Data Protection Academy » Data Protection News » Whistleblower Protection Act

Whistleblower Protection Act: national implementation of the EU Whistleblower Directive

HinSchG - Whistleblower Protection Act: national implementation of the EU Whistleblower Directive

The Whistleblower Protection Act (HinSchG) is the German transposition of the EU Whistleblower Directive. In beiden Gesetzen geht es um einen besseren Schutz hinweisgebender Personen sowie um die Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden. Das Hinweisgeberschutzgesetz verbietet jegliche Sanktionen, Repressalien und Vergeltungsmaßnahmen gegenüber Hinweisgebern bzw. Whistleblowern. Seit dem 02. Juli 2023 ist das deutsche Hinweisgeberschutzgesetz in Kraft getreten. Unternehmen ab 50 Beschäftigten müssen bis Dezember ein Meldesystem implementieren.

Wichtigste Informationen über das Hinweisgeberschutzgesetz

  • Das Hinweisgeberschutzgesetz (HinschG) ist die nationale Übersetzung der EU-Whistleblower-Richtlinie der EU
  • Die Mitgliedstaaten der EU mussten die EU-Whistleblower-Richtlinie bis zum 17. Dezember 2021 in ein Gesetz auf nationaler Ebene überführen
  • The Whistleblower Protection Act came into force in Germany on 02 July 2023.
  • Das HinschG schützt Hinweisgeber in der Form von natürlichen Personen, die in ihrem beruflichen Umfeld Informationen über Verstöße erlangt haben
  • Unternehmen mit zwischen 50 und 249 Beschäftigten müssen bis zum 17. Dezember 2023 eine interne Meldestelle für Hinweisgebende einrichten.
  • Unternehmen aus Risikobereichen (z. B. Wertpapierdienstleistungsunternehmen, Kapitalverwaltungsgesellschaften) müssen eine interne Meldestelle unabhängig von der Beschäftigtenzahl implementieren.

Content on the topic of the Whistleblower Protection Act:

Whitepaper Implementing the Whistleblower Protection Act and the Reporting Office in a Court-Proof Manner

Whitepaper: Verzeichnis der Verarbeitungstätigkeiten DSGVO-konform umsetzen

In the white paper Whistleblower Protection Act and Reporting Office, you will find:

  • Hintergründe zur Emergence of the Whistleblower Protection Act and the Current status
  • Duties für Unternehmen und das Verfahren für interne Meldungen
  • The Requirements for reporting points and the Message contents
  • Information on Bußgeldern
  • You will find an Checklist to work off

Unfortunately this content is currently only available in German. Please feel free to contact us for more information.

What is the German Whistleblower Protection Act (HinschG)?

The Whistleblower Protection Act (HinSchG) is the German transposition of the EU Whistleblower Directive. In beiden Gesetzen geht es um einen besseren Schutz hinweisgebender Personen sowie um die Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden. Das Hinweisgeberschutzgesetz verbietet jegliche Sanktionen, Repressalien und Vergeltungsmaßnahmen gegenüber Hinweisgebern bzw. Whistleblowern.

Mit Inkrafttreten des HinSchG müssen Unternehmen ab 50 Mitarbeitern verpflichtend ein Meldesystem für rechtliche Verstöße im Berufsalltag einrichten. Die Aufgaben und Zulässigkeit von Whistleblowern bzw. Hinweisgebern war bis Inkrafttreten des HinSchG am 02. Juli 2023 noch nicht rechtlich eindeutig geklärt. In Gerichtsprozessen wurden bislang hinweisgebende Vorfälle nach dem Rücksichtnahmegebot gem. § 241 II BGB beurteilt:

Das Schuldverhältnis kann nach seinem Inhalt jeden Teil zur Rücksicht auf die Rechte, Rechtsgüter und Interessen des anderen Teils verpflichten.

The Rücksichtnahmegebot schreibt Beschäftigen vor, Verstöße intern zu melden. Traten Hinweisgeber mit eben solchen Verstößen an die Öffentlichkeit, kamen Gerichte oft zu der Entscheidung, dass da gegen das Rücksichtnahmegebot verstoßen wurde. Das Verhältnis zwischen dem öffentlichen Interesse über die Veröffentlichung von Verstößen und dem unternehmerischen Interesse diese zu nicht zu veröffentlichen, wurde demnach eher zugunsten von Unternehmen verschoben. Hinweisgeber traten in Konflikt mit vertraglichen Verpflichtungen und mussten Repressalien fürchten. Die EU-Whistleblower-Richtlinie schafft rechtliche Klarheit darüber, welches Interesse vorrangig zu schützten ist. Der Entwurf des Hinweisgeberschutzgesetzes greift auf nationaler Ebene und soll Hinweisgeber darin bestärken Verstöße offenzulegen.

Whistleblower Protection Act - current status

Die Mitgliedstaaten der EU mussten die EU-Whistleblower-Richtlinie bis zum 17. Dezember 2021 in ein Gesetz auf nationaler Ebene überführen. Im Zusammenhang mit der EU-Whistleblower-Richtlinie gab es in Deutschland bereits 2019 mit dem „Gesetz zum Schutz von Geschäftsgeheimnissen“ (GeschGehG) ein Vorstoß in Bereich Hinweisgeberschutz. Deutschland hat die Frist zur Umsetzung am 17. Dezember 2021 nicht eingehalten und wurde daraufhin von der Europäischen Kommission verklagt. Daraufhin wird ein Vermittlungsausschuss einberufen, der eine Einigung zwischen Bundestag und Bundesrat erzielt. Seit dem 02. Juli 2023 ist das Hinweisgeberschutzgesetz (HinschG) in Deutschland in Kraft getreten.

Read more

  • 2023

    The Whistleblower Protection Act enters into force

    The Whistleblower Protection Act came into force on 2 July 2023.

  • 2023

    Das Hinweisgeberschutzgesetz wird veröffentlicht

    On 02 June 2023, the Whistleblower Protection Act was adopted in the Federal Law Gazette veröffentlicht. Es verpflichtet Unternehmen mit mehr als 50 Beschäftigten zur Implementierung interner Meldestellen.

  • 2023

    The Whistleblower Protection Act is passed

    On 12.05.2023, the Whistleblower Protection Act was finally passed.

  • 2023

    Mediation committee reaches agreement

    On 09 May 2023, the Conciliation Committee shall give a Press release bekannt, dass Bundestag und Bundesrat sich auf Änderungen am Hinweisgeberschutzgesetz geeinigt haben. Die Einigung enthält Änderungen zu den Meldewegen für anonyme Hinweise, zu Bußgeldern und zum Anwendungsbereich des Gesetzes.

  • 2023

    EU Commission sues Germany

    Die Europäische Kommission verklagt neben Deutschland sieben weitere Staaten wegen einer fehlenden Umsetzung der EU-Whistleblower-Richtlinie, darunter auch Italien, Polen und Spanien.

  • 2023

    Federal Council does not approve Whistleblower Protection Act

    Am 10. Februar 2023 teilte der Bundesrat in einer Unterrichtung mit, dass der Gesetzesentwurf der Bundesregierung für ein Hinweisgeberschutzgesetz nicht die erforderliche Zustimmung erhalten hat.

  • 2022

    Second German speaker draft emerges

    Die Bundesregierung veröffentlicht einen neuen Gesetzesentwurf. Dieser wird Ende Ende 2022 vom Bundestag verabschiedet.

  • 2022

    Die Europäische Kommission fordert Deutschland zur korrekten Umsetzung auf

    Am 27. Januar 2022 hat die Europäische Kommission ein Aufforderungsschreiben wegen mangelnder Umsetzung der Richtlinie an Deutschland versendet. Der offizielle Vermerk dazu findet sich auf der Website of the EU Commission vom 09. Februar 2022 unter dem Punkt 4 „Justiz.

  • 2021

    The deadline for transposing the directive in Germany passes

    Da das neue Gesetz nicht fristgerecht am 17. Dezember 2021 verabschiedet wurde, können sich Hinweisgebende auf die EU-Richtlinie berufen.

  • 2021

    First German draft law emerges

    The Ministry of Justice presents the first draft bill, but it is overturned.

  • 2019

    EU-Whistleblower-Richtlinie wird veröffentlicht

    Im Oktober 2019 beschließt die Europäische Union die EU-Whistleblower-Richtlinie.

Scope of application

Das Hinweisgeberschutzgesetz schützt zunächst alle Personen, die Verstöße melden oder offenlegen sowie Personen, die Gegenstand oder Betroffene dieser Meldung oder Offenlegung sind. Die wesentlichen Inhalte dieser Meldungen / Offenlegungen sind Informationen über:

  • Verstöße, die strafbewehrt sind,
  • Verstöße, die bußgeldbewehrt sind, soweit die verletzte Vorschrift dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient,
  • sonstige Verstöße gegen Rechtsvorschriften des Bundes und der Länder sowie unmittelbar geltende Rechtsakte der Europäischen Union und der Europäischen Atomgemeinschaft

What obligations do companies have?

Unternehmen müssen, in Abhängigkeit der Unternehmensgröße, eine interne Meldestelle einrichten. Diese Meldestelle wird auch als Hinweisgebersystem bezeichnet. Ein Hinweisgebersystem dient sogenannten Hinweisgebern (engl. Whistleblower) dazu, anonyme Hinweise über Verstöße zu melden. Ein Hinweisgebersystem ist als vertraulicher Kommunikationskanal bzw. Meldekanal zu verstehen, der durch das Unternehmen, die Organisation oder öffentliche Stelle bereitgestellt wird.

Unternehmen mit maximal 49 Beschäftigten haben No obligation zur Einrichtung einer internen Meldestelle. Allerdings bietet die freiwillige Einrichtung eines Hinweisgebersystems eine Alternative zur externen Meldung und darüber hinaus die Chance betriebsinterne Vorgänge zu schützen.

Unternehmen ab 50 und bis 249 Beschäftigten müssen interne Meldestellen bis zum 17. Dezember 2023 einführen.

Unternehmen mit über 250 Beschäftigten müssen mit Inkrafttreten des Hinweisgeberschutzgesetzes am 02. Juli 2023 eine interne Meldestelle bereitstellen.

Unternehmen aus Risikobereichen müssen eine interne Meldestelle unabhängig von der Beschäftigtenzahl implementieren. Zu diesen Bereichen gehören unter anderem:

  1. Investment services company
  2. Data provision services within the meaning of the Securities Trading Act,
  3. Börsenträger im Sinne des Börsengesetzes,
  4. Institutions within the meaning of the German Banking Act and within the meaning of the German Securities Institutions Act,
  5. Capital management companies and
  6. Undertakings under the Insurance Supervision Act

Siehe § 12 Absatz 3 des Hinweisgeberschutzgesetzes

Kommunen und kommunale Betriebe müssen sich bei der Einrichtung und dem Betrieb interner Meldestellen nach den Maßgabe des jeweiligen National law richten. Die bislang umgesetzten Regelungen der Länder ordnen eine Einrichtung von Meldestellen auf kommunaler Ebene an. Davon ausgenommen sind Gemeinden und Landkreise mit weniger als 10.000 Einwohnern oder mit weniger als 50 Beschäftigten sowie öffentlich-rechtliche Körperschaften mit ebenfalls weniger als 50 Beschäftigten.

Was müssen Unternehmen jetzt über das Hinweisgeberschutzgesetz wissen?

The Whistleblower Protection Act provides for three reporting channels:


  • The Internal Reporting Office nach §§ 12 ff. HinSchG ist die Meldestelle des Unternehmens
  • The external reporting point nach §§ 19 ff. HinSchG ist die Meldestelle des Staates. Der Bund errichtet beim Bundesamt für Justiz eine Stelle für externe Meldungen (externe Meldestelle des Bundes). Bei Verstößen im Finanzsektor ist die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) als externe Meldestelle zuständig. Weitere externe Meldestellen können auf Landesebene eingerichtet werden.
  • The Disclosure of information nach § 32 HinSchG bieten eine weitere Möglichkeit für Hinweisgeber. Darunter ist Weitergabe von Informationen an die Öffentlichkeit (bspw. Presse, Medien, Netzwerke) zu verstehen. Hinweisgeber können diesen Kanal wählen, sollten Meldungen über andere Meldewege erfolglos sein.

Requirements for reporting points:

§ 8 HinschG

  • Reporting offices must maintain the confidentiality of the whistleblower and the person affected by the report.

§ 11 HinschG

  • Reporting offices shall comply with the documentation obligation in a permanently retrievable manner while observing the confidentiality requirement.
  • Meldestellen halten die Löschfrist von drei Jahren ein, die Dokumentation kann länger aufbewahrt werden, um die Anforderungen nach diesem Gesetz oder nach anderen Rechtsvorschriften zu erfüllen, solange dies erforderlich und verhältnismäßig ist.

§ 16 HinschG

  • Meldestellen bieten die Möglichkeit zur schriftlichen oder mündlichen Meldung, auf Ersuchen auch durch eine persönliche Zusammenkunft.
  • Eine Meldestelle kann eingerichtet werden, indem eine beschäftigte Person, eine aus mehreren beschäftigten Personen bestehende Arbeitseinheit oder ein Dritter betraut wird.
  • Meldekanäle können Personen offenstehen, die im Rahmen ihrer Tätigkeit mit dem Unternehmen in Kontakt steht (z. B. Lieferanten, Kunden) und keine Beschäftigten sind.
  • Es gibt keine Pflicht anonyme Meldekanäle einzurichten.
  • Meldekanäle sind so zu gestalten, dass nur die für die Entgegennahme und Bearbeitung der Meldungen zuständigen sowie die sie bei der Erfüllung dieser Aufgaben unterstützenden Personen Zugriff auf die eingehenden
    Have messages.

Comply with the documentation obligation

Seit dem 02. Juli 2023 sind Unternehmen verpflichtet interne Meldestellen zu implementieren. Infolgedessen müssen Unternehmen eingehende Meldungen dokumentieren und die Dokumentation im Falle einer Überprüfung nachweisen können. Dokumentieren Sie mit Robin Data ComplianceOS nicht nur die Einführung der internen Meldestelle, sondern auch eingehende Meldungen, ergriffene Maßnahmen sowie die Einhaltung von Löschfristen. Informieren Sie sich über Vorteile und den Ablauf mit Robin Data.

Schedule a meeting

Procedure for internal messages

Die interne Meldestelle muss gemäß §17 HinschG:

  1. bestätigt der hinweisgebenden Person den Eingang einer Meldung spätestens nach sieben Tagen,
  2. prüft, ob der gemeldete Verstoß in den sachlichen Anwendungsbereich nach § 2 fällt,
  3. hält mit der hinweisgebenden Person Kontakt,
  4. prüft die Stichhaltigkeit der eingegangenen Meldung,
  5. requests further information from the person providing the tip-off, if necessary; and
  6. ergreift angemessene Folgemaßnahmen nach § 18.

Outsourcing of whistleblower protection systems to third parties

Gemäß § 14 Absatz 1 HinschG können Dritte mit den Aufgaben einer internen Meldestelle betraut werden. Geeignete externe dritte Personen sind z. B. Anwälte, Berater, Prüfer sowie Gewerkschafts- oder Arbeitnehmervertretungen. Diese Personen können bei der Umsetzung von Maßnahmen in Folge einer Meldung oder eines Verstoßes zwar unterstützen, die Pflicht verbleibt aber beim Unternehmen.

Commission Robin Data as a reporting office within the meaning of the Whistleblower Protection Act

Robin Data richtet für Sie eine Meldestelle ein, worüber Hinweisgeber per E-Mail oder Telefon Meldungen einreichen können. Dazu werden eine eigene E-Mail-Adresse und Telefonnummer zur Verfügung gestellt. Wir kümmern uns um die Dokumentation der Meldungen und deren Behandlung in unserer Lösung ComplianceOS.

Request offer

Whistleblower protection

Die Schutzmaßnahmen sind im Abschnitt 4 des HinSchG geregelt.

Voraussetzungen für den Schutz hinweisgebender Personen

  1. interne oder externe Meldung oder zulässige Offenlegung
  2. reasonable grounds to believe that the information reported or disclosed is true
  3. Informationen betreffen Verstöße im Anwendungsbereich des HinSchG oder hinreichender Grund zu der Annahme, dass dies der Fall ist

Prohibition of reprisals

Repressalien oder auch nur die Androhung dieser gegen Hinweisgeber ist verboten. Repressalien sind ungerechtfertigte Nachteile, z. B. Kündigung, Versagung einer Beförderung, Diskriminierung, Mobbing oder die Nichtverlängerung Arbeitsverträgen.

Reversal of the burden of proof

The reversal of the burden of proof is to be understood as a safeguard for the whistleblower. If a whistleblower is subject to reprisals after making a report, it is assumed in his or her favour that these reprisals were enforced as a consequence of the report.

The company must prove that there is no connection between the reprisals and the report. The burden of proof is therefore on the company.

Damages

Compensation after reprisals
Bei einem Verstoß gegen das Verbot von Repressalien ist der Verursacher verpflichtet, der hinweisgebenden Person den daraus entstehenden Schaden zu ersetzen.

Compensation after false report
Der Hinweisgeber ist zum Ersatz des Schadens verpflichtet, der aus einer vorsätzlichen oder grob fahrlässigen Meldung oder Offenlegung unrichtiger Informationen entstanden ist.

Sanktionen und Bußgeldvorschriften

Die Bußgeldvorschriften sind in § 40 HinschG is regulated.

It is an offence toBußgeld
...knowingly discloses incorrect information.Up to 20,000 euros
...obstructs a message or communication mentioned there.Up to 50,000 euros
…nicht dafür sorgt, dass eine interne Meldestelle eingerichtet ist und betrieben wird.Up to 20,000 euros
...forbidden to take reprisal.Up to 50,000 euros
…vorsätzlich oder leichtfertig die Vertraulichkeit nicht wahrt.Up to 50,000

Note 

Gemäß § 42 Abschnitt 2 tritt das Bußgeld in Höhe von bis zu 20.000 Euro, wenn ein interner Meldekanal nicht eingerichtet oder betrieben wird, erst am 1 December 2023 in Kraft. So lange droht also kein Bußgeld aufgrund von fehlender Einrichtung bzw. fehlendem Betrieb.

Video on the Whistleblower Protection Act

Video on the Whistleblower Protection Act

Seit dem 02. Juli 2023 ist das deutsche Hinweisgeberschutzgesetz in Kraft getreten. Das Hinweisgeberschutzgesetz ist die deutsche Umsetzung der EU-Whistleblower-Richtlinie. In beiden Gesetzen geht es um einen besseren Schutz hinweisgebender Personen sowie um die Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden. Das Hinweisgeberschutzgesetz verbietet jegliche Sanktionen, Repressalien und Vergeltungsmaßnahmen gegenüber Hinweisgebern bzw. Whistleblowern.

Organisationen ab 50 Beschäftigten müssen bis Dezember ein Meldesystem implementieren. Was genau diese Pflicht für Organisationen bedeutet und welche Lösungen Robin Data bietet erfahren Sie im Video zum Robin Data Hack vom 13.09.2023.

Unfortunately this content is currently only available in German. Please feel free to contact us for more information.

Conclusion and recommendation for the implementation of the HinSchG

Am 02. Juli 2023 ist das Hinweisgeberschutzgesetz in Kraft getreten. Spätestens jetzt müssen sich Unternehmen, mit der Einrichtung interner Meldestellen beschäftigen. Dabei ist auch wichtig die durchgeführten Tätigkeiten durch Dokumentation nachweisbar zu machen.

Hinweisgebersysteme sind Bestandteile eines CMS und sorgen insgesamt für mehr Rechtssicherheit im Unternehmen. Unternehmen, die bislang noch kein Compliance-Management-Systems (CMS) etabliert haben, sollten die Umsetzung des Hinweisgeberschutzgesetzes als Anlass zur Beschäftigung mit diesem Thema betrachten.

Neben der Einführung eines Hinweisgeberschutzsystems oder Compliance-Management-Systems, sollten Unternehmen / Organisationen oder Behörden Personen definieren, die eingegangene Meldungen bearbeiten und auf diese reagieren. Bestenfalls befassen sich die verantwortlichen Personen auch mit der Übersetzung der Anforderungen des Hinweisgeberschutzgesetzes in entsprechende Prozesse.

Auch um Hinweisgebern keinen Anlass zu geben Meldungen öffentlich zu machen, nachdem Fristen versäumt wurden. Es ist weiterhin wichtig interne Meldestellen attraktiv zu gestalten, damit Hinweisgeber diesen Kanal, vor dem der externen Meldung bevorzugen. Als attraktiv sind vertrauensbildende und transparenzfördernde Maßnahmen, wie einfach zugängliche Meldewege sowie die anonyme Abgabe von Meldungen zu betrachten. Informieren Sie Ihre Mitarbeiter umfangreich über die Verwendung von Hinweisgebersystemen und die Möglichkeiten der verschiedenen Meldewege.

Robin Data ComplianceOS® Feld Hinweisgeberschutz

Setzen Sie die Anforderungen des Hinweisgeberschutzgesetzes mit Robin Data ComplianceOS® strukturiert um. Beauftragen Sie uns als Meldestelle oder nutzen Sie unsere Lösung ComplianceOS zur Umsetzung der Dokumentationspflichten. Kommen Sie bei Interesse oder Fragen gern auf uns zu.

Learn more
Caroline Schwabe
Latest posts by Caroline Schwabe (see all)

Das könnte Sie auch interessieren:

Smart Home Privacy Concerns

Smart Home Anwendungen: Erfahren Sie warum die Vorteile im Alltag oft Datenschutz-Risiken beinhalten und wie Sie sich schützen können.
Read more

The Supply Chain Act (LkSG)

Das Lieferkettengesetz (LkSG) trat am 01.01.2023 in Kraft. Erfahren Sie im Beitrag die aktuellen Regelungen und Pflichten für Unternehmen.
Read more

What is the TTDSG or TDDDG?

The TTDSG became the Telecommunications Digital Services Data Protection Act (TDDDG) on 13 May 2024 as a result of the harmonisation with the EU Directive.
Read more