Whistleblowing: Alles Wichtige zum Hinweisgeberschutzgesetz (HinschG)

Am 2.7.2023 trat das Hinweisgeberschutzgesetz in Kraft. Genau heißt das Gesetz „Gesetz für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden.“, kurz HinSchG. Wir geben Ihnen in diesem Blogbeitrag einen Überblick über alles Wesentliche, das Sie jetzt wissen müssen. Weitere Informationen haben wir Ihnen hier auf unserer Webseite zusammengestellt.

Die Ziele des HinSchG

Das Hinweisgeberschutzgesetz schützt Personen, die im Zusammenhang mit ihren beruflichen Tätigkeiten beobachtete Verstöße melden. Gleichzeitig soll durch das Gesetz erreicht werden, dass Verstöße zunächst intern gelöst werden, bevor sich hinweisgebende Personen an die Öffentlichkeit wenden und dem Unternehmen möglicherweise ein Schaden droht.

Das HinSchG ist ein Artikelgesetz

Juristische Begriffe sind nicht immer leicht zu verstehen, daher soll Ihnen dieser kurze Absatz ein Basisverständnis für den Unterschied der Begriffe Verordnung-Richtlinie-Artikelgesetz geben.

Die Basis für das deutsche Gesetzt ist die EU Richtlinie (EU) 2019/1937 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden. Sie wird allgemein als EU-Whistleblowing-Richtlinie bezeichnet. Eine Richtlinie ist keine Verordnung, wird also nicht „angeordnet“. Eine Richtlinie muss von den Mitgliedstaaten in nationales Recht umgesetzt werden, wobei die Mitgliedstaaten in der Regel deutlich umfassendere Gestaltungsmöglichkeiten haben als bei einer Verordnung.

Bei einer EU-Verordnung soll eine europaweit einheitliche Regelung bzw. ein Mindeststandard geschaffen werden. Dies erfüllt z.B. die Datenschutz-Grundverordnung (DSGVO). Bis Mai 2018 gab es übrigens nur die Datenschutzrichtlinie (EU) 95/46/EG), auf deren Grundlage die Mitgliedsstaaten den Datenschutz teilweise erheblich unterschiedlich regelten.

Das Hinweisgeberschutzgesetz ist als ein sogenanntes Artikelgesetz umgesetzt. Mit einem Artikelgesetz werden gleichzeitig mehrere Gesetze geschaffen und geändert. Neben dem Hauptbestandteil des Gesetzes werden beispielsweise Anpassungen im Geldwäschegesetz oder in der Gewerbeordnung vorgenommen.

Wer ist vom HinschG betroffen?

Wie der Name schon sagt, handelt es sich hier um ein Schutzgesetz. Hinweisgeber sollen beispielsweise vor Anfeindungen und Repressalien geschützt werden. In diesem Sinne gilt das Gesetz für sämtliche Arbeitgeber wie zum Beispiel Unternehmen, Gewerbetreibende, Freiberufler, öffentliche Stelle oder Behörden.

Berührungspunkte der DS-GVO und dem HinSchG

Beziehungen zum Datenschutz

Es gibt etliche Beziehungen zu Datenschutz und hier wollen wir die Wichtigsten kurz vorstellen.

Beispielsweise enthält §10 HinSchG eine Rechtgrundlage, wonach Meldestellen personenbezogene Daten verarbeiten dürfen, soweit dies für ihre Aufgaben erforderlich ist. Insbesondere gilt dies für besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DS-GVO. In §11 Abs. 5 Satz 1 HinSchG gibt es Festlegungen zu Dokumentation von Löschungen nach drei Jahren. Das Vertraulichkeitsgebot in § 8 HinSchG kann unter Datenschutzaspekten von Bedeutung sein.

Weiterhin sollten bei der Einrichtung der Meldekanäle die folgenden Punkte beachtet werden:

• Die Grundprinzipien des Art. 5 Abs. 1 der DS-GVO sind unbedingt umzusetzen.
• Aus Art. 25 DS-GVO ergibt sich das Prinzip „Data protection by design and default“. Somit ist auf eine datenschutzfreundliche Ausgestaltung der Umsetzung des Hinweisgeberschutzgesetzes zu achten.
• Meldewege, Prozesse oder entsprechende Verarbeitungen müssen sicher gestaltet sein. Die aus Art. 32 DS-GVO ergebenen dem Risiko angemessenen technischen und organisatorischen Schutzmassnahmen sind zu berücksichtigen.
• Da unter Umständen personenbezogene Daten verarbeitet werden, ist ein Eintrag im Verzeichnis von Verarbeitungstätigkeiten erforderlich. Die hierfür nötigen Angaben ergeben sich aus Art. 30 Abs. 1 DS-GVO.

Weitere datenschutzrechtliche Fragen und Ihre Antworten

Das seit dem 02. Juli 2023 geltende Hinweisgeberschutzgesetz wirft auch einige datenschutzrechtliche Fragen auf. Kann etwa der/die betriebliche Datenschutzbeauftragte gleichzeitig als interne Meldestelle fungieren? Müssen die in Hinweisen genannten Personen über die Verarbeitung ihrer personenbezogenen Daten informiert werden? Und ist beim Einrichten einer internen Meldestelle eine Datenschutz-Folgenabschätzung durchzuführen?

Diese und weitere Fragen beantwortet die Aufsichtsbehörde aus Baden-Württemberg in ihrem FAQ zum Hinweisgeberschutzgesetz.

Die wesentlichen Inhalte des Hinweisgeberschutzgesetz (HinSchG)

• Whistleblower (auch hinweisgebende Personen genannt) sind alle natürlichen Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit Informationen über Verstöße erlangt haben. Hierzu zählen unter anderem Arbeitnehmer, Auszubildende, Kunden, Lieferanten, Praktikanten oder Aufsichtsratsmitglieder.
• Gemeldet werden können sämtliche Verstöße gegen Unionsvorschriften sowie Verstöße gegen nationale Straf- und teilweise bußgeldbewehrte Vorschriften, soweit es sich um einen Verstoß aus dem beruflichen Kontext handelt. Das umfasst unter anderem Korruption, Geldwäsche, Bestechung, Veruntreuung von Geldern, Produktsicherheit, Kartellrechts- und Umweltschutzverstöße sowie Audits und interne Finanzkontrollen.
• Die Meldungen erfolgen entweder bei einer im Unternehmen oder bei einer in einer staatlichen Organisation bestehenden internen oder externen Meldestelle (unter anderem dem Bundesamt für Justiz oder der Bundesanstalt für Finanzaufsicht).
• Das bedeutet: Nur weil es keine interne Meldestelle gibt, heißt das nicht, dass sich Hinweisgeber nicht an spezielle Meldestellen wenden können.
• Die Pflicht zur Einrichtung einer internen Meldestelle trifft Unternehmen ab 50 Beschäftigte (Übergangsfrist für Unternehmen des privaten Sektors bis 249 Beschäftigte bis zum 17. Dezember 2023) sowie Unternehmen aus Risikobranchen unabhängig von ihrer Beschäftigtenzahl (unter anderem Finanz- und Versicherungsbranche, Immobilienmakler, börsennotierte Unternehmen). Für Körperschaften des öffentlichen Sektors und Bundes- und Landesbehörden gilt die Pflicht zur Einrichtung bereits ab einem (!) Beschäftigten, sofern die jeweiligen Landesgesetze keine abweichende Regelung treffen. Die Pflicht für Kommunen richtet sich auch nach den jeweiligen Landesgesetzen.
• Die Vertraulichkeit der Identität der hinweisgebenden Person sowie aller sonstigen in der Meldung genannten Personen (auch „Beschuldigte“) muss gewährleistet sein.
• Als Meldekanäle für die eingehenden Meldungen beziehungsweise die Kommunikation zwischen hinweisgebenden Personen und interner Meldestelle sind mehrere Optionen denkbar: entweder mündlich (zum Beispiel Hotline, Anrufbeantworter), physisch beziehungsweise elektronisch (zum Beispiel Briefkasten, E-Mail), oder  IT-gestützte Lösungen (digital bzw. webbasiert).
• Der Schutz der hinweisgebenden Person vor Repressalien (unter anderem Abmahnung, Kündigung, Nichtbeförderung, Mobbing) muss gegeben sein, wenn ein hinreichender Grund zur Annahme besteht, dass die gemeldeten Informationen der Wahrheit entsprechen.
• Schadenersatz bei Repressalien sowie bei vorsätzlich oder grob fahrlässiger Falschmeldung
• Bußgelder können anfallen bei dem Behindern von Meldungen, das Ergreifen von Repressalien oder die Nichteinführung interner Meldestellen.
• $ 40 HinSchG setzt einen Bußgeldrahmen von bis zu 50.000 EURO (auch mehrfach möglich). 20.000 EURO fallen an, wenn keine Meldestelle eingerichtet ist.
• Es gibt keine Pflicht zur Entgegenname anonymer Meldungen.