Datenschutz-Akademie » Datenschutz-News » Hinweisgeberschutzgesetz

Hinweisgeberschutzgesetz: nationale Umsetzung der EU-Whistleblower Richtlinie

Hinweisgeberschutzgesetz: nationale Umsetzung der EU-Whistleblower Richtlinie

Das Hinweisgeberschutzgesetz (HinSchG) ist die deutsche Umsetzung der EU-Whistleblower-Richtlinie. In beiden Gesetzen geht es um einen besseren Schutz hinweisgebender Personen sowie um die Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden. Das Hinweisgeberschutzgesetz verbietet jegliche Sanktionen, Repressalien und Vergeltungsmaßnahmen gegenüber Hinweisgebern bzw. Whistleblowern. Seit dem 02. Juli 2023 ist das deutsche Hinweisgeberschutzgesetz in Kraft getreten. Unternehmen ab 50 Beschäftigten müssen bis Dezember ein Meldesystem implementieren.

Wichtigste Informationen über das Hinweisgeberschutzgesetz

  • Das Hinweisgeberschutzgesetz (HinschG) ist die nationale Übersetzung der EU-Whistleblower-Richtlinie der EU
  • Die Mitgliedstaaten der EU mussten die EU-Whistleblower-Richtlinie bis zum 17. Dezember 2021 in ein Gesetz auf nationaler Ebene überführen
  • Das Hinweisgeberschutzgesetz ist in Deutschland am 02. Juli 2023 in Kraft getreten.
  • Das HinschG schützt Hinweisgeber in der Form von natürlichen Personen, die in ihrem beruflichen Umfeld Informationen über Verstöße erlangt haben
  • Unternehmen mit zwischen 50 und 249 Beschäftigten müssen bis zum 17. Dezember 2023 eine interne Meldestelle für Hinweisgebende einrichten.
  • Unternehmen aus Risikobereichen (z. B. Wertpapierdienstleistungsunternehmen, Kapitalverwaltungsgesellschaften) müssen eine interne Meldestelle unabhängig von der Beschäftigtenzahl implementieren.

Whitepaper Hinweisgeberschutzgesetz und Meldestelle gerichtssicher umsetzen

Whitepaper: Verzeichnis der Verarbeitungstätigkeiten DSGVO-konform umsetzen

Im Whitepaper Hinweisgeberschutzgesetz und Meldestelle gerichtssicher umsetzen finde Sie:

  • Hintergründe zur Entstehung des Hinweisgeberschutzgesetzes und den aktuellen Stand
  • Pflichten für Unternehmen und das Verfahren für interne Meldungen
  • Die Anforderungen an Meldestellen und Inhalte von Meldungen
  • Informationen zu Bußgeldern
  • Eine Checkliste zum Abarbeiten

Unfortunately this content is currently only available in German. Please feel free to contact us for more information.

Was ist das deutsche Hinweisgeberschutzgesetz (HinschG)?

Das Hinweisgeberschutzgesetz (HinSchG) ist die deutsche Umsetzung der EU-Whistleblower-Richtlinie. In beiden Gesetzen geht es um einen besseren Schutz hinweisgebender Personen sowie um die Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden. Das Hinweisgeberschutzgesetz verbietet jegliche Sanktionen, Repressalien und Vergeltungsmaßnahmen gegenüber Hinweisgebern bzw. Whistleblowern.

Mit Inkrafttreten des HinSchG müssen Unternehmen ab 50 Mitarbeitern verpflichtend ein Meldesystem für rechtliche Verstöße im Berufsalltag einrichten. Die Aufgaben und Zulässigkeit von Whistleblowern bzw. Hinweisgebern war bis Inkrafttreten des HinSchG am 02. Juli 2023 noch nicht rechtlich eindeutig geklärt. In Gerichtsprozessen wurden bislang hinweisgebende Vorfälle nach dem Rücksichtnahmegebot gem. § 241 II BGB beurteilt:

Das Schuldverhältnis kann nach seinem Inhalt jeden Teil zur Rücksicht auf die Rechte, Rechtsgüter und Interessen des anderen Teils verpflichten.

Das Rücksichtnahmegebot schreibt Beschäftigen vor, Verstöße intern zu melden. Traten Hinweisgeber mit eben solchen Verstößen an die Öffentlichkeit, kamen Gerichte oft zu der Entscheidung, dass da gegen das Rücksichtnahmegebot verstoßen wurde. Das Verhältnis zwischen dem öffentlichen Interesse über die Veröffentlichung von Verstößen und dem unternehmerischen Interesse diese zu nicht zu veröffentlichen, wurde demnach eher zugunsten von Unternehmen verschoben. Hinweisgeber traten in Konflikt mit vertraglichen Verpflichtungen und mussten Repressalien fürchten. Die EU-Whistleblower-Richtlinie schafft rechtliche Klarheit darüber, welches Interesse vorrangig zu schützten ist. Der Entwurf des Hinweisgeberschutzgesetzes greift auf nationaler Ebene und soll Hinweisgeber darin bestärken Verstöße offenzulegen.

Hinweisgeberschutzgesetz aktueller Stand

Die Mitgliedstaaten der EU mussten die EU-Whistleblower-Richtlinie bis zum 17. Dezember 2021 in ein Gesetz auf nationaler Ebene überführen. Im Zusammenhang mit der EU-Whistleblower-Richtlinie gab es in Deutschland bereits 2019 mit dem „Gesetz zum Schutz von Geschäftsgeheimnissen“ (GeschGehG) ein Vorstoß in Bereich Hinweisgeberschutz. Deutschland hat die Frist zur Umsetzung am 17. Dezember 2021 nicht eingehalten und wurde daraufhin von der Europäischen Kommission verklagt. Daraufhin wird ein Vermittlungsausschuss einberufen, der eine Einigung zwischen Bundestag und Bundesrat erzielt. Seit dem 02. Juli 2023 ist das Hinweisgeberschutzgesetz (HinschG) in Deutschland in Kraft getreten.

  • 2023

    Das Hinweisgeberschutzgesetz tritt in Kraft

    Am 2. Juli 2023 ist das Hinweisgeberschutzgesetz in Kraft getreten.

  • 2023

    Das Hinweisgeberschutzgesetz wird veröffentlicht

    Am 02. Juni 2023 wurde das Hinweisgeberschutzgesetz im Bundesgesetzblatt veröffentlicht. Es verpflichtet Unternehmen mit mehr als 50 Beschäftigten zur Implementierung interner Meldestellen.

  • 2023

    Das Hinweisgeberschutzgesetz wird verabschiedet

    Am 12.05.2023 wurde das Hinweisgeberschutzgesetz final verabschiedet.

  • 2023

    Vermittlungsausschuss erzielt Einigung

    Am 09. Mai 2023 gibt der Vermittlungsausschuss in einer Pressemitteilung bekannt, dass Bundestag und Bundesrat sich auf Änderungen am Hinweisgeberschutzgesetz geeinigt haben. Die Einigung enthält Änderungen zu den Meldewegen für anonyme Hinweise, zu Bußgeldern und zum Anwendungsbereich des Gesetzes.

  • 2023

    EU-Kommission verklagt Deutschland

    Die Europäische Kommission verklagt neben Deutschland sieben weitere Staaten wegen einer fehlenden Umsetzung der EU-Whistleblower-Richtlinie, darunter auch Italien, Polen und Spanien.

  • 2023

    Bundesrat stimmt Hinweisgeberschutzgesetz nicht zu

    Am 10. Februar 2023 teilte der Bundesrat in einer Unterrichtung mit, dass der Gesetzesentwurf der Bundesregierung für ein Hinweisgeberschutzgesetz nicht die erforderliche Zustimmung erhalten hat.

  • 2022

    Zweiter deutscher Referententwurf entsteht

    Die Bundesregierung veröffentlicht einen neuen Gesetzesentwurf. Dieser wird Ende Ende 2022 vom Bundestag verabschiedet.

  • 2022

    Die Europäische Kommission fordert Deutschland zur korrekten Umsetzung auf

    Am 27. Januar 2022 hat die Europäische Kommission ein Aufforderungsschreiben wegen mangelnder Umsetzung der Richtlinie an Deutschland versendet. Der offizielle Vermerk dazu findet sich auf der Website der EU-Kommission vom 09. Februar 2022 unter dem Punkt 4 „Justiz.

  • 2021

    Die Frist zur Umsetzung der Richtlinie in Deutschland verstreicht

    Da das neue Gesetz nicht fristgerecht am 17. Dezember 2021 verabschiedet wurde, können sich Hinweisgebende auf die EU-Richtlinie berufen.

  • 2021

    Erster deutscher Gesetzesentwurf entsteht

    Das Justizministerium legt den ersten Gesetzesentwurf vor, dieser wird allerdings gekippt.

  • 2019

    EU-Whistleblower-Richtlinie wird veröffentlicht

    Im Oktober 2019 beschließt die Europäische Union die EU-Whistleblower-Richtlinie.

Anwendungsbereich

Das Hinweisgeberschutzgesetz schützt zunächst alle Personen, die Verstöße melden oder offenlegen sowie Personen, die Gegenstand oder Betroffene dieser Meldung oder Offenlegung sind. Die wesentlichen Inhalte dieser Meldungen / Offenlegungen sind Informationen über:

  • Verstöße, die strafbewehrt sind,
  • Verstöße, die bußgeldbewehrt sind, soweit die verletzte Vorschrift dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient,
  • sonstige Verstöße gegen Rechtsvorschriften des Bundes und der Länder sowie unmittelbar geltende Rechtsakte der Europäischen Union und der Europäischen Atomgemeinschaft

Welche Pflichten haben Unternehmen?

Unternehmen müssen, in Abhängigkeit der Unternehmensgröße, eine interne Meldestelle einrichten. Diese Meldestelle wird auch als Hinweisgebersystem bezeichnet. Ein Hinweisgebersystem dient sogenannten Hinweisgebern (engl. Whistleblower) dazu, anonyme Hinweise über Verstöße zu melden. Ein Hinweisgebersystem ist als vertraulicher Kommunikationskanal bzw. Meldekanal zu verstehen, der durch das Unternehmen, die Organisation oder öffentliche Stelle bereitgestellt wird.

Unternehmen mit maximal 49 Beschäftigten haben keine Pflicht zur Einrichtung einer internen Meldestelle. Allerdings bietet die freiwillige Einrichtung eines Hinweisgebersystems eine Alternative zur externen Meldung und darüber hinaus die Chance betriebsinterne Vorgänge zu schützen.

Unternehmen ab 50 und bis 249 Beschäftigten müssen interne Meldestellen bis zum 17. Dezember 2023 einführen.

Unternehmen mit über 250 Beschäftigten müssen mit Inkrafttreten des Hinweisgeberschutzgesetzes am 02. Juli 2023 eine interne Meldestelle bereitstellen.

Unternehmen aus Risikobereichen müssen eine interne Meldestelle unabhängig von der Beschäftigtenzahl implementieren. Zu diesen Bereichen gehören unter anderem:

  1. Wertpapierdienstleistungsunternehmen
  2. Datenbereitstellungsdienste im Sinne des Wertpapierhandelsgesetzes,
  3. Börsenträger im Sinne des Börsengesetzes,
  4. Institute im Sinne des Kreditwesengesetzes und im Sinne des Wertpapierinstitutsgesetzes,
  5. Kapitalverwaltungsgesellschaften sowie
  6. Unternehmen des Versicherungsaufsichtsgesetzes

Siehe § 12 Absatz 3 des Hinweisgeberschutzgesetzes

Kommunen und kommunale Betriebe müssen sich bei der Einrichtung und dem Betrieb interner Meldestellen nach den Maßgabe des jeweiligen Landesrechts richten. Die bislang umgesetzten Regelungen der Länder ordnen eine Einrichtung von Meldestellen auf kommunaler Ebene an. Davon ausgenommen sind Gemeinden und Landkreise mit weniger als 10.000 Einwohnern oder mit weniger als 50 Beschäftigten sowie öffentlich-rechtliche Körperschaften mit ebenfalls weniger als 50 Beschäftigten.

Was müssen Unternehmen jetzt über das Hinweisgeberschutzgesetz wissen?

Das Hinweisgeberschutzgesetz sieht drei Meldewege vor:


  • Die Interne Meldestelle nach §§ 12 ff. HinSchG ist die Meldestelle des Unternehmens
  • Die externe Meldestelle nach §§ 19 ff. HinSchG ist die Meldestelle des Staates. Der Bund errichtet beim Bundesamt für Justiz eine Stelle für externe Meldungen (externe Meldestelle des Bundes). Bei Verstößen im Finanzsektor ist die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) als externe Meldestelle zuständig. Weitere externe Meldestellen können auf Landesebene eingerichtet werden.
  • Die Offenlegung von Informationen nach § 32 HinSchG bieten eine weitere Möglichkeit für Hinweisgeber. Darunter ist Weitergabe von Informationen an die Öffentlichkeit (bspw. Presse, Medien, Netzwerke) zu verstehen. Hinweisgeber können diesen Kanal wählen, sollten Meldungen über andere Meldewege erfolglos sein.

Anforderungen an Meldestellen:

§ 8 HinschG

  • Meldestellen haben die Vertraulichkeit des Hinweisgebers und der von der Meldung betroffenen Person zu wahren.

§ 11 HinschG

  • Meldestellen kommen der Dokumentationspflicht in dauerhaft abrufbarer Weise unter Beachtung des Vertraulichkeitsgebots nach.
  • Meldestellen halten die Löschfrist von drei Jahren ein, die Dokumentation kann länger aufbewahrt werden, um die Anforderungen nach diesem Gesetz oder nach anderen Rechtsvorschriften zu erfüllen, solange dies erforderlich und verhältnismäßig ist.

§ 16 HinschG

  • Meldestellen bieten die Möglichkeit zur schriftlichen oder mündlichen Meldung, auf Ersuchen auch durch eine persönliche Zusammenkunft.
  • Eine Meldestelle kann eingerichtet werden, indem eine beschäftigte Person, eine aus mehreren beschäftigten Personen bestehende Arbeitseinheit oder ein Dritter betraut wird.
  • Meldekanäle können Personen offenstehen, die im Rahmen ihrer Tätigkeit mit dem Unternehmen in Kontakt steht (z. B. Lieferanten, Kunden) und keine Beschäftigten sind.
  • Es gibt keine Pflicht anonyme Meldekanäle einzurichten.
  • Meldekanäle sind so zu gestalten, dass nur die für die Entgegennahme und Bearbeitung der Meldungen zuständigen sowie die sie bei der Erfüllung dieser Aufgaben unterstützenden Personen Zugriff auf die eingehenden
    Meldungen haben.

Kommen Sie der Dokumentationspflicht nach

Seit dem 02. Juli 2023 sind Unternehmen verpflichtet interne Meldestellen zu implementieren. Infolgedessen müssen Unternehmen eingehende Meldungen dokumentieren und die Dokumentation im Falle einer Überprüfung nachweisen können. Dokumentieren Sie mit Robin Data ComplianceOS nicht nur die Einführung der internen Meldestelle, sondern auch eingehende Meldungen, ergriffene Maßnahmen sowie die Einhaltung von Löschfristen. Informieren Sie sich über Vorteile und den Ablauf mit Robin Data.

Verfahren bei internen Meldungen

Die interne Meldestelle muss gemäß §17 HinschG:

  1. bestätigt der hinweisgebenden Person den Eingang einer Meldung spätestens nach sieben Tagen,
  2. prüft, ob der gemeldete Verstoß in den sachlichen Anwendungsbereich nach § 2 fällt,
  3. hält mit der hinweisgebenden Person Kontakt,
  4. prüft die Stichhaltigkeit der eingegangenen Meldung,
  5. ersucht die hinweisgebende Person erforderlichenfalls um weitere Informationen und
  6. ergreift angemessene Folgemaßnahmen nach § 18.

Auslagerung von Hinweisgeberschutzsystemen an Dritte

Gemäß § 14 Absatz 1 HinschG können Dritte mit den Aufgaben einer internen Meldestelle betraut werden. Geeignete externe dritte Personen sind z. B. Anwälte, Berater, Prüfer sowie Gewerkschafts- oder Arbeitnehmervertretungen. Diese Personen können bei der Umsetzung von Maßnahmen in Folge einer Meldung oder eines Verstoßes zwar unterstützen, die Pflicht verbleibt aber beim Unternehmen.

Beauftragen Sie Robin Data als Meldestelle im Sinne des Hinweisgeberschutzgesetzes

Robin Data richtet für Sie eine Meldestelle ein, worüber Hinweisgeber per E-Mail oder Telefon Meldungen einreichen können. Dazu werden eine eigene E-Mail-Adresse und Telefonnummer zur Verfügung gestellt. Wir kümmern uns um die Dokumentation der Meldungen und deren Behandlung in unserer Lösung ComplianceOS.

Hinweisgeberschutz

Die Schutzmaßnahmen sind im Abschnitt 4 des HinSchG geregelt.

Voraussetzungen für den Schutz hinweisgebender Personen

  1. interne oder externe Meldung oder zulässige Offenlegung
  2. hinreichender Grund zur Annahme, dass die gemeldeten oder offengelegten Informationen der Wahrheit entsprechen
  3. Informationen betreffen Verstöße im Anwendungsbereich des HinSchG oder hinreichender Grund zu der Annahme, dass dies der Fall ist

Verbot von Repressalien

Repressalien oder auch nur die Androhung dieser gegen Hinweisgeber ist verboten. Repressalien sind ungerechtfertigte Nachteile, z. B. Kündigung, Versagung einer Beförderung, Diskriminierung, Mobbing oder die Nichtverlängerung Arbeitsverträgen.

Beweislastumkehr

Die Beweislastumkehr ist als Absicherung des Hinweisgebers zu verstehen. Treffen einen Hinweisgeber nach einer abgegebenen Meldung Repressalien, wird zu seinen Gunsten angenommen, dass diese in Konsequenz der Meldung vollstreckt wurden.

Das Unternehmen muss nachweisen, dass zwischen den Repressalien und der Meldung kein Zusammenhang besteht. Die Beweislast liegt also beim Unternehmen.

Schadensersatz

Schadensersatz nach Repressalien
Bei einem Verstoß gegen das Verbot von Repressalien ist der Verursacher verpflichtet, der hinweisgebenden Person den daraus entstehenden Schaden zu ersetzen.

Schadensersatz nach Falschmeldung
Der Hinweisgeber ist zum Ersatz des Schadens verpflichtet, der aus einer vorsätzlichen oder grob fahrlässigen Meldung oder Offenlegung unrichtiger Informationen entstanden ist.

Sanktionen und Bußgeldvorschriften

Die Bußgeldvorschriften sind in § 40 HinschG geregelt.

Ordnungswidrig handelt, werBußgeld
…wissentlich eine unrichtige Information offenlegt.Bis zu 20.000 Euro
…eine Meldung oder dort genannte Kommunikation behindert.Bis zu 50.000 Euro
…nicht dafür sorgt, dass eine interne Meldestelle eingerichtet ist und betrieben wird.Bis zu 20.000 Euro
…verbotenerweise eine Repressalie ergreift.Bis zu 50.000 Euro
…vorsätzlich oder leichtfertig die Vertraulichkeit nicht wahrt.Bis zu 50.000

Hinweis 

Gemäß § 42 Abschnitt 2 tritt das Bußgeld in Höhe von bis zu 20.000 Euro, wenn ein interner Meldekanal nicht eingerichtet oder betrieben wird, erst am 1. Dezember 2023 in Kraft. So lange droht also kein Bußgeld aufgrund von fehlender Einrichtung bzw. fehlendem Betrieb.

Video zum Hinweisgeberschutzgesetz

Video zum Hinweisgeberschutzgesetz

Seit dem 02. Juli 2023 ist das deutsche Hinweisgeberschutzgesetz in Kraft getreten. Das Hinweisgeberschutzgesetz ist die deutsche Umsetzung der EU-Whistleblower-Richtlinie. In beiden Gesetzen geht es um einen besseren Schutz hinweisgebender Personen sowie um die Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden. Das Hinweisgeberschutzgesetz verbietet jegliche Sanktionen, Repressalien und Vergeltungsmaßnahmen gegenüber Hinweisgebern bzw. Whistleblowern.

Organisationen ab 50 Beschäftigten müssen bis Dezember ein Meldesystem implementieren. Was genau diese Pflicht für Organisationen bedeutet und welche Lösungen Robin Data bietet erfahren Sie im Video zum Robin Data Hack vom 13.09.2023.

Unfortunately this content is currently only available in German. Please feel free to contact us for more information.

Fazit und Empfehlung zur Umsetzung des HinSchG

Am 02. Juli 2023 ist das Hinweisgeberschutzgesetz in Kraft getreten. Spätestens jetzt müssen sich Unternehmen, mit der Einrichtung interner Meldestellen beschäftigen. Dabei ist auch wichtig die durchgeführten Tätigkeiten durch Dokumentation nachweisbar zu machen.

Hinweisgebersysteme sind Bestandteile eines CMS und sorgen insgesamt für mehr Rechtssicherheit im Unternehmen. Unternehmen, die bislang noch kein Compliance-Management-Systems (CMS) etabliert haben, sollten die Umsetzung des Hinweisgeberschutzgesetzes als Anlass zur Beschäftigung mit diesem Thema betrachten.

Neben der Einführung eines Hinweisgeberschutzsystems oder Compliance-Management-Systems, sollten Unternehmen / Organisationen oder Behörden Personen definieren, die eingegangene Meldungen bearbeiten und auf diese reagieren. Bestenfalls befassen sich die verantwortlichen Personen auch mit der Übersetzung der Anforderungen des Hinweisgeberschutzgesetzes in entsprechende Prozesse.

Auch um Hinweisgebern keinen Anlass zu geben Meldungen öffentlich zu machen, nachdem Fristen versäumt wurden. Es ist weiterhin wichtig interne Meldestellen attraktiv zu gestalten, damit Hinweisgeber diesen Kanal, vor dem der externen Meldung bevorzugen. Als attraktiv sind vertrauensbildende und transparenzfördernde Maßnahmen, wie einfach zugängliche Meldewege sowie die anonyme Abgabe von Meldungen zu betrachten. Informieren Sie Ihre Mitarbeiter umfangreich über die Verwendung von Hinweisgebersystemen und die Möglichkeiten der verschiedenen Meldewege.

Robin Data ComplianceOS® Feld Hinweisgeberschutz

Setzen Sie die Anforderungen des Hinweisgeberschutzgesetzes mit Robin Data ComplianceOS® strukturiert um. Beauftragen Sie uns als Meldestelle oder nutzen Sie unsere Lösung ComplianceOS zur Umsetzung der Dokumentationspflichten. Kommen Sie bei Interesse oder Fragen gern auf uns zu.

Caroline Schwabe
Neueste Anzeigen von Caroline Schwabe (Alle anzeigen)

Das könnte Sie auch interessieren:

Microsoft 365: DSGVO-konformer Einsatz im Unternehmen

Kann Microsoft Office 365 DSGVO-konform eingesetzt werden? Wir zeigen wie die Konfiguration dem Datenschutz entspricht.

Datenschutz-Folgenabschätzung

Detaillierte Beschreibung der Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO sowie Vorgaben zur praktischen Umsetzung der DSFA

Informationspflicht der DSGVO

Erfahren Sie wie Sie Ihre Informationspflichten erfüllen und welche konkreten neun Punkte Sie beachten müssen.