Das Hinweisgeberschutzgesetz (HinSchG, seit 02.07.2023 in Kraft) ist ein Gesetz, das in Deutschland bestimmte Rechte und Schutzmaßnahmen für Personen gewährt, die als Whistleblower (Hinweisgeber) auf Missstände, Verstöße gegen Gesetze oder Regeln in ihrem Unternehmen oder Ihrer Organisation hinweisen. Das Gesetz soll dazu beitragen, dass Hinweisgeber in ihrem Arbeitsumfeld besser geschützt werden und Ihre Hinweise ohne Angst vor Repressalien (wie Abmahnungen, Versagen einer Beförderung, Disziplinarverfahren oder Mobbing gegenüber Whistleblowern) melden können.
Hierunter fallen beispielsweise
- Verstöße gegen Strafvorschriften gemäß deutschem Recht.
- bußgeldbewehrte Verstöße, soweit die Vorschrift dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient (bspw. Vorschriften aus den Bereichen Arbeits- und Gesundheitsschutz, Verstöße gegen das Mindestlohngesetz, Verstöße gegen Aufklärungs- und Auskunftspflichten gegenüber Betriebsräten)
- alle Verstöße gegen Rechtsvorschriften des Bundes und der Länder sowie unmittelbar geltende EU-Rechtsakte in einer Vielzahl verschiedener Bereiche (bspw. Regelungen zur Bekämpfung der Geldwäsche, Regelungen des Verbraucherschutzes, Vorgaben des Datenschutzes und der Sicherheit in der Informationstechnik, Regelungen zur Rechnungslegung bei Kapitalgesellschaften, Regelungen im Bereich des Wettbewerbsrechts usw.)
Auf der anderen Seite soll das Gesetz durch die Einrichtung interner Meldesystemen auch Chancen für Unternehmen schaffen. Denn solche Hinweise können als Frühwarnsysteme verstanden werden, die es Unternehmen ermöglichen, diese Informationen zu prüfen und darauf zu reagieren, bevor die Öffentlichkeit von den Missständen erfährt.
Das Hinweisgeberschutzgesetz setzt damit in Deutschland die Richtlinie (EU) 2019/1937 des Europäischen Parlaments und des Rates vom 23. Oktober 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (sog. „Whistleblower-Richtlinie“) um.
Konkret sieht das Gesetz vor, dass Unternehmen mit mehr als 50 Mitarbeitenden mit dem Stichtag 03.07.2023 interne Meldestelle einrichten müssen, die Hinweisgebern die Möglichkeit gibt, auf vertraulicher Basis mögliche Compliance-Verstöße zu melden. Für Unternehmen mit 50 bis 249 Beschäftigten gilt eine Übergangsfrist bis zum 17.12.2023. Die interne Meldestelle kann ausdrücklich auch durch qualifizierte externe Dienstleister betrieben werden. Das Nicht-Einrichten der Meldestelle kann mit Bußgeldern bis zu 20.000 € geahndet werden, für weitere Verstöße sieht der § 40 HinSchG bis zu 100.000 € Buße vor.
Infobox: COMPLIANCE
Der Begriff „Compliance“ kann als „Regeltreue“ übersetzt werden. Er beschreibt die Einhaltung von gesetzlichen Bestimmungen, regulatorischen Anforderungen und weiteren ethischen Standards. Compliance ist in der Praxis nur erreichbar, wenn die Unternehmensleitung mit gutem Beispiel vorangeht und diese Regeltreue vorlebt.
Wer kann Hinweisgeber sein?
Hinweisgeber können folgende Personen sein:
- Arbeitnehmer (auch vor Beginn oder nach Beendigung des Arbeitsverhältnisses), Bewerber, Praktikanten, Leiharbeitnehmer
- Selbstständige und Freiberufler, die Dienstleistungen erbringen, Auftragnehmer, Unterauftragnehmer, Lieferanten und deren Mitarbeiter
- Anteilseigner und Personen in Leitungsgremien
Warum ist die Einrichtung der Meldestelle nicht nur gesetzlich gefordert, sondern auch aus Unternehmenssicht sinnvoll?
Da es möglichen Hinweisgebern in der Regel nicht darum geht, dem Unternehmen zu schaden, sondern vielmehr beispielsweise das mögliche Fehlverhalten von Mitarbeitern bis hin zu Straftaten oder das Versagen interner Prozesse in den Fokus zu bringen und intern Abhilfe zu schaffen, liegt es in der Praxis immer im Interesse der Unternehmen, die Hinweise über die interne Meldestelle zu erhalten. Sofern das Unternehmen nicht angemessen auf die Hinweise reagiert oder rechtswidrig gar keine Hinweisgeber-Meldestelle eingerichtet hat, haben Hinweisgeber darüber hinaus die Möglichkeit, sich an Hinweisgebermeldestellen des Bundes (Bundesamt für Justiz) zu wenden. Hierbei muss dann die Behörde aktiv werden, was für das betroffene Unternehmen in aller Regel von Nachteil sein dürfte.
Es liegt immer im Interesse der Unternehmen selbst, dass Hinweise über die interne Meldestelle eingehen und nicht an Meldestellen der Behörden getragen werden!
Außerdem wurde beispielsweise durch das Urteil des BGH vom 09. Mai 2017 (1 StR 265/16) klargestellt, dass bei Verhängung einer Geldbuße gegen Leitungspersonen die Installation eines auf die Vermeidung von Rechtsverstößen ausgelegten Systems (wie bspw. einer Hinweisgeber-Meldestelle) zu einer Minderung der Geldbuße führen kann.
Welche Anforderungen muss eine Meldestelle erfüllen?
Die Meldestelle muss Meldungen auf verschiedene Arten entgegennehmen können. Hierbei ist eine E-Mail-Adresse oder der Postweg schon allein wegen der nicht garantierten Vertraulichkeit nicht ausreichend! Eine vertrauliche Meldung über ein elektronisches Meldeportal muss möglich sein. Die Meldestelle muss dem Hinweisgeber zudem eine telefonische Meldung oder ein persönliches Gespräch mit einer unabhängigen Vertrauensperson ermöglichen.
Das Hinweisgeberschutzgesetz enthält darüber hinaus eine Reihe konkreter Bestimmungen, die Unternehmen und Organisationen befolgen müssen, um sicherzustellen, dass Whistleblower geschützt sind. Einige der wichtigsten Bestimmungen sind:
- Vertraulichkeit: Unternehmen müssen sicherstellen, dass Hinweise vertraulich behandelt werden und dass die Identität des Hinweisgebers gegenüber Dritten geschützt wird. Gute Hinweisgebersysteme bieten darüber hinaus die Möglichkeit, die Anonymität der Hinweisgeber vollständig zu wahren.
- Schutz vor Diskriminierung: Unternehmen dürfen Hinweisgeber nicht diskriminieren oder benachteiligen, beispielsweise durch Kündigung, Versetzung oder Degradierung.
- Verfahren zur Entgegennahme von Hinweisen: Unternehmen müssen ein Verfahren zur Entgegennahme von Hinweisen einrichten und sicherstellen, dass es für Hinweisgeber leicht zugänglich ist.
- Auskunftspflicht: Unternehmen müssen den Hinweisgeber über den Stand der Untersuchung und die getroffenen Maßnahmen informieren.
Das HinSchG zum Nachlesen: https://kurzelinks.de/hinschg
Welche Geschäftsprozesse sind zu etablieren?
Grundsätzlich empfiehlt es sich, für eine Hinweisgeberstelle ein elektronisches Hinweisgeberportal einzurichten. Das Portal muss die vertrauliche (Ende-zu-Ende-verschlüsselte) Kommunikation mit den Hinweisgeber ermöglichen und sollte auch die Möglichkeit vorsehen, anonyme Meldungen entgegenzunehmen. Hierfür ist es notwendig, einen verschlüsselten Kommunikationsweg vorzusehen, der ohne Namen, E-Mail-Adresse oder Telefonnummern der hinweisgebenden Person funktioniert. Auch der persönliche Kontakt mit dem Beauftragten für den Hinweisgeberschutz muss angeboten werden. Um möglichen Vorbehalten der Hinweisgeber entgegenzuwirken, empfiehlt es sich daher, die Unabhängigkeit des Beauftragten deutlich nach außen zu kommunizieren.
Entscheidend ist in jedem Fall, dass Hinweisgebern die Sicherheit vermittelt wird, dass Ihre Informationen zu 100% vertraulich behandelt werden und ihnen durch die Meldung keinerlei Nachteile entstehen.
Profitieren Sie als Mitglied unserer Rahmenvertragspartner von attraktiven Sonderkonditionen und Zusatzleistungen!
Sprechen wir miteinander!
Haben Sie Fragen zu Digitalisierung, Cybersicherheit oder Compliance für Ihr Unternehmen? Sind Sie Projektverantwortlicher, betrieblicher Datenschutzbeauftragter oder Compliancebeauftragter und möchten mit einem Sparrings-Partner auf Augenhöhe diskutieren? Und das Ganze am Besten ohne Panikmache und mit einem gesunden Schuss Pragmatismus? Dann sollten wir miteinander sprechen.
Der Autor
Falk Schmidt ist Projektberater für digitale Geschäftsprozesse, Cyber Security sowie zertifizierter Datenschutzbeauftragter und Datenschutz-Auditor Als Lehrbeauftragter an der Technischen Hochschule Mittelhessen (THM) vermittelt er Datenschutz-Themen an Studierende.
Die hier erscheinenden Artikel illustrieren seine private und/oder berufliche Meinung, stellen jedoch keine Rechtsberatung im Sinne des RDG dar.