Stand 28.06.2023 - Information über das neue Hinweisgeberschutzgesetz (HinSchG)

Nach zähem Ringen tritt nun am 02.07.2023 das Hinweisgeberschutzgesetz (HinSchG) in Kraft. Für Unternehmen ab 250 Beschäftigten bedeutet dies, dass sie ab diesem Zeitpunkt interne Hinweisgebersysteme bereithalten müssen. Zum 17.12.2023 sind dann auch Unternehmen mit einer Mitarbeiterzahl ab 50 Personen verpflichtet, sichere Hinweisgebersysteme einzurichten und bereitzuhalten.

Ziele des Hinweisgeberschutzgesetzes

Mit dem Hinweisgeberschutzgesetz wird der bislang lückenhafte und unzureichende Schutz von Hinweisgebern* ausgebaut und die EU-Whistleblower-Richtlinie ([EU] 2019/1937) in deutsches Recht umgesetzt.

Das HinSchG regelt den Schutz natürlicher Personen, die im Rahmen ihrer beruflichen Tätigkeit Informationen über Verstöße gegen geltendes Recht erlangt haben und diese an die/eine interne oder externe Meldestelle weitergeben (hinweisgebende Personen). Einbezogen in die Regelungen sind Arbeitnehmer, Beamte, Selbstständige, Gesellschafter, Praktikanten, Freiwillige, Mitarbeitende von Lieferanten sowie Personen, deren Arbeitsverhältnis bereits beendet ist oder noch nicht begonnen hat und/oder die sich in einem vorvertraglichen Stadium befinden.

Der Schutz von Hinweisgebern und sonstigen durch Meldung betroffene Personen wird damit gestärkt, und es soll sichergestellt werden, dass ihnen infolge bzw. aufgrund von Meldungen keine Benachteiligungen drohen. Daher verbietet das HinSchG jegliche Repressalien und Vergeltungsmaßnahmen gegenüber den hinweisgebenden Personen und bewirkt eine Beweislastumkehr zugunsten der Hinweisgeber.

Bislang existierte in Deutschland keine umfassend einheitliche Gesetzgebung zum Schutz von Hinweisgebern. Hinweisgeber können jedoch sehr wertvolle Beiträge leisten, das Fehlverhalten natürlicher oder juristischer Personen aufzudecken und die negativen Folgen dieses Fehlverhaltens einzudämmen beziehungsweise zu korrigieren.

Wesentliche Eckpunkte des HinSchG

  • Unternehmen ab 250 Beschäftigten müssen bis zum 02.07.2023 sichere Hinweisgebersysteme einführen.
  • Unternehmen mit 50 bis 249 Beschäftigten müssen bis zum 17.12.2023 sichere Hinweisgebersysteme einführen.
  • Auch Unternehmen des öffentlichen Sektors sowie Städte und Kommunen mit mehr als 10.000 Einwohnerinnen und Einwohnern fallen unter das Gesetz und müssen ab Mitte Juni Hinweisgebersysteme anbieten.
  • Das Verfahren der Meldungsabgabe muss mündlich oder schriftlich und auf Wunsch des Hinweisgebers / der Hinweisgeberin auch persönlich möglich sein.
  • Die interne Meldestelle muss dem Hinweisgeber / der Hinweisgeberin innerhalb von 7 Tagen den Eingang der Meldung bestätigen.
  • Die Meldestelle muss die hinweisgebende Person innerhalb von drei Monaten darüber informieren, welche Maßnahmen infolge der Meldung ergriffen wurden, z. B. über die Einleitung interner Untersuchungen und/oder über die Weitergabe der Meldung an die zuständige Behörde.
  • Anwendungsbereiche sind EU-Recht und nationales Recht, wenn es sich um strafbewehrte (Straftat) oder bußgeldbewehrte (Ordnungswidrigkeit) Vergehen handelt.
  • Unternehmen müssen die Identität der Hinweisgebenden schützen, dabei jedoch die Vorgaben der DSGVO einhalten.
  • Unternehmen müssen Informationen über zuständige Aufsichtsbehörde(n) bereithalten.

Die wichtigsten Anforderungen und Inhalte des HinSchG im Überblick

  1. Zugang zu zwei Meldekanälen
  • einen internen Meldekanal in der Organisation 
  • eine externe Meldestelle, die beim Bundesamt für Justiz (BfJ) eingerichtet wird
  1. Anreize zur Nutzung interner Meldekanäle

Zwar können Hinweisgeber grundsätzlich frei entscheiden, ob sie die interne Meldestelle oder die allgemeine externe Meldestelle nutzen möchten. Nach Vorgabe des HinSchG sollen interne Meldestellen jedoch vorrangig genutzt werden.

Daher sollen Unternehmen Anreize schaffen, damit Hinweisgeber bevorzugt auf die internen Meldekanäle zurückgreifen, allerdings darf die Nutzung der externen Meldestellen nicht behindert werden.

Für die Nutzung des internen Meldeverfahrens sind klare und leicht zugängliche Informationen bereitzustellen, wie die interne Meldestelle zu nutzen ist.

  1. Verstöße gegen europäisches UND nationales Recht

Anders als die EU-Richtlinie umfasst das HinSchG auch Verstöße gegen das nationale Recht, wodurch es über die Mindestanforderungen der europäischen Regelung hinausgeht. Voraussetzung für die Anwendung des HinSchG ist jedoch, dass es sich bei dem Verstoß um bestimmte straf- oder bußgeldbewehrte Vorgänge bzw. Verstöße, also Straftaten oder Ordnungswidrigkeiten, handelt.

Der Anwendungsbereich bleibt allerdings auf den beruflichen Kontext beschränkt, d. h., Hinweise über Verstöße fallen nur dann in den Anwendungsbereich und damit unter den Schutz des Gesetzes, wenn sie sich auf den Arbeitgeber oder andere Stellen beziehen, mit dem/denen der Hinweisgebende beruflich in Kontakt steht oder stand.

  1. Aufnahme und Bearbeitung anonymer Hinweise

Zwar verpflichtet das HinSchG nicht dazu, auch anonymen Hinweisen nachzugehen, aber es empfiehlt – aus nachvollziehbaren Gründen –, gerade auch solche Hinweise anzunehmen und zu bearbeiten.

  1. Vom Schutz des Gesetzes umfasst

Vom Schutz des HinSchG umfasst sind folgende Personen/-gruppen:

  • die hinweisgebende Person selbst
  • Personen, die die hinweisgebende Person unterstützen
  • Personen, die Gegenstand einer Meldung sind
  • sonstige Personen, die von einer Meldung betroffen sind.
  1. Verbot von Repressalien

Repressalien sowie jegliche Art von Vergeltungsmaßnahmen, ebenso die Androhung und der Versuch, Repressalien gegenüber der hinweisgebenden Person auszuüben, sind untersagt. Ein Verstoß gegen dieses Verbot führt, im Falle eines Schadens, zu einem Schadensersatzanspruch.

Zu beachten ist, dass es nach dem HinSchG der Beschäftigungsgeber ist, der nachweisen muss, dass eventuelle Maßnahmen gegen Arbeitnehmer nicht im Zusammenhang mit der Aufdeckung von Missständen stehen, d. h., der Beschäftigungsgeber trägt die Beweislast.

  1. Schutz der hinweisgebenden Personen

Grundsätzlich steht die hinweisgebende Person unter dem Schutz des Gesetzes, sofern sie zum Zeitpunkt der Meldung bzw. Offenlegung hinreichenden Grund zu der Annahme hatte, dass die gemeldeten/offengelegten Informationen der Wahrheit entsprechen und die Informationen Verstöße betreffen, die in den Anwendungsbereich des Gesetzes fallen.

Nicht geschützt sind Hinweisgeber bei falschen Verdächtigungen, die sehr weitreichende und gravierende Folgen für die beschuldigte Person haben können. Trotzdem dürfen keine übertriebenen Anforderungen an die Hinweisgeber in Bezug auf die Überprüfung der Richtigkeit der Informationen gestellt werden. Daher besteht der Schutz für Hinweisgeber auch in solchen Fällen, in denen sich der Hinweis als nicht zutreffend herausstellt, der Hinweisgeber zum Zeitpunkt der Meldung jedoch davon ausgehen konnte, dass der Hinweis korrekt ist.

Kein Schutz besteht zudem im Falle einer vorsätzlichen oder grob fahrlässigen Weitergabe unrichtiger Informationen, vielmehr ist die böswillig hinweisgebende Person in derartigen Fällen zum Ersatz des entstandenen Schadens verpflichtet.

  1. Regelungen in Konzernen

Nach der bisherigen Auffassung der EU-Kommission aus dem Jahr 2021 stellt ein konzernweit zentrales Hinweisgebersystem bei der Muttergesellschaft keine zulässige Ressourcenteilung dar, sodass Tochtergesellschaften, die aufgrund ihrer Mitarbeiterzahl in den Anwendungsbereich des HinSchG fallen, (zusätzlich) ein dezentralisiert eigenes Hinweisgebersystem einrichten müssen.

Das HinSchG dagegen spricht sich durchaus für ein sog. Konzernprivileg aus, d. h., dass konzernweite Meldestellen zulässig sein sollen. Erforderlich ist dabei aber, dass die originäre Verantwortung dafür, einen festgestellten Verstoß zu beheben und weiterzuverfolgen, immer bei dem jeweilig beauftragenden Konzernunternehmen verbleibt. Zudem muss für die hinweisgebende Person ein leichter Zugang gewährleistet sein, d. h., es darf keine sprachlichen Barrieren geben.

Aufgrund dieses Widerspruchs des HinSchG auf nationaler Ebene zur Auffassung der EU-Kommission halten wir es aktuell für konzernnachgeordnete Unternehmen oder Firmenteile eher für ratsam, nicht auf die Zulässigkeit konzernweiter Meldestellen zu setzen, sondern eigene, separat interne Meldestellen einzurichten.

  1. Anforderungen an die interne Meldestelle

Das Gesetz stellt strenge Anforderungen an die Vertraulichkeit hinsichtlich der eingehenden Meldungen, was Auswirkungen auf die technische Ausgestaltung des internen Meldekanals hat. Wirklich richtlinienkonform kann wohl nur ein entsprechend abgesichertes, datenschutzkonform ausgestaltetes, verschlüsseltes und DSGVO-konform gehostet digitales Hinweisgebersystem sein.

Von besonderer Bedeutung ist außerdem natürlich der Schutz zur Vertraulichkeit der Identität hinweisgebender Personen, ebenso wie für solche von der Meldung betroffenen Personen. Denn dieser Schutz dient maßgeblich der Akzeptanz und damit auch der Wirksamkeit des Hinweisgeberverfahrens im Unternehmen.

  1. Meldungen nach dem Hinweisgeberschutzgesetz und Datenschutz

Bei der Verarbeitung personenbezogener Daten hat die interne Meldestelle die Vorschriften des Datenschutzes einzuhalten.

Dabei muss die Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten hinreichend dokumentiert werden. Zudem bedarf es einer vollständigen und transparenten Information über die Datenverarbeitungen gem. Art. 13, 14 DSGVO, und zwar in der Regel gegenüber allen Personen, deren personenbezogene Daten verarbeitet werden – wobei hier (wie auch an anderen Stellen) ein größeres Spannungsfeld zwischen Hinweisgeberschutz und Datenschutz entstehen kann. Denn die Unterrichtungs- ebenso wie die Löschpflicht im Datenschutz widersprechen den Prinzipien der Vertraulichkeit/Anonymität sowie der lückenlosen Dokumentation des Hinweisgeberschutzes.

Nach Auffassung der deutschen Datenschutzbehörden ist die Einrichtung und Nutzung firmeninterner Meldekanäle „unter besonderer Berücksichtigung des von dem Unternehmen verfolgten Zwecks und der Einrichtungsmodalitäten datenschutzgerecht“ möglich. Weil jedoch nach Auffassung der Datenschutzkonferenz (DSK) die Meldung von Missständen ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt, muss im Einzelfall eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden.

Fazit

Das deutsche Hinweisgeberschutzgesetz tritt nun endgültig in Kraft und führt zu zeitlich gestaffelten Pflichten, nämlich für Unternehmen ab 250 Beschäftigten, die bis zum 02.07.2023 sichere Hinweisgebersysteme einführen müssen, sowie für Unternehmen mit 50 bis 249 Beschäftigten, die bis zum 17.12.2023 solche einführen bzw. erfüllen müssen.

Zu berücksichtigen ist bei der Zeitplanung auch, dass ein solches Verfahren in der Regel der betrieblichen Mitbestimmung unterliegt, sofern ein Betriebsrat eingerichtet ist.

Gern bieten wir, die REVIDATA GmbH, gemeinsam mit unserer langjährigen Kooperationspartnerin, Rechtsanwältin Ulrike-Alexandra Seitzinger (MBA), Ihnen mit unserer Hinweisgeber-Portal-Lösung die Übernahme der Funktion Ihrer internen Meldestelle an, die alle gesetzlichen Voraussetzungen, sei es aus dem HinSchG, aus der DSGVO (Datenschutzgrundverordnung), aus dem BDSG (Bundesdatenschutzgesetz) oder aus sonstigen Gesetzen, erfüllt. Natürlich bieten wir Ihnen auch die Unterstützung und Beratung bei der Ergreifung von Folgemaßnahmen zur Behebung bzw. Regulierung der gemeldeten und Verhinderung weiterer Verstöße an.

In diesem Zusammenhang unterstützen seit über 20 Jahren wie gewohnt Diplom-Wirtschaftsmathematiker und Prokurist der REVIDATA, Erwin Rödler und Brigitte Jordan, Datenschutzauditorin und Geschäftsführerin der REVIDATA Sie auch zu weiteren Compliance-Spezialthemen Datenschutz, Fraud-Bekämpfung, Datenanalyse, Revision, Informationssicherheit, Risikomanagement und bei allen weiteren prüfungsnahen Herausforderungen. 

Wenden Sie sich gerne vertrauensvoll an
 
REVIDATA GmbH seit 1981 
Kompetenz schafft Vertrauen 
Tel.: +49 211 655 843 95
Fax: +49 211 655 843 96
E-Mail an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

*Aus Gründen der besseren Lesbarkeit wird zumeist auf die parallele Verwendung männlicher und weiblicher Sprachformen verzichtet. Personenbezeichnungen gelten dann gleichermaßen für beiderlei Geschlecht und stellen dabei keine Wertung dar.

Weitere Schwerpunktthemen

Kunden, die uns vertrauen