Hinweisgeberschutzgesetz – das HinSchG im Überblick
Volljurist und Compliance-Experte
August 30, 2024
12 min
Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.
Das Hinweisgeberschutzgesetz (HinSchG) wurde in Deutschland eingeführt, um Personen zu schützen, die im Zusammenhang mit ihrer beruflichen Tätigkeit Informationen über Verstöße erlangen und diese melden, ohne Repressalien befürchten zu müssen.
Unternehmen und Organisationen mit mindestens 49 Mitarbeitern sind verpflichtet, eine interne Meldestelle einzurichten. Verstöße gegen diese Einrichtungspflicht können mit Bußgeldern geahndet werden.
Hinweisgebersysteme ermöglichen eine frühzeitige Erkennung von Fehlverhalten und können die Einhaltung von Gesetzen und Vorschriften verbessern, die Unternehmenskultur stärken und die Effizienz steigern.
SECJUR hat ein digitales Hinweisgebersystem entwickelt, das den Anforderungen des Gesetzes entspricht und eine einfache Umsetzung von Compliance für Unternehmen ermöglicht.
In diesem Artikel erfahren Sie:
- die Bedeutung des Hinweisgeberschutzgesetzes
- den Hintergrund und die Entstehung des Hinweisgeberschutzgesetzes
- was genau ein Hinweisgeberschutzgesetz ist
- die Vorteile sowie die Pflichten und Verantwortlichkeiten in einem Unternehmen
- Praxisbeispiele aus dem Unternehmensalltag
- Hinweise zur Umsetzung des Gesetzes
Die Bedeutung des Hinweisgeberschutzgesetzes
Das Aufdecken von Missständen ist ein gesellschaftliches Phänomen, das sich durch die gesamte Menschheitsgeschichte zieht.
Der „Deep Throat“, der durch das Auslösen der Watergate-Affäre 1974 den US-Präsidenten Nixon zum Rücktritt zwang, ist eines der prominentesten Beispiele für „Whistleblowing“. Auch der Wikileaks-Gründer Julian Assange hat demonstriert, dass Hinweise zu markanten gesellschaftlichen Veränderungen führen können.
In der modernen Gesellschaft ist es von größter Wichtigkeit, dass aufmerksame Individuen auf Missstände bei Unternehmen, in Behörden und Institutionen hinweisen können, um notwendige Veränderungen herbeizuführen. Daher steht in Deutschland die Einführung des von der EU formulierten Hinweisgeberschutzgesetzes (HinSchG) kurz vor seiner Einführung.
Hier lesen Sie, welche Möglichkeiten es gibt, ein funktionierendes Hinweisgebersystem zu installieren, welche rechtlichen Grundlagen zu beachten sind und wie durch ein Hinweisgebersystem dem Sicherheitsbedürfnis von Unternehmen Genüge getan wird.
Hinweisgebersystem: Hintergrund und Entstehungsgeschichte
Inzwischen hat die EU das Hinweisgeben im Unternehmen zur Gesetzesreife gebracht.
Der Deutsche Bundestag setzt damit die Hinweisgeberschutz-Richtlinie der Europäischen Union ((EU)2019/1937, (EU) 2020/1503), auch EU-Whistleblower-Richtlinie genannt, in deutsches Recht um, hieß es im Gesetzesentwurf, der nun vorliegt, allerdings noch durch eine Entscheidung des Bundesrats ratifiziert werden muss. Diese EU-Whistleblower-Richtlinie verpflichtet Unternehmen, private Organisationen und Behörden, die mehr als 49 Mitarbeiter haben, sichere Kanäle für die Meldung von Missständen einzurichten und Vorkehrungen zu treffen, um Hinweisgeber vor Repressalien zu schützen.
Diese Kanäle können analog (Telefon-Hotline) oder digital (E-Mail-Adresse) gestaltet sein.
Was ist das Hinweisgeberschutzgesetz?
Zweck des Gesetzes: Schutz von Hinweisgebern vor Repressalien
Als Hinweisgebersystem versteht man ein Kommunikationskonzept, das Mitarbeitenden oder Außenstehenden eines Unternehmens die Möglichkeit bietet, Missstände, Verstöße gegen geltendes Recht oder sonstige Vorkommnisse zu melden, die dem Unternehmen Schaden zufügen könnten, und dabei gesetzlich geschützt vor Repressalien zu sein.
Seit dem 16. Dezember 2020 gilt in Deutschland das Hinweisgeberschutzgesetz (HinSchG), das „zum Schutz von natürlichen Personen erlassen worden ist, die im Zusammenhang mit ihrer beruflichen Tätigkeit oder im Vorfeld einer beruflichen Tätigkeit Informationen über Verstöße erlangt haben und diese den nach diesem Gesetz vorgesehenen Meldestellen melden oder offenlegen (hinweisgebende Personen)“.
Definition von Hinweisgebern und Whistleblowing
Während Whistleblowing im Kern zur Absicht hat, die Öffentlichkeit zu informieren, beispielsweise durch die Einschaltung der Presse oder anderer Medien, ist das unternehmensinterne Hinweisgebersystem ein geschlossener Kreis. Die Informationen verbleiben im Unternehmen und werden von den zuständigen Abteilungen entsprechend in Aktionen umgesetzt.
Lediglich wenn die Schwere eines Verstoßes oder eines Missstandes eine gesetzliche Veröffentlichungspflicht mit sich bringt, gelangt ein interner Hinweis auch an die Öffentlichkeit (Beispiel: Datenpannen, die an die zuständige Aufsichtsbehörde gemeldet werden müssen).
Der Anwendungsbereich: Wer wird geschützt?
Unternehmen und Organisationen, auf die das Gesetz anwendbar ist
Gemäß § 12 Hinweisgeberschutzgesetz (HinSchG) müssen Beschäftigungsgeber mit mehr als 49 Beschäftigten eine Stelle für interne Meldungen einrichten und betreiben. Verstöße gegen diese Einrichtungspflicht können mit Bußgeldern von bis zu 20.000 Euro geahndet werden.
Die in § 12 Abs. 3 HinSchG genannten Beschäftigungsgeber (Unternehmen der Finanzbranche, wie etwa Wertpapierdienstleistungsunternehmen, Börsenträger, Kreditinstitute, Kapitalverwaltungsgesellschaften et cetera) müssen unabhängig von der Zahl der Beschäftigten eine solche Meldestelle einrichten.
Mit den Aufgaben der Meldestelle können gemäß § 14 HinSchG eine oder mehrere Beschäftigte des Beschäftigungsgebers oder ein Dritter betraut werden. Dabei können mehrere private Beschäftigungsgeber mit i. d. R. 50 bis 249 Beschäftigten auch eine gemeinsame Meldestelle betreiben. Dies bietet sich etwa für Unternehmen einer Unternehmensgruppe oder konzernangehörige Unternehmen an. (Quelle: DSB-Ratgeberportal)
Geschützte Personengruppen
Das offene Hinweisgebersystem ist buchstäblich „offen“ und kann von jedem beliebigen „Melder“ genutzt werden, unabhängig davon, ob er zum Unternehmen gehört. Arbeitnehmer, aber auch Lieferanten oder Dienstleister sind damit geschützt.
Hinweisgeber können ausnahmslos alle sein, die für ein Unternehmen, eine Behörde oder eine Organisation oder mit ihr in Berührung kommen. Voraussetzung ist, dass die oder der Hinweisgeber einen berechtigten Verdacht hat, dass ein gefährlicher Missstand vorliegt, der der Institution schadet oder von dem eine Gefährdung für die Allgemeinheit ausgeht.
Vorteile von Hinweisgebersystemen – für alle ein Mehrgewinn
Schutz der Hinweisgeber
Im Gesetz ist vorgesehen, dass Hinweisgeber künftig keinerlei Repressalien oder Nachteile in Kauf nehmen müssen, weil sie etwas Sensibles gemeldet haben. Hinweisgeber werden also durch das Gesetz davor geschützt, Nachteile wie eine Kündigung, Abmahnung, Versagung einer Beförderung, geänderte Aufgabenübertragung, Rufschädigung, Disziplinarmaßnahmen, Diskriminierung oder Mobbing befürchten zu müssen, weil sie einen Missstand im Unternehmen aufgedeckt haben.
Für etwaige finanzielle Schäden, die dem Hinweisgeber durch seine Enthüllung entstehen, muss ihm eine angemessene Entschädigung ausgezahlt werden.
Stärkung der Korruptionsbekämpfung und positive Auswirkung auf ein Unternehmen
Einerseits hat die Digitalisierung maßgeblich dazu beigetragen, Unternehmen vor rechtlich neue Herausforderungen zu stellen. Angriffe von außen, wie beispielsweise Cyberattacken oder Hackerangriffe, werden häufig durch Kanäle initiiert, die unzureichend geschützt sind. In vielen Fällen sind es auch gutgläubige Mitarbeiter, die unbewusst Tore zum Unternehmen öffnen und den Cyberkriminellen so Zugang zur Firmeninterna gewähren.
Andererseits sind es die kriminalistischen Phänomene internationaler Terrorismus, Geldwäsche und Wirtschaftskriminalität, die digitale Kanäle schamlos dazu nutzen, Unternehmen zu schädigen. Daher ist ein Hinweisgebersystem, das für den Hinweisgeber zunächst anonym gestaltet ist, ein wichtiger Bestandteil des Security-Systems jedes Unternehmens unabhängig von seiner Größe und verbessert das Compliance-Management-System.
Bei der Beurteilung der Vor- und Nachteile von Hinweisgebersystemen ist zu beachten, dass ein ideales Hinweisgebersystem sicherstellt, dass Informationen von Mitarbeitern zu 100 Prozent vertraulich behandelt werden.
Als besondere Vorteile sind zu nennen:
- Früherkennung von Fehlverhalten: Dadurch können Unternehmen schnell reagieren und Schaden begrenzen.
- Erhöhung der Compliance: Hinweisgebersysteme können Unternehmen dabei helfen, die Einhaltung von Gesetzen und Vorschriften zu verbessern.
- Förderung einer offenen Unternehmenskultur: Durch Hinweisgebersysteme können Mitarbeiter Bedenken und Vorschläge anonym und ohne Angst vor Repressalien äußern.
- Steigerung der Effizienz: Hinweisgebersysteme können dazu beitragen, Prozesse und Abläufe im Unternehmen zu optimieren.
- Reduzierung von Schäden: Wenn Unternehmen frühzeitig von Fehlverhalten erfahren, können sie schnell handeln und Schäden begrenzen.
Hinweisgeberschutzgesetz – die Pflichten und Verantwortlichkeiten im Überblick
Hinweisgebersysteme sollten völlig systematisch im Unternehmen aufgebaut werden. Zunächst ist die Benennung von Verantwortlichen, beispielsweise eines Ombudsmanns oder eines Ombudsgremiums, nötig. Es kann auch ein externer Dienstleister von SECJUR bestellt werden.
Es muss sichergestellt werden, dass eine Erreichbarkeit über sichere Kanäle gewährleistet ist, zu denen sonst niemand im Unternehmen Zugang hat. Darüber hinaus muss sichergestellt werden, dass etwaige Eingaben unverzüglich, spätestens im Verlauf von 24 Stunden gesichtet werden.
Außerdem muss das Hinweisgebersystem auch eine externe Leitung beinhalten, die mit einer staatlichen Meldestelle verbunden ist (nach Inkrafttreten des Gesetzes; eine Meldung von zuständigen öffentlichen Stellen wird Teil des Gesetzes). Sämtliche Eingaben und die dazugehörigen personenbezogenen Daten sind nach den Grundsätzen der DSGVO zu behandeln.
Hinweisgebersysteme und besondere Herausforderungen in der digitalen Welt
Ein Hinweisgebersystem, das heutigen Anforderungen entspricht, ist selbstverständlich digital, idealerweise als E-Mail-Kommunikationskanal mit eigener, klar abgegrenzter E-Mail-Adresse. Wie bei allen digitalen Prozessen bestehen auch beim Hinweisgebersystem besondere Herausforderungen beim Datenschutz.
Das System muss in der Lage sein, die personenbezogenen Daten des etwaigen Hinweisgebers gemäß der DSGVO zu schützen. Gerade wegen der Brisanz für den Hinweisgeber, sich durch die Zusendung eines Hinweises gegen das eigene Unternehmen zu stellen, muss ihm ein Höchstmaß an Vertraulichkeit garantiert werden.
Ausschließlich für die Aufgabe benannte Personen dürfen Kenntnis der personenbezogenen Daten des Hinweisgebers erlangen. Ferner muss der Vorfall nach entsprechender Zeit gelöscht werden. Der Schutz der Identität, Schutz vor Kündigung und Diskriminierung muss Bestand haben. Die mit der Prüfung von Hinweisen beauftragten Mitarbeiter sind per Gesetz dazu verpflichtet, auch anonymen Hinweisen gewissenhaft und vertraulich nachzugehen. Die Meldepflicht an Aufsichtsbehörden muss beachtet werden.
Wie können diese Herausforderungen überwunden werden?
Idealerweise wird die Einführung eines Hinweisgebersystems von einer offenen Kommunikation begleitet. Diese sollte beinhalten, dass alle Mitarbeitenden von der Möglichkeit Kenntnis bekommen, den Hinweisgeber-Kanal zu nutzen. Im Rahmen einer Schulung sollten Sie allerdings auch darüber informiert werden, welche Konsequenzen ein eingebrachter Hinweis auslöst, um Missbrauch zu vermeiden.
Hinweisgebersystem in der Praxis! So kann die Umsetzung aussehen
Sieben typische Beispiele für Hinweise/Meldungen:
- Finanzbetrug
- Unsaubere Bilanzierung, Unterschlagung von Geld, Steuerhinterziehung
- Korruption
- Bestechung von Behörden oder bei der Auftragsvergabe
- Diskriminierung
- Verletzung von Sicherheits- und Umweltstandards
- Heimliche Entsorgung von kritischem Müll, Nichteinhaltung von Auflagen
Das HinSchG einfach umgesetzt – mit dem externen Hinweisgebersystem von SECJUR
SECJUR hat ein Hinweisgebersystem entwickelt, das dazu beiträgt, die Anforderungen des Gesetzes zu erfüllen. Im Digital Compliance Office finden Sie ein integriertes Modul für das Hinweisgebersystem an, wodurch die Umsetzung von Compliance für Unternehmen sofort und einfach digitalisiert werden kann.
Das System fungiert als Frühwarnsystem, das Ihr Unternehmen, Ihren guten Ruf, Ihre Mitarbeiter und Ihre Stakeholder schützt. Durch die Nutzung dieses Systems können die Schäden durch Wirtschaftskriminalität um 50 Prozent reduziert werden.
Darüber hinaus erhöht die Implementierung des Hinweisgebersystems die Attraktivität Ihres Unternehmens als Arbeitgeber, da Transparenz und Integrität gefördert werden. Das System ist rund um die Uhr, an 7 Tagen in der Woche, 365 Tage im Jahr erreichbar.
Ein großer Vorteil des integrierten Systems besteht darin, dass Hinweise in Echtzeit übermittelt werden können und dabei höchste Sicherheitsstandards eingehalten werden. Zudem ist das System zu 100 Prozent DSGVO-konform. Die eingehenden Meldungen werden von professionellen Case Managern betreut, und das Hinweissystem ermöglicht eine anonyme Kontaktaufnahme einschließlich telefonischer Erreichbarkeit.
SECJUR übernimmt das Fallmanagement im Zusammenhang mit den gemeldeten Hinweisen.
Fazit & Ausblick: Hinweisgebersysteme sind langfristig wichtige Säulen des Qualitätsmanagements
Spätestens seit Inkrafttreten des Hinweisgeberschutzgesetzes im Juli 2023 sollten die zunächst vom Gesetz verpflichteten Unternehmen vorbereitet sein. Das betrifft zunächst Unternehmen mit 50 oder mehr Mitarbeitern sowie Unternehmen aus der Finanzbranche.
Es ist allerdings zu erwarten, dass in näherer Zukunft auch kleinere Unternehmen gesetzlich dazu verpflichtet werden, ein Hinweisgebersystem einzuführen. Empfehlenswert ist, die gesetzliche Vorgabe nicht ausschließlich als neuerliche „Geißel“ aus Brüssel zu beschreien, sondern das Thema Hinweisgebersystem als Teil des firmeninternen Qualitätsmanagements zu begreifen. Aufmerksame Mitarbeiter, die sich mit dem Unternehmen identifizieren, werden durch das Melden von Missständen oder gefährlichen Entwicklungen wertvolle Beiträge dazu leisten, das Unternehmen nach außen zu schützen.
Ferner können Hinweise, die aktiv wahrgenommen werden und in Change-Prozesse umgewandelt werden, zu erheblichen Verbesserungen der Unternehmensprozesse sowie der Unternehmenskultur beitragen.
Das HinSchG bringt natürlich einiges an Aufwand und Kosten mit sich, nach der Einführung kann es aber schon nach kurzer Zeit als wichtiger Teil des Qualitätsmanagements angesehen werden. Es empfiehlt sich, anhand eines konkreten Projekts die Zuständigkeiten, die technische Darstellung sowie die notwendigen Prozesse frühzeitig zu definieren, um ein Hinweisgebersystem zu installieren, das den gesetzlichen Anforderungen Genüge leistet. (Quellen: DSB-Ratgeberportal/ Webseite https://hinweis.de/)
Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Compliance, completed
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office