Hinweisgeberschutzgesetz

Die Umsetzung der Whistleblowing-Richtlinie (EU) 2019/1937 steht kurz bevor: Die Verabschiedung des nationalen Hinweisgeberschutzgesetzes (HinSchG). Wir haben die Inhalte des aktuellen Gesetzentwurfs unter die Lupe genommen und zeigen auf, welche Auswirkungen das Gesetz in der Praxis hat. 

 

 

2021-10-26

Logo

Nachdem das Bundeskabinett seinen Gesetzentwurf des Hinweisgeberschutzgesetzes am 27. Juli 2022 beschlossen hat, wird die Verabschiedung des Gesetzes zeitnah nach der Sommerpause des Bundestages erwartet.  Aber was genau besagt das Hinweisgeberschutzgesetz, welche Auswirkungen hat es in der Praxis und wie können Sie sich darauf vorbereiten? Wir haben uns die Inhalte des Hinweisgeberschutzgesetzes genauer angeschaut.  

Hinweisgeberschutzgesetz: Was steckt dahinter?

Das Hinweisgeberschutzgesetz stellt die nationale Umsetzung der EU-Whistleblowing-Richtlinie in Deutschland dar. Zwar sieht die Richtlinie vor, dass diese bis zum 17.12.2021 in sämtlichen Mitgliedsstaaten der EU in ein nationales Gesetz hätte umgesetzt werden müssen. Neben Deutschland haben diese Frist auch einige weitere Mitgliedsstaaten verstreichen lassen. Da gegen Deutschland durch die EU-Kommission deswegen ein sog. Vertragsverletzungsverfahren eingeleitet wurde, ist nun mit einer zeitnahen Umsetzung zu rechnen. Im Hinweisgeberschutzgesetz, kurz „HinSchG“, ist der Umgang mit Hinweisen und Hinweisgebern festgelegt. Das Melden von Hinweisen, auch „Whistleblowing“ genannt, beschreibt die Mitteilung oder Veröffentlichung von Informationen über Missstände in Unternehmen und öffentlichen Stellen.

Unternehmen mit 50 oder mehr Arbeitnehmern sind künftig dazu verpflichtet, eine interne Meldestelle aufzubauen. Hierbei müssen verschiedene komplexe rechtliche und prozessuale Vorgaben eingehalten werden – für viele Unternehmen absolutes Neuland. datenschutzexperte.de bietet Ihnen mit Proliance Whistle ein innovatives Whistleblowing-System mit Rundum-Service. Hier erfahren Sie mehr.

Anwendungsbereich, Begriffe und Voraussetzungen

Die EU-Whistleblowing-Richtlinie und das kommende Hinweisgeberschutzgesetz  finden in vielen unterschiedlichen Bereichen Anwendung: vom öffentlichen Auftragswesen über Finanzprodukte, den Umweltschutz bis hin zur IT-Sicherheit und dem Datenschutz. Die Richtlinie soll beispielsweise Arbeitnehmer, Praktikanten oder auch Vorstände vor Vergeltungsmaßnahmen und Repressalien schützen. Direkte Adressaten der Richtlinie sind neben dem öffentlichen Sektor auch Unternehmen ab 50 Mitarbeitern. Wesentliches Ziel ist es, Menschen, die im beruflichen Kontext Hinweise auf bestimmte Rechtsverstöße erlangen, bei Meldung dieser vor Repressalien zu schützen. Grundsätzlich soll mithilfe des Hinweisgeberschutzgesetzes auch sichergestellt werden, dass die Identität des Hinweisgebers nicht unbefugt offengelegt wird.

Interne Meldungen und deren Folgemaßnahmen

Teil des Hinweisgeberschutzgesetzes ist ein klarer Prozess bei internen Meldungen. Interne Meldungen sind solche, die an die zur Entgegennahme von Meldungen bestimmte Person oder Abteilung innerhalb des Unternehmens, beziehungsweise der Behörde gerichtet sind. Behörden und juristische Personen des privaten Sektors, in der Regel Unternehmen ab 50 Mitarbeitern, müssen Kanäle und Verfahren für interne Meldungen und für Folgemaßnahmen einrichten. Für juristische Personen des privaten Sektors sind bei einer Größe bis zu 249 Mitarbeitern Erleichterungen vorgesehen, etwa in Form des gemeinsamen Betriebs von Meldekanälen. Das gilt unter Umständen auch für kleinere Gemeinden.

Besondere Anforderungen an interne Meldekanäle 

Im Fokus steht, dass Meldungen vertraulich abgegeben und bearbeitet werden müssen. Die Identität des Hinweisgebers als auch die der in Meldungen erwähnten Personen sind vor unbefugter Offenlegung zu schützen. Ob der Adressat der Meldung hierbei auch anonyme Meldungen akzeptiert, kann er frei entscheiden. Denn eine Pflicht zur Entgegennahme anonymer Meldungen sieht das Hinweisgeberschutzgesetz nicht vor. Zudem muss die Person oder Abteilung, die zur Entgegennahme der Meldungen und für Folgemaßnahmen zuständig ist, unparteiisch sein. Auch der Datenschutzbeauftragte des Unternehmens kann daher diese Aufgabe wahrnehmen. Unabhängig davon, wer den internen Meldekanal repräsentiert, muss jede eingehende Meldung dokumentiert werden. Nachdem eine Meldung eingegangen ist, muss der Eingang dem Hinweisgeber gegenüber innerhalb von 7 Tagen bestätigt werden. Eine inhaltliche Rückmeldung, auch zu den erforderlichenfalls ergriffenen Folgemaßnahmen, muss innerhalb von 3 Monaten erfolgen.

Externe Meldungen und deren Folgemaßnahmen

Auch externe Meldungen sind im Rahmen des Hinweisgeberschutzgesetzes möglich. So verpflichtet die EU-Whistleblowing-Richtlinie die EU-Mitgliedstaaten zur Einrichtung externer Meldekanäle in Form staatlicher Anlaufstellen. Hinweisgeber sollen neben einer internen Meldung auch die Möglichkeit haben, sich an eine staatliche Stelle außerhalb der betroffenen juristischen Person zu wenden. Diese Behörden müssen unabhängige und autonome externe Meldekanäle bereitstellen. Jede Meldung muss auch von der externen Meldestelle dokumentiert werden. Die staatliche Stelle unterliegt dabei ebenfalls Fristen. Der Eingang einer Mitteilung muss grundsätzlich innerhalb von 7 Tagen bestätigt werden. Die inhaltliche Rückmeldung muss wie bei einer internen Meldestelle innerhalb von 3 Monaten erfolgen. Die zuständigen Behörden sind nach der Richtlinie verpflichtet, alle für Hinweisgeber relevanten Informationen online zur Verfügung zu stellen. So soll der gesamte Meldeprozess zugänglicher gemacht werden. Das Hinweisgeberschutzgesetz sieht in Deutschland insbesondere die Bundesanstalt für Finanzdienstleistungsaufsicht und das Bundeskartellamt als externe Meldestellen vor.

Offenlegung und Schutzmaßnahmen - das gibt es zu beachten

Auch wenn der Hinweisgeber die Möglichkeit hat, an vorgesehene Meldestellen heranzutreten, gibt es häufig Fälle, in denen Hinweise öffentlich verbreitet wurden. Das ist möglich, da der Hinweisgeber unter bestimmten Voraussetzungen Informationen offenlegen darf. Diese Erlaubnis kann beispielsweise dann vorliegen, wenn der Hinweisgeber die internen und externen Meldemöglichkeiten wahrgenommen hat, aber die Empfänger entgegen ihrer Verpflichtung nicht oder nicht rechtzeitig reagiert haben. In diesem Fall drohen dem Hinweisgeber bei einer Offenlegung in der Regel keine Konsequenzen.

Ein Haftungsausschluss für den Hinweisgeber besteht auch dann, wenn dieser davon ausging, dass die Meldung nötig war, um die im Hinweisgeberschutzgesetz genannten Verstöße aufzudecken. Zudem ist in bestimmten Fällen eine Beweislastumkehr zugunsten des Hinweisgebers vorgesehen, beispielsweise im arbeitsrechtlichen Kontext.

Sanktionen bei Behinderung von Meldungen und fehlendem Meldekanal

Sowohl die Behinderung der Meldung von Verstößen als auch ergriffene Repressalien gegen Hinweisgeber aufgrund seiner Meldung werden gesetzlich sanktioniert. Das Hinweisgeberschutzgesetz sieht hierbei Sanktionen in Höhe von bis zu 100.000 Euro vor. Auch das Nichtbereitstellen erforderlicher Meldekanäle ist mit Sanktionen belegt, sodass die durch das Gesetz adressierten Organisationen gut beraten sind, rechtzeitig entsprechende Meldekanäle zu schaffen und Prozesse zum Umgang mit eingehenden Meldungen zu definieren. Hierbei sieht das Hinweisgeberschutzgesetz ausdrücklich die Möglichkeit vor, den internen Meldekanal durch einen geeigneten Dienstleister betreiben zu lassen.

Unternehmen mit 50 oder mehr Arbeitnehmern sind künftig dazu verpflichtet, eine interne Meldestelle aufzubauen. Hierbei müssen verschiedene komplexe rechtliche und prozessuale Vorgaben eingehalten werden – für viele Unternehmen absolutes Neuland. datenschutzexperte.de bietet Ihnen mit Proliance Whistle ein innovatives Whistleblowing-System mit Rundum-Service. Hier erfahren Sie mehr.

Autor: Team datenschutzexperte.de
Artikel veröffentlicht am 26.10.2021
Artikel aktualisiert am 11.08.2022

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Portraits unserer Datenschschutzexperten Dominik Fünkner, Dorothea Teichman, Nathalie Dold und Hauke Gerdey
Portraits unserer Datenschschutzexperten Dominik Fünkner, Dorothea Teichman, Nathalie Dold und Hauke Gerdey

Wir managen Ihren Datenschutz

Unsere zertifizierten Datenschutzbeauftragten helfen Ihnen, Datenschutzvorgaben sicher und pragmatisch umzusetzen. Profitieren Sie von unserem Knowhow aus über 1.800 Kundenprojekten in über 50 Branchen.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr