• exkulpa
  • /
  • Blog
  • /
  • Datenschutz
  • /
  • Das Hinweisgeberschutzgesetz 2023: Umfassender Leitfaden zum aktuellen Stand und Auswirkungen

Das Hinweisgeberschutzgesetz 2023: Umfassender Leitfaden zum aktuellen Stand und Auswirkungen

01. Dezember 2023 - Minuten Lesezeit

Unerlaubt weitergebene Kundendaten, der Vorgesetzte, der beide Augen zudrückt, wenn ein Kunde große Geldmengen in bar bezahlen möchte, bis hin zu tatsächlichen Straftatbeständen – in einem Unternehmen können jederzeit Missstände auftreten. Diese können teils schwere Folgen für das Unternehmen haben, insbesondere dann, wenn Verstöße an die Öffentlichkeit geraten. Personen im engeren Umfeld der Organisation, darunter Kunden und Lieferanten werden meist als erstes auf solche Missstände aufmerksam und haben die Möglichkeit, sie frühzeitig zu melden und schwerwiegende Konsequenzen zu verhindern.

Der Schutz solcher Hinweisgeber oder „Whistleblower“ war in der EU und auf nationaler Ebene bisher nicht einheitlich geregelt. Das führte oft dazu, dass Hinweisgeber aus Furcht vor Vergeltungsmaßnahmen zögerten, ihre Bedenken zu äußern.

Aus diesem Grund trat am 16. Dezember 2019 die Richtlinie (EU) 2019/1937 des Europäischen Parlaments und des Rates vom 23. Oktober 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden in Kraft, auch „Hinweisgeberschutzrichtlinie“ genannt. Die Richtlinie sollte von den Mitgliedsstaaten bis zum 17.12.2021 in nationales Recht umgesetzt werden.

Der deutsche Gesetzgeber hat diese Frist nicht eingehalten, was u.a. zu einem Vertragsverletzungsverfahren gegen Deutschland führte. In der Folge lief der Gesetzgebungsprozess ein wenig schneller ab, das Gesetz wurde am 02. Juni 2023 bekannt gegeben und trat einen Monat später in Kraft.

Inhalt
Anwendungsbereich und Fristen zur Umsetzung
Definition von "Hinweisgeber"
Verpflichtungen für Unternehmen
Rechte und Schutz für Hinweisgeber
Rolle der externen Meldestellen
Sanktionen
Fazit

Stand seit Juli 2023

Das Hinweisgeberschutzgesetz ist seit 2023 in Kraft getreten und hat einige Änderungen in der deutschen Unternehmenslandschaft eingeleitet.

Mit dem Gesetz geht die Einrichtung von internen und externen Meldestellen einher und Maßnahmen zum Schutz der Hinweisgeber, aber auch zum Schutz der Unternehmen.

Hinweisgeberschutzgesetz_Leitfaden

Anwendungsbereich und Fristen zur Umsetzung

Das Hinweisgeberschutzgesetz legt spezifische Anforderungen für Unternehmen unterschiedlicher Größen fest. Eine der zentralen Anforderungen des Gesetzes ist die Verpflichtung zur Einrichtung interner Meldekanäle, die von der Größe des Unternehmens abhängig ist:

Unternehmen mit mehr als 250 Mitarbeitern

Diese Unternehmen müssen seit dem Inkrafttreten des Gesetzes am 2. Juli 2023 interne Meldekanäle eingerichtet haben.

Unternehmen mit 50 bis 249 Mitarbeitern

Für diese Kategorie von Unternehmen gilt eine spätere Frist zur Einrichtung der Meldekanäle. Bis zum 17. Dezember 2023 müssen auch sie entsprechende Systeme implementiert haben, die ihren Mitarbeitern die Möglichkeit geben, Hinweise abzugeben, ohne Repressalien fürchten zu müssen.

Durch diese gestaffelten Anforderungen berücksichtigt das Gesetz die unterschiedlichen Kapazitäten und Ressourcen von Unternehmen verschiedener Größenordnungen, stellt aber gleichzeitig sicher, dass ein breites Spektrum an Organisationen in den Geltungsbereich fällt.

Anwendungsbereich

Unter das Hinweisgeberschutzgesetz fallen alle Meldungen über:

  • Verstöße, die strafbewehrt sind,
  • Verstöße, die bußgeldbewehrt sind, soweit die verletzte Vorschrift dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient,
  • sonstige Verstöße gegen Rechtsvorschriften des Bundes und der Länder sowie unmittelbar geltende Rechtsakte der EU, darunter:
  • Vorschriften zur Geldwäsche und Terrorismusfinanzierung
  • Vorschriften zum Datenschutz,
  • Vorgaben zur Produktsicherheit und -konformität,
  • Vorgaben zum Umweltschutz,
  • Div. Vorschriften im Finanzsektor.

Hinweisgeberschutzgesetz verstehen & umsetzen

Jetzt Webinarplatz sichern

Unternehmen >50 Mitarbeitern müssen das Hinweisgeberschutzgesetz bis zum 17.12. umsetzen. Wir zeigen Ihnen, wie Sie alle Anforderungen rechtzeitig und kostengünstig meistern können, inkl. kostenloser Arbeitshilfen.

 Jetzt Platz sichern

Definition von "Hinweisgeber"

Ein zentraler Aspekt des Hinweisgeberschutzgesetzes ist die Definition des Begriffs "Hinweisgeber". Gemäß dem Gesetz wird eine Person als Hinweisgeber betrachtet, wenn sie im beruflichen Kontext Informationen über Verstöße erlangt hat. Dies umfasst:

  • Angestellte in ihrem aktuellen oder früheren Beschäftigungsverhältnis
  • Auftragnehmer, Lieferanten und externe Partner, die mit dem Unternehmen zusammenarbeiten
  • Praktikanten und Auszubildende, unabhängig von ihrem Beschäftigungsstatus

Wichtig ist, dass der Schutz des Gesetzes nicht nur auf aktuelle, sondern auch auf ehemalige Mitarbeiter und Personen in ähnlichen Arbeitsverhältnissen ausgedehnt wird. Diese umfassende Definition soll sicherstellen, dass eine breite Palette von Personen, die potenziell auf Missstände stoßen könnten, ermutigt wird, diese ohne Angst vor negativen Konsequenzen zu melden.

EU-Whistleblower

Verpflichtungen für Unternehmen

Einrichtung interner Meldekanäle und deren Anforderungen

Eine der Hauptverpflichtungen, die das Hinweisgeberschutzgesetz für Unternehmen mit sich bringt, ist die Einrichtung interner Meldekanäle. Diese Kanäle sollen es Mitarbeitern und anderen Betroffenen ermöglichen, Informationen über Missstände oder Rechtsverstöße sicher und vertraulich zu melden. Die Anforderungen an diese Meldekanäle umfassen:

Vertraulichkeit

Die Identität der hinweisgebenden Person muss geschützt werden. Dies ist entscheidend, um das Vertrauen der Mitarbeitenden in das System zu stärken und die Angst vor Vergeltung zu minimieren. Hierbei geht es aber nicht darum, die Identität des Hinweisgebers ggü. der Ombudsperson zu schützen, sondern darum, dass die Ombudsperson die Identität nicht oder nur in Ausnahmefällen (wie einer unmittelbaren Gefährdung des öffentlichen Interesses) offenlegen darf. Organisationen sind nicht dazu verpflichtet, anonyme Meldungen zu ermöglichen. Gleichwohl sollten sie diese bearbeiten, wenn sie entsprechende Kanäle zur Verfügung stellen.

Unparteiische Bearbeitung

Meldungen müssen von einer unparteiischen Stelle innerhalb des Unternehmens bearbeitet werden. Diese Stelle muss die Fähigkeit und Autorität besitzen, die gemeldeten Hinweise effektiv zu untersuchen.

Feedback-System

Das Gesetz legt klare Fristen zur Bearbeitung der eingegangenen Hinweise fest. Innerhalb von 7 Tagen muss der Hinweisbearbeiter auf die Nachricht reagieren und dem Whistleblower eine Bestätigung über den Eingang der Meldung zukommen lassen. Nach spätestens 3 Monaten muss der Hinweisgeber einen Abschlussbericht oder bei zeitaufwendigen Fällen, zumindest einen Zwischenstand erhalten.

Datenschutz

Die Handhabung der Meldungen muss im Einklang mit den Datenschutzgesetzen erfolgen, um die persönlichen Informationen aller Beteiligten zu schützen. Darunter die Bereitstellung einer Datenschutzerklärung nach Art. 13, 14 DSGVO, die Aufnahme des Prozesses in das Verzeichnis der Verarbeitungstätigkeiten (VVT) und die Durchführung einer Datenschutzfolgeabschätzung (DSFA). Bei Einsatz eines externen Hinweisgebersystems müssen Auftragsverarbeitungsverträge mit dem Dienstleister geschlossen werden.

Arbeitgeber haben bei der Einrichtung interner Meldestellen darüber hinaus in einigen Punkten einen gewissen Handlungspspielraum: 

  • Förderung der Nutzung interner Meldestellen: Arbeitgeber sollten geeignete Anreize entwickeln, um die Bevorzugung interner Meldekanäle zu unterstützen..
  • Art der Meldekanäle: Entscheidung zwischen elektronischen und nicht-elektronischen Meldekanälen.
  • Einrichtung anonymer Meldekanäle: Dem Arbeitgeber bleibt es überlassen, ob er anonyme Meldungen ermöglicht. Wenn entsprechende Kanäle eingerichtet werden, sollten die Meldungen jedoch bearbeitet werden.
  • Form der Meldungen: Wahlmöglichkeit zwischen mündlicher (Telefon, Sprachnachricht) und schriftlicher Meldung oder einer Kombination beider Formen.
  • Prozess für Persönliche Meldungen: Festlegung konkreter Verfahren für Arbeitnehmer, die persönliche Meldungen bevorzugen.
  • Wahrung der Vertraulichkeit: Strategien zur Sicherstellung der Vertraulichkeit jeder Meldung.
  • Kommunikation mit der Meldestelle: Gestaltung der Kommunikationswege und Korrespondenz zwischen Arbeitnehmern und der Meldestelle.
  • Dokumentation der Meldungen: Methoden und Verfahren zur effektiven Dokumentation eingehender Meldungen.
  • Bearbeitung eingehender Meldungen: Festlegung spezifischer Prozesse zur Weiterbearbeitung von Meldungen

Diese Themen können bpsw. in einer Betriebsvereinbarung geregelt werden. Hier geben wir Ihnen einen Überblick zu Inhalten einer Betriebsvereinbarung und der Rolle des Betriebsrats beim Hinweisgeberschutzgesetz.

Webinar zum Hinweisgeberschutzgesetz

 Alle wichtigen Infos für Unternehmen >50 MA

Lernen Sie die Anforderungen des Gesetzes kennen und erhalten Sie eine Schritt-für-Schritt-Anleitung zur rechtzeitigen Umsetzung in Ihrem Unternehmen.

 Kostenlos anmelden

Schulungen und Bewusstseinsbildung

  • Schulung der Mitarbeiter: Mitarbeiter sollten über ihre Rechte und Pflichten im Zusammenhang mit dem Hinweisgeberschutzgesetz informiert werden. Dies beinhaltet Informationen darüber, wie sie einen Hinweis geben können und welche Schutzmaßnahmen für sie existieren.
  • Training für die Verwaltung von Meldungen: Personen, die für die Bearbeitung der Meldungen zuständig sind, auch Ombudspersonen genannt, müssen speziell geschult werden, um diese Aufgabe effektiv und gemäß den rechtlichen Anforderungen zu erfüllen.
  • Kulturwandel fördern: Unternehmen sollten eine Kultur fördern, in der Offenheit und ethisches Verhalten wertgeschätzt werden. Dazu gehört, das Bewusstsein zu stärken, dass das Melden von Missständen ein wichtiger und geschätzter Beitrag zur Integrität und zum Erfolg des Unternehmens ist.

Rechte und Schutz für Hinweisgeber

Ein zentraler Bestandteil des Hinweisgeberschutzgesetzes ist der Schutz von Hinweisgebern vor Repressalien. Schutz genießen alle Personen, die eine Meldung abgegeben haben, sofern die Meldung unter den Anwendungsbereich des HinSchG fällt und der Hinweisgeber zum Zeitpunkt der Meldung hinreichenden Grund zur Annahme hatte, dass die Informationen der Wahrheit entsprechen. Anschließend wird der Hinweisgeber wie folgt vor Repressalien geschützt:

Verbot von Vergeltungsmaßnahmen

Das Gesetz untersagt jegliche Art von Repressalien gegen Hinweisgeber. Dazu gehören Kündigung, Herabstufung, Gehaltskürzungen und jede Form von Mobbing oder Diskriminierung.

Beschaffungsschutz

Hinweisgeber können rechtlich nicht haftbar gemacht werden für das Beschaffen oder den Zugriff auf die Informationen, die sie gemeldet oder veröffentlicht haben, es sei denn, das Beschaffen dieser Informationen oder der Zugang zu ihnen stellt an sich eine separate Straftat dar.

Rechtliche Unterstützung und Entschädigung

Die hinweisgebende Person, die trotz des gesetzlichen Schutzes Repressalien erfahren, haben Anspruch auf rechtliche Unterstützung. Sie können zudem Entschädigung für erlittene Nachteile oder Schäden fordern.

Grundprinzip der Beweislastumkehr

Wenn ein Hinweisgeber nach der Meldung eines Verstoßes Repressalien ausgesetzt ist, liegt die Beweislast dafür, dass diese Maßnahmen nicht als Vergeltung erfolgten, beim Arbeitgeber und nicht beim Hinweisgeber. Das bedeutet, dass das Unternehmen nachweisen muss, dass Maßnahmen wie Kündigung, Herabstufung oder andere negative Konsequenzen nicht als Reaktion auf die Meldung erfolgt sind.

Vertrauliche Behandlung der Meldungen

Alle Meldungen müssen vertraulich behandelt werden, um die Identität der Hinweisgeber zu schützen. Dies beinhaltet, dass nur autorisierte Personen Zugang zu den Informationen haben und die Informationen nur für den Zweck der Untersuchung der Meldung verwendet werden dürfen. Vom Vertraulichkeitsgebot ausgenommen sind Hinweisgeber, die vorsätzlich oder grob fahrlässig falsche Informationen melden.

Rolle der externen Meldestellen

Eine externe Meldestelle ist beim Bundesamt für Justiz (BfJ) angesiedelt. Diese soll separat vom üblichen Behördenbetrieb agieren und bestimmte Kompetenzen erhalten, die noch durch eine Rechtsverordnung genauer definiert werden müssen. Die Meldestelle wird in enger Zusammenarbeit mit anderen Behörden agieren, ist jedoch nicht verpflichtet, anonymen Hinweisen nachzugehen. Weitere Meldestellen sind bei der BaFin oder in den Ländern angesiedelt.

Es besteht keine hierarchische Ordnung zwischen den verschiedenen Meldestellen, wodurch Personen, die einen Hinweis geben möchten, frei wählen können, an welche Stelle sie sich wenden. In geeigneten Fällen soll die externe Meldestelle die Hinweisgeber jedoch explizit auf interne Meldewege hinweisen. In Fällen, bei denen davon auszugehen ist, dass intern wirksam gegen einen Verstoß vorgegangen werden kann, sollen interne Meldestellen bevorzugt werden.

Darüber hinaus wird die externe Meldestelle Informationen über Meldekanäle und die Rechte der Hinweisgeber bereitstellen. Unternehmen sollen auf diese Informationen auf ihren Websites und in ihrer sonstigen Kommunikation verweisen können.

Das Hinweisgeberschutzgesetz kommt - Sie wollen die Abkürzung nehmen?

Kein Problem - mit unserem Full-Service-Hinweisgebersystem. Jetzt kostenlos und unverbindlich testen.

 Kostenlos anmelden

Keine Kreditkarte notwendig

Sanktionen

Das Hinweisgeberschutzgesetz sieht verschiedene rechtliche Konsequenzen sowohl für Unternehmen als auch für Hinweisgeber vor. Unternehmen, die keine interne Meldestelle, bis Ablauf der Frist einrichten, droht ein Bußgeld von bis zu 20.000 Euro. Ferner drohen Reputationsschäden, die weitaus gravierender sein können.

Sanktioniert werden kann auch die Behinderung einer Meldung oder deren Versuch und die Ergreifung von Repressalien gegen Hinweisgeber; hier können jeweils bis zu 50.000 Euro Bußgeld verhängt werden.

Whistleblowern droht ein Bußgeld von bis zu 20.000 Euro, wenn sie wissentlich unrichtige Informationen offenlegen.

Fazit

Nach langem Hin und Her tritt das Hinweisgeberschutzgesetz nun in Kürze auch für kleinere Unternehmen in Kraft. Unternehmen mit mehr als 50 Mitarbeitern müssen das Gesetz bis spätestens zum 17. Dezember 2023 umsetzen, andernfalls drohen Sanktionen.


Die Umsetzung stellt Unternehmer vor einige Herausforderungen, bspw. was die Einrichtung und den Betrieb der Meldestelle betrifft und die damit zusammenhängenden Compliance-Anforderungen, wie die Einhaltung des Datenschutzes.


Das Hinweisgeberschutzgesetz bietet aber auch Chancen. Durch Hinweise von Mitarbeitern und Personen im näheren Umfeld des eigenen Unternehmens können Compliance-Verstöße frühzeitig aufgedeckt und diskret behandelt werden, bevor diese an die Öffentlichkeit geraten. Organisationen sollten sich dessen bewusstwerden und eine Kultur etablieren, die Mitarbeiter zum Abgeben von Hinweisen ermutigt und Whistleblower nicht als Denunzianten abstempelt.

Daniel Lüttgens

Berater


Mehr zu Herrn Lüttgens

Daniel Lüttgens
Weitere blogartikel

Kryptowährungen und Geldwäscheprävention

Google Consent Mode: Funktion und Auswirkungen auf den Datenschutz

E-Learning im Wandel der Zeit

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}

Sie haben Beratungsbedarf oder wünschen ein Angebot zum Datenschutz?

Jetzt AnfrageN
>