Neues Hinweisgeberschutzgesetz: FAQ zu den Pflichten von Unternehmern
Mit einiger Verspätung ist vor kurzem das neue Hinweisgeberschutzgesetz (HinSchG) verabschiedet worden. Das Gesetz dient der Umsetzung der Richtlinie (EU) 2019/1937 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden („Whistleblower-Richtlinie“) in Deutschland. Es ist zum 2. Juli 2023 in Kraft getreten und enthält einige neue Anforderungen und Pflichten für Unternehmer, wie etwa die Pflicht zur Einrichtung eines internen Hinweisgebersystems. Die IT-Recht Kanzlei beleuchtet, wer hiervon in welcher Weise betroffen ist und bietet betroffenen Unternehmen hierzu in Kooperation mit der IITR Datenschutz GmbH Services an.
Inhaltsverzeichnis
- I. Welche Pflichten enthält das Hinweisgeberschutzgesetz (HinSchG) für Unternehmer?
- II. Welche Unternehmen müssen interne Meldestellen einrichten?
- III. Dürfen Unternehmen für die Pflichten aus dem HinSchG auch Dienstleister einsetzen?
- IV. Muss auch die Möglichkeit zu anonymen Meldungen bestehen?
- V. Was müssen Unternehmen bei Einrichtung ihrer internen Meldestellen beachten?
- 1. Einrichtung und Betrieb von Meldekanälen
- 2. Information der Mitarbeiter über Meldeverfahren
- 3. Vertraulichkeit betroffener Personen und ihrer Informationen
- 4. Entgegennahme von schriftlichen und mündlichen Meldungen
- VI. Was müssen Unternehmen beim Betrieb ihrer internen Meldestellen beachten?
- 1. Bestätigung des Eingangs von Meldungen
- 2. Verfahren nach Eingang von Meldungen
- 3. Durchführung von Folgemaßnahmen
- 4. Rückmeldung beim Hinweisgeber
- VII. Welche DSGVO-Vorgaben müssen Unternehmen hinsichtlich Meldungen über Verstöße beachten?
- VIII. Was ist bei der Dokumentation von Meldungen zu beachten?
- IX. Welche Repressalien sind zum Schutz von Hinweisgebern verboten?
- X . Welche Sanktionen drohen Unternehmen bei Verstößen gegen das HinSchG?
- XI. Ab wann findet das HinSchG Anwendung?
- XII.Service der IT-Recht Kanzlei und der IITR Datenschutz GmbH
I. Welche Pflichten enthält das Hinweisgeberschutzgesetz (HinSchG) für Unternehmer?
Hauptzweck des Hinweisgeberschutzgesetzes (HinSchG) ist nach § 1 HinSchG der Schutz von Menschen, die im Kontext ihrer beruflichen Tätigkeit oder im Vorfeld hierzu Informationen über Verstöße gegen bestimmte Gesetze der EU, des Bundes und der Länder erhalten haben und diese Verstöße dann bestimmten internen oder externen Stellen melden oder diese Informationen veröffentlichen, vor Repressalien und sonstigen Nachteilen deswegen.
Im Zusammenhang mit diesem Zweck verpflichtet das Hinweisgeberschutzgesetz solche Unternehmen, die als Arbeitgeber Mitarbeiter beschäftigen, u.a. dazu, nach bestimmten Vorgaben:
- interne Meldestellen und Meldekanäle einzurichten,
- hierfür ein sicheres Meldeverfahren einzuführen (§§ 12 ff. HinSchG) und
- bei Eingang von Meldungen auch durchzuführen (§§ 17 ff. HinSchG).
Meldestellen auch woanders möglich: Die Unternehmen müssen die internen Meldestellen und Meldekanäle nicht unbedingt selbst einrichten oder betreiben oder dies im eigenen Unternehmen ansiedeln. Das Hinweisgeberschutzgesetz sieht vielmehr vor, dass:
- sich kleinere Unternehmen und Betriebe mit bis zu 249 Beschäftigten zusammentun können, um eine gemeinsame interne Meldestelle einzurichten (§ 14 Abs. 2 HinSchG) oder auch
- externe Dienstleister hierfür eingesetzt werden können (§ 14 Abs. 1 HinSchG).
II. Welche Unternehmen müssen interne Meldestellen einrichten?
Die Pflicht zur Einrichtung und zum Betrieb von internen Meldestellen und Meldekanälen gilt grundsätzlich nur für solche Unternehmen, die als Arbeitgeber in der Regel mindestens 50 Beschäftigte haben (§ 12 Abs. 2 HinSchG).
Unternehmer, die keine Beschäftigten oder - in der Regel - weniger als 50 Beschäftigte haben, müssen ausnahmsweise nur dann eine Stelle für interne Meldungen einrichten und betreiben, wenn sie einer bestimmten Branche angehören (§ 12 Abs. 3 HinSchG), etwa wenn sie ein Wertpapierdienstleistungsunternehmen oder ein anderes Unternehmen aus dem Finanz- und Finanzierungsbereich sind. Klassische Online-Händler sind hiervon aber nicht betroffen.
III. Dürfen Unternehmen für die Pflichten aus dem HinSchG auch Dienstleister einsetzen?
Ja. Die Einbindung von Dritten, wie z.B. Dienstleistern, zur Einrichtung der internen Meldestelle und zur Erfüllung der sonstigen Pflichten aus dem Hinweisgeberschutzgesetz sieht das Gesetz ausdrücklich vor (§ 14 Abs. 1 HinSchG).
Häufig dürfte der Einsatz von Dienstleistern eine sinnvolle Lösung sein, etwa wenn Unternehmen mangels entsprechender Erfahrung - auch wegen der völlig neuen rechtlichen Rahmenbedingungen für die Einrichtung und den Betrieb von Hinweisgebersystemen - nicht selbst in angemessener Zeit einführen und ordentlich betreiben können.
Allerdings entbindet die Betrauung eines Dritten das jeweilige Unternehmen nicht von der Pflicht, selbst geeignete Maßnahmen zu ergreifen, um etwaige Gesetzesverstöße abzustellen.
Service der IT-Recht Kanzlei und der IITR Datenschutz GmbH: Die IT-Recht Kanzlei bietet in Kooperation mit der IITR Datenschutz GmbH ein einfach zu bedienendes, webbasiertes Hinweisgebersystem als Komplettlösung an, mit dem Unternehmen nicht nur die gesetzlichen Anforderungen aus dem Hinweisgeberschutzgesetz erfüllen, sondern möglicherweise auch viele zusätzliche Vorteile zu Gunsten des eigenen Unternehmens generieren können.
Lassen Sie sich gerne durch einen der Experten beraten und fordern für Ihr Unternehmen ein passendes Angebot an (Komplett-Paket Hinweisgebersystem inkl. Ombudsperson ab jährlich 500,- EUR zzgl. USt.). Weitere Informationen hierzu und die Möglichkeiten zur unverbindlichen Kontaktaufnahme finden Sie hier.
IV. Muss auch die Möglichkeit zu anonymen Meldungen bestehen?
Nein. Im Gesetzgebungsverfahren ist diskutiert worden, ob das Hinweisgeberschutzgesetz Unternehmen verpflichtend vorgeben soll, dass sie auch anonyme Meldungen ermöglichen müssen. Zwar sollen die internen Meldestellen zur Meldung von Verstößen auch anonym eingehende Meldungen bearbeiten (§ 16 Abs. 1 S. 4 HinSchG). Allerdings bestehe keine Gesetzespflicht dazu, die internen Meldekanäle so zu gestalten, dass sie die Abgabe anonymer Meldungen ermöglichen.
Unternehmen müssen anonym eingegangene Meldungen daher zwar bearbeiten, aber sie müssen sie nicht als anonyme Meldungen in besonderer Weise bearbeiten oder schützen.
V. Was müssen Unternehmen bei Einrichtung ihrer internen Meldestellen beachten?
1. Einrichtung und Betrieb von Meldekanälen
Das Hinweisgeberschutzgesetz enthält nicht nur die Pflicht von Unternehmen, interne Meldekanäle für die Meldung von Informationen von Gesetzesverstößen einzurichten, sondern liefert auch detaillierte Vorgaben, wie diese Meldekanäle im Einzelnen genau auszugestalten sind.
Nach § 13 Abs. 1 HinSchG müssen die internen Meldestellen von Unternehmen Meldekanäle einrichten, die den weiteren Vorgaben des Hinweisgeberschutzgesetzes entsprechen müssen.
2. Information der Mitarbeiter über Meldeverfahren
Die internen Meldestellen müssen ihre Beschäftigten klar und leicht zugänglich (auch) über externe Meldeverfahren und Meldeverfahren von Organen, Einrichtungen oder sonstigen Stellen der EU informieren (§ 13 Abs. 2 HinSchG).
3. Vertraulichkeit betroffener Personen und ihrer Informationen
Die Meldestellen von Unternehmen müssen die Vertraulichkeit von den involvierten Personen schützen (§ 8 HinSchG).
Dies betrifft zunächst einmal zum einen den jeweiligen Hinweisgeber (wenn es sich um Verstöße handelt, die in den Anwendungsbereich des Hinweisgeberschutzgesetzes fallen). Weiter muss aber auch die Vertraulichkeit der Personen gewahrt werden, die Gegenstand einer Meldung sind, und auch diejenige von sonstigen in der Meldung genannten Personen.
Konkret bedeutet dies, dass:
- die Identität dieser Personen und
- die Informationen aus den Meldungen
ausschließlich den für die Entgegennahme von Meldungen und für das Ergreifen von Folgemaßnahmen im Einklang mit dem Hinweisgeberschutzgesetz Zuständigen sowie Unterstützungs- und Hilfspersonen bekannt gemacht werden dürfen (§ 8 Abs. 1 S. 1 HinSchG; § 16 Abs. 2 HinSchG).
Allerdings können nach den Regelungen des Hinweisgeberschutzgesetzen in bestimmten Fällen Ausnahmen von der Vertraulichkeitspflicht greifen, etwa wenn es um die Beteiligung von Strafverfolgungsbehörden geht, etwa wenn ein Hinweisgeber bewusst gelogen hat.
4. Entgegennahme von schriftlichen und mündlichen Meldungen
Unternehmen müssen die Meldekanäle so ausgestalten, dass Hinweisgeber schriftliche oder mündliche Meldungen oder beides vornehmen können (§ 16 Abs. 3 HinSchG). Die mündlichen Meldungen müssen per Telefon oder mittels einer anderen Art der Sprachübermittlung (z.B. Sprachnachrichten via Messenger) möglich sein.
Wenn ein Hinweisgeber darum bittet, muss ein Zuständiger der internen Meldestelle innerhalb einer angemessenen Zeit auch ein persönliches Treffen mit dem Hinweisgeber ermöglichen. Willigt der Hinweisgeber hierzu ein, kann eine solche persönliche Zusammenkunft auch durch eine Bild- und Tonübertragung, also durch Videotelefonie / Videokonferenz erfolgen.
VI. Was müssen Unternehmen beim Betrieb ihrer internen Meldestellen beachten?
1. Bestätigung des Eingangs von Meldungen
Innerhalb von spätestens sieben (7) Tagen muss die interne Meldestelle des Unternehmens den Eingang eines Hinweises auf entsprechende Gesetzesverstöße gegenüber dem Hinweisgeber bestätigen (§ 17 Abs. 1 S. 1 HinSchG).
Hierbei geht es bloß um eine Eingangsbestätigung. Weitere Informationen, beispielsweise darüber, wie der Unternehmer mit der Meldung zu verfahren gedenkt, muss die Bestätigung hingegen noch nicht enthalten.
2. Verfahren nach Eingang von Meldungen
Nach Eingang von Meldungen muss die interne Meldestelle gemäß den Vorgaben des Hinweisgeberschutzgesetzes wie folgt vorgehen:
- Prüfung des gemeldeten Verstoßes, ob er in den Anwendungsbereich des Hinweisgeberschutzgesetzes fällt
- Halten des Kontakts und der Kommunikation mit dem Hinweisgeber
- Prüfung der Stichhaltigkeit der eingegangenen Meldung
- Ggf. Nachfrage von weiteren Informationen vom Hinweisgeber
- Ergreifung von angemessenen Folgemaßnahmen
3. Durchführung von Folgemaßnahmen
Das Hinweisgeberschutzgesetz zählt je nach den Umständen des jeweiligen Einzelfalles verschiedene Möglichkeiten für Folgemaßnahmen von internen Meldestellen auf. Hierzu zählen ausdrücklich die folgenden Optionen:
- Durchführung von internen Untersuchungen und Kontakt zu betroffenen Personen und Einheiten
- Verweis des Hinweisgebers auf andere - interne oder externe - zuständige Stellen
- Abschluss des Verfahrens aus Mangel an Beweisen oder aus anderen Gründen
- Abgabe des Verfahrens zum Zwecke weiterer Untersuchungen an interne Stellen oder eine zustände Behörde
4. Rückmeldung beim Hinweisgeber
Innerhalb von drei (3) Monaten nach der Bestätigung des Eingangs dessen Meldung muss die interne Meldestelle dem Hinweisgeber Bescheid geben, welche Folgemaßnahmen bereits ergriffen wurden oder noch geplant sind, sowie jeweils die Gründe hierfür.
Aber Vorsicht: Die interne Meldestelle darf den Hinweisgeber nur informieren, soweit dadurch etwaige interne Nachforschungen oder Ermittlungen nicht tangiert und die Rechte der Personen, die Gegenstand einer Meldung sind oder die in der Meldung genannt werden, wie etwa Persönlichkeitsrechte oder das Recht zum Schutze deren personenbezogener Daten nicht beeinträchtigt werden.
VII. Welche DSGVO-Vorgaben müssen Unternehmen hinsichtlich Meldungen über Verstöße beachten?
Bei der Entgegennahme und Bearbeitung von Meldungen über Verstöße müssen Unternehmen immer auch die Vorgaben des allgemeinen Datenschutzrechts beachten. Soweit die Unternehmen im Zusammenhang mit Meldungen von Verstößen personenbezogene Daten, etwa hinsichtlich der Identität oder sonstigen Informationen des Hinweisgebers oder von anderen Personen, erheben, speichern, auswerten, übermitteln oder auf sonstige Weise verarbeiten, müssen sie vor allem die Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO) einhalten.
Dies bedeutet insbesondere, dass solche personenbezogenen Daten, die für die Bearbeitung einer bestimmten Meldung eines Verstoßes offensichtlich nicht von Bedeutung sind, schon überhaupt nicht erhoben werden dürfen, zumindest jedoch unverzüglich wieder gelöscht werden müssen, wenn sie etwa unbeabsichtigt erhoben wurden (Art. 17 Abs. 2 DSGVO).
VIII. Was ist bei der Dokumentation von Meldungen zu beachten?
Unternehmen müssen sämtliche bei Ihnen eingehenden Meldungen im Einklang mit den Anforderungen an die Vertraulichkeit der Identität von Hinweisgebern und den Vorgaben des Datenschutzes in dauerhaft abrufbarer Weise dokumentieren (§ 11 Abs. 1 HinSchG). Eine dauerhafte Abrufbarkeit ist allerdings nur gegeben, wenn die Meldungen strukturiert und wieder auffindbar abgelegt werden.
Mündliche Meldungen, z.B. via Telefon, sonstiger Sprachübermittlung oder im Zuge von persönlichen Zusammenkünften, dürfen – wenn sie aufgezeichnet werden – auf zwei Arten dokumentiert werden, wenn der Hinweisgeber hierzu ausdrücklich zustimmt:
- Erstellung einer Tonaufzeichnung des Gesprächs in dauerhafter und abrufbarer Form, z.B. also durch digitalen Mitschnitt des Telefonats,
- Anfertigung eines genauen Wortprotokolls des Telefonats / Gesprächs.
Hinweisgebern muss dabei die Gelegenheit gegeben werden, die Aufzeichnung(en) bzw. Niederschriften zu überprüfen, ggf. zu korrigieren und durch ihre Unterschrift oder in elektronischer Form zu bestätigen (§ 11 Abs. 4 HinSchG).
Wichtige Löschfristen beachten: Die Dokumentationen von Meldungen müssen drei (3) Jahre nach Abschluss des jeweiligen Verfahrens gelöscht werden. Die Dokumentation darf darüber hinaus aber auch länger aufbewahrt werden, um Anforderungen nach dem Hinweisgeberschutzgesetz oder sonstigen Vorschriften zu erfüllen, soweit dies hierfür jeweils erforderlich und auch verhältnismäßig ist.
IX. Welche Repressalien sind zum Schutz von Hinweisgebern verboten?
Repressalien, die sich gegen Hinweisgeber richten, einschließlich deren Androhung oder deren Versuch, sind ausdrücklich verboten (§ 36 Abs. 1 HinSchG).
Unter Repressalien versteht das Hinweisgeberschutzgesetz sämtliche Handlungen oder Unterlassungen im Zusammenhang mit der beruflichen Tätigkeit des Hinweisgebers, die eine Reaktion auf eine Meldung oder eine Veröffentlichung von Verstößen sind und durch die dem Hinweisgeber ein ungerechtfertigter Nachteil entsteht oder entstehen kann (§ 3 Abs. 6 HinSchG). Der Gesetzgeber hat den Begriff der Repressalie bewusst weit definiert, um Unternehmen keine Schlupflöcher für Benachteiligungen von Hinweisgebern zu bieten.
Wichtig zu wissen: Hinweisgeber werden in diesem Zusammenhang durch eine Beweislastumkehr geschützt: Erleidet ein Hinweisgeber eine Benachteiligung im Zusammenhang mit seiner beruflichen Tätigkeit und behauptet er, diese Benachteiligung aufgrund einer Meldung oder Veröffentlichung von ihm hinsichtlich Verstößen i.S.d. Hinweisgeberschutzgesetzes erlitten zu haben, so wird von Gesetzes wegen vermutet, dass diese Benachteiligung eine Repressalie für diese Meldung oder Veröffentlichung ist (§ 36 Abs. 1 HinSchG). Somit muss in diesem Fall die Person bzw. das Unternehmen, die bzw. das den Hinweisgeber benachteiligt hat, beweisen, dass die Benachteiligung auf hinreichend gerechtfertigten Gründen basierte oder dass sie nicht auf der Meldung oder Veröffentlichung des Verstoßes beruhte.
X . Welche Sanktionen drohen Unternehmen bei Verstößen gegen das HinSchG?
Unternehmen, die:
- nicht Sorge dafür tragen, dass interne Meldestellen eingerichtet und betrieben werden,
- Meldungen von Verstößen oder die dazugehörige Kommunikation behindern,
- entgegen den Vorgaben des Hinweisgeberschutzgesetzes Repressalien gegen Hinweisgeber ergreifen oder
- die vorgeschriebene Vertraulichkeit nicht wahren,
begehen Ordnungswidrigkeiten und müssen mit Geldbußen in Höhe von bis zu EUR 50.000 rechnen. Ein früherer Entwurf des Hinweisgeberschutzgesetzes sah sogar Geldbußen in Höhe von bis zu EUR 100.000 vor. Dies hat der Gesetzgeber kurz vor der Verabschiedung des Gesetzes noch nach unten korrigiert.
XI. Ab wann findet das HinSchG Anwendung?
Ab sofort. Das Hinweisgeberschutzgesetz ist zum 2. Juli 2023 in Kraft getreten, so dass die betreffenden Unternehmen dessen Pflichten ab sofort beachten müssen.
Zwar gilt dementsprechend auch die Pflicht zur Einrichtung von internen Meldestellen ab sofort. Doch sieht eine Übergangsregelung (§ 42 Abs. 2 HinSchG) vor, dass das Unterlassen der Einrichtung und des Betriebs der internen Meldestelle erst ab 1. Dezember 2023 eine bußgeldbewehrte Ordnungswidrigkeit sein wird. Falls Unternehmen ihre internen Meldestellen heute noch nicht eingerichtet und in Betrieb gesetzt haben, müssen sie somit dennoch erst ab diesem Zeitpunkt mit etwaigen Geldbußen rechnen.
XII.Service der IT-Recht Kanzlei und der IITR Datenschutz GmbH
Die IT-Recht Kanzlei bietet in Kooperation mit der IITR Datenschutz GmbH ein einfach zu bedienendes, webbasiertes Hinweisgebersystem als Komplettlösung an, mit dem Unternehmen nicht nur die gesetzlichen Anforderungen aus dem Hinweisgeberschutzgesetz erfüllen, sondern möglicherweise auch viele zusätzliche Vorteile zu Gunsten des eigenen Unternehmens generieren können.
Lassen Sie sich gerne durch einen der Experten beraten und fordern für Ihr Unternehmen ein passendes Angebot an (Komplett-Paket Hinweisgebersystem inkl. Ombudsperson ab jährlich 500,- EUR zzgl. USt.). Weitere Informationen hierzu und die Möglichkeiten zur unverbindlichen Kontaktaufnahme finden Sie hier.
Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
2 Kommentare
§ 16 Abs. 3 HinSchG
sagt doch eindeutig: "Interne Meldekanäle müssen Meldungen in mündlicher oder in Textform ermöglichen."
Wieso steht im Text, dass man beides anbieten muss? Es steht doch "oder" im Gesetz. Das bedeutet für mich, dass ich auch bspw. nur schriftliche oder nur mündliche Meldungen zulassen kann. Nur eines von beiden muss möglich sein.