Datenschutz-Akademie » Datenschutz-News » Hinweisgeberschutzgesetz
HinSchG – Hinweisgeberschutzgesetz: nationale Umsetzung der EU-Whistleblower Richtlinie
Das Hinweisgeberschutzgesetz (HinSchG) ist die deutsche Umsetzung der EU-Whistleblower-Richtlinie. In beiden Gesetzen geht es um einen besseren Schutz hinweisgebender Personen sowie um die Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden. Das Hinweisgeberschutzgesetz verbietet jegliche Sanktionen, Repressalien und Vergeltungsmaßnahmen gegenüber Hinweisgebern bzw. Whistleblowern. Seit dem 02. Juli 2023 ist das deutsche Hinweisgeberschutzgesetz in Kraft getreten. Unternehmen ab 50 Beschäftigten müssen bis Dezember ein Meldesystem implementieren.
Wichtigste Informationen über das Hinweisgeberschutzgesetz
- Das Hinweisgeberschutzgesetz (HinschG) ist die nationale Übersetzung der EU-Whistleblower-Richtlinie der EU
- Die Mitgliedstaaten der EU mussten die EU-Whistleblower-Richtlinie bis zum 17. Dezember 2021 in ein Gesetz auf nationaler Ebene überführen
- Das Hinweisgeberschutzgesetz ist in Deutschland am 02. Juli 2023 in Kraft getreten.
- Das HinschG schützt Hinweisgeber in der Form von natürlichen Personen, die in ihrem beruflichen Umfeld Informationen über Verstöße erlangt haben
- Unternehmen mit zwischen 50 und 249 Beschäftigten müssen bis zum 17. Dezember 2023 eine interne Meldestelle für Hinweisgebende einrichten.
- Unternehmen aus Risikobereichen (z. B. Wertpapierdienstleistungsunternehmen, Kapitalverwaltungsgesellschaften) müssen eine interne Meldestelle unabhängig von der Beschäftigtenzahl implementieren.
Inhalt zum Thema Hinweisgeberschutzgesetz:
Wichtige Links:
Whitepaper Hinweisgeberschutzgesetz und Meldestelle gerichtssicher umsetzen
Im Whitepaper Hinweisgeberschutzgesetz und Meldestelle gerichtssicher umsetzen finde Sie:
- Hintergründe zur Entstehung des Hinweisgeberschutzgesetzes und den aktuellen Stand
- Pflichten für Unternehmen und das Verfahren für interne Meldungen
- Die Anforderungen an Meldestellen und Inhalte von Meldungen
- Informationen zu Bußgeldern
- Eine Checkliste zum Abarbeiten
Was ist das deutsche Hinweisgeberschutzgesetz (HinschG)?
Das Hinweisgeberschutzgesetz (HinSchG) ist die deutsche Umsetzung der EU-Whistleblower-Richtlinie. In beiden Gesetzen geht es um einen besseren Schutz hinweisgebender Personen sowie um die Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden. Das Hinweisgeberschutzgesetz verbietet jegliche Sanktionen, Repressalien und Vergeltungsmaßnahmen gegenüber Hinweisgebern bzw. Whistleblowern.
Mit Inkrafttreten des HinSchG müssen Unternehmen ab 50 Mitarbeitern verpflichtend ein Meldesystem für rechtliche Verstöße im Berufsalltag einrichten. Die Aufgaben und Zulässigkeit von Whistleblowern bzw. Hinweisgebern war bis Inkrafttreten des HinSchG am 02. Juli 2023 noch nicht rechtlich eindeutig geklärt. In Gerichtsprozessen wurden bislang hinweisgebende Vorfälle nach dem Rücksichtnahmegebot gem. § 241 II BGB beurteilt:
Das Schuldverhältnis kann nach seinem Inhalt jeden Teil zur Rücksicht auf die Rechte, Rechtsgüter und Interessen des anderen Teils verpflichten.
Das Rücksichtnahmegebot schreibt Beschäftigen vor, Verstöße intern zu melden. Traten Hinweisgeber mit eben solchen Verstößen an die Öffentlichkeit, kamen Gerichte oft zu der Entscheidung, dass da gegen das Rücksichtnahmegebot verstoßen wurde. Das Verhältnis zwischen dem öffentlichen Interesse über die Veröffentlichung von Verstößen und dem unternehmerischen Interesse diese zu nicht zu veröffentlichen, wurde demnach eher zugunsten von Unternehmen verschoben. Hinweisgeber traten in Konflikt mit vertraglichen Verpflichtungen und mussten Repressalien fürchten. Die EU-Whistleblower-Richtlinie schafft rechtliche Klarheit darüber, welches Interesse vorrangig zu schützten ist. Der Entwurf des Hinweisgeberschutzgesetzes greift auf nationaler Ebene und soll Hinweisgeber darin bestärken Verstöße offenzulegen.
Hinweisgeberschutzgesetz aktueller Stand
Die Mitgliedstaaten der EU mussten die EU-Whistleblower-Richtlinie bis zum 17. Dezember 2021 in ein Gesetz auf nationaler Ebene überführen. Im Zusammenhang mit der EU-Whistleblower-Richtlinie gab es in Deutschland bereits 2019 mit dem „Gesetz zum Schutz von Geschäftsgeheimnissen“ (GeschGehG) ein Vorstoß in Bereich Hinweisgeberschutz. Deutschland hat die Frist zur Umsetzung am 17. Dezember 2021 nicht eingehalten und wurde daraufhin von der Europäischen Kommission verklagt. Daraufhin wird ein Vermittlungsausschuss einberufen, der eine Einigung zwischen Bundestag und Bundesrat erzielt. Seit dem 02. Juli 2023 ist das Hinweisgeberschutzgesetz (HinschG) in Deutschland in Kraft getreten.
Anwendungsbereich
Das Hinweisgeberschutzgesetz schützt zunächst alle Personen, die Verstöße melden oder offenlegen sowie Personen, die Gegenstand oder Betroffene dieser Meldung oder Offenlegung sind. Die wesentlichen Inhalte dieser Meldungen / Offenlegungen sind Informationen über:
- Verstöße, die strafbewehrt sind,
- Verstöße, die bußgeldbewehrt sind, soweit die verletzte Vorschrift dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient,
- sonstige Verstöße gegen Rechtsvorschriften des Bundes und der Länder sowie unmittelbar geltende Rechtsakte der Europäischen Union und der Europäischen Atomgemeinschaft
Welche Pflichten haben Unternehmen?
Unternehmen müssen, in Abhängigkeit der Unternehmensgröße, eine interne Meldestelle einrichten. Diese Meldestelle wird auch als Hinweisgebersystem bezeichnet. Ein Hinweisgebersystem dient sogenannten Hinweisgebern (engl. Whistleblower) dazu, anonyme Hinweise über Verstöße zu melden. Ein Hinweisgebersystem ist als vertraulicher Kommunikationskanal bzw. Meldekanal zu verstehen, der durch das Unternehmen, die Organisation oder öffentliche Stelle bereitgestellt wird.
Unternehmen mit maximal 49 Beschäftigten
Unternehmen mit maximal 49 Beschäftigten haben keine Pflicht zur Einrichtung einer internen Meldestelle. Allerdings bietet die freiwillige Einrichtung eines Hinweisgebersystems eine Alternative zur externen Meldung und darüber hinaus die Chance betriebsinterne Vorgänge zu schützen.
Unternehmen mit 50 bis 249 Beschäftigten
Unternehmen ab 50 und bis 249 Beschäftigten müssen interne Meldestellen bis zum 17. Dezember 2023 einführen.
Unternehmen ab 250 Beschäftigten
Unternehmen mit über 250 Beschäftigten müssen mit Inkrafttreten des Hinweisgeberschutzgesetzes am 02. Juli 2023 eine interne Meldestelle bereitstellen.
Verpflichtete Unternehmen unabhängig von der Beschäftigungszahl
Unternehmen aus Risikobereichen müssen eine interne Meldestelle unabhängig von der Beschäftigtenzahl implementieren. Zu diesen Bereichen gehören unter anderem:
- Wertpapierdienstleistungsunternehmen
- Datenbereitstellungsdienste im Sinne des Wertpapierhandelsgesetzes,
- Börsenträger im Sinne des Börsengesetzes,
- Institute im Sinne des Kreditwesengesetzes und im Sinne des Wertpapierinstitutsgesetzes,
- Kapitalverwaltungsgesellschaften sowie
- Unternehmen des Versicherungsaufsichtsgesetzes
Kommunen und kommunale Betriebe
Kommunen und kommunale Betriebe müssen sich bei der Einrichtung und dem Betrieb interner Meldestellen nach den Maßgabe des jeweiligen Landesrechts richten. Die bislang umgesetzten Regelungen der Länder ordnen eine Einrichtung von Meldestellen auf kommunaler Ebene an. Davon ausgenommen sind Gemeinden und Landkreise mit weniger als 10.000 Einwohnern oder mit weniger als 50 Beschäftigten sowie öffentlich-rechtliche Körperschaften mit ebenfalls weniger als 50 Beschäftigten.
Was müssen Unternehmen jetzt über das Hinweisgeberschutzgesetz wissen?
Das Hinweisgeberschutzgesetz sieht drei Meldewege vor:
- Die Interne Meldestelle nach §§ 12 ff. HinSchG ist die Meldestelle des Unternehmens
- Die externe Meldestelle nach §§ 19 ff. HinSchG ist die Meldestelle des Staates. Der Bund errichtet beim Bundesamt für Justiz eine Stelle für externe Meldungen (externe Meldestelle des Bundes). Bei Verstößen im Finanzsektor ist die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) als externe Meldestelle zuständig. Weitere externe Meldestellen können auf Landesebene eingerichtet werden.
- Die Offenlegung von Informationen nach § 32 HinSchG bieten eine weitere Möglichkeit für Hinweisgeber. Darunter ist Weitergabe von Informationen an die Öffentlichkeit (bspw. Presse, Medien, Netzwerke) zu verstehen. Hinweisgeber können diesen Kanal wählen, sollten Meldungen über andere Meldewege erfolglos sein.
Anforderungen an Meldestellen:
§ 8 HinschG
- Meldestellen haben die Vertraulichkeit des Hinweisgebers und der von der Meldung betroffenen Person zu wahren.
§ 11 HinschG
- Meldestellen kommen der Dokumentationspflicht in dauerhaft abrufbarer Weise unter Beachtung des Vertraulichkeitsgebots nach.
- Meldestellen halten die Löschfrist von drei Jahren ein, die Dokumentation kann länger aufbewahrt werden, um die Anforderungen nach diesem Gesetz oder nach anderen Rechtsvorschriften zu erfüllen, solange dies erforderlich und verhältnismäßig ist.
§ 16 HinschG
- Meldestellen bieten die Möglichkeit zur schriftlichen oder mündlichen Meldung, auf Ersuchen auch durch eine persönliche Zusammenkunft.
- Eine Meldestelle kann eingerichtet werden, indem eine beschäftigte Person, eine aus mehreren beschäftigten Personen bestehende Arbeitseinheit oder ein Dritter betraut wird.
- Meldekanäle können Personen offenstehen, die im Rahmen ihrer Tätigkeit mit dem Unternehmen in Kontakt steht (z. B. Lieferanten, Kunden) und keine Beschäftigten sind.
- Es gibt keine Pflicht anonyme Meldekanäle einzurichten.
- Meldekanäle sind so zu gestalten, dass nur die für die Entgegennahme und Bearbeitung der Meldungen zuständigen sowie die sie bei der Erfüllung dieser Aufgaben unterstützenden Personen Zugriff auf die eingehenden
Meldungen haben.
Kommen Sie der Dokumentationspflicht nach
Seit dem 02. Juli 2023 sind Unternehmen verpflichtet interne Meldestellen zu implementieren. Infolgedessen müssen Unternehmen eingehende Meldungen dokumentieren und die Dokumentation im Falle einer Überprüfung nachweisen können. Dokumentieren Sie mit Robin Data ComplianceOS nicht nur die Einführung der internen Meldestelle, sondern auch eingehende Meldungen, ergriffene Maßnahmen sowie die Einhaltung von Löschfristen. Informieren Sie sich über Vorteile und den Ablauf mit Robin Data.
Verfahren bei internen Meldungen
Die interne Meldestelle muss gemäß §17 HinschG:
- bestätigt der hinweisgebenden Person den Eingang einer Meldung spätestens nach sieben Tagen,
- prüft, ob der gemeldete Verstoß in den sachlichen Anwendungsbereich nach § 2 fällt,
- hält mit der hinweisgebenden Person Kontakt,
- prüft die Stichhaltigkeit der eingegangenen Meldung,
- ersucht die hinweisgebende Person erforderlichenfalls um weitere Informationen und
- ergreift angemessene Folgemaßnahmen nach § 18.
Auslagerung von Hinweisgeberschutzsystemen an Dritte
Gemäß § 14 Absatz 1 HinschG können Dritte mit den Aufgaben einer internen Meldestelle betraut werden. Geeignete externe dritte Personen sind z. B. Anwälte, Berater, Prüfer sowie Gewerkschafts- oder Arbeitnehmervertretungen. Diese Personen können bei der Umsetzung von Maßnahmen in Folge einer Meldung oder eines Verstoßes zwar unterstützen, die Pflicht verbleibt aber beim Unternehmen.
Beauftragen Sie Robin Data als Meldestelle im Sinne des Hinweisgeberschutzgesetzes
Robin Data richtet für Sie eine Meldestelle ein, worüber Hinweisgeber per E-Mail oder Telefon Meldungen einreichen können. Dazu werden eine eigene E-Mail-Adresse und Telefonnummer zur Verfügung gestellt. Wir kümmern uns um die Dokumentation der Meldungen und deren Behandlung in unserer Lösung ComplianceOS.
Hinweisgeberschutz
Die Schutzmaßnahmen sind im Abschnitt 4 des HinSchG geregelt.
Voraussetzungen für den Schutz hinweisgebender Personen
- interne oder externe Meldung oder zulässige Offenlegung
- hinreichender Grund zur Annahme, dass die gemeldeten oder offengelegten Informationen der Wahrheit entsprechen
- Informationen betreffen Verstöße im Anwendungsbereich des HinSchG oder hinreichender Grund zu der Annahme, dass dies der Fall ist
Verbot von Repressalien
Repressalien oder auch nur die Androhung dieser gegen Hinweisgeber ist verboten. Repressalien sind ungerechtfertigte Nachteile, z. B. Kündigung, Versagung einer Beförderung, Diskriminierung, Mobbing oder die Nichtverlängerung Arbeitsverträgen.
Beweislastumkehr
Die Beweislastumkehr ist als Absicherung des Hinweisgebers zu verstehen. Treffen einen Hinweisgeber nach einer abgegebenen Meldung Repressalien, wird zu seinen Gunsten angenommen, dass diese in Konsequenz der Meldung vollstreckt wurden.
Das Unternehmen muss nachweisen, dass zwischen den Repressalien und der Meldung kein Zusammenhang besteht. Die Beweislast liegt also beim Unternehmen.
Schadensersatz
Schadensersatz nach Repressalien
Bei einem Verstoß gegen das Verbot von Repressalien ist der Verursacher verpflichtet, der hinweisgebenden Person den daraus entstehenden Schaden zu ersetzen.
Schadensersatz nach Falschmeldung
Der Hinweisgeber ist zum Ersatz des Schadens verpflichtet, der aus einer vorsätzlichen oder grob fahrlässigen Meldung oder Offenlegung unrichtiger Informationen entstanden ist.
Sanktionen und Bußgeldvorschriften
Die Bußgeldvorschriften sind in § 40 HinschG geregelt.
| Ordnungswidrig handelt, wer | Bußgeld |
|---|---|
| …wissentlich eine unrichtige Information offenlegt. | Bis zu 20.000 Euro |
| …eine Meldung oder dort genannte Kommunikation behindert. | Bis zu 50.000 Euro |
| …nicht dafür sorgt, dass eine interne Meldestelle eingerichtet ist und betrieben wird. | Bis zu 20.000 Euro |
| …verbotenerweise eine Repressalie ergreift. | Bis zu 50.000 Euro |
| …vorsätzlich oder leichtfertig die Vertraulichkeit nicht wahrt. | Bis zu 50.000 |
Hinweis
Gemäß § 42 Abschnitt 2 tritt das Bußgeld in Höhe von bis zu 20.000 Euro, wenn ein interner Meldekanal nicht eingerichtet oder betrieben wird, erst am 1. Dezember 2023 in Kraft. So lange droht also kein Bußgeld aufgrund von fehlender Einrichtung bzw. fehlendem Betrieb.
Video zum Hinweisgeberschutzgesetz
Seit dem 02. Juli 2023 ist das deutsche Hinweisgeberschutzgesetz in Kraft getreten. Das Hinweisgeberschutzgesetz ist die deutsche Umsetzung der EU-Whistleblower-Richtlinie. In beiden Gesetzen geht es um einen besseren Schutz hinweisgebender Personen sowie um die Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden. Das Hinweisgeberschutzgesetz verbietet jegliche Sanktionen, Repressalien und Vergeltungsmaßnahmen gegenüber Hinweisgebern bzw. Whistleblowern.
Organisationen ab 50 Beschäftigten müssen bis Dezember ein Meldesystem implementieren. Was genau diese Pflicht für Organisationen bedeutet und welche Lösungen Robin Data bietet erfahren Sie im Video zum Robin Data Hack vom 13.09.2023.
Fazit und Empfehlung zur Umsetzung des HinSchG
Am 02. Juli 2023 ist das Hinweisgeberschutzgesetz in Kraft getreten. Spätestens jetzt müssen sich Unternehmen, mit der Einrichtung interner Meldestellen beschäftigen. Dabei ist auch wichtig die durchgeführten Tätigkeiten durch Dokumentation nachweisbar zu machen.
Hinweisgebersysteme sind Bestandteile eines CMS und sorgen insgesamt für mehr Rechtssicherheit im Unternehmen. Unternehmen, die bislang noch kein Compliance-Management-Systems (CMS) etabliert haben, sollten die Umsetzung des Hinweisgeberschutzgesetzes als Anlass zur Beschäftigung mit diesem Thema betrachten.
Neben der Einführung eines Hinweisgeberschutzsystems oder Compliance-Management-Systems, sollten Unternehmen / Organisationen oder Behörden Personen definieren, die eingegangene Meldungen bearbeiten und auf diese reagieren. Bestenfalls befassen sich die verantwortlichen Personen auch mit der Übersetzung der Anforderungen des Hinweisgeberschutzgesetzes in entsprechende Prozesse.
Auch um Hinweisgebern keinen Anlass zu geben Meldungen öffentlich zu machen, nachdem Fristen versäumt wurden. Es ist weiterhin wichtig interne Meldestellen attraktiv zu gestalten, damit Hinweisgeber diesen Kanal, vor dem der externen Meldung bevorzugen. Als attraktiv sind vertrauensbildende und transparenzfördernde Maßnahmen, wie einfach zugängliche Meldewege sowie die anonyme Abgabe von Meldungen zu betrachten. Informieren Sie Ihre Mitarbeiter umfangreich über die Verwendung von Hinweisgebersystemen und die Möglichkeiten der verschiedenen Meldewege.
Robin Data ComplianceOS® Feld Hinweisgeberschutz
Setzen Sie die Anforderungen des Hinweisgeberschutzgesetzes mit Robin Data ComplianceOS® strukturiert um. Beauftragen Sie uns als Meldestelle oder nutzen Sie unsere Lösung ComplianceOS zur Umsetzung der Dokumentationspflichten. Kommen Sie bei Interesse oder Fragen gern auf uns zu.
- DSMS nach DSGVO: Aufbau & praktische Umsetzung - 23. April 2025
- KI und Datenschutz in der Praxis - 7. April 2025
- KI-VO: Regulierung künstlicher Intelligenz - 27. Januar 2025
