Häufig gestellte Fragen zum Whistleblowing, der Whistleblowergesetze und zu Compliance

FAQ

Als Whistleblower oder Hinweisgeber bezeichnet man eine Person, die Kenntnis von Missständen innerhalb von Organisationen, etwa Unternehmen oder staatlichen Stellen, erlangt und diese Informationen offenbart. Missstände können sich etwa auf Rechtsverstöße oder unethische Verhaltensweisen beziehen. Whistleblower oder Hinweisgeber offenbaren diese Informationen typischerweise namentlich oder anonym gegenüber der eigenen Organisation, Behörden oder der Öffentlichkeit. Die von dem Whistleblower veröffentlichen Informationen sind häufig brisant, weshalb Whistleblower daher in einigen Ländern besonderen Schutz genießen. Auch die Whistleblower-Richtlinie der Europäischen Union gewährt Hinweisgebern einen besonderen Schutz.
Compliance ist ein in der Betriebswirtschaft, der Rechtswissenschaft, Gesetzgebung und Rechtsprechung gebrauchter Begriff. Er bedeutet die Regelkonformität eines Unternehmens und auch staatlicher Stellen, also die Einhaltung der Gesetze oder anderer bindender oder freiwilliger Rechtsvorschriften (vgl. Stober/Ohrtmann, Compliance, Handbuch für die öffentliche Verwaltung, A, § 1 II Nr. 1). Die Relevanz von Compliance wächst stetig. Insbesondere die Whistleblower-Richtlinie und das Verbandssanktionengesetz machen bald eine effiziente Compliance-Struktur unbedingt erforderlich.
Unter Compliance Management versteht man die Einrichtung einer Compliance Struktur in Organisationen, welche die Einhaltung der Rechtsordnung in dieser Organisation sicherstellen soll. Zur Compliance Struktur gehören etwa besondere Prüfprozesse im Rahmen eines internen Kontrollsystems, die Schulung der Mitarbeiter und dementsprechende Weisungen. Zusätzlich ist durch die Whistleblower-Richtlinie auch ein Hinweisgebersystem einzurichten, das Hinweisgebern anonyme Meldungen über Rechtsverstöße ermöglicht.

Interne wie externe Meldekanäle müssen nach dem geänderten HinSchG jetzt doch ab 1. Januar 2025 die Möglichkeit der anonymen Meldung und der nachfolgenden anonymen Kommunikation mit dem Hinweisgeber bereitstellen. Während die Bearbeitung anonymer Meldungen im Referentenentwurf bloß empfohlen wurde, fand sich im Regierungsentwurf eine Soll-Vorschrift. Nunmehr ist die Bearbeitung anonymer Meldungen Pflicht (vgl. § 16 Abs. 1 S. 4-6 HinSchG). Aus Compliance-Sicht ist diese Änderung begrüßenswert, da sie eine weitere potentielle Hemmschwelle für Hinweisgeber abbaut.

Für diejenigen Unternehmen, deren Meldekanal bisher der klassische „Kummerkasten“ (Briefkasten) war, wird diese Änderung mit Aufwand verbunden sein. Ein solcher Briefkasten dürfte dem Erfordernis nach anonymer Kommunikation nicht gerecht werden. Offen bleibt, ob die einfache E-Mail-Adresse als Meldekanal diesen Anforderungen (noch) gerecht wird.

Die Pflichten hinsichtlich anonymer Meldungen greifen nach der Übergangsvorschrift erst ab 1. Januar 2025 (§ 42 Abs. 2 HinSchG). Das spätere Inkrafttreten dieser Pflicht begründet der Gesetzgeber mit den Zusatzkosten für die notwendigen technischen Vorrichtungen oder der Beauftragung einer Ombudsperson sowie mit den zusätzlichen Belastungen bei der konkreten Einrichtung der Meldestelle (vgl. Beschlussempfehlung HinSchG, S. 61).

Aber: Bereits aus §130 OWiG ergibt sich aktuell die Verpflichtung zur Berücksichtigung plausibler, anonymer Hinweise.

Daneben halten wir es für sehr wichtig, Hemmschwellen für Meldungen abzubauen. Daher empfehlen wir die Ermöglichung anonymer Meldungen. Denn hierdurch schaffen Unternehmen Anreize, das eigene, interne Hinweisgebersystem zu nutzen – und nicht das Hinweisgebersystem einer öffentlichen Stelle.

Der Compliance Manager ist verantwortlich für die Organisation und Struktur des in einer Organisation bestehenden Compliance Systems. Er überwacht also die Einhaltung der Rechtsordnung und sonstiger in der Organisation geltenden verbindlichen Rechtsvorschriften, wozu auch interne Richtlinien zählen.
Eine Compliance Struktur in Organisationen ist aus drei Gründen wichtig: Zum einen minimiert die Organisation damit die Wahrscheinlichkeit von Rechtsverstößen und verhindert damit die eigene straf- oder ordnungswidrigkeitenrechtliche Sanktionierung. Zum anderen ist eine funktionierende Compliance Struktur für potentielle Vertragspartner eines Unternehmens mittlerweile ein wesentliches Kriterium zur Eingehung von Vertragsbeziehungen. Zudem erhöht ein funktionierendes Compliance System die Reputation des Unternehmens oder das Vertrauen der Bürger in staatliche Stellen.
Compliance Officer ist ein anderer Begriff für Compliance Manager. Sie sind verantwortlich für die Organisation und Struktur der im Unternehmen bestehenden Compliance Organisation. Sie überwachen also die Einhaltung der Rechtsordnung und sonstiger im Unternehmen verbindlichen Rechtsvorschriften, wozu auch interne Richtlinien zählen.

Die Geschäftsführung ist für die Einrichtung des Hinweisgebersystems verantwortlich, kann die Aufgabe aber delegieren. Zuerst ist die Verankerung des Hinweisgebersystems innerhalb des Unternehmens zu bestimmen, zu fragen ist etwa: Wer soll personell zuständig sein? An wen berichtet der externe Compliance Beauftragte? Hierbei ist zu beachten, dass ein ausreichender Abstand des Hinweisgebersystems zur operativen Organisation des Unternehmens gegeben sein muss. Da das Hinweisgebersystem drei wesentliche Bearbeitungsschritte beinhaltet (1. Analyse des Hinweises; 2. Untersuchung des Sachverhaltes; 3. Personelle/systemische Maßnahmen), muss der Prozess Zuständigkeiten für die drei Phasen beinhalten. Zudem muss eine Koordination mit dem Datenschutzbeauftragten sowie (sofern vorhanden) mit dem Betriebs- bzw. Personalrat erfolgen.

Das neue Hinweisgeberschutzgesetz lässt eine konzernweite Lösung, also die Einrichtung eines zentralen Hinweisgebersystems für alle Töchter- und Konzerngesellschaften, zu. 

Diese Lösungsmöglichkeit hat der Rechtsausschuss im Gesetzgebungsverfahren ausdrücklich aufgegriffen und begrüßt (vgl. Beschlussempfehlung HinSchG, S. 56). Nach der Konzernlösung können einzelne Konzerngesellschaften, die in der Regel nicht über eine eigenständige Compliance-Funktion oder gar Compliance-Abteilung verfügen, ihre interne Meldestelle an ein Konzernunternehmen auslagern. Vorausgesetzt, die Meldestelle auf Ebene der Konzerngesellschaft wahrt die Vertraulichkeitspflichten und ist unabhängig. Zudem darf der Einsatz einer konzernweiten zentralen Meldestelle keinerlei Hürden für den Hinweisgeber bedeuten, d.h. insbesondere keine sprachlichen Barrieren. Ein Hinweis sollte daher in der in der jeweiligen Einzelgesellschaft vorherrschenden Arbeitssprache abgegeben werden können. Der deutsche Gesetzgeber vergleicht die zentrale Meldestelle im Konzern mit dem „Outsourcing“ an eine externe Kanzlei; beide seien „Dritte“ im Sinne von Art. 8 Abs. 5 EU Whistleblowing Richtlinie (RL 2019/1937). Die originäre Verantwortung, den gemeldeten Vorfall aufzuklären, abzustellen und zu ahnden, verbleibt in jedem Fall bei der einzelnen Konzerngesellschaft.

Grenzüberschreitende Gesellschaften mit einer zentralen Compliance-Funktion stellt der europäische Flickenteppich an nationalen Umsetzungen, die teilweise eigene Meldestellen für jede Konzerngesellschaft fordern, jedoch weiterhin vor Herausforderungen.

Compliance Richtlinien sind in einer Organisation bestehende und zu beachtende Regelungen. Diese können entweder der Verhinderung von Verstößen gegen gesetzliche Vorschriften dienen, oder eigene, gesetzlich nicht vorgeschriebene ethische Standards oder Anforderungen vorschreiben.
Digital Compliance oder auch IT-Compliance umfasst zum einen das rechtskonforme Verhalten innerhalb eines Unternehmens bezüglich aller Vorgänge im IT-Bereich, zum anderen die Nutzung der Digitalisierung zur Einrichtung eines verbesserten Compliance Systems. Die sich durch Künstliche Intelligenz (KI) ergebenden Funktionen wie etwa intelligente Dokumentenanalyse können gewinnbringend bei der Fortentwicklung eines Compliance Systems genutzt werden.
Compliance Beauftragter ist ein anderer Begriff für Compliance Manager oder Compliance Officer. Er ist verantwortlich für die Organisation und Struktur der in einer Organisation bestehenden Compliance Organisation. Er überwacht also die Einhaltung der Rechtsordnung und sonstiger verbindlicher Rechtsvorschriften, wozu auch interne Richtlinien zählen.

Nach intensiven Diskussionen wurde das Lieferkettensorgfaltspflichtengesetz am 11. Juni 2021 vom deutschen Bundestag verabschiedet. Damit einigte sich die damalige Bundesregierung auf ein nationales Gesetz, das zunächst Unternehmen mit mehr als 3.000 Beschäftigten dazu verpflichtet, menschen- und umweltrechtliche Vereinbarungen entlang ihrer globalen Lieferkette einzuhalten. Dazu zählen vor allem das Verbot von Kinder- und Zwangsarbeit, das Verbot der Missachtung geltender Pflichten des Arbeitsschutzes, die Achtung der Koalitionsfreiheit und angemessener Löhne, das Verbot schädlicher Umweltverschmutzungen oder übermäßigen Wasserverbrauchs, das Verbot der Ausfuhr und Einfuhr gefährlicher Abfälle, das Verbot widerrechtlicher Zwangsräumung sowie das Verbot der Beauftragung von Sicherheitskräften, wenn dadurch Menschenrechtsverletzungen drohen.

 

Zudem enthält das neue Lieferkettengesetz erstmals umfangreiche menschen- und umweltrechtliche Sorgfaltspflichten, die sich auf die gesamte Lieferkette erstrecken. Diese Sorgfaltspflichten umfassen dabei:

 

  • Einrichtung eines Beschwerdeverfahrens (=Hinweisgebersystem) + Bestellung eines Beauftragten + Ergreifen von Abhilfemaßnahmen bei Kenntnis von Hinweisen
  • Einrichtung eines Risikomanagements
  • Regelmäßige Risikoanalysen
  • Abgabe einer Grundsatzerklärung
  • Verankerung von Präventionsmaßnahmen im eigenen Geschäftsbereich und gegenüber unmittelbaren Zulieferern
  • Umsetzung von Sorgfaltspflichten bzgl. Risiken bei mittelbaren Zulieferern
  • Dokumentation und Berichterstattung

 

Die wichtigste Maßnahme, um den Verpflichtungen des Lieferkettengesetzes nachzukommen, ist die Einrichtung eines Beschwerdeverfahrens und der Betrieb dieses Beschwerdeverfahrens. Ein Beschwerdeverfahren ist eine andere Beschreibung von „Hinweisgebersystem“.Die Unternehmen sollten als ersten Schritt ein Hinweisgebersystem einführen und dieses Hinweisgebersystem den Akteuren ihrer individuellen Lieferkette zur Verfügung stellen. So können Verstöße in der Lieferkette an das Unternehmen gemeldet werden. Dies lässt sich zum Beispiel über AGBs regeln. Die Geschäftsführung macht hiermit einen ersten Schritt Richtung Erfüllung der neuen Pflichten aus dem Sorgfaltspflichtengesetz.

Compliance Schulung bedeutet die Unterrichtung der Mitarbeiter über generelle oder branchenspezifische gesetzliche und unternehmensinterne Anforderungen und Maßnahmen zur Einhaltung dieser Vorgaben. Darüber hinaus sollen die Mitarbeiter für Compliance Themen sensibilisiert und ein Problembewusstsein geschaffen werden, um selbst potentielle Rechtsverstöße im Unternehmen erkennen zu können.

Compliance ist ein angelsächsischer in der Betriebswirtschaft, der Rechtswissenschaft und Gesetzgebung sowie Rechtsprechung gebrauchter Begriff, der die Regelkonformität eines Unternehmens und auch staatlicher Stellen, also die Einhaltung der Gesetze oder anderer bindender oder freiwilliger Rechtsvorschriften bedeuet (vgl. Stober/Ohrtmann, Compliance, Handbuch für die öffentliche Verwaltung, A, § 1 II Nr. 1). Eine exakte deutsche Übersetzung des Begriffs „Compliance“ gibt es nicht.

Whistleblower ist ein englischer Begriff, der sich im Deutschen mit „Hinweisgeber/Hinweisgeberin“ übersetzen lässt. Der Hinweisgeber erlangt als Teil einer Organisation oder als Dritter Kenntnis von geheimen und vertraulichen Informationen – wie Rechtsverstößen oder unethischen Verhaltensweisen – innerhalb der Organisation, etwa Unternehmen oder staatlicher Stellen und offenbart diese Information namentlich oder anonym gegenüber der Organisation, Behörden oder der Öffentlichkeit.

Je größer ein Unternehmen ist, desto höher ist die Wahrscheinlichkeit, dass Meldungen eingehen. Dem Whistleblower Report 2021 (https://www.fhgr.ch/news/newsdetail/whistleblowing-report-2021/) zu Folge wurde bei ca. 50 Prozent der befragten Unternehmen mit Meldestelle illegales und unethisches Verhalten gemeldet. Dabei war nur ein Bruchteil der eingegangenen Hinweise missbräuchlich. In den untersuchten Ländern (Deutschland, Schweiz, Frankreich, Großbritannien) hat im Schnitt jedes Unternehmen ca. 34 Meldungen pro Jahr erhalten. Wobei Großunternehmen sowie international tätige Unternehmen dagegen deutlich mehr Meldungen erhielten.

Ja, der Hinweisgeber soll möglichst umfassend über dem Umgang und das Ergebnis seines Hinweises unterrichtet werden. Innerhalb einer Frist von 7 Tagen nach Eingang einer Meldung ist dem Hinweisgeber der Empfang zu bestätigen. Zudem müssen dem Hinweisgeber die geplanten Folgemaßnahmen sowie das Ergebnis einer etwaigen Untersuchung innerhalb einer Frist von 3 Monaten mitgeteilt werden.

Je nach konkreter Ausgestaltung können bei der Implementierung eines Hinweisgebersystems Mitbestimmungsrechte des Betriebsrats ausgelöst werden. Unternehmen sollten daher ausreichend Zeit für möglicherweise langwierige Verhandlungen mit dem Betriebsrat einplanen und sich frühzeitig mit etwaig bestehenden Mitbestimmungsrechten auseinandersetzen. 

In jedem Fall empfehlen wir, den Betriebsrat bei der Implementierung eines Hinweisgebersystems möglichst frühzeitig ins Boot zu holen, um die Akzeptanz im Unternehmen zu erhöhen. Für Gespräche mit Ihrem Betriebsrat stehen wir Ihnen gerne zur Verfügung. 

Damit im Rahmen von internen Untersuchungen schnelles Handeln gewährleistet ist, sollten Sie bereits im Vorfeld die essenziellen Voraussetzungen für die Einleitung einer internen Untersuchung sowie die Vorgehensweise bei der konkreten Durchführung im Rahmen einer Betriebsvereinbarung regeln. Sie sollten Ihren Betriebsrat daher auch im Hinblick auf interne Untersuchung frühzeitig ins Boot holen. Eine mit dem Betriebsrat zuvor abgeschlossene Betriebsvereinbarung erleichtert die Durchführung der internen Untersuchung sowie die Bearbeitung der eingehenden plausibel erscheinenden Hinweise.

Sofern diese Hinweise notwendig sind, um einen Verstoß oder einen Missstand im Unternehmen aufzudecken, dürfen auch Geschäftsgeheimnisse und vertrauliche Informationen über das Hinweisgebersystem gemeldet werden. Verschlusssachen dürfen hingegen nicht weitergegeben und somit auch nicht über das Hinweisgebersystem gemeldet werden.

Ja, Kommunen mit mehr als 10.000 Einwohnern und öffentliche Unternehmen sind bereits seit dem 18. Dezember 2021 unmittelbar aus der Whistleblower Richtlinie verpflichtet, interne Hinweisgebersysteme einzurichten. Hier besteht in der Praxis ein offensichtlicher Handlungsbedarf, denn die Liste denkbarer Meldungen von Beamten, Angestellten, Lieferanten und Dienstleistern ist lang. So kommen vor allem Hinweise zu Verstößen gegen das Vergabe-, Haushalts- oder Arbeitsrecht sowie gegen die kommunale Satzung in Betracht.  

Die Dokumentation der Meldung ist drei Jahre nach dem Abschluss des Verfahrens zu löschen. Um einen Gleichlauf mit der zivilrechtlichen regelmäßigen Verjährungsfrist zu schaffen, sieht § 11 Abs. 5 HinSchG diese Aufbewahrungsfrist von drei Jahren vor. Hiermit weiterhin nicht gelöst ist die Frage, wie sich die siebenjährige Aufbewahrungsfrist des Meldeverfahrens nach dem Lieferkettensorgfaltspflichtengesetz zu der dreijährigen Frist nach dem HinSchG verhält. Insoweit haben Unternehmen zukünftig ein striktes Löschungskonzept aufzustellen und nachzuhalten.

Ja, gerade in diesem Fall sollte Sie analysieren, warum Sie über das Jahr keine Hinweise über Ihr Hinweisgebersystem erhalten haben. Oft lassen sich fehlende Hinweise darauf zurückführen, dass die Implementierung Ihres Hinweisgebersystem in Ihrem Unternehmen und gegenüber Ihrer Belegschaft nicht hinreichend klar kommuniziert wurde. Wir empfehlen Ihnen in diesen Fällen Ihre Kommunikationsbemühungen zu optimieren.

Das Outsourcing des Hinweisgebersystems an einen externen Dienstleister erhöht die Akzeptanz bei den Mitarbeitern in aller Regel.

Grundsätzlich sind Unternehmen nicht verpflichtet, nach der internen Aufklärung einer Straftat den Vorgang bei den zuständigen Behörden zu melden. Vor der Erstattung einer Strafanzeige sollten Sie daher stets die Umstände des Einzelfalls berücksichtigen und das Für und Wider im Einzelfall abwägen. Dabei sollten Sie sich folgende Fragen stellen: Handelt es sich um einen Einzeltäter oder um ein systematisches Problem? Haben Sie alles getan, um einen solchen Vorfall zu verhindern? Sind staatsanwaltschaftliche Ermittlungen zu erwarten?

Ja, ein wesentlicher Vorteil eines externen Ombudsmannes ist der größtmögliche Schutz des Hinweisgebers sowie die auf Wunsch gewährleistete Anonymität. Hinweisgeber wenden sich in der Regel eher an eine externe Vertrauensstelle als an die interne Rechtsabteilung. Die Einschaltung eines Ombudsmannes als Meldekanal ist daher in jedem Fall eine gute Lösung für Unternehmen. Auf diese Weise können Sie die Gefahr ausräumen, dass sich die Hinweisgeber mangels externer Vertrauensperson gar nicht beim Unternehmen, sondern unmittelbar in der Öffentlichkeit zu Wort melden.

Unsere Investigations- und eDiscovery-Experten unterstützen Sie gerne auch im Fall von internen Untersuchungen. Dies kann z.B. die Sicherung und ein strukturierter Review von E-Mails zur Sachverhaltsaufklärung sein. Bei Bedarf vermitteln wir auch provisionsfrei Experten aus unserem Netzwerk (z.B. auf Kartellverfahren spezialisierte Rechtsanwälte).

Unternehmen und staatliche Stellen sind zum Zweck der Korruptionsprävention aufgefordert, ein Compliance System einzurichten. Außerdem sind sie verpflichtet, ein Hinweisgebersystem einzurichten. Über dieses Hinweisgebersystem können Hinweisgeber Rechtsverstöße wie etwa Korruption im Unternehmen oder der öffentlichen Verwaltung melden, namentlich oder anonym. Um interne Ressourcen zu schonen dürfen Organisationen das Hinweisgebersystem auch extern betreiben lassen.

Die EU-Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (EU-Richtlinie 2019/1937 vom 23.10.2019) ist als Whistleblower-Richtlinie bekannt. Mit dem Hinweisgeberschutzgesetz, das im Juli 2023 in Kraft getreten ist, wurde die Richtlinie in nationales Recht umgesetzt. Bis dahin hat die EU Whistleblower-Richtlinie teilweise unmittelbare Wirkung entfaltet.

Die Whistleblower-Richtlinie ist ein Rechtsakt der Europäischen Union, die den Schutz von Hinweisgebern oder Whistleblowern bezweckt. Die Richtlinie verpflichtet Unternehmen und staatliche Stellen zum einen zur Einrichtung eines Hinweisgebersystems, zum anderen verbietet sie die Sanktionierung von Whistleblowern.

Ziel des Hinweisgeberschutzgesetzes (HinSchG) ist es, Hinweisgebersysteme aus internen sowie externen Meldekanälen zu schaffen, um Hinweisgebern konkrete Möglichkeiten zur Meldung von Verstößen zu geben. Gleichzeitig sollen Hinweisgeber vor arbeitsrechtlichen Sanktionen und Repressalien geschützt werden. Hinweisgeber dürfen, wenn sie einen Verstoß gemeldet haben, nicht gekündigt, herabgestuft, genötigt oder diskriminiert werden. In der Vergangenheit galten Hinweisgeber, die interne Missstände und Verstöße in einem Unternehmen oder einer öffentlichen Behörde gemeldet haben, oft als Denunzianten und erlitten Benachteiligungen. 

Das Hinweisgeberschutzgesetz schützt den Whistleblower arbeitsrechtlich vor Sanktionierungen. Dem Arbeitgeber ist es verboten, arbeitsrechtlich benachteiligende Maßnahmen gegenüber dem Hinweisgeber vorzunehmen. Hierzu gehört auch das Verbot informeller Maßnahmen wie Mobbing. Verstößt das Unternehmen hiergegen und sanktioniert den Whistleblower dennoch, droht dem Unternehmen selbst eine Sanktionierung, etwa in Form eines Bußgelds.

Als Whistleblowing bezeichnet man die Meldung über Rechtsverstöße oder unethische Verhaltensweisen innerhalb einer Organisation durch eine organisationsinterne Person oder einen Dritten, den sog. Whistleblower oder Hinweisgeber. Der Hinweis kann dabei an die betroffene Organisation, Behörden oder die Öffentlichkeit erfolgen. Der Hinweisgeber kann seine Identität zu erkennen geben oder anonym agieren.
Neben gesetzlichen und vertraglichen Anzeigepflichten können spezielle Anzeigepflichten geregelt werden. Unwirksam sind jedoch einzel- oder kollektivvertragliche Vereinbarungen, die die Rechte des Hinweisgebers einschränken. Zu beachten ist jedoch, dass die Unternehmen Anreize schaffen sollen, dass die Mitarbeiter Hinweise zuerst intern melden.

Compliance ist ein in der Betriebswirtschaft, der Rechtswissenschaft, Gesetzgebung und Rechtsprechung gebrauchter Begriff. Er bedeutet die Regelkonformität eines Unternehmens oder auch staatlicher Stellen, also die Einhaltung der Gesetze oder anderer bindender oder freiwilliger Rechtsvorschriften. Die Relevanz von Compliance wächst stetig. Insbesondere das Hinweisgeberschutzgesetz, das Lieferkettengesetz sowie das Verbandssanktionengesetz erfordern umso mehr eine effiziente Compliance-Struktur.

Ein Compliance Manager ist eine Person innerhalb einer Organisation, die verantwortlich für die Organisation und Struktur der im Unternehmen bestehenden Compliance Organisation ist. Sie überwacht die Einhaltung der Rechtsordnung und sonstiger im Unternehmen verbindlichen Rechtsvorschriften, wozu auch interne Richtlinien zählen.
Die Gesamtheit aller in einer Organisation bestehenden Regeln zur Sicherstellung der Konformität mit Rechtsvorschriften und unternehmensinternen Regelungen bezeichnet man als Compliance Management System (CMS). Wichtig ist dabei vor allem die Benennung von Compliance Zielen, die Durchführung von internen Kontrollmaßnahmen sowie die Errichtung der personellen Organisation durch Einrichtung eines Compliance Officers. Je effizienter das Compliance Management System gestaltet ist, umso geringer ist die Gefahr von Verstößen gegen gesetzliche Anforderungen oder unternehmensinterne Standards.

Compliance Regeln sind die neben der Rechtsordnung zusätzlich bestehenden unternehmensinternen Regelungen. Diese von der Organisation selbst getroffenen Regelungen können von der Rechtsordnung nicht geregelte ethische oder moralische Inhalte enthalten.

Die Summe aller unternehmensinternen Regelungen zur Meldung von Rechtsverstößen durch Hinweisgeber, der Umgang mit diesen Meldungen und Folgen dieser Meldungen für das Unternehmen und den Hinweisgeber wird als Hinweisgebersystem bezeichnet. Ein solches Hinweisgebersystem ist seit Dezember 2023 für Unternehmen mit mehr als 50 Arbeitnehmern verpflichtend.

Ein Hinweisgeber oder Whistleblower ist eine Person, die Kenntnis von Rechtsverstößen oder unethischen Verhaltensweisen innerhalb einer Organisation – etwa Unternehmen der Privatwirtschaft oder öffentlicher Stellen – erlangt und sich dann entschließt, dies entweder verantwortlichen Personen im Unternehmen oder der Öffentlichkeit namentlich oder anonym mitzuteilen.
Ein Hinweisgeber teilt Organisationen oder der Öffentlichkeit mit, wenn er Kenntnis von Rechtsverstößen oder unethischen Verhaltensweisen innerhalb einer Organisation erlangt hat. Er kann diese Meldung namentlich oder anonym abgeben.

Privatwirtschaftliche und staatliche Unternehmen mit mehr als 50 Arbeitnehmern und Kommunen, deren Einwohnerzahl 10.000 übersteigt, sind zur Einrichtung eines Hinweisgebersystems verpflichtet. Ab einer Mitarbeiteranzahl von fünfzig sollen Unternehmen ein internes Hinweisgebersystem einführen. Unternehmen, die in den Bereichen der Finanzdienstleistungen, Finanzprodukte und Finanzmärkte sowie der Verhinderung von Geldwäsche und Terrorismusfinanzierung agieren, sind weitergehend unabhängig von der Anzahl ihrer Arbeitnehmer zur Einrichtung eines Hinweisgebersystems verpflichtet.

Neben § 12 des Hinweisgeberschutzgesetzes verpflichten auch § 52 Abs. 1 Geldwäschegesetz, § 8 des Lieferkettengesetzes, § 25a Abs. 1 S. 6 Nr. 3 Kreditwesensgesetz und § 23 Abs. 6 Versicherungsaufsichtsgesetz zur Implementierung eines Hinweisgebersystems.

Ja, ein Hinweisgebersystem sollte zwingend mit den übrigen Elementen eines Compliance Management Systems (CMS) verknüpft werden. Als zentraler Baustein eines effektiven CMS hilft ein funktionierendes Hinweisgebersystem notwendige Anpassungen und Verbesserungen des CMS zu identifizieren. Gleichzeitig dient das Hinweisgebersystem dazu, festzustellen, ob die bereits vorhandenen Compliance-Maßnahmen greifen und auf diese Weise etwaige Fehlverhalten vermieden werden können.

Nach unserer Erfahrung und im Sinne der Akzeptanz des Hinweisgebersystems sollten Sie Ihr Hinweisgebersystem jedenfalls in den jeweiligen Landessprachen Ihrer Niederlassung zur Verfügung stellen.

Ein professionelles Hinweisgebersystem ist sehr sicher.

Ein Praxisbeispiel: Unser digitales Hinweisgebersystem erfüllt alle gesetzlichen Vorgaben und gewährleistet die anonyme Meldung sowie den anonymen Dialog mit dem Hinweisgeber. Das von uns genutzte Hinweisgebersystem wurde vielfach zertifiziert und erfüllt auch in technischer Hinsicht die gesetzlichen Vorgaben:

 

  • ISO/IEC 27001 zertifiziertes deutsches Rechenzentrum
  • ISO/IEC 27001 zertifiziertes Hinweisgebersystem
  • Penetration-Test-Zertifikat Hinweisgebersystem
  • Datenschutzmanagement geprüft und konform (ISO/IEC 27701)

Eine externe Meldestelle ist eine externe Behörde oder die Öffentlichkeit, an die Hinweisgeber mündlich oder schriftlich Informationen über Fehlverhalten und Missstände mitteilen können.

Ja, Hinweisgeber dürfen wählen, ob sie sich zunächst intern an das Unternehmen oder extern an die zuständige Behörde oder die Öffentlichkeit wenden. Daher müssen seitens der Unternehmen Anreize geschaffen werden, dass mögliche Hinweisgeber sich zuerst an das eigene Unternehmen wenden. Nur so können Interna auch intern bleiben. Potentielle Hinweisgeber sollen sich nicht an ein Hinweisgebersystem einer Behörde oder gar die Öffentlichkeit wenden. Klar ist: Wer kein eigenes Hinweisgebersystem betreibt, bietet seinen Mitarbeitern keine Alternative zur externen Meldung.

Eine interne Meldestelle ist eine Stelle innerhalb des Unternehmens, an die mündlich oder schriftlich Informationen über Verstöße und Missstände mitgeteilt werden können. Die Funktion der internen Meldestelle im Unternehmen kann von Führungskräften, einem Compliance-Officer oder einem Ombudsmann wahrgenommen werden.

Jedes Unternehmen kann selbst entscheiden, in welcher Form es seine Meldekanälen einrichten will. So kommt neben dem digitalen Hinweisgebersystem weiterhin eine E-Mailadresse, eine Telefonnummer, ein Briefkasten oder ein persönliches Treffen als Meldekanal in Betracht. Wobei im Rahmen der konkreten Ausgestaltung die Anforderungen an die Vertraulichkeit und Rückmeldung zu beachten sind. In der Praxis werden häufig mehrere Meldekanäle miteinander kombiniert, um allen potentiellen Hinweisgebern die Abgabe einer Meldung zu ermöglichen.

Telefonische Hotlines bieten keine komplette Anonymität und Vertraulichkeit. Um die Identität der Hinweisgeber vollumfänglich zu schützen, sollte neben dem telefonischen auch ein anonymer, digitaler Meldekanal zur Verfügung gestellt werden. Schließlich lassen sich bestehende telefonische Hotlines oft einfach in das digitale Hinweisgebersystem integrieren.

Zur Erfüllung des Hinweisgeberschutzgesetzes ist die Benennung einer Firma wie Hinweisgeberexperte ausreichend. Hinweisgeberexperte nimmt die Hinweise über alle möglichen Meldekanäle entgegen (Digitales Hinweisgebersystem, Telefon, E-Mail, Post, persönliches Treffen), stellt Nachfragen und gewährleistet auf Wunsch die Anonymität des Hinweisgebers.

Nach dem Hinweisgeberschutzgesetz sind Unternehmen nicht dazu verpflichtet, auch Hinweise von sog. Unternehmens-Externen zuzulassen. Gerade vor dem Hintergrund der im Lieferkettensorgfaltspflichtengesetz vorgesehenen Verpflichtung zur Einrichtung eines Beschwerdeverfahrens empfehlen wir Ihnen jedoch, Ihr Hinweisgebersystem auch für Externe zu öffnen.

Ja, nach dem Hinweisgeberschutzgesetz müssen die Hinweisgebersysteme so konzipiert werden, dass die Identität der Hinweisgeber und Dritter, die im Rahmen des Hinweises erwähnt werden, gewahrt wird. Es muss gewährleistet werden, dass nicht befugten Mitarbeitern der Zugriff auf die Daten verwehrt wird.

Das Hinweisgeberschutzgesetz regelt, dass Whistleblower das Wahlrecht haben zwischen der internen oder einer externen Meldestelle. Sie können daher frei wählen, ob sie sich zunächst intern an das Unternehmen oder direkt an eine öffentliche externe Meldestelle wenden.

 

Das Gesetz sieht außerdem vor, dass sich Hinweisgeber auch unmittelbar an die Öffentlichkeit wenden dürfen, § 32 HinSchG.

 

Umso wichitger ist es, eine funktionierende vertrauenswürdige interne Meldestelle zu etablieren, um möglichen Hinweisgebern den Anreiz zu schaffen, sich bevorzugt an die interne Meldestelle zu wenden. So kann sichergestellt werden, dass Interna nicht nach außen gelangen.  

Wir empfehlen Ihnen ein Hinweisgebersystem, das alle Meldekanäle anbietet. Danach sollte neben einer telefonischen Hotline sowie der Möglichkeit eines persönlichen Treffens auch ein anonymer, digitaler Meldeweg zur Verfügung stehen. Nur wenn Sie mehrere Meldekanäle miteinander kombinieren, ermöglichen Sie auch allen potentiellen Hinweisgebern eine Meldung abzugeben.

Jedes Unternehmen kann selbst entscheiden, in welcher Form es seinen Meldekanäle einrichten will. Es bestehen daher im Hinblick auf die Ausgestaltung des Hinweisgebersystems einige Wahlfreiheiten. Um jedoch allen potenziellen Hinweisgebern die Möglichkeit zur Abgabe einer Meldung zu geben, sollten Sie verschiedene Meldekanäle miteinander kombinieren. Hinweisgeberexperte nimmt die Hinweise über alle möglichen Meldekanäle entgegen (Digitales Hinweisgebersystem, Telefon, E-Mail, Post, persönliches Treffen), stellt Nachfragen und gewährleistet auf Wunsch die Anonymität des Hinweisgebers. Diese Lösung ist für alle Unternehmen vom Start-up bis zum international aufgestellten Konzern eine Option und gerade aus der Sicht der Praxis zu empfehlen.

Das sagen unsere Kunden:

Auszug unserer Kunden

Sie möchten Ihr Unternehmen auf das neue Gesetz vorbereiten?

Fordern Sie jetzt Ihre gratis Checkliste an, um rechtliche Fallstricke zu vermeiden. Erhalten Sie zudem regelmäßig aktuelle Rechts-Updates.
Kostenlos für Sie erstellt von Rechtsanwalt Dr. Maximilian Degenhart

Bekannt aus...

Cookie Consent mit Real Cookie Banner