Beratung

Stand 28.06.2023 - Information über das neue Hinweisgeberschutzgesetz (HinSchG)

Nach zähem Ringen tritt nun am 02.07.2023 das Hinweisgeberschutzgesetz (HinSchG) in Kraft. Für Unternehmen ab 250 Beschäftigten bedeutet dies, dass sie ab diesem Zeitpunkt interne Hinweisgebersysteme bereithalten müssen. Zum 17.12.2023 sind dann auch Unternehmen mit einer Mitarbeiterzahl ab 50 Personen verpflichtet, sichere Hinweisgebersysteme einzurichten und bereitzuhalten.

Ziele des Hinweisgeberschutzgesetzes

Mit dem Hinweisgeberschutzgesetz wird der bislang lückenhafte und unzureichende Schutz von Hinweisgebern* ausgebaut und die EU-Whistleblower-Richtlinie ([EU] 2019/1937) in deutsches Recht umgesetzt.

Das HinSchG regelt den Schutz natürlicher Personen, die im Rahmen ihrer beruflichen Tätigkeit Informationen über Verstöße gegen geltendes Recht erlangt haben und diese an die/eine interne oder externe Meldestelle weitergeben (hinweisgebende Personen). Einbezogen in die Regelungen sind Arbeitnehmer, Beamte, Selbstständige, Gesellschafter, Praktikanten, Freiwillige, Mitarbeitende von Lieferanten sowie Personen, deren Arbeitsverhältnis bereits beendet ist oder noch nicht begonnen hat und/oder die sich in einem vorvertraglichen Stadium befinden.

Der Schutz von Hinweisgebern und sonstigen durch Meldung betroffene Personen wird damit gestärkt, und es soll sichergestellt werden, dass ihnen infolge bzw. aufgrund von Meldungen keine Benachteiligungen drohen. Daher verbietet das HinSchG jegliche Repressalien und Vergeltungsmaßnahmen gegenüber den hinweisgebenden Personen und bewirkt eine Beweislastumkehr zugunsten der Hinweisgeber.

Bislang existierte in Deutschland keine umfassend einheitliche Gesetzgebung zum Schutz von Hinweisgebern. Hinweisgeber können jedoch sehr wertvolle Beiträge leisten, das Fehlverhalten natürlicher oder juristischer Personen aufzudecken und die negativen Folgen dieses Fehlverhaltens einzudämmen beziehungsweise zu korrigieren.

Wesentliche Eckpunkte des HinSchG

• Unternehmen ab 250 Beschäftigten müssen bis zum 02.07.2023 sichere Hinweisgebersysteme einführen.
• Unternehmen mit 50 bis 249 Beschäftigten müssen bis zum 17.12.2023 sichere Hinweisgebersysteme einführen.
• Auch Unternehmen des öffentlichen Sektors sowie Städte und Kommunen mit mehr als 10.000 Einwohnerinnen und Einwohnern fallen unter das Gesetz und müssen ab Mitte Juni Hinweisgebersysteme anbieten.
• Das Verfahren der Meldungsabgabe muss mündlich oder schriftlich und auf Wunsch des Hinweisgebers / der Hinweisgeberin auch persönlich möglich sein.
• Die interne Meldestelle muss dem Hinweisgeber / der Hinweisgeberin innerhalb von 7 Tagen den Eingang der Meldung bestätigen.
• Die Meldestelle muss die hinweisgebende Person innerhalb von drei Monaten darüber informieren, welche Maßnahmen infolge der Meldung ergriffen wurden, z. B. über die Einleitung interner Untersuchungen und/oder über die Weitergabe der Meldung an die zuständige Behörde.
• Anwendungsbereiche sind EU-Recht und nationales Recht, wenn es sich um strafbewehrte (Straftat) oder bußgeldbewehrte (Ordnungswidrigkeit) Vergehen handelt.
• Unternehmen müssen die Identität der Hinweisgebenden schützen, dabei jedoch die Vorgaben der DSGVO einhalten.
• Unternehmen müssen Informationen über zuständige Aufsichtsbehörde(n) bereithalten.

Die wichtigsten Anforderungen und Inhalte des HinSchG im Überblick

1. Zugang zu zwei Meldekanälen

• einen internen Meldekanal in der Organisation 
• eine externe Meldestelle, die beim Bundesamt für Justiz (BfJ) eingerichtet wird

2. Anreize zur Nutzung interner Meldekanäle

Zwar können Hinweisgeber grundsätzlich frei entscheiden, ob sie die interne Meldestelle oder die allgemeine externe Meldestelle nutzen möchten. Nach Vorgabe des HinSchG sollen interne Meldestellen jedoch vorrangig genutzt werden.

Daher sollen Unternehmen Anreize schaffen, damit Hinweisgeber bevorzugt auf die internen Meldekanäle zurückgreifen, allerdings darf die Nutzung der externen Meldestellen nicht behindert werden.

Für die Nutzung des internen Meldeverfahrens sind klare und leicht zugängliche Informationen bereitzustellen, wie die interne Meldestelle zu nutzen ist.

3. Verstöße gegen europäisches UND nationales Recht

Anders als die EU-Richtlinie umfasst das HinSchG auch Verstöße gegen das nationale Recht, wodurch es über die Mindestanforderungen der europäischen Regelung hinausgeht. Voraussetzung für die Anwendung des HinSchG ist jedoch, dass es sich bei dem Verstoß um bestimmte straf- oder bußgeldbewehrte Vorgänge bzw. Verstöße, also Straftaten oder Ordnungswidrigkeiten, handelt.

Der Anwendungsbereich bleibt allerdings auf den beruflichen Kontext beschränkt, d. h., Hinweise über Verstöße fallen nur dann in den Anwendungsbereich und damit unter den Schutz des Gesetzes, wenn sie sich auf den Arbeitgeber oder andere Stellen beziehen, mit dem/denen der Hinweisgebende beruflich in Kontakt steht oder stand.

4. Aufnahme und Bearbeitung anonymer Hinweise

Zwar verpflichtet das HinSchG nicht dazu, auch anonymen Hinweisen nachzugehen, aber es empfiehlt – aus nachvollziehbaren Gründen –, gerade auch solche Hinweise anzunehmen und zu bearbeiten.

5. Vom Schutz des Gesetzes umfasst

Vom Schutz des HinSchG umfasst sind folgende Personen/-gruppen:

• die hinweisgebende Person selbst
• Personen, die die hinweisgebende Person unterstützen
• Personen, die Gegenstand einer Meldung sind
• sonstige Personen, die von einer Meldung betroffen sind.

6. Verbot von Repressalien

Repressalien sowie jegliche Art von Vergeltungsmaßnahmen, ebenso die Androhung und der Versuch, Repressalien gegenüber der hinweisgebenden Person auszuüben, sind untersagt. Ein Verstoß gegen dieses Verbot führt, im Falle eines Schadens, zu einem Schadensersatzanspruch.

Zu beachten ist, dass es nach dem HinSchG der Beschäftigungsgeber ist, der nachweisen muss, dass eventuelle Maßnahmen gegen Arbeitnehmer nicht im Zusammenhang mit der Aufdeckung von Missständen stehen, d. h., der Beschäftigungsgeber trägt die Beweislast.

7. Schutz der hinweisgebenden Personen

Grundsätzlich steht die hinweisgebende Person unter dem Schutz des Gesetzes, sofern sie zum Zeitpunkt der Meldung bzw. Offenlegung hinreichenden Grund zu der Annahme hatte, dass die gemeldeten/offengelegten Informationen der Wahrheit entsprechen und die Informationen Verstöße betreffen, die in den Anwendungsbereich des Gesetzes fallen.

Nicht geschützt sind Hinweisgeber bei falschen Verdächtigungen, die sehr weitreichende und gravierende Folgen für die beschuldigte Person haben können. Trotzdem dürfen keine übertriebenen Anforderungen an die Hinweisgeber in Bezug auf die Überprüfung der Richtigkeit der Informationen gestellt werden. Daher besteht der Schutz für Hinweisgeber auch in solchen Fällen, in denen sich der Hinweis als nicht zutreffend herausstellt, der Hinweisgeber zum Zeitpunkt der Meldung jedoch davon ausgehen konnte, dass der Hinweis korrekt ist.

Kein Schutz besteht zudem im Falle einer vorsätzlichen oder grob fahrlässigen Weitergabe unrichtiger Informationen, vielmehr ist die böswillig hinweisgebende Person in derartigen Fällen zum Ersatz des entstandenen Schadens verpflichtet.

8. Regelungen in Konzernen

Nach der bisherigen Auffassung der EU-Kommission aus dem Jahr 2021 stellt ein konzernweit zentrales Hinweisgebersystem bei der Muttergesellschaft keine zulässige Ressourcenteilung dar, sodass Tochtergesellschaften, die aufgrund ihrer Mitarbeiterzahl in den Anwendungsbereich des HinSchG fallen, (zusätzlich) ein dezentralisiert eigenes Hinweisgebersystem einrichten müssen.

Das HinSchG dagegen spricht sich durchaus für ein sog. Konzernprivileg aus, d. h., dass konzernweite Meldestellen zulässig sein sollen. Erforderlich ist dabei aber, dass die originäre Verantwortung dafür, einen festgestellten Verstoß zu beheben und weiterzuverfolgen, immer bei dem jeweilig beauftragenden Konzernunternehmen verbleibt. Zudem muss für die hinweisgebende Person ein leichter Zugang gewährleistet sein, d. h., es darf keine sprachlichen Barrieren geben.

Aufgrund dieses Widerspruchs des HinSchG auf nationaler Ebene zur Auffassung der EU-Kommission halten wir es aktuell für konzernnachgeordnete Unternehmen oder Firmenteile eher für ratsam, nicht auf die Zulässigkeit konzernweiter Meldestellen zu setzen, sondern eigene, separat interne Meldestellen einzurichten.

9. Anforderungen an die interne Meldestelle

Das Gesetz stellt strenge Anforderungen an die Vertraulichkeit hinsichtlich der eingehenden Meldungen, was Auswirkungen auf die technische Ausgestaltung des internen Meldekanals hat. Wirklich richtlinienkonform kann wohl nur ein entsprechend abgesichertes, datenschutzkonform ausgestaltetes, verschlüsseltes und DSGVO-konform gehostet digitales Hinweisgebersystem sein.

Von besonderer Bedeutung ist außerdem natürlich der Schutz zur Vertraulichkeit der Identität hinweisgebender Personen, ebenso wie für solche von der Meldung betroffenen Personen. Denn dieser Schutz dient maßgeblich der Akzeptanz und damit auch der Wirksamkeit des Hinweisgeberverfahrens im Unternehmen.

10. Meldungen nach dem Hinweisgeberschutzgesetz und Datenschutz

Bei der Verarbeitung personenbezogener Daten hat die interne Meldestelle die Vorschriften des Datenschutzes einzuhalten.

Dabei muss die Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten hinreichend dokumentiert werden. Zudem bedarf es einer vollständigen und transparenten Information über die Datenverarbeitungen gem. Art. 13, 14 DSGVO, und zwar in der Regel gegenüber allen Personen, deren personenbezogene Daten verarbeitet werden – wobei hier (wie auch an anderen Stellen) ein größeres Spannungsfeld zwischen Hinweisgeberschutz und Datenschutz entstehen kann. Denn die Unterrichtungs- ebenso wie die Löschpflicht im Datenschutz widersprechen den Prinzipien der Vertraulichkeit/Anonymität sowie der lückenlosen Dokumentation des Hinweisgeberschutzes.

Nach Auffassung der deutschen Datenschutzbehörden ist die Einrichtung und Nutzung firmeninterner Meldekanäle „unter besonderer Berücksichtigung des von dem Unternehmen verfolgten Zwecks und der Einrichtungsmodalitäten datenschutzgerecht“ möglich. Weil jedoch nach Auffassung der Datenschutzkonferenz (DSK) die Meldung von Missständen ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt, muss im Einzelfall eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden.

Fazit

Das deutsche Hinweisgeberschutzgesetz tritt nun endgültig in Kraft und führt zu zeitlich gestaffelten Pflichten, nämlich für Unternehmen ab 250 Beschäftigten, die bis zum 02.07.2023 sichere Hinweisgebersysteme einführen müssen, sowie für Unternehmen mit 50 bis 249 Beschäftigten, die bis zum 17.12.2023 solche einführen bzw. erfüllen müssen.

Zu berücksichtigen ist bei der Zeitplanung auch, dass ein solches Verfahren in der Regel der betrieblichen Mitbestimmung unterliegt, sofern ein Betriebsrat eingerichtet ist.

Gern bieten wir, die REVIDATA GmbH, gemeinsam mit unserer langjährigen Kooperationspartnerin, Rechtsanwältin Ulrike-Alexandra Seitzinger (MBA), Ihnen mit unserer Hinweisgeber-Portal-Lösung die Übernahme der Funktion Ihrer internen Meldestelle an, die alle gesetzlichen Voraussetzungen, sei es aus dem HinSchG, aus der DSGVO (Datenschutzgrundverordnung), aus dem BDSG (Bundesdatenschutzgesetz) oder aus sonstigen Gesetzen, erfüllt. Natürlich bieten wir Ihnen auch die Unterstützung und Beratung bei der Ergreifung von Folgemaßnahmen zur Behebung bzw. Regulierung der gemeldeten und Verhinderung weiterer Verstöße an.

In diesem Zusammenhang unterstützen seit über 20 Jahren wie gewohnt Diplom-Wirtschaftsmathematiker und Prokurist der REVIDATA, Erwin Rödler und Brigitte Jordan, Datenschutzauditorin und Geschäftsführerin der REVIDATA Sie auch zu weiteren Compliance-Spezialthemen Datenschutz, Fraud-Bekämpfung, Datenanalyse, Revision, Informationssicherheit, Risikomanagement und bei allen weiteren prüfungsnahen Herausforderungen. 

Wenden Sie sich gerne vertrauensvoll an
 
REVIDATA GmbH seit 1981 
Kompetenz schafft Vertrauen 
Tel.: +49 211 655 843 95
Fax: +49 211 655 843 96
E-Mail an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

*Aus Gründen der besseren Lesbarkeit wird zumeist auf die parallele Verwendung männlicher und weiblicher Sprachformen verzichtet. Personenbezeichnungen gelten dann gleichermaßen für beiderlei Geschlecht und stellen dabei keine Wertung dar.

REVIDATA stellt mit ihren professionellen Prüfungen und Beratungsleistungen das erforderlich sichere, richtige, effiziente und nachvollziehbare Funktionieren der Informationstechnologie und der IT-Prozesse sicher. Jede Inkonsistenz zwischen den programmtechnisch abgebildeten Betriebsprozessen und deren realer Abwicklung kann zu schwerwiegenden Unternehmensschäden führen.

In Folge einer erhöhten Anzahl besonders auch bedeutender Unternehmenszusammenbrüche, wurde im Jahre 1998 das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) verabschiedet. Die hiermit verbundene Novellierung von Aktienrecht und Handelsgesetzbuch verschärft die Überwachungs- und Berichtspflichten von Unternehmensleitung und Kontrollorganen.

Während von der Unternehmensleitung gefordert ist, dass sie ein funktionierendes, effizientes Überwachungssystem installiert und die Unternehmensentwicklung beeinflussenden Risiken darstellt, sind die Kontrollorgane verpflichtet, die Funktionsfähigkeit des Überwachungssystems immer wieder neu auf den Prüfstand zu stellen.

Im Rahmen der Projektplanung, Durchführung und Überwachung bieten wir unseren Kunden modulare Unterstützung in folgenden Bereichen:

• Termin- und Ressourcenplanung, Erstellung eines Projektstrukturplans
• Planung des Projektbudgets
• Definition der Verantwortlichkeiten und des Projekt-Informationsmanagements
• Projekt-Zeitmanagement
• Festlegung von Inhalt und Form des Projekt-Berichtswesens

Besonders auf das Thema Datenschutz hat sich REVIDATA GmbH, äußerst individuell und speziell in ihrer Beratungsleistung und der damit angeschlossenen
Aus- und Weiterbildung konzentriert. Nicht nur wegen der wachsenden gesetzlichen Anforderungen des Bundesdatenschutzgesetzes (BDSG-neu 2017) und der EU-Datenschutz-Grundverordnung (EU-DSGVO), sondern vor allem auch, um ihre Kunden zusätzlich vor Sanktionen bei Missachtung des Gesetzes zu bewahren. 

Da die Datenschutz-Betreuung neben den umfassenden organisatorischen und strategischen Aufgaben aber auch immer komplexere Datenschutz-rechtliche und damit verbundene juristische Fragestellungen aufwirft, haben wir unser Dienstleistungsangebot durch die feste Kooperation mit einer seit langen Jahren mit REVIDATA® verbundenen Rechtsanwältin erweitert und abgerundet. Durch diese Kooperation sind wir gemeinsam in der Lage auch die nicht immer offensichtlichen rechtlichen Fragestellungen für unsere Kunden zufriedenstellend zu beantworten oder auf verdeckte rechtliche Risiken hinzuweisen, anstelle unsere Kunden darauf zu verweisen, sich von einem Anwalt beraten zu lassen. Mit dieser interdisziplinären Zusammenarbeit bieten wir unseren Kunden ein außergewöhnlich umfassendes Datenschutz-Dienstleistungsangebot wie „aus einer Hand“. 

REVIDATA GmbH verfügt über Mitarbeiter, die als externe Datenschutzbeauftragte, Datenschutzauditoren und auf den Datenschutz spezialisierte Rechtsanwälte ausgebildet sind. Daneben verfügt sie über ein exzellentes Netzwerk fest verbundener spezialisierter Kooperationspartner. Sie alle verfügen über langjährige Qualifizierungsnachweise und Praxiserfahrungen.

Sich stetig verschärfenden Prüfungsanforderungen, der wachsende Umfang an Datenbeständen unternehmensrelevanter Informationen sowie die Notwendigkeit, die Prüfungen nach wirtschaftlichen und rechtlichen Gesichtspunkten rationell durchzuführen, erfordern immer stärker den Einsatz der Datenanalyse. Mit Hilfe der Datenanalyse unter Zuhilfenahme jeweils geeigneter Analysewerkzeuge, analysieren wir Unternehmensdaten entsprechend den Vorgaben und jeweiligen Frage-/Problemstellungen kompetent, ziel- und risikogerichtet sowie anforderungsgerecht.