Compliance
Das Hinweisgeberschutzgesetz ist scharf geschaltet
Die Anforderungen an die Unternehmen
Das HinSchG ist am 2.7.2023 in Kraft getreten und stellt die Umsetzung der Richtlinie (EU) 2019/1937 (Hinweisgeberrichtlinie) dar. Deutschland ließ sich Zeit und führte noch die ein oder andere politische Debatte im Gesetzgebungsverfahren.
Abseits einiger Unternehmen, die kraft Gesetzes unabhängig von der Anzahl der Beschäftigten verpflichtet sind, ist die Einrichtung einer internen Meldestelle ab 50 Angestellte erforderlich, § 12 Abs. 2 HinSchG. Wichtig ist hierbei, dass es nicht auf einzelne Betriebsstellen ankommt, sondern die Gesamtanzahl der Beschäftigten der juristischen Person ist maßgeblich, § 3 Abs. 9 HinSchG.
Die Interne Meldestelle
Obgleich die Begrifflichkeit der „internen“ Meldestelle suggeriert, dass es sich hier um einen betriebsinternen Meldekanal handeln könnte, besteht doch die Möglichkeit, dass die interne Meldestelle auf Dritte „extern“ ausgelagert wird. Die Gesetzesbegründung besagt hier ferner:
„Es können, so wie dies auch bereits in der Praxis teilweise durch Ombudspersonen gehandhabt wird, externe Dritte mit der Einrichtung und dem Betreiben der internen Meldestelle beauftragt werden. Insbesondere die Beauftragung externer Anwältinnen und Anwälte als Ombudspersonen ist weiterhin möglich, die die zusätzliche Aufgabe des Betreibens einer internen Meldestelle übernehmen können“ (BT-Drucks 20/3442, Seite 79)
Ebenso kann ein Konzern Ressource bündeln, indem Tochter- oder Schwestergesellschaften als interne Meldestelle fungieren.
“Gemäß dem konzernrechtlichen Trennungsprinzip kann auch bei einer anderen Konzerngesellschaft (zum Beispiel Mutter-, Schwester-, oder Tochtergesellschaft) eine unabhängige und vertrauliche Stelle als „Dritter“ im Sinne von Artikel 8 Absatz 5 HinSch-RL eingerichtet werden, die auch für mehrere selbständige Unternehmen in dem Konzern tätig sein kann. Dabei ist es – wie auch sonst bei der Unterstützung von Unternehmen – notwendig, dass die originäre Verantwortung dafür, einen festgestellten Verstoß zu beheben und weiterzuverfolgen, immer bei dem jeweiligen beauftragenden Tochterunternehmen verbleibt.“ (BT-Drucks 20/3442, Seite 79)
Unklar bleibt bisweilen, ob dieses „Privileg“ nur für Unternehmen mit einer Beschäftigtenanzahl zwischen 50 und 249 gilt (vgl. § 14 Abs. 2 HinSchG, Art. 8 Abs. 6 Hinweisgeberrichtlinie). Die Einschränkung ist im nationalen Recht lediglich in § 14 Abs. 2 HinSchG enthalten; nicht im relevanten Absatz 1 der Norm. Dies sieht die Europäische Kommission in zwei Stellungnahme allerdings kritisch. Derzeit ist die nationale Gesetzeslage allerdings so, wie sie nunmal ist. Ob ein Vertragsverletzungsverfahren eingeleitet oder eine europäische Rechtsprechung zu diesem Thema ergehen wird, bleibt zu beobachten. Für global tätige Konzerne, die bereits Compliancestrukturen aufgebaut haben und ihre Ressourcen bündelten, wird es denkbar darauf hinauslaufen, die Stellen auszubauen.
Die Umsetzung
Last but not least: Wie setzt man eine interne Meldestelle um?
Abseits der Tatsache, dass die Personen, die die Meldestelle betreuen, eine notwendige Fachkunde aufweisen müssen, dürfen auch keine Interessenskonflikte vorliegen. Dies liegt auch auf der Hand. Der bisherige betriebliche Datenschutzbeauftragte kann sicherlich nicht die Meldestelle betreuen, hier liegen für beide Funktionen greifbare Interessenskonflikte vor. Sollte jetzt zusätzlich die Frage aufkommen, ob überhaupt ein Datenschutzbeauftragter bestellt ist, ist daran zu erinnern, dass ab 20 Beschäftigte dieser zwingend zu bestellen ist, § 38 Abs. 1 BDSG.
Ferner sollte eine Datenschutzfolgenabschätzung nach Art. 35 DSGVO durchgeführt werden, insbesondere dann, wenn technische Systeme zum Einsatz kommen, über die Meldungen abgegeben, entgegengenommen und bearbeitet werden können.
Die Übergangsphase ist abgelaufen
… denn seit dem 17.12.2023 muss diese interne Meldestelle für Unternehmen der Größe 50 bis 249 Beschäftigte eingerichtet sein, ansonsten droht ein Bußgeld bis zu 20.000,00 EUR.