üblicherweise zu Personalmaßnahmen gegenüber denjenigen, die Fehlverhalten begangen haben. Möglicherweise erfolgen auch eine Strafanzeige und eine Klage auf Schadensersatz. Ursache für das Fehlverhalten sind aber meistens mangelhafte Prozesse und Kontrollen, manchmal auch fehlende Unterweisungen oder Schulungen.
Wer also aus einem Hinweisgebersystem den größtmöglichen Nutzen ziehen will, darf bei der Ahndung des Fehlverhaltens nicht aufhören, sondern muss weiterdenken. Insbesondere sollte man sich immer folgende Frage stellen: „Warum konnte dieses Fehlverhalten erfolgreich durchgeführt werden?“. Nach jeder Meldung sind deshalb die relevanten Prozesse zu überprüfen und gegebenenfalls zu optimieren. Vielleicht sind auch Schulungen zu einzelnen Themen notwendig, etwa wenn das Fehlverhalten ein Korruptionsfall war.
Wird das Hinweisgebersystem auf diese Weise genutzt, kann es einen erheblichen Beitrag zur Optimierung der Managementsysteme und Verbesserung der gesamten Organisation leisten.
Ein Hinweisgebersystem wird aber nur dann erfolgreich sein, wenn die Mitarbeitenden es akzeptieren. Dazu ist es notwendig, dass sie verstehen, welches Fehlverhalten gemeldet werden soll und wie die Meldung durchzuführen ist. Außerdem müssen sie ihrem Management vertrauen, dass die Meldungen wirklich vertraulich behandelt werden. Insbesondere darf der Name des Hinweisgebenden nicht ohne Rechtsgrund die Meldestelle „verlassen“. Das bedeutendste Werkzeug zur Erreichung dieses Zieles ist die Kommunikation, wozu bei Einführung des Systems die Erstellung eines Kommunikationskonzepts absolut Sinn macht. Die Mitarbeitenden benötigen sachliche, gut verständliche Informationen zu dem Zweck und der Nutzung des Systems. Es sollte auch ausdrücklich darauf hingewiesen werden, dass Denunziantentum nicht erwünscht ist und der Denunziant auch nach dem Hinweisgeberschutzgesetz nicht geschützt wird. Ein Denunziant kann nach dem Hinweisgeberschutzgesetz sogar mit einem Bußgeld belegt werden und sich gegenüber dem Geschädigten schadensersatzpflichtig machen.
Wenn Sie das Hinweisgeberschutzgesetz umsetzen müssen, machen Sie es richtig und nutzen Sie die Potentiale eines digitalen Hinweisgebersystems für Ihr Risikomanagement und/oder Compliance Management-System. Dann wird sich der Aufwand lohnen.
Link zum Quick-Check Hinweisgebersystem:
https://www.amk-law.de/hinweisgebersystem/
Über die Autorin:
Astrid Meyer-Krumenacker ist Rechtsanwältin in München. Sie verfügt über langjährige Managementerfahrung in verschiedenen Funktionen, unter anderem als Abteilungsleiterin Recht und Versicherungen, Recht und Personal sowie als Compliance Officer. Für einen süddeutschen Verlag ist sie als Autorin zu dem Thema Lieferkettensorgfaltspflichtengesetz tätig. Als erfahrene Problemlöserin unterstützt sie Mittelständler durch die Einführung von Hinweisgebersystemen, Compliance Management-Systemen und der Umsetzung der Anforderungen aus dem Lieferkettengesetz dabei, ihren unternehmerischen Erfolg zu sichern und eigene Risiken zu minimieren. Sie bietet Online-Seminare und Workshops zu verschiedenen Aspekten aus den Bereichen Compliance, Korruptionsvermeidung, Hinweisgebersysteme und Lieferkettensorgfaltspflichten an.
