Was ist das Hinweisgeberschutzgesetz? – Schritt für Schritt Anleitung

Kostenloses Webinar zum HinSchG

Thema: Die praktische Umsetzung des Hinweisgeberschutzgesetzes – konkreter Handlungsleitfaden inkl. Muster und Checklisten

Jeden Freitag von 14:00 – 15:00 Uhr

Hinweisgeberschutzgesetz Hinweisgebersystem Compliance Hinweisgeberschutzsystem Whistleblower
Durch das Hinweisgeberschutzgesetz sollen Missstände in Organisationen frühzeitig aufgedeckt, aufgeklärt und letztlich behoben werden. Hierfür stellt es sogenannte Hinweisgeber oder auch Whistleblower unter einen besonderen Schutz, die im Rahmen ihrer beruflichen Ausübung Informationen über Verstöße erlangt haben und diese melden.
Organisationen mit mindestens 250 Mitarbeitenden müssen die Vorgaben des Hinweisgeberschutzgesetzes bis spätenstens zum 2. Juli 2023 umgesetzt haben, wobei für den Fall, dass ein interner Meldekanal noch nicht eingerichtet oder betrieben wird, erst ab dem 1. Dezember 2023 Sanktionen in Form von Bußgelder drohen.
Kleinere Unternehmen mit 50 bis 249 Beschäftigten haben nur noch bis zum 17. Dezember 2023 Zeit das HinSchG umzusetzen, sollten aber jetzt schon Vorbereitungen treffen, damit dann die erforderlichen Hinweisgebersysteme schnell einsatzfähig sein werden.

 

Hinweisgeberschutzgesetz – Was ich muss beachten?

Die Zeit rennt. Das Hinweisgebergesetz am 2. Juli 2023 final in Kraft getreten. Was müssen Unternehmen sowie Arbeitgeber jetzt tun?

In erster Linie sollten Sie eine Bestandsaufnahme innerhalb der Organisation durchführen. Besteht bereits schon eine interne Meldestelle bzw. Hinweisgeberschutz-System? Wenn ja, gibt es entsprechenden Anpassungsbedarf?

Ist dies nicht der Fall sollten Sie sich dringend um eine Lösung kümmern. Eben durch die Einrichtung einer internen Meldestelle.

Wer kann Hinweisgeber sein?

Hinweisgeber können alle natürlichen Personen sein, welche im Zusammenhang mit dem Arbeits- bzw. Dienstverhältnis Informationen über Verstöße erlangt haben und diese melden. Dies können insbesondere:

  • Mitarbeitende;
  • Bewerber;
  • Praktikanten;
  • Leiharbeitnehmende;
  • ehemalige Beschäftigte;
  • Dienstleister;
  • Kunden
  • etc.

sein. Die Begrifflichkeit des Hinweisgebenden ist weit gefasst.

Nach § 16 Abs. 1 HinSchG müssen die internen Meldekanäle mindestens den eigenen Mitarbeitenden sowie Leiharbeitnehmenden zur Verfügung stehen. Es steht der Organisation offen, ob zusätzlich noch ein externer Meldekanal für Kunden sowie außenstehende Personen implementiert werden soll.

Welche Hinweise können gemeldet werden?

Nicht jede Meldung bzw. Hinweis ist vom HinSchG umfasst. In § 2 HinSchG wird der weit gefasste Schutzbereich näher dargelegt. Hinweisgebende Personen genießen den Schutz des HinSchG, wenn sie Verstöße gegen folgende Vorschriften melden:

  • Verstöße gegen Strafvorschriften
  • Ordnungswidrigkeiten, wenn die verletzte Ordnungswidrigkeit dem Schutz vom Leib, Leben oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder der Vertretungsorgane (z.B. Vorstand, Geschäftsführung, etc.) dient; darunter fallen bspw. Vorschriften aus folgenden Bereichen:
    • Arbeits- und Gesundheitsschutz
    • Verstöße gegen das Mindestlohngesetz
    • Verstöße gegen Aufklärungs- und Auskunftspflichten gegenüber Organen der Betriebsverfassung wie Betriebsräten sanktionieren.
  • Alle Verstöße gegen Rechtsvorschriften (z.B. Gesetze, Verordnungen, etc.) des Bundes und der Länder
  • Verstöße gegen EU-Recht, wie z.B.
    • Geldwäsche und Terrorismusfinanzierung
    • Produktsicherheit
    • Verkehrssicherheit
    • Beförderung gefährlicher Güter
    • Umwelt- und Strahlenschutz
    • Lebensmittel- und Futtermittelsicherheit
    • Arzneimitteln und Medizinprodukten
    • Verbraucherschutz
    • Datenschutz und Informationssicherheit
    • Vergaberecht
    • Rechnungslegung bei Kapitalgesellschaften
    • Wettbewerbsrecht
  • Bei Beamten und Beamtinnen: Verstoß gegen die Verfassungstreue (vgl. Razzia gegen Reichsbürger)

Voraussetzung nach § 3 Abs. 3 HinSchG ist immer, dass sich die Verstöße auf den Beschäftigungsgeber bzw. die Organisation oder eine andere Stelle beziehen müssen, mit dem oder mit der die hinweisgebende Person selbst in beruflichem Kontakt steht bzw. stand.

Welche Organisationen müssen einen internen Meldekanal einrichten – und zu wann?

Organisationen kleiner als 50 Mitarbeitende

Kleine Unternehmen mit in der Regel bis zu 49 Beschäftigten sind von der Pflicht zur Implementierung eines internen Meldekanals ausgenommen. Die Schutzvorschriften des HinSchG (insbesondere der Schutz vor Repressalien nach § 36 HinSchG) dürfte aber wohl auch in diesen kleinen Unternehmen gelten, wenn beispielsweise ein Arbeitnehmer einen Rechtsverstoß meldet.

Organisationen zwischen 50 bis 249 Mitarbeitenden

Für Organisationen mit in der Regel 50 bis 249 Beschäftigten sieht das HinSchG eine verlängerte Einrichtungsfrist bis zum 17. Dezember 2023 vor. Diesen Unternehmen ist es zudem nach § 14 Absatz 2 HinSchG erlaubt, Ressourcen zu teilen und mit anderen Unternehmen eine „gemeinsame Meldestelle“ zu betreiben. Dies könnte z.B. der Fall in einem Konzernverbund sein.

Organisationen ab 250 Mitarbeitenden

Organisationen mit in der Regel mindestens 250 Beschäftigten müssen die Vorgaben nach dem HinSchG spätestens bis zum 2. Juli 2023 umsetzen. Bußgelder – bis zu 20.000€ – aufgrund eines fehlenden Meldekanals werden erst ab dem 1. Dezember 2023 verhängt.

Branchenspezifisch

Spezielle Branchen müssen unabhängig von der Mitarbeitendenzahl eine interne Meldestelle bis zum 2. Juli 2023 umsetzen. Die Branchen sind in § 12 Abs. 3 HinSchG abschließend aufgelistet:

  • Wertpapierdienstleistungsunternehmen
  • Datenbereitstellungsdienste
  • Börsenträger
  • Institute im Sinne des Kreditwesengesetzes sowie Wertpapierinstitusgesetzes
  • Kapitalverwaltungsgesellschaften
  • Unternehmen gemäß des Versicherungsaufsichtsgesetzes

Was muss bei der Einrichtung der internen Meldestelle beachtet werden?

1. Interne Meldestellen müssen nach § 16 Abs. 3 HinSchG Meldungen in mündlicher oder in Textform sowie auf Wunsch in persönlicher Weise ermöglichen

Textform Meldekanäle können sein:

  • Cloud- bzw. IT-basiertes Hinweisgeberschutz-System mit einem Serverstandort in der EU aufgrund von geltenden Datenschutzgesetzen. Wie z.B. das Hinweisgeberschutz-System der Gesellschaft für Datenschutz. Testen Sie unverbindlich unsere kostenlose Demo und überzeugen Sie sich selber
  • Eine eigens für die Entgegennahme und Bearbeitung von Hinweisen eingerichtete E-Mailadresse. Achtung: Das Postfach darf von keinem IT-Admin einsehbar sein. Aus der Praxis heraus ist diese Methode nicht zu empfehlen.

Ein „Kummerkasten“ bzw. Briefkasten für Hinweise scheidet aus, da diese Methode nur die Schriftform berücksichtigt und der Gesetzestext jedoch von Textform spricht

Mündliche Meldekanäle können sein:

  • 24/7 Telefonhotline
  • Anrufbeantwortersystem

Nach § 16 Absatz 1 HinSchG besteht keine Verpflichtung, die internen Meldekanäle so einzurichten, dass sie die Abgabe anonymer Meldungen ermöglichen. Es wird nur vorgegeben, dass auch anonym eingehende Meldungen bearbeitet werden sollen.

Es können selbstverständlich auch mehrere Kanäle eingerichtet werden.

Organisationen müssen die interne Meldestelle nicht selbst betreiben, sondern können nach § 14 Abs. 1 HinSchG auch Dritte als interne Meldestellen beauftragen. Die Entgegennahme und Bearbeitung von Hinweisen kann somit auf externe Anbieter von Meldeplattformen ausgelagert werden, sofern diese entsprechende Garantien für die Wahrung der Unabhängigkeit und Vertraulichkeit, des Datenschutzes und der Geheimhaltung bieten. Diese Meldeplattformen sollten im besten Fall folgende Punkte erfüllen:

  • Serverstandort in der EU
  • ISO 27001 zertifizierte Rechenzentren
  • Abschluss eines Auftragsverarbeitungsvertrages
  • TLS/SSL-Verschlüsselung nach dem Stand der Technik gem. Art. 32 DSGVO
  • 2-Faktor-Authentifizierung
  • Domain Absicherung via DNSSEC
  • Betrieb auf georedundaten Servern

Testen Sie unser Hinweisgebersystem kostenlos und unverbindlich!

hinweisgebersystem

2. Schutz der Vertraulichkeit

Das Vertraulichkeitsgebot ergibt sich aus § 8 HinSchG. Demnach müssen die internen Meldekanäle müssen so konzipiert sein, dass die Identität der hinweisgebenden Person, der Personen, die Gegenstand einer Meldung sind, sowie der sonstigen in der Meldung erwähnten Personen gewahrt wird. Die Identität dieser Personen darf nur den Hinweisempfängern sowie zur Ergreifung von Folgemaßnahmen zuständigen Personen bekannt sein.

Anderen Personen muss der Zugriff auf den internen Meldekanal verwehrt sein. Nur mit ausdrücklicher Einwilligung der betroffenen Personen darf deren Identität auch anderen Personen gegenüber offengelegt werden.

Informationen über die Identität einer hinweisgebenden Person oder sonstiger Person, die in der Meldung erwähnt werden, dürfen nur in Ausnahmefällen nach § 9 HinSchG herausgegeben werden, etwa in Strafverfahren auf Verlangen der Strafverfolgungsbehörde.

3. Zuständigkeit innerhalb der Organisation

Innerhalb einer Organisation müssen Hinweisempfänger benannt werden, welche

  • Hinweise entgegennehmen,
  • dem Hinweisgeber innerhalb der 7-Tages-Frist den Eingang der Meldung bestätigen,
  • den Hinweis prüfen,
  • Folgemaßnahmen in die Wege leiten, sofern notwendig
  • und den Hinweisgeber innerhalb von 3 Monaten über die Folgemaßnahmen informieren

Welche Personen können als Hinweisempfänger geeignet sein?

Kein Interessenskonflikt

Hinweisempfänger können neben ihrer Tätigkeit für die interne Meldestelle andere Aufgaben und Pflichten wahrnehmen. Wichtig ist aber, sicherzustellen, dass derartige Aufgaben und Pflichten nicht zu Interessenskonflikten führen und diese Personen unabhängig handeln können (§ 15 Abs. 1 HinSchG). Geschäftsführer oder Personalverantwortliche können aufgrund bestehender Interessenskonflikte nicht Hinweisempfänger sein.

Notwendige Fachkunde

Darüber hinaus müssen die Hinweisempfänger nach § 15 Abs. 2 HinSchG die notwendige Fachkunde besitzen, damit diese die mit dem Betrieb der internen Meldestelle verbundenen Aufgaben erfüllen können. In der Regel wird es erforderlich sein, die betreffenden Personen im Hinblick auf die mit der Übernahme der Funktion verbundene Verantwortung zu schulen.

4. Fristen beachten

Gemäß § 17 HinSchG müssen bei der Bearbeitung der Hinweise folgende Fristen beachtet werden:

  • Innerhalb von 7 Tagen muss dem Hinweisgeber bestätigt werden, dass seine Meldung eingegangen ist.
  • Innerhalb von spätestens 3 Monaten nach der Bestätigung des Eingangs der Meldung muss der Hinweisgeber über geplante oder bereits ergriffene Folgemaßnahmen sowie die Gründe für diese informiert werden.

5. Ergreifen von Folgemaßnahmen

Ordnungsgemäße Folgemaßnahmen im Sinne von § 18 HinSchG können sein:

  • Einleitung interner Ermittlungen bzw. Nachforschungen
  • Maßnahmen zur Beseitigung des Problems
  • Verweis auf andere Verfahren bei Meldungen (z.B. Hinweis an die Staatsanwaltschaft, Polizei, Behörden, etc.)
  • Abschluss des Verfahrens mangels Beweise

6. Dokumentation der Hinweise

Alle eingehenden Hinweise müssen nach § 11 HinSchG gebührend dokumentiert werden. Der von der Organisation ausgewählte Meldekanal sollte entsprechende Möglichkeiten haben, dass Hinweise so dokumentiert werden, dass diese ggf. als Beweismittel verwendet werden können.

Die gesetzliche Aufbewahrungsfrist der Hinweis beträgt 3 Jahre nach Abschluss des Verfahrens. Ausnahmsweise können die Hinweise länger aufbewahrt werden, um andere rechtliche Aufbewahrungsfristen nicht zu verletzen.

7. Informationspflichten

Organisationen müssen nach § 13 Abs. 2 HinSchG Informationen über den internen Meldeprozess, über alternative externe Meldeverfahren an die jeweils zuständigen Behörden sowie über einschlägige Meldeverfahren von Organen, Einrichtungen oder sonstigen Stellen der Europäischen Union bereitstellen

Diese Informationen müssen leicht verständlich, transparent und zugänglich sein, z.B. über die Unternehmens-Website oder im Intranet.

8. Datenschutz

Im Rahmen der Abgabe von Hinweisen werden mit hoher Wahrscheinlichkeit personenbezogene Daten im Sinne der Datenschutz-Grundverordnung verarbeitet. Demzufolge sind bei der Implementierung sowie Durchführung der internen Meldestelle alle rechtlichen Bedingungen des Datenschutzes (DSGVO, TTDSG, BDSG, Landesdatenschutzgesetze, etc.) einzuhalten. Insbesondere sollten folgende Punkte berücksichtigt werden:

  • Aufbewahrungsfristen & Löschkonzept
  • Datenschutzerklärung bzw. gesonderte Informationspflichten nach Art. 13 DSGVO
  • bei Beauftragung eines externen Dienstleisters – Auftragsverarbeitungsvertrag nach Art. 28 DSGVO
  • Eintrag im Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO
  • Ggf. Erstellung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO
  • Sicherheit der Verarbeitung gemäß Art. 32 DSGVO
    • ISO 27001 Server
    • Serverstandort EU
    • TLS/SSL-Verschlüsselung
    • etc.

Binden Sie den Datenschutzbeauftragten frühzeitig mit ein.

9. Mitbestimmung / Betriebsrat

Betriebsräte haben gemäß § 80 Absatz 2 Betriebsverfassungsgesetz (BetrVG) einen Anspruch auf Unterrichtung vor der geplanten Einrichtung eines Hinweisgeberschutzsystems.

Es empfiehlt sich die frühzeitige Einbindung des Betriebsrats im Rahmen eines Gesprächs.

Welche Sanktionen drohen?

Verstöße gegen die wesentlichen Vorgaben des HinSchG werden nach § 40 HinSchG als Ordnungswidrigkeiten mit einer Geldbuße geahndet. Die Höhe des Bußgeldrahmens hängt vom jeweiligen Verstoß ab.

  • Mit einem Bußgeld in Höhe von bis zu 50.000 Euro kann belegt werden, wer eine Meldung oder die darauffolgende Kommunikation verhindert (oder dies versucht), wer eine verbotene Repressalie ergreift (oder dies versucht) oder wer vorsätzlich oder leichtfertig das Vertraulichkeitsgebot missachtet.
Achtung: Der Bußgeldrahmen bis zu 50.000 Euro gilt für die Unternehmensverantwortlichen. Für die Unternehmen selbst (juristische Personen und Personenvereinigungen) kann sich in bestimmten Konstellationen im Zusammenhang mit der Verhinderung einer Meldung oder bei einem Verstoß gegen das Vertraulichkeitsgebot der Bußgeldrahmen aufgrund des Verweises auf § 30 Absatz 2 Satz 3 des Gesetzes über Ordnungswidrigkeiten verzehnfachen und somit bis zu 500.000 Euro betragen.
  • Wird fahrlässig gegen das Vertrauensgebot verstoßen, droht ein Bußgeld bis zu 10.000 Euro
  • Kommen Organisationen ihrer Pflicht zur Einrichtung einer Meldestelle nicht nach, droht ein Bußgeld bis zu 20.000 Euro. Diese Sanktion findet jedoch erst ab dem 1. Dezember 2023 Anwendung