Alles Wichtige zum Hinweisgeberschutzgesetz (HinschG)

Blogbeitrag: Alles Wichtige zum Hinweisgeberschutzgesetz (HinschG)
Am 02.07.2023 trat das Hinweisgeberschutzgesetz in Kraft.
Foto von saeed karimi auf Unsplash für JOWECON GmbH

Am 2.7.2023 trat das Hinweisgeberschutzgesetz in Kraft. Genau heißt das Gesetz „Gesetz für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden.“, kurz HinSchG. Wir geben Ihnen in diesem Blogbeitrag einen Überblick über alles Wesentliche, das Sie jetzt wissen müssen. Weitere Informationen haben wir Ihnen auf unserer Webseite zusammengestellt.

Die Ziele des HinSchG

Das Hinweisgeberschutzgesetz schützt Personen, die im Zusammenhang mit ihren beruflichen Tätigkeiten beobachtete Verstöße melden. Gleichzeitig soll durch das Gesetz erreicht werden, dass Verstöße zunächst intern gelöst werden, bevor sich hinweisgebende Personen an die Öffentlichkeit wenden und dem Unternehmen möglicherweise ein Schaden droht.

Das HinSchG ist ein Artikelgesetz

Die EU hat die Richtlinie (EU) 2019/1937 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden, erlassen. Sie wird allgemein als EU-Whistleblowing-Richtlinie bezeichnet. Eine Richtlinie ist keine Verordnung. Eine Richtlinie muss von den Mitgliedstaaten erst noch in nationales Recht umgesetzt werden. Dabei haben die Mitgliedstaaten in der Regel deutlich umfassendere Gestaltungsmöglichkeiten als bei einer Verordnung. Bei einer EU-Verordnung soll eine europaweit einheitliche Regelung bzw. ein Mindeststandard geschaffen werden. Dies erfüllt z.B. die Datenschutz-Grundverordnung (DSGVO). Bis Mai 2018 gab es übrigens nur die Datenschutzrichtlinie (EU) 95/46/EG), auf deren Grundlage die Mitgliedsstaaten den Datenschutz teilweise erheblich unterschiedlich regelten.
Das Hinweisgeberschutzgesetz ist als ein sogenanntes Artikelgesetz umgesetzt. Mit einem Artikelgesetz werden gleichzeitig mehrere Gesetze geschaffen und geändert. Neben dem Hauptbestandteil des Gesetzes werden beispielsweise Anpassungen im Geldwäschegesetz oder in der Gewerbeordnung vorgenommen.

Wer ist vom HinschG betroffen?

Wie der Name schon sagt, handelt es sich hier um ein Schutzgesetz. Hinweisgeber sollen beispielsweise vor Anfeindungen und Repressalien geschützt werden. In diesem Sinne gilt das Gesetz für sämtliche Arbeitgeber wie zum Beispiel Unternehmen, Gewerbetreibende, Freiberufler, öffentliche Stelle oder Behörden.

Die wesentlichen Inhalte des Hinweisgeberschutzgesetz (HinSchG)

  • Whistleblower (auch hinweisgebende Personen genannt) sind alle natürlichen Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit Informationen über Verstöße erlangt haben. Hierzu zählen unter anderem Arbeitnehmer, Auszubildende, Kunden, Lieferanten, Praktikanten oder Aufsichtsratsmitglieder.
  • Gemeldet werden können sämtliche Verstöße gegen Unionsvorschriften sowie Verstöße gegen nationale Straf- und teilweise bußgeldbewehrte Vorschriften, soweit es sich um einen Verstoß aus dem beruflichen Kontext handelt. Das umfasst unter anderem Korruption, Geldwäsche, Bestechung, Veruntreuung von Geldern, Produktsicherheit, Kartellrechts- und Umweltschutzverstöße sowie Audits und interne Finanzkontrollen.
  • Die Meldungen erfolgen entweder bei einer im Unternehmen oder bei einer in einer staatlichen Organisation bestehenden internen oder externen Meldestelle (unter anderem dem Bundesamt für Justiz oder der Bundesanstalt für Finanzaufsicht).
  • Das bedeutet: Nur weil es keine interne Meldestelle gibt, heißt das nicht, dass sich Hinweisgeber nicht an spezielle Meldestellen wenden können.
  • Die Pflicht zur Einrichtung einer internen Meldestelle trifft Unternehmen ab 50 Beschäftigte (Übergangsfrist für Unternehmen des privaten Sektors bis 249 Beschäftigte bis zum 17. Dezember 2023) sowie Unternehmen aus Risikobranchen unabhängig von ihrer Beschäftigtenzahl (unter anderem Finanz- und Versicherungsbranche, Immobilienmakler, börsennotierte Unternehmen). Für Körperschaften des öffentlichen Sektors und Bundes- und Landesbehörden gilt die Pflicht zur Einrichtung bereits ab einem (!) Beschäftigten, sofern die jeweiligen Landesgesetze keine abweichende Regelung treffen. Die Pflicht für Kommunen richtet sich auch nach den jeweiligen Landesgesetzen.
  • Die Vertraulichkeit der Identität der hinweisgebenden Person sowie aller sonstigen in der Meldung genannten Personen (auch „Beschuldigte“) muss gewährleistet sein.
  • Als Meldekanäle für die eingehenden Meldungen beziehungsweise die Kommunikation zwischen hinweisgebenden Personen und interner Meldestelle sind mehrere Optionen denkbar: entweder mündlich (zum Beispiel Hotline, Anrufbeantworter), physisch beziehungsweise elektronisch (zum Beispiel Briefkasten, E-Mail), oder  IT-gestützte Lösungen (digital bzw. webbasiert).
  • Der Schutz der hinweisgebenden Person vor Repressalien (unter anderem Abmahnung, Kündigung, Nichtbeförderung, Mobbing) muss gegeben sein, wenn ein hinreichender Grund zur Annahme besteht, dass die gemeldeten Informationen der Wahrheit entsprechen.
  • Schadenersatz bei Repressalien sowie bei vorsätzlich oder grob fahrlässiger Falschmeldung
  • Bußgelder können anfallen bei dem Behindern von Meldungen, das Ergreifen von Repressalien oder die Nichteinführung interner Meldestellen.
  • $ 40 HinSchG setzt einen Bußgeldrahmen von bis zu 50.000 EURO (auch mehrfach möglich). 20.000 EURO fallen an, wenn keine Meldestelle eingerichtet ist.
  • Es gibt keine Pflicht zur Entgegenname anonymer Meldungen.

Berührungspunkte des HinSchG mit der DS-GVO

Es gibt etliche Beziehungen zum Datenschutz. Beispielsweise enthält §10 HinSchG eine Rechtgrundlage, wonach Meldestellen personenbezogene Daten verarbeiten dürfen, soweit dies für ihre Aufgaben erforderlich ist. Insbesondere gilt dies für besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DS-GVO. In §11 Abs. 5 Satz 1 HinSchG gibt es Festlegungen zu Dokumentation von Löschungen nach drei Jahren. Das Vertraulichkeitsgebot in § 8 HinSchG kann unter Datenschutzaspekten von Bedeutung sein.

Weiterhin sollten bei der Einrichtung der Meldekanäle die folgenden Punkte beachtet werden:

  • Die Grundprinzipien des Art. 5 Abs. 1 der DS-GVO sind unbedingt umzusetzen.
  • Aus Art. 25 DS-GVO ergibt sich das Prinzip „Data protection by design and default“. Somit ist auf eine datenschutzfreundliche Ausgestaltung der Umsetzung des Hinweisgeberschutzgesetzes zu achten.
  • Meldewege, Prozesse oder entsprechende Verarbeitungen müssen sicher gestaltet sein. Die aus Art. 32 DS-GVO ergebenen dem Risiko angemessenen technischen und organisatorischen Schutzmassnahmen sind zu berücksichtigen.
  • Da unter Umständen personenbezogene Daten verarbeitet werden, ist ein Eintrag im Verzeichnis von Verarbeitungstätigkeiten erforderlich. Die hierfür nötigen Angaben ergeben sich aus Art. 30 Abs. 1 DS-GVO.