Whistleblowing-Richtlinie richtig umsetzen

Letztes Update:
05
.
07
.
2023
Lesezeit:
0
Min
Das neue Hinweisgeberschutzgesetz ist am 2. Juli 2023 in Kraft getreten. Es verpflichtet betroffene Unternehmen sowie öffentliche und kirchliche Stellen dazu, Whistleblowing in einem geschützten Rahmen zu ermöglichen. Diese Maßnahmen müssen Sie nun treffen, um die gesetzlichen Vorgaben aus dem Whistleblower Gesetz wirksam zu erfüllen.
Whistleblowing-Richtlinie richtig umsetzen
Die wichtigsten Erkenntnisse
  • Hinweisgeberschutzgesetz (HinSchG) seit 2. Juli 2023 in Kraft.
  • Unternehmen ab 50 Beschäftigten müssen vertrauliche Meldestellen einrichten.
  • Ziel: Schutz von Whistleblowern und Aufdeckung illegaler Machenschaften.
  • Verstöße gegen das Gesetz können Geldbußen bis zu 50.000 Euro nach sich ziehen.
  • Datenschutz spielt zentrale Rolle bei der Umsetzung des Hinweisgeberschutzgesetzes.

Das Hinweisgeberschutzgesetz (HinSchG) ist endlich anwendbar. Beschäftigungsgeber müssen die gesetzlichen Vorgaben nun wirksam umsetzen. In diesem Artikel erfahren Sie, welche Pflichten Sie jetzt erfüllen müssen und wie Sie organisatorische Maßnahmen sicher umsetzen.

Sie benötigen rechtliche Unterstützung?

Beschäftigungsgeber ab 50 Angestellten müssen künftig eine vertrauliche Meldestelle für Hinweisgeber betreiben. Sie benötigen Unterstützung von Compliance-Experten? Mit Proliance Whistle betreibt datenschutzexperte.de die Vertrauensstelle Ihres Unternehmens und bietet ein Full-Service Hinweisgebersystem, das Ihr Unternehmen bestmöglich entlastet. 

Hinweisgeberschutzgesetz: Was ist das?

Bisher waren Hinweisgeber in Deutschland nur unzureichend vor Repressalien geschützt. Mit dem Gesetz zum Schutz von Geschäftsgeheimnissen aus dem Jahr 2019 wurden ihnen hierzulande zusätzliche Steine in den Weg gelegt. Da sich allerdings in der Vergangenheit gezeigt hat, dass durch Whistleblower nationale und internationale Verstöße ans Licht gekommen sind und nur so illegale Machenschaften gestoppt werden konnten, sollen Hinweisgeber künftig besser geschützt werden. 

Am 16. April 2019 hat das EU-Parlament eine Richtlinie für den Whistleblower-Schutz verabschiedet. Sie schützt Arbeitnehmende, die im beruflichen Kontext an Informationen über Verstöße gelangt sind, vor unbefugter Offenlegung ihrer Identität und Repressalien. Das deutsche Hinweisgeberschutzgesetz (HinSchG) setzt nun die EU-Richtlinie für Whistleblowing in nationales Recht um und stellt den Whistleblowerschutz in Deutschland sicher. Es legt den Umgang mit Hinweisen und Hinweisgebern fest.

Was ist ein Whistleblower?

Julian Assange und Edward Snowden sind vermutlich die bekanntesten Whistleblower-Beispiele der vergangenen Jahre. Doch Whistleblowing ist viel weiter verbreitet: Ein Hinweisgeber kann prinzipiell jede natürliche Person sein, die Informationen über Verstöße oder illegale Vorgänge einer juristischen Person besitzt und diese Hinweise an interne oder externe Meldestellen weitergibt. Eine interne Meldestelle ist im Bereich der juristischen Person eingerichtet, also innerhalb eines Unternehmens, eine externe Meldestelle auf Seiten der zuständigen Behörde.

Whistleblowing Definition: Unter Whistleblowing versteht man das Melden von Hinweisen. Es beschreibt die Mitteilung oder Veröffentlichung von Informationen über Missstände in Unternehmen und öffentlichen Stellen. 

Hinweise von Whistleblowern helfen, Missstände, Verstöße und illegale Machenschaften in Unternehmen aufzudecken und die Gesellschaft zu schützen. Da Unternehmen oder anderen juristischen Personen Strafen bei Rechtsverstößen drohen können, gelten Whistleblower in Unternehmen als großes Risiko. Eine regelrechte Stigmatisierung, Repressalien und Vergeltungsmaßnahmen waren häufig die Folge. Deshalb ist ein Hinweisgeberschutzgesetz zum Schutz von Whistleblowern längst überfällig.

Hinweisgeberschutzgesetz: Aktueller Stand

Ende 2020 legte das deutsche Bundesministerium für Justiz und Verbraucherschutz (BMJV) einen ersten Gesetzentwurf vor, um die europäischen Vorgaben auf nationaler Ebene umzusetzen. Der Entwurf wurde allerdings Ende April 2021 von der CSU/CDU gekippt. Aufgrund der Bundestagswahl konnte die Umsetzungsfrist bis zum 17. Dezember 2021 nicht eingehalten werden. 

Chronik für das Hinweisgeberschutzgesetz: Verlauf des Gesetzgebungsverfahrens

So erfolgte die Umsetzung der Whistleblowing-Richtlinie in Deutschland:

  • Das Bundesministerium der Justiz hat am 13. April 2022 einen Referentenentwurf zum neuen Hinweisgeberschutzgesetz veröffentlicht.
  • Darauf folgte am 27. Juli 2022 der Gesetzentwurf der Bundesregierung, der vom Bundeskabinett beschlossen wurde.
  • Am 16. Dezember 2022 hat der Bundestag den Gesetzentwurf des Hinweisgeberschutzgesetzes beschlossen.
  • Am 10. Februar 2023 hat der Bundesrat dem Hinweisgeberschutzgesetz die Zustimmung verweigert.
  • Nach der Einleitung des Vertragsverletzungsverfahrens gegen Deutschland durch die EU-Kommission Anfang 2022, hat diese die BRD vor dem Europäischen Gerichtshof (EuGH) verklagt, um weiteren Druck zur Umsetzung der EU-Whistleblowing-Richtlinie aufzubauen. 
  • Im April 2023 hat die Bundesregierung den Vermittlungsausschuss angerufen, um einen parteiübergreifenden Kompromiss zu finden.
  • Im Mai 2023 hat das Hinweisgeberschutzgesetz in der vom Vermittlungsausschuss vorgeschlagenen Fassung den Bundestag und den Bundesrat endlich passiert.
  • Am 2. Juni 2023 wurde die finale Fassung des Gesetzes im Bundesgesetzblatt veröffentlicht.
  • Da die Frist zum Inkrafttreten des Gesetzes im Vermittlungsausschuss auf einen Monat verkürzt wurde, ist das Hinweisgeberschutzgesetz bereits am 2. Juli 2023 in Kraft getreten und verpflichtet seitdem betroffene Beschäftigungsgeber zum Betrieb sicherer Meldekanäle.

Wer ist vom Whistleblower Gesetz betroffen? 

Das Hinweisgeberschutzgesetz ist bereits am 2. Juli 2023 in Kraft getreten. Betroffene Beschäftigungsgeber müssen deshalb schnell handeln:

Darunter fallen 

  • mittelständische und große Unternehmen aus der freien Wirtschaft
  • Gebietskörperschaften wie Landkreise, Gemeinden und kreisfreie Städte
  • öffentliche Einrichtungen wie Anstalten, Stiftungen und Behörden
  • kirchliche Beschäftigungsgeber sowie Einrichtungen in kirchlicher Trägerschaft

Das Hinweisgeberschutzgesetz tritt am 2. Juli 2023 in Kraft. Betroffene Beschäftigungsgeber müssen deshalb schnell handeln:

  • Unternehmen mit mindestens 250 Beschäftigten sowie öffentliche und kirchliche Stellen ab 50 Beschäftigte müssen unverzüglich handeln und Meldekanäle etablieren.
  • Die Schonfrist für kleinere Unternehmen mit 50 bis 249 Beschäftigten endet am 17. Dezember 2023.

Für diese Bereiche ist das Hinweisgeberschutzgesetz relevant

Das Hinweisgeberschutzgesetz findet auf Verstöße in vielen unterschiedlichen Bereichen Anwendung, unter anderem in den folgenden:

  • Straftaten nach dem Strafgesetzbuch
  • Bestimmte Ordnungswidrigkeiten
  • Unternehmensbesteuerung/Geldwäsche
  • Datenschutz
  • Öffentliches Auftragswesen
  • Finanzdienstleistungen
  • Produkt- und Verkehrssicherheit
  • Nukleare Sicherheit
  • Öffentliche Gesundheit
  • Verbraucherschutz

Was bedeutet die Hinweisgeberschutzgesetz-Umsetzung für Beschäftigungsgeber?

Beschäftigungsgeber sollten jetzt dringend auf die Anforderungen des HinSchG reagieren. Beschäftigungsgeber ab 50 Angestellten müssen eine sichere, interne Meldestelle einführen, etwa durch das Einrichten eines Hinweisgebersystems. Ziel ist es, jederzeit einen Verstoß melden zu können – egal ob schriftlich, mündlich oder persönlich. Dazu muss ein Verfahren samt entsprechender Meldekanäle zur Entgegennahme von Meldungen eingerichtet werden.

Jetzt auf das Hinweisgeberschutzgesetz vorbereiten

Noch keine interne Meldestelle eingerichtet? Unsere Checkliste unterstützt Sie bei den Vorbereitungen. Verschaffen Sie sich damit eine Übersicht über alle wichtigen Aspekte des Gesetzes sowie eine Übersicht über die Schritte zur Implementierung Ihrer Meldestelle. 

Blick ins Hinweisgeberschutzgesetz: Externe Meldestelle und interne im Vergleich

Das Hinweisgeberschutzgesetz sieht vor, dass Hinweisgebern zwei Meldestellen zur Abgabe von Hinweisen über Verstöße zur Verfügung stehen. Laut Gesetz sollen sie in der Regel die interne Meldestelle des Unternehmens bevorzugen.

Interne Meldungen 

  • Interne Meldungen sind an die zur Entgegennahme von Meldungen bestimmte Vertrauensperson innerhalb des Beschäftigungsgebers gerichtet.
  • Beschäftigungsgeber ab 50 Angestellten müssen Kanäle und Verfahren für interne Meldungen und für Folgemaßnahmen einrichten. Für Unternehmen mit bis zu 249 Beschäftigten sind Erleichterungen in Form des gemeinsamen Betriebs von Meldekanälen vorgesehen.
  • Meldungen müssen vertraulich abgegeben und bearbeitet werden. Die Identität des Hinweisgebers und der in Meldungen erwähnten Personen sind vor unbefugter Offenlegung zu schützen. Auf Wunsch des Beschäftigungsgebers kann er seine Meldekanäle auch für die Entgegennahme anonymer Meldungen vorsehen.
  • Die Vertrauensperson, die Meldungen entgegennimmt und für Folgemaßnahmen zuständig ist, muss unabhängig sein und darf keinen Interessenskonflikten unterliegen. Insbesondere Datenschutzbeauftragte können diese Aufgabe aufgrund ihrer besonderen Vertrauensstellung wahrnehmen. 
  • Jede eingehende Meldung muss dokumentiert werden. Nach Abgabe muss der Eingang dem Hinweisgeber innerhalb von 7 Tagen bestätigt werden. Eine inhaltliche Rückmeldung, auch zu den erforderlichenfalls ergriffenen Folgemaßnahmen, muss innerhalb von 3 Monaten erfolgen.

Externe Meldungen 

  • Hinweisgeber haben auch die Möglichkeit, sich an eine staatliche Stelle außerhalb der betroffenen juristischen Person zu wenden. Die zur Entgegennahme von Meldungen vorgesehenen Behörden müssen unabhängige externe Meldekanäle bereitstellen. 
  • Jede Meldung muss von der externen Meldestelle dokumentiert werden. Der Eingang einer Mitteilung muss grundsätzlich innerhalb von 7 Tagen bestätigt werden. Die inhaltliche Rückmeldung muss innerhalb von 3 Monaten erfolgen. 
  • Die zuständigen Behörden sind nach dem Hinweisgeberschutzgesetz verpflichtet, alle für Hinweisgeber relevanten Informationen online zur Verfügung zu stellen. So soll der gesamte Meldeprozess zugänglicher gemacht werden.
  • Das Hinweisgeberschutzgesetz sieht in Deutschland insbesondere das Bundesministerium für Justiz, die Bundesanstalt für Finanzdienstleistungsaufsicht und das Bundeskartellamt als externe Meldestellen vor.

Hinweisgeber können zwischen dem internen Meldekanal des Beschäftigungsgebers und dem externen Meldekanal der hierfür zuständigen Behörde grundsätzlich frei wählen. Das Hinweisgeberschutzgesetz fordert Hinweisgeber aber auf, sich vorrangig an die interne Meldestelle zu wenden, wenn intern wirksam gegen den Verstoß vorgegangen werden kann und sie keine Repressalien befürchten.

Tipp: Eine interne Meldestelle kann auch von einem geeigneten externen Dienstleister betrieben werden.

Ihr Full-Service Hinweisgebersystem vom Experten

datenschutzexperte.de bietet Ihnen mit Proliance Whistle ein Full-Service Hinweisgebersystem, das auch den Betrieb der Vertrauensstelle Ihres Unternehmens umfasst. Hinweisgeber können uns Verstöße über ein Online-Meldeformular, telefonisch oder per E-Mail melden – auf Wunsch auch anonym. Profitieren Sie dabei von unserer Erfahrung als Compliance-Experte. 

Vorbereitung: Hinweisgebersystem für Whistleblower-Schutz einrichten

Um empfindliche Bußgelder zu vermeiden, sollten Sie umgehend ein Meldeverfahren in Ihrem Unternehmen umsetzen. Zunächst gilt es festzustellen, welche Meldekanäle für Ihr Unternehmen geeignet sind. Zur Umsetzung des Hinweisgeberschutzgesetzes können Meldekanäle etwa per Telefon oder E-Mail sowie digitale Hinweisgebersysteme eingerichtet werden.

Zeit und Kosten bei der Umsetzung sparen

Mit Proliance Whistle erhalten Sie ein kostengünstiges Full-Service Hinweisgebersystem, das Ihren Aufwand zur Umsetzung des Hinweisgeberschutzgesetzes auf ein Minimum reduziert. 

Hinweisgeberschutzgesetz & DSGVO: Welche Rolle spielt der Datenschutz?

Da durch die Entgegennahme von Meldungen durch Hinweisgeber in der Regel personenbezogene Daten verarbeitet werden, spielt beim Hinweisgeberschutzgesetz der Datenschutz eine wichtige Rolle. Berücksichtigt werden sollten insbesondere folgende Punkte: 

  • Externe Dienstleister, die zur Entgegennahme von Hinweisen eingesetzt werden, müssen zuverlässig sein sowie Garantien zur Wahrung des Datenschutzes und der Geheimhaltung bieten.
  • Der Betreiber einer internen Meldestelle muss sicherstellen, dass seine Vertrauensperson keinem Interessenkonflikt unterliegt und kein Mangel an Integrität, Vertraulichkeit oder Unabhängigkeit besteht.
  • Bei der Umsetzung eines Hinweisgebersystems müssen die Grundsätze Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO) gewährleistet werden.
  • Bei Betrieb eines Online-Meldeformulars oder der Entgegennahme von Meldungen per E-Mail muss die erforderliche Ende-zu-Ende-Verschlüsselung gewährleistet sein bzw. ermöglicht werden.
  • Der Whistleblower-Schutz vor missbräuchlicher Ausnutzung von DSGVO-Betroffenenrechten, wie vor der Offenlegung seines Namens durch ein Auskunftsersuchen, muss gewährleistet sein.
  • Hinsichtlich der Löschung von Meldungen und damit zusammenhängender Dokumente sieht das Gesetz eine regelmäßige Aufbewahrungsfrist von drei Jahren vor, jedoch ist eine weitergehende Aufbewahrung im Einzelfall bis zum Wegfall der Erforderlichkeit zulässig.
  • Zudem wird hinsichtlich der Einrichtung eines Hinweisgebersystems regelmäßig die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) erforderlich sein, um potenziell hohe Risiken für die betroffenen Personen zu erkennen und einzudämmen. Hierbei sieht die DSGVO die Einbeziehung des Datenschutzbeauftragten vor.

Diese Sanktionen drohen bei Missachtung der Whistleblowing-Vorgaben

Wer gegen die wesentlichen Vorgaben des Hinweisgeberschutzgesetzes verstößt, begeht eine Ordnungswidrigkeit. Je nach Verstoß müssen Sie mit einem Bußgeld von bis zu 50.000 Euro rechnen.

Die Sanktionen richten sich insbesondere an Beschäftigungsgeber, die

  • kein Hinweisgebersystem einrichten oder die Entgegennahme von Meldungen behindern,
  • die betroffene Person mit Repressalien sanktionieren oder
  • die Identität der meldenden Person preisgeben und damit Mobbing und andere Gefährdungen ermöglichen.

Bei einigen Handlungen ist für eine Sanktionierung bereits Fahrlässigkeit ausreichend, es muss nicht vorsätzlich gehandelt worden sein. Das Gesetz sieht grundsätzlich auch die Ahndung von Versuchshandlungen vor.

Dies geht allerdings in beide Richtungen: Mit Geldbußen von bis zu 20.000 Euro muss rechnen, wer wissentlich falsche Hinweise abgibt und damit eine Situation hervorruft, die für das betroffene Unternehmen zu einem Reputationsschaden führen kann.

Fazit zum Hinweisgeberschutzgesetz

Unterschätzen Sie das Thema Whistleblowing auf keinen Fall – vor allem nicht aus datenschutzrechtlicher Sicht. Sie müssen sowohl die Hinweisgeber schützen, als auch sichere Meldesysteme aufbauen, um auch in Zukunft von Hinweisgebern zu profitieren.

Der Umgang mit Hinweisen auf Rechtsverstöße ist für Beschäftigungsgeber oft eine ungewohnte Situation. Damit Ihr Unternehmen die Anforderungen des Hinweisgeberschutzgesetzes rechtssicher umsetzt, bieten wir mit Proliance Whistle eine Full-Service Hinweisgeberlösung an. Fragen Sie unsere Expertenberatung unverbindlich an – wir freuen uns auf Ihre Nachricht.

Da auch das Nichtbereitstellen erforderlicher Meldekanäle mit Sanktionen belegt ist, sollten Sie diese rechtzeitig einrichten und Prozesse zum Umgang mit eingehenden Meldungen definieren. Denken Sie daran: Das Hinweisgeberschutzgesetz sieht ausdrücklich die Möglichkeit vor, den internen Meldekanal durch einen geeigneten Dienstleister betreiben zu lassen.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!