FAQ

Das Hinweisgeberschutzgesetz (HinSchG) ist die deutsche Umsetzung der sog. EU-Whistleblower-Richtlinie (Richtlinie (EU) 2019/1937 des Europäischen Parlaments und des Rates der Europäischen Union vom 23. Oktober 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden).

Ziel ist der Schutz von Personen, die im Rahmen ihrer Tätigkeit Informationen über Verstöße erlangt haben und diese melden. Das HinSchG verbietet jegliche Repressalien gegenüber hinweisgebenden Personen und verpflichtet Unternehmen, sichere Kanäle für die Meldung von Missständen einzurichten. 

Unternehmen mit regelmäßig 50 bis 249 Beschäftigten müssen bis zum 17.12.2023 dem Gesetz Folge leisten. Diesen Unternehmen ist es zudem nach § 14 Absatz 2 HinSchG erlaubt, mit anderen Unternehmen eine „gemeinsame Meldestelle“ zu betreiben.

Unternehmen mit in der Regel  mindestens 250 Beschäftigten müssen die Vorgaben nach dem HinSchG spätestens bis zum  2. Juli 2023 umsetzen.

Kleine Unternehmen bis zu 49 Beschäftigten sind von der Pflicht zur Einrichtung eines internen Meldekanals ausgenommen. Die Schutzvorschriften des HinSchG gelten aber auch in diesen kleinen Unternehmen.

Die Zählung der Beschäftigten erfolgt als reine Zählung nach Personen. Teilzeitbeschäftigte (auch Minijobber) werden nicht nur anteilig berücksichtig, sondern voll gezählt.

Umgangssprachlich auch „Whistleblower“ genannt sind dies alle Personen, die im Rahmen ihrer beruflichen Tätigkeit Informationen über Verstöße gegen das Recht (Unionsrecht) erlangt haben und diese melden.

Beispielweise zum Thema Korruption, Diebstahl sowie Strafvorschriften insgesamt. Verstöße, die mit einem Bußgeld bedroht sind (also Ordnungswidrigkeiten), wenn die verletzte Norm dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient.

Darunter fallen beispielswese Vorschriften aus den Bereichen des Arbeits- und Gesundheitsschutzes, Verstöße gegen das Mindestlohngesetz oder Bußgeldvorschriften, die Verstöße gegen Aufklärungs- und Auskunftspflichten gegenüber Organen der Betriebsverfassung wie Betriebsräten sanktionieren.

Alle Verstöße gegen Rechtsvorschriften des Bundes und der Länder, die zur Umsetzung bestimmter europäischer Regelungen getroffen wurden, sowie Verstöße gegen unmittelbar geltende EU-Rechtsakte in einer Vielzahl verschiedener Bereiche, z. B. Regelungen zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung, Vorgaben zur Produktsicherheit, Vorgaben zur Verkehrssicherheit, Vorgaben zur Beförderung gefährlicher Güter, Vorgaben zum Umwelt- und Strahlenschutz, Lebensmittel- und Futtermittelsicherheit, Qualitäts- und Sicherheitsstandards bei Arzneimitteln und Medizinprodukten, Regelungen des Verbraucherschutzes, Regelungen des Datenschutzes und der Sicherheit in der Informationstechnik, Regelungen des Vergaberechts, Regelungen zur Rechnungslegung bei Kapitalgesellschaften, Regelungen im Bereich des Wettbewerbsrechts usw.

Nicht zuletzt auch in Bezug auf Äußerungen von Beamtinnen und Beamten, die einen Verstoß gegen die Pflicht zur Verfassungstreue darstellen.

Voraussetzung ist immer, dass sich die Verstöße auf den Beschäftigungsgeber/das Unternehmen oder eine andere Stelle beziehen müssen, mit dem oder mit der die hinweisgebende Person selbst in beruflichem Kontakt stand oder steht (§ 3 Absatz 3 HinSchG).

Ein Meldekanal ermöglicht die Entgegennahme der Hinweise auf verschiedenen Wegen:

• In Textform (z. B. per E-Mail oder per Briefpost).
• Mündlich (z. B. per Telefon).
• Persönlich (z. B. per Videokonferenz).

Anonyme Meldungen sollen möglich sein, aber es besteht keine Bearbeitungspflicht.

Unternehmen müssen die interne Meldestelle nicht selbst betreiben, sondern können nach § 14 Absatz 1 HinSchG auch Dritte als interne Meldestelle beauftragen. Die Entgegennahme und Bearbeitung von Hinweisen kann somit auf externe Anbieter ausgelagert werden, sofern diese entsprechende Garantien für die Wahrung der Unabhängigkeit und Vertraulichkeit, des Datenschutzes und der Geheimhaltung bieten.

Alle Meldewege müssen die Vertraulichkeit des Hinweisgebers sowie Dritter schützen!

Wichtig ist das Vertraulichkeitsgebot nach § 8. Die internen Meldekanäle müssen so eingerichtet sein, dass die Identität der hinweisgebenden Person, der Personen, die Gegenstand einer Meldung sind, sowie der sonstigen in der Meldung erwähnten Personen gewahrt wird. Die Identität dieser Personen darf nur den zur Entgegennahme der Meldung sowie zur Ergreifung von Folgemaßnahmen zuständigen Personen bekannt sein. Anderen Personen darf der Zugriff auf den internen Meldekanal nicht möglich sein. Nur mit ausdrücklicher Zustimmung der betroffenen Personen darf deren Identität auch anderen Personen gegenüber offengelegt werden. 

Informationen über die Identität einer hinweisgebenden Person oder sonstiger Person, die in der Meldung erwähnt werden, dürfen nur in Ausnahmefällen nach § 9 HinSchG herausgegeben werden, etwa in Strafverfahren auf Verlangen der Strafverfolgungsbehörde.

• Die handelnden Personen müssen unabhängig und frei von Interessenkonflikten handeln können. Geschäftsführer und Personalverantwortliche können dies in der Regel nicht.
• Die handelnden Personen können insbesondere sein: Compliance Beauftragte, Datenschutzbeauftragte usw.
• Die handelnden Personen müssen die notwendige Fachkunde besitzen und entsprechende Schulungen nachweisen können.
• Es sind technische Voraussetzungen zu schaffen, welche den Zugriff auf die Systeme durch nicht autorisierte Personen verhindern. Niemand als die beauftragte, handelnde Person darf Kenntnis erlangen. Hier sind auch Administratoren betroffen.
• Es muss ein Ablauf etabliert werden, der sicherstellt, dass die vorgegeben Fristen eingehalten werden und die Vertraulichkeit gewahrt bleibt.
• Es muss die Möglichkeit einer entsprechenden vertraulichen Dokumentation auch nach DSGVO geschaffen werden. Aufbewahrungs- und Löschkonzepte sind zu erstellen.
• Da in hohem Maß personenbezogene Daten verarbeitet werden, ist der Datenschutz sicherzustellen. Eine Datenschutzerklärung, eine Datenschutzfolgeabschätzung, die Dokumentation geeigneter TOMs (technischer und organisatorischer Maßnahmen) usw. sind im Mindesten erforderlich.
• Es muss für Behörden Informationen bereitgestellt werden, um zu dokumentieren, dass ein Meldeverfahren existiert und wie dieses aufgebaut ist.
• Bei internen Meldekanälen ist die betriebliche Mitbestimmung zu berücksichtigen

Die Informationen zum Meldeverfahren und dessen Existenz müssen klar verständlich z. B. auf der Unternehmenswebsite oder anderen leicht zugänglichen Orten veröffentlicht werden.

Spätestens ab dem 01.12.2023 ist dies mit empfindlichen Bußgeldern bis zu 20.000 € bedroht. Die Verpflichtung eine Meldestelle einzurichten, besteht für die betroffenen Unternehmen seit Inkrafttreten des Gesetztes, also seit dem 02.07.2023.

Gemäß § 38 HinSchG ist die hinweisgebende Person zum Ersatz des Schadens verpflichtet, der aus einer vorsätzlichen oder grob fahrlässigen Meldung oder Offenlegung unrichtiger Informationen entstanden ist.

Die Schadensersatzpflicht besteht somit nur für bewusst falsche Meldungen oder für solche, die der Hinweisgeber selbst für eher unzutreffend hält. Falls Anhaltspunkte für das Vorliegen eines Rechtsverstoßes bestanden, der Hinweisgeber also hinreichenden Grund für die Annahme meldewürdigen Sachverhaltes hat, geht der Schutz des Hinweisgebers vor. Eine Schadensersatzpflicht scheidet aus, auch wenn sich die Annahme des Hinweisgebers im Nachhinein als unzutreffend herausstellt.