Häufig gestellte Fragen
- Für wen gilt die EU-Whistleblower-Richtlinie?
- Wer muss die Whistleblower Richtilinie umsetzen?
- Was besagt die Whistleblower Richtlinie?
- Wann tritt das Hinweisgeberschutzgesetz in Kraft?
- Ist Whistleblowing erlaubt?
- Weshalb ist Whistleblowing wichtig?
- Wie werden meine Hinweise bearbeitet?
- Was bedeutet Compliance?
- Was ist der "Deutsche Corporate Governance Kodex (DCGK)?"
- Was regelt die neue "Whistleblower-Richtlinie"?
- Welche Verstöße sollen nach dem HinweisgeberschutzGesetz-E gemeldet werden?
- Was ist das deutsche Hinweisgeberschutzgesetz (HinSchG)?
- Was müssen Unternehmen jetzt über das Hinweisgeberschutzgesetz wissen um vorbereitet zu sein, wenn das Gesetz in Kraft tritt?
- Wie lange werden die Hinweise aufbewahrt?
Für wen gilt die EU-Whistleblower-Richtlinie?
Das Hinweisgeberschutzgesetz gilt für Unternehmen ab 50 Beschäftigte und öffentliche Einrichtungen, Behörden und Kommunen ab 10.000 Einwohner. Diese sind verpflichtet, ein Hinweisgebersystem einzurichten. Unabhängig von der Anzahl der Beschäftigten gilt das Gesetz auch für bestimmte Wertpapierdienstleistungsunternehmen, Börsenträger, Kapitalverwaltungsgesellschaften und Versicherungsunternehmen.
Wer muss die Whistleblower Richtilinie umsetzen?
Der Referentenentwurf des Hinweisgeberschutzgesetzes verpflichtet
- Unternehmen ab 50 Beschäftigten
- Öffentliche Einrichtungen, Behörden und Kommunen ab 10.000 Einwohnern ein Hinweisgebersystem für Whistleblower bereitzustellen.
Was besagt die Whistleblower Richtlinie?
Das Hinweisgeberschutzgesetz (HinSchG-E) verpflichtet Unternehmen, Behörden, öffentliche Einrichtungen und Kommunen, Hinweisgebersysteme einzurichten. Damit werden Hinweisgeber (sog. "Whistleblower") besser vor Sanktionen und Repressalien geschützt.
Wann tritt das Hinweisgeberschutzgesetz in Kraft?
Mit dem Hinweisgeberschutzgesetz (HinSchG-E) wird die "EU-Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden" (2019/1937) umgesetzt. Die Pflicht zur Umsetzung lief bereits am 17. Dezember 2021 ab - da dieses nicht erfolgte, wurde ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet.
Es ist davon auszugehen, dass das Hinweisgeberschutzgesetz zeitnah - noch in 2022 - in Kraft treten wird.
Ist Whistleblowing erlaubt?
Ja, Whistleblowing ist erlaubt. Es besteht auch der dringende Bedarf, dass Personen, die Kenntnisse von Regelverstößen haben, diese Kenntnisse nicht für sich behalten, sondern melden. Nur dadurch ist es Unternehmen, öffentlichen Einrichtungen und Kommunen möglich, auf Regelverstöße zu reagieren und Gegenmaßnahmen einzuleiten.
Weshalb ist Whistleblowing wichtig?
Unternehmen, öffentlichen Einrichtungen und Kommunen nehmen heute eine Vielzahl der Aufgaben wahr. Es müssen viele Vorschriften berücksichtigt werden; es wird von den Beteiligte (Beschäftigte, Kunden, Lieferanten, Interessenten, Dienstleister usw.) auf vielfältige Art und Weise kommuniziert (Telefon, Messenger, E-Mail, Brief, Fax, Textnachrichten usw.). Es ist daher nicht immer möglich, alle Prozesse so zu gestalten, dass Verstöße gegen Gesetze, Verordnungen, Richtlinien, Satzungen, Betriebsvereinbarungen, Verträge, behördliche Vorgaben usw. vermieden werden.
Erst wenn es jeder Person, die am Prozess beteiligt ist, ermöglicht wird, Verstöße sicher und vertraulich zu melden, kann die betroffene Stelle auf Fehlverhalten reagieren und Prozesse optimieren.
Wie werden meine Hinweise bearbeitet?
Der Hinweis wird vertraulich behandelt. Auf Wunsch erfolgt eine Anonymisierung des Hinweises, sodass von Dritten nicht nachvollzogen werden kann, von wem der Hinweis stammt. Innerhalb einer Frist von sieben Tagen wird der Hinweisgeber darüber informiert, dass sein Hinweis eingegangen ist. Innerhalb einer weiteren Frist von drei Monaten wird der Hinweisgeber darüber informiert, welche Maßnahmen eingeleitet wurde, um das mitgeteilte Fehlverhalten abzustellen.
Was bedeutet Compliance?
Der Begriff Compliance stammt aus dem amerikanischen Recht und bedeutet übersetzt »Rechtstreue« oder »Regelkonformität«. Vereinfacht verstehen stehen wir unter »Compliance« alle technischen und organisatorischen Maßnahmen eine Unternehmens, dass alle für das Unternehmen relevanten Gesetze, Verordnungen, Richtlinien, Betriebsvereinbarungen, behördliche Vorgaben usw. eingehalten werden können.
Was ist der "Deutsche Corporate Governance Kodex (DCGK)?"
Der "Deutsche Corporate Governance Kodex (DCGK)" wurde von einer gleichnamigen Regierungskommission, die vom Bundesjustizministerium erstmalig in 2001 einberufen wurde, erarbeitet. Mitglieder der Kommission sind z.B. Unternehmer, Aufsichtsräte, Juristen und Steuerberater.
Der von dieser Kommission erarbeitete Kodex wurde ab 2002 veröffentlicht und wird seitdem jährlich überprüft und aktualisiert, damit er den aktuellen Unternehmensanforderungen und der aktuelle Rechts- und Gesetzeslage genügt.
In der Aktualisierung 2022 ist z.B. das Thema "Nachhaltigkeit" stärker betont worden. Auch wird nun empfohlen, im Lagebericht des Unternehmens die wesentlichen Merkmale des internen Kontroll- und Risikomanagements zu beschreiben.
Der Kodex hat mehrere Teile:
- Er beschreibt zum einen die gesetzlichen Vorschriften zur Leitung und Überwachung deutscher börsennotierter Gesellschaften (Unternehmensführung).
- Desweiteren enthält der Kodex international und national anerkannte Standards "guter und verantwortungsvoller Unternehmensführung", in Form von Empfehlungen (immer mit der Formulierung "soll") und Anregungen (immer mit der Formulierung "sollte").
- Beispiel für eine Empfehlung: "Der Vorstand soll bei der Besetzung von Führungsfunktionen im Unternehmen auf Diversität achten."
- Beispiel für eine Anregung: "Der Hauptversammlungsleiter sollte sich davon leiten lassen, dass eine ordentliche Hauptversammlung spätestens nach vier bis sechs Stunden beendet ist."
Der "Deutsche Corporate Governance Kodex" wird jährlich im Bundesanzeiger veröffentlicht. Für 2022 wurde der Kodex am 27.06.2022 veröffentlicht und ist seitdem in Kraft.
Die Besonderheit des Kodex ist, dass er zwar nichts verbindlich regeln kann, da er kein Gesetz ist. Wegen der gesetzlichen Regelung in § 161 Aktiengesetz (AktG) müssen Vorstände und Aufsichtsräte börsennotierter Gesellschaften aber Abweichungen von den Empfehlungen ("soll") begründen und auch veröffentlichen.
Faktisch wirkt der Kodex also wie ein "weiches" Gesetz, denn die Begründung für eine Abweichung von den Empfehlungen ist gesetzlich zwingend.
Kritik gibt es seit dessen ersten Veröffentlichung. So wurde bemängelt, dass der Kodex nicht zu einer signifikanten Verbesserung des Unternehmenserfolges beiträgt (LANGER, M., Der Deutsche Corporate Governance Kodex und die Unternehmensentwicklung, Diss. Universität Hamburg 2012, S. 127).
Auch wurde gefordert, dass die Suche nach einem globalen Corporate Governance-Standard aufgegeben wird und die individuellen Besonderheiten der Unternehmen, Industrien und Sektoren stärker berücksichtigt werden müssen (BEBCHUK, L. A. & ḤAMDANI, A. 2009. The elusive quest for global governance standards. Harvard Law and Economcis Diskussion Paper, No. 663.).
Auch sei weder transparent noch nachvollziehbar, zu welchem Grad die Empfehlungen der DCGK auch tatsächlich umgesetzt werden (THEISEN, M. R. & RASSHOFE, M. 2007. Wie gut ist "gute Corporate Governance"? ein aktueller Praxistest. Der Betrieb: Wochenschrift für Betriebswirtschaft, Steuerrecht, Wirtschaftsrecht, Arbeitsrecht, 60, 1317–1321)
Was regelt die neue "Whistleblower-Richtlinie"?
Die "Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden" (Richtlinie EU 2019/1937) schützt Hinweisgeber (sog. "Whistleblower") vor Sanktionen und verpflichtet Unternehmen und Behörden, sichere Kanäle für die Meldung von Regelverstößen usw. einzurichten.
Sie wurde am 7.10.2019 vom Rat der Europäischen Union verabschiedet und musste bis zum 17.12.2021 in Deutschland in nationales Recht umgesetzt werden. Da Deutschland die Richtlinie nicht rechtzeitig umgesetzt hat, wurde von der Europäischen Kommission am 27.01.2022 ein Vertragsverletzungsverfahren gegen Deutschland vor dem EuGH eingeleitet. Betroffen waren neben Deutschland weitere 22 Mitgliedstaaten. Es droht Deutschland nun also eine empfindliche finanzielle Sanktion von mindestens ca. 12 Millionen Euro (Quelle)
Es kann daher angenommen werden, dass das zukünftige Gesetz noch im Jahr 2022 erlassen wird. Seit dem 13.04.2022 liegt ein Referentenentwurf des Bundesministeriums der Justiz vor (Quelle).
Welche Verstöße sollen nach dem HinweisgeberschutzGesetz-E gemeldet werden?
Nach § 2 Hinweisgeberschutz-Gesetz sollen gemeldet werden:
1. Verstöße, die strafbewehrt sind, (z. B. alle Regelung des Strafgesetzbuch (StGB), aber auch jede andere Strafvorschriften, z. B. § 42 Bundesdatenschutzgesetz, § 106 Urheberrechtsgesetz, § 370 Abgabenordnung usw.)
2. Verstöße, die bußgeldbewehrt sind, soweit die verletzte Vorschrift dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient:
- Arbeitsschutz (Arbeitsschutzgesetz, Arbeitsstättenverordnung, Unfallverhütungsvorschriften usw.)
- Gesundheitsschutz (Gefahrstoffverordnung, Arbeitsstättenverordnung usw.)
- Verstöße gegen das Mindestlohngesetz,
- Verstöße gegen das Arbeitnehmerüberlassungsgesetzes,
- Bußgeldvorschriften, die Verstöße gegen Aufklärungs- und Auskunftspflichten gegenüber Organen der Betriebsverfassung wie Betriebsräten, Gesamtbetriebsräten, Konzernbetriebsräten, Wirtschaftsausschüssen sanktionieren (§ 121 BetrVG).
3. Verstöße gegen Rechtsnormen des Bundes und der Länder, die zur Umsetzung europäischer Regelungen getroffen wurden:
- Regelungen zur Bekämpfung der Geldwäsche und Terrorismusfinanzierung,
- Vorgaben zur Produktsicherheit und -konformität,
- Vorgaben zur Beförderung gefährlicher Güter
- Vorgaben zur Beförderung von Personen
- Vorgaben zur Sicherheit im Seeverkehr, Einbahnbetrieb, Luftverkehr usw.
- Vorgaben zum Umweltschutz, Strahlenschutz,
- Vorgaben zur Nutzung von Energie
- Lebensmittel- und Futtermittelsicherheit, Tiergesundheit
- Qualitäts- und Sicherheitsstandards bei Arzneimitteln und Medizinprodukten,
- Regelungen des Verbraucherschutzes,
- Regelung zum Schutz von Verbrauchern im Bereich Finanzdienstleistungen,
- Regelungen zum Schutz der Privatsphäre
- Regelungen des Datenschutzes (DSGVO, BDSG),
- Sicherheit in der Informationstechnik,
- Vorgaben zum Schutz der Rechte von Aktionären von Aktiengesellschaften
- Regelungen zur Rechnungslegung bei Kapitalgesellschaften
- Vergaberecht
- Steuerrecht
- usw.
4. Verstöße gegen unmittelbar geltende Rechtsakte der Europäischen Union und der Europäischen Atomgemeinschaft
Was ist das deutsche Hinweisgeberschutzgesetz (HinSchG)?
Das Hinweisgeberschutzgesetz (HinSchG) liegt seit April 2022 im Entwurf vor und ist die deutsche Umsetzung der EU-Whistleblower-Richtlinie, die eigentlich bis Dezember 2021 hätter erfolgen müssen. Mit der Richtlinie soll in allen EU-Mitgliedstaaten eine standardisierten Schutz für Hinweisgeber ("Whistleblower") festgelegt werden. Das Hinweisgeberschutz-Gesetzt regelt den Schutz natürlicher Personen, die im Rahmen ihrer beruflichen Tätigkeit Informationen über Verstöße erlangt haben und diese an die internen oder externen Meldestellen weitergeben (sog. "hinweisgebende Personen"). Diese Personen sollen vor Sanktionen (z. B. Kündigungen, Abmahnungen) Repressalien (zwangsweise Versetzung usw.) und Vergeltungsmaßnahmen (Nichtberücksichtigung bei anstehenden Beförderungen usw.) des Arbeitgebers und anderer Institutionen geschützt werden.
Was müssen Unternehmen jetzt über das Hinweisgeberschutzgesetz wissen um vorbereitet zu sein, wenn das Gesetz in Kraft tritt?
- Unternehmen und Organisationen ab 50 Beschäftigten müssen sichere Hinweisgebersysteme einführen, Unternehmen mit 50-249 Mitarbeitenden haben eine Übergangszeit bis Dezember 2023
- Öffentliche Einrichtungen, Behörden und Kommunen ab 10.000 Einwohner müssen Hinweisgebersysteme einführen
- Sichere Hinweisgebersysteme müssen eine vertrauliche (nicht zwingend anonyme) Abgabe eines Hinweises ermöglichen
- Vertraulichkeit bedeutet, dass ein Meldekanal so sicher konzipiert, eingerichtet und betrieben wird, dass die Vertraulichkeit der Identität des Hinweisgebers (Whistleblower) und Dritter, die in der Meldung erwähnt werden, gewahrt bleiben.
- Die Meldung (Hinweis) muss mündlich oder schriftlich und auf Wunsch auch persönlich möglich sein
- Die interne Meldestelle muss dem Hinweisgeber innerhalb von 7 Tagen den Eingang der Meldung bestätigen
- Innerhalb von drei Monaten ab dem Eingang der Meldung muss die hinweisgebende Person darüber informiert werden, welche Maßnahmen ergriffen wurden, z. B. die Einleitung interner Untersuchungen oder die Weitergabe der Meldung an die zuständige Behörde (z. B. Staatsanwaltschaft, Gewerbeaufsichtsamt, Finanzamt).
Wie lange werden die Hinweise aufbewahrt?
Die Hinweise und die Dokumentation der Behandlung des Hinweises werden gem. § 11 Abs. 5 HinSchG-E zwei Jahre nach Abschluss des Verfahrens gelöscht.
Geschäftsführung
Dipl.-Inf. (FH) Tobias Plehn
Sachverständiger für Cyber Security, Datensicherheit und Datenschutz (BDSF),
Certified Cyber Security Practitioner (ISACA),
Teilnehmer der Allianz für Cyber-Sicherheit
Rechtsanwalt Michael Ochsenfeld
Sachverständiger für Datenschutz und Datensicherheit (BDSF),
Datenschutzauditor (TÜV),
Data Protection Risk Manager (FOM),
Compliance Officer (TÜV)
Warum wir?
- Einmalige Kombination der Geschäftsführung
aus Diplom-Informatiker und Rechtsanwalt - Mehrdimensionale und interdisziplinäre Betrachtung Ihrer Compliance-Anforderungen
- Langjährige Praxiserfahrung (> 25 Jahre)
- Kenntnis & Arbeit mit neuesten Technologien, z.B. Blockchain & Künstliche Intelligenz (KI)
- Zertifizierte Experten für
Compliance + Cyber Security + Datenschutz + Datensicherheit - Unmittelbare anwaltliche Beratung möglich