Whistleblowing: Das Hinweisgeberschutzgesetz ist da

Stand: Juli 2023

Gesetzgebungsziel und aktueller Stand
Wer kann Hinweisgeber sein?
Welche Verstöße können von Hinweisgebern gemeldet werden?
Welche Unternehmen müssen zu welchem Zeitpunkt interne Meldekanäle einrichten?
Was ist bei der Einrichtung und beim Betrieb interner Meldekanäle zu beachten?
Welche Möglichkeiten der Meldung haben Hinweisgeber?
Wie werden Hinweisgeber geschützt?
Welche Sanktionen drohen bei Verstößen gegen das HinSchG?
Checkliste: Was müssen Unternehmen jetzt tun?

Gesetzgebungsziel und aktueller Stand

Das Hinweisgeberschutzgesetz (HinSchG) ist die deutsche Umsetzung der sog. EU-Whistleblower-Richtlinie (Richtlinie (EU) 2019/1937 des Europäischen Parlaments und des Rates der Europäischen Union vom 23. Oktober 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden).

Ziel des HinSchG ist der Schutz von Personen, die im Rahmen ihrer beruflichen Tätigkeit Informationen über Verstöße erlangt haben und diese melden. Das HinSchG verbietet jegliche Repressalien gegenüber hinweisgebenden Personen (sog. Whistleblowern) und verpflichtet Unternehmen, sichere Kanäle für die Meldung von Missständen einzurichten.

Update Juli 2023: Das HinSchG wurde am 2. Juni 2023 im Bundesgesetzblatt verkündet und ist am 2. Juli 2023 in Kraft getreten.

Welche Vorgaben das HinSchG beinhaltet und was Unternehmen jetzt tun müssen, erfahren Sie im nachfolgenden Text.

Wer kann Hinweisgeber sein?

Der Bereich der Personen, der nach dem HinSchG geschützt ist, ist weit gefasst und umfasst alle natürlichen Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit Informationen über Verstöße erlangt haben und diese melden (hinweisgebende Personen), insbesondere:

Beschäftigte, auch bereits ausgeschiedene Beschäftigte, Stellenbewerber, Praktikanten, Leiharbeitnehmer
Selbstständige, die Dienstleistungen erbringen, Freiberufler, Auftragnehmer, Unterauftragnehmer, Lieferanten und deren Mitarbeiter
Anteilseigner und Personen in Leitungsgremien

Hinweis: Nach § 16 Absatz 1 HinSchG müssen die internen Meldekanäle mindestens den eigenen Beschäftigten sowie Leiharbeitnehmern offenstehen, die dem Unternehmen überlassen sind. Die zur Einrichtung verpflichteten Unternehmen können selbst entscheiden, ob das Meldeverfahren darüber hinaus auch (außenstehenden) Personen, die im Kontakt zum Unternehmen stehen, offenstehen soll.

Darüber hinaus werden auch Personen geschützt, die die hinweisgebende Person unterstützen sowie Personen, die zwar nicht selbst die Meldung erstatten, aber Gegenstand der Meldung oder sonst von der Meldung betroffen sind.

Welche Verstöße können von Hinweisgebern gemeldet werden?

Nicht jede Meldung einer Verletzung von Rechtsvorschriften ist vom HinSchG umfasst. Der unter § 2 HinSchG geregelte Schutzbereich ist aber sehr weit gefasst. Hinweisgebende Personen genießen den Schutz des HinSchG, wenn sie Verstöße gegen folgende Vorschriften melden:

Verstöße gegen Strafvorschriften: Dies umfasst jede Strafnorm nach deutschem Recht.
Verstöße, die mit einem Bußgeld bedroht sind (also Ordnungswidrigkeiten), wenn die verletzte Norm dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient. Darunter fallen beispielswese Vorschriften aus den Bereichen des Arbeits- und Gesundheitsschutzes, Verstöße gegen das Mindestlohngesetz oder Bußgeldvorschriften, die Verstöße gegen Aufklärungs- und Auskunftspflichten gegenüber Organen der Betriebsverfassung wie Betriebsräten sanktionieren.
Darüber hinaus sind alle Verstöße gegen Rechtsvorschriften des Bundes und der Länder umfasst, die zur Umsetzung bestimmter europäischer Regelungen getroffen wurden, sowie Verstöße gegen unmittelbar geltende EU-Rechtsakte in einer Vielzahl verschiedener Bereiche, etwa: Regelungen zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung, Vorgaben zur Produktsicherheit, Vorgaben zur Verkehrssicherheit, Vorgaben zur Beförderung gefährlicher Güter, Vorgaben zum Umwelt- und Strahlenschutz, Lebensmittel- und Futtermittelsicherheit, Qualitäts- und Sicherheitsstandards bei Arzneimitteln und Medizinprodukten, Regelungen des Verbraucherschutzes, Regelungen des Datenschutzes und der Sicherheit in der Informationstechnik, Regelungen des Vergaberechts, Regelungen zur Rechnungslegung bei Kapitalgesellschaften, Regelungen im Bereich des Wettbewerbsrechts etc.
Zuletzt wurde der sachliche Anwendungsbereich auf Äußerungen von Beamtinnen und Beamten ausgeweitet, die einen Verstoß gegen die Pflicht zur Verfassungstreue darstellen (wohl aufgrund der Geschehnisse um die “Reichsbürger-Razzia”).

Hinweis: Voraussetzung ist immer, dass sich die Verstöße auf den Beschäftigungsgeber/das Unternehmen oder eine andere Stelle beziehen müssen, mit dem oder mit der die hinweisgebende Person selbst in beruflichem Kontakt stand oder steht (§ 3 Absatz 3 HinSchG).

Welche Unternehmen müssen zu welchem Zeitpunkt interne Meldekanäle einrichten?

Unternehmen mit in der Regel mindestens 250 Beschäftigten müssen die Vorgaben nach dem HinSchG spätestens bis zum 2. Juli 2023 umgesetzt haben. Aber: Die Bußgeldvorschrift, wonach ein Bußgeld bis zu 20.000 Euro droht, wenn ein interner Meldekanal nicht eingerichtet oder betrieben wird (siehe hierzu unten “Welche Sanktionen drohen bei Verstößen gegen das HinSchG?”), tritt erst am 1. Dezember 2023 in Kraft. Solange wird also kein Bußgeld wegen fehlender Einrichtung oder fehlendem Betrieb verhängt.

Gleiches gilt auch für Unternehmen in bestimmten Branchen (z.B. Finanzdienstleistungs- oder Versicherungsunternehmen, Auflistung in § 12 Absatz 3 HinSchG) unabhängig von der Zahl der Beschäftigten. Diese Unternehmen sind also ab bereits einem (!) Beschäftigten verpflichtet, einen internen Meldekanal einzurichten.

Für Unternehmen mit in der Regel 50 bis 249 Beschäftigten sieht das HinSchG eine verlängerte Einrichtungsfrist bis zum 17. Dezember 2023 vor. Diesen Unternehmen ist es zudem nach § 14 Absatz 2 HinSchG erlaubt, Ressourcen zu teilen und mit anderen Unternehmen eine „gemeinsame Meldestelle“ zu betreiben.

Kleine Unternehmen mit in der Regel bis zu 49 Beschäftigten sind von der Pflicht zur Einrichtung eines internen Meldekanals ausgenommen. Die Schutzvorschriften des HinSchG (insbesondere der Schutz vor Repressalien nach § 36 HinSchG) dürfte aber wohl auch in diesen kleinen Unternehmen gelten, wenn beispielsweise ein Arbeitnehmer einen Rechtsverstoß meldet.

Was ist bei der Einrichtung und beim Betrieb interner Meldekanäle zu beachten?

Folgende 10 Punkte müssen berücksichtigt werden:

1. Die internen Meldekanäle müssen nach § 16 Absatz 3 HinSchG Meldungen in mündlicher oder in Textform sowie auf Wunsch in persönlicher Weise ermöglichen:

Meldekanäle, die Meldungen in Textform ermöglichen, können sein: IT-gestütztes Hinweisgebersystem wie etwa eine Plattform im Internet oder Intranet oder eine eigens für die Entgegennahme und Bearbeitung von Hinweisen nach dem HinSchG eingerichtete E-Mail-Adresse
Meldekanäle, die Meldungen ausschließlich in Schriftform ermöglichen (z.B. ein Beschwerde-Briefkasten oder Meldungen über den Postweg) dürften nicht ausreichen, weil der Gesetzeswortlaut von Meldungen “in Textform” spricht
Mündliche Meldekanäle können sein: Whistleblower-Hotline, Anrufbeantwortersystem
Auf Wunsch des Hinweisgebers sollte es über diese Kanäle auch möglich sein, innerhalb eines angemessenen Zeitraums Hinweise in einem persönlichen Treffen zu besprechen, das mit Einwilligung des Hinweisgebers auch in Form einer Videokonferenz erfolgen kann

Hinweis: Nach § 16 Absatz 1 HinSchG besteht ausdrücklich keine Verpflichtung, die internen Meldekanäle so einzurichten, dass sie die Abgabe anonymer Meldungen ermöglichen. Es wird lediglich vorgegeben, dass auch anonym eingehende Meldungen bearbeitet werden sollen.

Für die Abgabe von Meldungen können die Unternehmen auch mehrere Kanäle zur Verfügung stellen.

Unternehmen müssen die interne Meldestelle nicht selbst betreiben, sondern können nach § 14 Absatz 1 HinSchG auch Dritte als interne Meldestellen beauftragen. Die Entgegennahme und Bearbeitung von Hinweisen kann somit auf externe Anbieter von Meldeplattformen bzw. auf Ombudspersonen (etwa Rechtsanwälten) ausgelagert werden, sofern diese entsprechende Garantien für die Wahrung der Unabhängigkeit und Vertraulichkeit, des Datenschutzes und der Geheimhaltung bieten.

2. Bei allen Meldewegen muss die Vertraulichkeit des Hinweisgebers sowie Dritter geschützt sein:

Ganz zentral ist das sog. Vertraulichkeitsgebot nach § 8 HinSchG: Die internen Meldekanäle müssen so konzipiert sein, dass die Identität der hinweisgebenden Person, der Personen, die Gegenstand einer Meldung sind, sowie der sonstigen in der Meldung erwähnten Personen gewahrt wird. Die Identität dieser Personen darf nur den zur Entgegennahme der Meldung sowie zur Ergreifung von Folgemaßnahmen zuständigen Personen bekannt sein, sodass anderen Personen der Zugriff auf den internen Meldekanal verwehrt sein muss. Nur mit ausdrücklicher Zustimmung der betroffenen Personen darf deren Identität auch anderen Personen gegenüber offengelegt werden.
Im Zweifel sollten alle Personen, die Zugang zum internen Meldekanal haben oder in sonstiger Weise Kenntnis von den Meldungen erlangen, durch entsprechende Erklärungen zur Vertraulichkeit verpflichtet werden (Vertraulichkeitsverpflichtungserklärungen).
Vertraulichkeit bedeutet nicht Anonymität: es besteht keine Verpflichtung, anonyme Meldekanäle einzurichten.
Informationen über die Identität einer hinweisgebenden Person oder sonstiger Person, die in der Meldung erwähnt werden, dürfen nur in Ausnahmefällen nach § 9 HinSchG herausgegeben werden, etwa in Strafverfahren auf Verlangen der Strafverfolgungsbehörde.

3. Bestimmung der Zuständigkeit innerhalb des Unternehmens mit einer sehr eingeschränkten Zugriffsrechte-Zuweisung:

Innerhalb des Unternehmens müssen „Meldestellen-Beauftragte“ bestimmt werden (eine/mehrere Person/-en oder eine Abteilung), die die Meldungen entgegennehmen, dem Hinweisgeber innerhalb der 7-Tage-Frist den Eingang der Meldung bestätigen, die Meldung prüfen, entsprechende Folgemaßnahmen in die Wege leiten und die hinweisgebende Person innerhalb von 3 Monaten über ergriffene Folgemaßnahmen informieren.
Konkrete Vorgaben gibt es nicht. Maßgeblich ist die jeweilige Organisationsstruktur, Größe und Art der ausgeübten Unternehmenstätigkeit.
Diese Personen können insbesondere sein: Compliance-Leiter, Legal Councel, Datenschutzbeauftragter, Finanzdirektor, Auditverantwortlicher
Diese Personen können neben ihrer Tätigkeit für die interne Meldestelle andere Aufgaben und Pflichten wahrnehmen. Wichtig ist aber, sicherzustellen, dass derartige Aufgaben und Pflichten nicht zu Interessenskonflikten führen und diese Personen unabhängig handeln können (§ 15 Absatz 1 HinSchG). Geschäftsführer oder Personalverantwortliche können aufgrund bestehender Interessenskonflikte grundsätzlich nicht Meldestellen-Beauftragte sein.
Darüber hinaus müssen die Meldestellen-Beauftragten nach § 15 Absatz 2 HinSchG die notwendige Fachkunde besitzen, damit diese die mit dem Betrieb der internen Meldestelle verbundenen Aufgaben erfüllen können. In der Regel wird es erforderlich sein, die betreffenden Personen im Hinblick auf die mit der Übernahme der Funktion verbundene Verantwortung zu schulen.

Alternative: Auch externe Dienstleister können als interne Meldestellen beauftragt werden (siehe oben unter 1.).

Hinweis: Unternehmen mit 50 bis 249 Beschäftigten können Ressourcen teilen und mit anderen Unternehmen eine “gemeinsame Meldestelle” einrichten und betreiben. Die Pflicht, Maßnahmen zu ergreifen, um den Verstoß abzustellen und die Pflicht zur Rückmeldung an die hinweisgebende Person verbleiben aber bei dem einzelnen Unternehmen.

4. Bearbeitungsfristen nach § 17 HinSchG müssen beachtet werden:

Innerhalb von 7 Tagen muss dem Hinweisgeber bestätigt werden, dass seine Meldung eingegangen ist.
Innerhalb von spätestens 3 Monaten nach der Bestätigung des Eingangs der Meldung muss der Hinweisgeber über geplante oder bereits ergriffene Folgemaßnahmen sowie die Gründe für diese informiert werden.

5. Von der im Unternehmen zuständigen Person oder Abteilung müssen ordnungsgemäße Folgemaßnahmen ergriffen werden, diese können nach § 18 HinSchG beispielsweise sein:

Einleitung interner Nachforschungen
Mögliche Maßnahmen zur Behebung des Problems
Verweis auf andere Kanäle oder Verfahren bei Meldungen
Abschluss des Verfahrens aufgrund mangelnder Beweise oder anderer Gründe
Befassung einer zuständigen Behörde

6. Dokumentation der Meldungen und Datenaufbewahrung:

Alle eingehenden Meldungen müssen nach § 11 HinSchG im Einklang mit den Vertraulichkeitspflichten dokumentiert werden.
Wie die Meldungen dokumentiert werden müssen, hängt davon ab, über welchen Kanal die Meldung eingegangen ist.
Das gewählte Meldesystem sollte entsprechende Anwendungen haben, dass Meldungen und Folgemaßnahmen so dokumentiert werden, dass sie gegebenenfalls als Beweismittel verwendet werden können.
Die Dokumentationen müssen 3 Jahre nach Abschluss des Verfahrens gelöscht werden. Ausnahmsweise können die Dokumentationen auch länger als 3 Jahre aufbewahrt werden, um die Anforderungen nach dem HinSchG oder nach anderen Rechtsvorschriften zu erfüllen, solange dies erforderlich und verhältnismäßig ist.

7. Informationspflicht über Meldeverfahren:

Unternehmen müssen nach § 13 Absatz 2 HinSchG Informationen über über alternative externe Meldeverfahren an die jeweils zuständigen Behörden sowie über einschlägige Meldeverfahren von Organen, Einrichtungen oder sonstigen Stellen der Europäischen Union bereitstellen (siehe hierzu unten “Welche Möglichkeiten der Meldung hat der Hinweisgeber?”).
Diese Informationen müssen leicht verständlich und zugänglich sein, zum Beispiel über die Unternehmens-Website, im Intranet oder am Schwarzen Brett.

Hinweis: Sinnvoll ist natürlich auch die Information über die eigenen internen Meldemöglichkeiten, auch wenn keine gesetzliche Verpflichtung hierzu besteht. Nur dann, wenn Beschäftigte oder sonstige potenzielle Hinweisgeber wissen und verstehen, dass und warum es ein internes Meldesystem gibt, welche Verstöße sie melden können und dass ihre Hinweise vertraulich behandelt und sie keine Repressalien zu befürchten haben, werden sie eher intern einen Verstoß melden und nicht extern an eine Behörde.

8. Datenschutz:

Im Hinweisgebersystem werden personenbezogene Daten verarbeitet. Bei der Einrichtung und Durchführung des internen Meldeverfahrens sind alle rechtlichen Bedingungen des Datenschutzes einzuhalten. Alle personenbezogenen Daten, sowohl die des Hinweisgebers als auch etwaiger beschuldigter Personen, müssen im Einklang mit der EU-Datenschutzgrundverordnung sowie des Bundesdatenschutzgesetzes verarbeitet werden.

Aufbewahrungs-/Löschfristen müssen festgelegt werden (siehe hierzu oben unter 6.).
Die Erstellung einer Datenschutzerklärung für Hinweisgeber wird erforderlich sein.
Wenn externe Anbieter als interne Meldestellen beauftragt werden, wird der Abschluss einer Auftragsdatenverarbeitung erforderlich sein.
Der Prozess über den internen Meldekanal muss im Verzeichnis der Verarbeitungstätigkeiten aufgenommen werden.
In der Regel wird die Durchführung einer Datenschutz-Folgeabschätzung erforderlich sein.
Eine sichere Datenverarbeitung verlangt zudem geeignete technische und organisatorische Maßnahmen.

Der (externe) Datenschutzbeauftragte sollte daher frühzeitig eingebunden werden.

Zur Klärung von Zweifelsfragen stehen auch die Datenschutzbehörden zur Verfügung.

9. Bei der Einrichtung des Verfahrens für interne Meldungen sind Mitbestimmungsrechtliche des Betriebsrats zu beachten:

Zunächst haben Betriebsräte gemäß § 80 Absatz 2 Betriebsverfassungsgesetz (BetrVG) einen Anspruch auf Unterrichtung vor der geplanten Einrichtung eines Hinweisgeberschutzsystems.
Bei der Frage des „Ob“, also ob ein Hinweisgebersystem überhaupt eingerichtet werden soll, hat der Betriebsrat kein Mitbestimmungsrecht. Auch bei der Frage, welche Stelle (intern oder extern) mit dem Betrieb des Hinweisgebersystems betraut wird, gibt es keine zwingende Mitbestimmung.
Bei der Frage des „Wie“, also im Hinblick auf die Ausgestaltung von Meldekanälen und Meldeverfahren könnten Mitbestimmungsrechte des Betriebsrats ausgelöst werden. Insbesondere das Mitbestimmungsrecht aus § 87 Absatz 1 Nummer 6 BetrVG, nämlich im Falle der Einrichtung und Anwendung technischer Einrichtungen, kommt in Betracht, sofern die Identifikation des Hinweisgebers möglich ist.
Sofern der Arbeitgeber ein über die gesetzlichen Vorgaben hinausgehendes Verfahren zur Meldung und zum Umgang mit Verstößen einführt (bspw. ein Verhaltenskodex, Compliance-Richtlinien etc.), wird in der Regel auch ein Mitbestimmungsrecht aus § 87 Absatz 1 Nummer 1 BetrVG zu bejahen sein, weil Fragen der Ordnung des Betriebs und des Verhaltens der Beschäftigten im Betrieb betroffen sind.
Beteiligungsrechte des Betriebsrats ergeben sich auch aus §§ 96 ff. BetrVG hinsichtlich Schulungsmaßnahmen für die im Unternehmen zuständigen Fallbearbeiter und/oder für die Beschäftigten.

Es empfiehlt sich die frühzeitige Einbindung des Betriebsrats im Rahmen eines Gesprächs.

10. Bei (internationalen) Konzernstrukturen:

Im Konzern sind verschiedene Gestaltungsmöglichkeiten denkbar. Zum einen eine lokale Organisation, in der jedes Konzernunternehmen ein eigenes Hinweisgeberschutzsystem unterhält. Denkbar ist auch eine regionale Organisation in der Form, dass einzelne Konzerngesellschaften für eine bestimmte Region ein Hinweisgebersystem betreiben. Auch eine zentrale Lösung kommt in Betracht in der Form, dass die Meldestelle zentral in einer Einheit (in der Regel bei der Konzernmutter) angesiedelt ist.

Rechtlicher Hintergrund: Das HinSchG erlaubt es, auch einen „Dritten“ mit der Aufgabe einer internen Meldestelle zu beauftragen. Nach der Begründung des HinSchG kann auch bei einer anderen Konzerngesellschaft (zum Beispiel Mutter-, Schwester-, oder Tochtergesellschaft) eine unabhängige und vertrauliche Stelle als „Dritter“ eingerichtet werden, die auch für mehrere selbstständige Unternehmen in dem Konzern tätig sein kann. Dabei ist es aber notwendig, dass die originäre Verantwortung dafür, einen festgestellten Verstoß zu beheben und weiterzuverfolgen, immer bei dem jeweiligen beauftragenden Unternehmen verbleibt. Das HinSchG unterscheidet nicht zwischen Konzerngesellschaften mit mehr oder weniger als 249 Mitarbeitern, sondern die Option der Einrichtung einer zentralen Meldestelle im Konzern ist wohl unterschiedslos für alle Konzerngesellschaften möglich.

Hinweis: Es wird darauf hingewiesen, dass eine gewisse Rechtsunsicherheit besteht. Denn nach früheren Aussagen der EU-Kommission müsse jedes Unternehmen, welches mehr als 249 Mitarbeiter beschäftigt, ein eigenes Hinweisgebersystem einrichten. Ein zentrales Hinweisgebersystem im Konzern solle nach der EU-Kommission nicht ausreichen. In Deutschland wird man die Konzernregelung sanktionslos umsetzen können. Mit Blick auf etwaige Umsetzungsunterschiede in den einzelnen EU-Mitgliedsstaaten sollte bei international tätigen Konzernen auch das Recht des jeweiligen Staates geprüft werden.

Welche Möglichkeiten der Meldung haben Hinweisgeber?

Es wird zwischen internen und externen Meldestellen unterschieden.

Die internen Meldestellen (§§ 12 bis 18 HinSchG) müssen in Unternehmen eingerichtet werden.

Die externen Meldestellen müssen von der öffentlichen Hand eingerichtet werden (§§ 19 bis 31 HinSchG). Eine zentrale externe Meldestellen wurde beim Bundesamt für Justiz (BfJ) eingerichtet. Daneben werden die bestehenden Meldesysteme bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sowie beim Bundeskartellamt als weitere externe Meldestelle mit Sonderzuständigkeiten weitergeführt.

Weitere Informationen zu den externen Meldeverfahren des Bundes erhalten Sie auf der Internetseite des Bundesamts für Justiz.

Den Ländern steht es frei, für die Meldungen, die die jeweiligen Landesverwaltung und die jeweiligen Kommunalverwaltungen betreffen, eigene externe Meldestellen einzurichten.

Darüber hinaus existieren entsprechende Meldeverfahren für Meldungen an Organe, Einrichtungen und sonstige Stellen der Europäischen Union. Hierunter fallen externe Meldekanäle der Kommission, des Europäischen Amts für Betrugsbekämpfung (OLAF), der Europäischen Agentur für die Sicherheit des Seeverkehrs (EMSA), der Europäischen Agentur für Flugsicherheit (EASA), der Europäischen Wertpapier- und Marktaufsichtsbehörde (ESMA) und der Europäischen Arzneimittel-Agentur (EMA).

Der Hinweisgeber hat grundsätzlich die freie Wahl, ob er sich an eine interne Meldestelle des Unternehmens oder an eine externe Meldestelle der Behörden wendet. § 7 Absatz 1 Satz 2 HinSchG regelt jedoch einen Anreiz zur bevorzugten Nutzung der internen Meldekanäle im Unternehmen: Hinweisgeber sollten in den Fällen, in denen intern wirksam gegen den Verstoß vorgegangen werden kann und sie keine Repressalien befürchten, die Meldung an eine interne Meldestelle bevorzugen.

Darüber hinaus können sich hinweisgebende Personen mit ihren Informationen über Verstöße auch an die Öffentlichkeit (etwa über Presse, Social Media oder sonstige Medien) wenden, dies jedoch nur unter den engen Voraussetzungen des § 32 HinSchG. Die hinweisgebende Person ist im Falle der Meldung eines Verstoßen an die Öffentlichkeit nur dann durch das HinSchG geschützt, wenn sie sich zuvor erfolglos an eine externe Meldestelle gewendet hat oder Gefahr für die Allgemeinheit droht.

Tipp: Es dürfte im Eigeninteresse eines jeden Unternehmens sein, dass mögliche Verstöße im Unternehmen selbst aufdeckt werden und sich hinweisgebende Personen nicht an externe Meldestellen oder gar an die Öffentlichkeit wenden. Unternehmen sollten daher selbst Anreize für die Nutzung des internen Meldekanals setzen, indem sie den internen Meldekanal möglichst anwenderfreundlich ausgestalten, die Beschäftigten entsprechend informieren (siehe hierzu oben “Was ist bei der Einrichtung und beim Betrieb interner Meldekanäle zu beachten?”, dort unter 7.), diese dazu ermutigen, den internen Meldekanal zu nutzen und eingehende Meldungen höchst vertraulich behandeln. Zu beachten ist aber, dass Unternehmen die Abgabe von Meldungen an externe Meldestellen nicht behindern dürfen.

Wie werden Hinweisgeber geschützt?

Das HinSchG will hinweisgebende Personen dazu ermutigen, auf Missstände in Unternehmen und Behörden aufmerksam zu machen. Daher genießen hinweisgebende Personen umfangreichen Schutz vor Repressalien, ihnen kommt eine Beweislastumkehr zugute, sie können ggf. Schadensersatzansprüche geltend machen und genießen Haftungsprivilegien:

Zentrales Element ist das in § 36 Absatz 1 HinSchG verankerte Verbot von Repressalien: Unternehmen müssen beachten, dass sämtliche Repressalien einschließlich der Androhung und des Versuchs von Repressalien untersagt sind. Verboten sind insbesondere: Suspendierung, Kündigung, Herabstufung oder Versagung von Beförderung, Nötigung, Einschüchterung, Mobbing oder Aussetzung, aber auch Nichtverlängerung befristeter Arbeitsverträge, Rufschädigung, Entzug einer Lizenz oder Genehmigung, negative Leistungsbeurteilung etc.

Achtung: Repressalien sind nicht nur verboten, sondern werden auch mit hohen Bußgeldern geahndet (siehe hierzu unten “Welche Sanktionen drohen bei Verstößen gegen das HinSchG?”).

Um die Durchsetzbarkeit von Ansprüchen gegen Repressalien gegen den Schädiger zu verbessern, enthält das HinSchG in § 36 Absatz 2 eine Beweislastumkehr zugunsten der geschützten Person. Bisher musste der Hinweisgeber den Zusammenhang zwischen Meldung und Benachteiligung im Streitfall nachweisen. Künftig muss das Unternehmen den (abweichenden) Grund für eine vermeintliche Benachteiligung darlegen und ggf. beweisen, wenn die Benachteiligung nach der Meldung erfolgt. Künftig wird also der Arbeitgeber darlegen und beweisen müssen, dass etwa zwischen einer Kündigung eines Mitarbeiters und einer vorhergehenden Meldung durch den Mitarbeiter keinerlei Verbindung besteht. Die Beweislastumkehrregelung gilt jedoch mit der kleinen Einschränkung, dass die hinweisgebende Person selbst aktiv werden und geltend machen muss, dass sie die Benachteiligung infolge der Meldung erlitten hat.

Tipp: Vor dem Hintergrund der geregelten Beweislastumkehr sollten Personalverantwortliche künftig die Gründe für arbeitsrechtliche Maßnahmen sorgfältig dokumentieren!

Bei einem Verstoß gegen das Repressalienverbot hat die hinweisgebende Person nach § 37 Absatz 1 HinSchG einen Anspruch auf Schadensersatz. Immateriellen Schadensersatz (also Schmerzensgeld) kann die hinweisgebende Person allerdings nicht verlangen.

Um diesen Schutz zu genießen, muss der Hinweis zutreffend sein und die Meldung muss Verstöße treffen, die in den Anwendungsbereich des § 2 HinSchG fallen (siehe hierzu oben unter “Welche Verstöße können von Hinweisgebern gemeldet werden?”). Ausreichend ist aber nach § 33 Absatz 1 Nummer 2 HinSchG auch, wenn der Hinweisgeber zum Zeitpunkt der Meldung oder Offenlegung hinreichenden Grund zu solcher Annahme hatte. Zudem darf die Beschaffung der Information nicht als solche oder der Zugriff auf die Information nicht als solcher eine eigenständige Straftat darstellen. Wenn diese Voraussetzungen vorliegen, kann der Hinweisgeber gemäß § 35 HinSchG nicht verantwortlich gemacht werden.

Ein Schutz für Hinweisgeber besteht aber nicht, wenn es sich um eine vorsätzliche oder grob fahrlässige Falschmeldung handelt. In solchen Fällen ist der bösgläubige Hinweisgeber nach § 38 HinSchG sogar zum Ersatz des dadurch entstehenden Schadens verpflichtet.

Welche Sanktionen drohen bei Verstößen gegen das HinSchG?

Verstöße gegen die wesentlichen Vorgaben des HinSchG werden nach § 40 HinSchG als Ordnungswidrigkeiten mit einer Geldbuße geahndet. Die Höhe des Bußgeldrahmens hängt vom jeweiligen Verstoß ab:

Mit einem Bußgeld in Höhe von bis zu 50.000 Euro kann belegt werden, wer eine Meldung oder die darauffolgende Kommunikation verhindert (oder dies versucht), wer eine verbotene Repressalie ergreift (oder dies versucht) oder wer vorsätzlich oder leichtfertig das Vertraulichkeitsgebot missachtet.

Achtung: Der Bußgeldrahmen bis zu 50.000 Euro gilt für die Unternehmensverantwortlichen. Für die Unternehmen selbst (juristische Personen und Personenvereinigungen) kann sich in bestimmten Konstellationen im Zusammenhang mit der Verhinderung einer Meldung oder bei einem Verstoß gegen das Vertraulichkeitsgebot der Bußgeldrahmen aufgrund des Verweises auf § 30 Absatz 2 Satz 3 des Gesetzes über Ordnungswidrigkeiten verzehnfachen und somit bis zu 500.000 Euro betragen.

Wenn fahrlässig das Vertraulichkeitsgebot missachtet wird, droht ein Bußgeld in Höhe bis zu 10.000 Euro.
Für Unternehmen, die ihrer Pflicht zur Einführung und zum Betrieb einer internen Meldestelle nicht nachkommen, droht eine Geldbuße in Höhe bis zu 20.000 Euro.

Hinweis: Diese Bußgeldvorschrift, wonach im Falle der Nichteinrichtung oder des Nichtbetreibens eines internen Meldekanals ein Bußgeld bis zu 20.000 Euro droht, findet erst ab dem 1. Dezember 2023 Anwendung. Solange wird also kein Bußgeld wegen fehlender Einrichtung oder Nichtbetrieb verhängt.

Die restlichen o.g. Bußgelder hingegen drohen bereits seit dem 2. Juli 2023.

Unternehmen ohne Hinweisgebersystem riskieren zudem, dass Hinweise an Behörden oder die Öffentlichkeit gelangen, wodurch Reputationsrisiken und Haftungsrisiken für das Unternehmen steigen. Aus diesem Grund dürfte es im eigenen Interesse liegen, Kenntnis von Missständen zu erlangen, ehe Ermittlungsbehörden oder die Medien davon erfahren.

Checkliste: Was müssen Unternehmen jetzt tun?

Unternehmen mit mindestens 250 Beschäftigten müssen die obigen Vorgaben spätestens bis zum 2. Juli 2023 umgesetzt haben, wobei für den Fall, dass ein interner Meldekanal noch nicht eingerichtet oder betrieben wird, erst ab dem 1. Dezember 2023 Sanktionen in Form von Bußgelder drohen.

Unternehmen mit 50 bis 249 Beschäftigten haben noch bis zum 17. Dezember 2023 Zeit, sollten aber schon Vorbereitungen treffen, damit dann die erforderlichen Hinweisgebersysteme schnell funktionsfähig sein werden.

Checkliste – Folgende Punkte sollten betroffene Unternehmen jetzt klären:

GAP-Analyse: Existiert im Unternehmen bereits ein Hinweisgebersystem? Wenn ja, besteht Anpassungsbedarf?
Welche Kanäle sollen eingerichtet werden? Telefonisch, E-Mail, webbasierte Lösung, Ombudsperson? Soll eine webbasierte Lösung gewählt werden, die auch anonyme Meldungen ermöglicht (ist nicht Pflicht)?
Soll der interne Meldekanal nur den eigenen Beschäftigten sowie überlassenen Leiharbeitnehmern offenstehen oder allen Personen, die im Rahmen ihrer beruflichen Tätigkeit mit dem Unternehmen in Kontakt stehen?
Wie sollen Mitarbeiter und ggf. sonstige hinweisgebende Personen über mögliche Meldestellen informiert werden? Unternehmenswebsite, Unternehmens-Intranet, Schwarzes Brett?
Wie soll die Vertraulichkeit sichergestellt werden?
Wer soll innerhalb des Unternehmens zuständig sein für die Entgegennahme und Bearbeitung der Hinweise? Wer erhält die eingeschränkten Zugriffsrechte? Es darf jedenfalls nicht passieren, dass bei Eingang eines Hinweises erstmal im Unternehmen an verschiedenen Stellen nachgefragt wird, wer sich weiter um die Meldung kümmert, da dies mit dem Vertraulichkeitsgebot nicht vereinbar wäre.
Wie soll bei Eingang einer Meldung konkret vorgegangen werden? Wer versendet fristgerecht die Eingangsbestätigung an den Hinweisgeber, wer entscheidet über Folgemaßnahmen und wer gibt dem Hinweisgeber fristgerecht eine Rückmeldung?
Sind die Personen im Unternehmen, die für die Entgegennahme und Bearbeitung der Hinweise zuständig sein werden, unabhängig und ausreichend qualifiziert für diese Aufgabe? Besteht bei den zuständigen Personen ausreichend juristische Expertise, um eingehende Meldungen zu bearbeiten? Benötigen diese Personen eine Schulung?
Soll ein externer Dienstleister mit der Entgegennahme und ggf. Bearbeitung von Meldungen beauftragt werden? Aktuell bieten sehr viele Berater und Verkäufer von Softwarelösungen ihre Dienste an.
Wie wird die Meldung und die Kommunikation mit dem Hinweisgeber dokumentiert?
Wie macht man das Hinweisgebersystem Hinweisgebern einerseits so schmackhaft, dass sie sich mit Meldungen nicht gleich an externe Behörden oder gar an die Öffentlichkeit wenden, sondern den internen Meldekanal nutzen, aber andererseits auch so, dass von missbräuchlichen Beschwerden und Denunziantentum abgeschreckt wird?
Wie kann der interne Meldekanal datenschutzkonform implementiert werden? Datenschutzrechtliche Fragen mit Datenschutzbeauftragtem klären und ggf. weitere Fachbereiche wie Personal, Recht und Compliance in den Prozess einbinden.
Welche Mitbestimmungsrechte des Betriebsrats kommen in Betracht? Der Betriebsrat sollte frühzeitig eingebunden werden.
Bei Konzernstrukturen: Soll das Hinweisgebersystem bei einer anderen Konzerngesellschaft eingerichtet werden? Nach dem deutschen HinSchG wäre dies möglich.
Sind die Personalverantwortlichen bzw. ist die Personalabteilung auf die verschärften Beweislastregeln vorbereitet? Sie werden künftig beweisen müssen, dass nicht der Hinweis zu der jeweiligen arbeitsrechtlichen Maßnahme geführt hat, sondern dass es dafür andere Gründe gab. Eine entsprechende Dokumentation von Gründen für arbeitsrechtliche Sanktionen ist insofern anzuraten.

Dieser Artikel soll – als Service Ihrer IHK Region Stuttgart – nur erste Hinweise geben und erhebt daher keinen Anspruch auf Vollständigkeit. Obwohl dieser Artikel mit größtmöglicher Sorgfalt erstellt wurde, kann eine Haftung für die inhaltliche Richtigkeit nicht übernommen werden.

Name	Anbieter	Zweck	Maximale Speicherdauer	Typ
CM_LIVE_SESSIONID [x2]	IHK	Dieses Cookie enthält einen ID-String über die aktuelle Sitzung. Dieser beinhaltet nicht personenbezogene Informationen über die Unterseiten, die der Besucher aufruft – diese Informationen werden benutzt, um die Nutzererfahrung des Besuchers zu optimieren.	Sitzung	HTTP-Cookie
et_cssSelectors	Etracker	Registriert statistische Daten über das Verhalten der Besucher auf der Website. Wird vom Website-Betreiber für internes Analytics verwendet.	Sitzung	HTML Local Storage
et_scroll_depth	Etracker	Registriert, ob die Scroll-Tiefenerkennung der Website aktiv ist - Diese Funktion behält, wie weit der Benutzer in der aktuellen Sitzung über die Unterseiten der Website geblättert hat.	Sitzung	HTML Local Storage
et_tagManagerEntries	Etracker	Anstehend	Sitzung	HTML Local Storage
et_tagManagerVars	Etracker	Anstehend	Sitzung	HTML Local Storage

Name	Anbieter	Zweck	Maximale Speicherdauer	Typ
#-# [x2]	YouTube	Wird verwendet, um die Interaktion der Nutzer mit eingebetteten Inhalten zu verfolgen.	Sitzung	HTML Local Storage
__Secure-ROLLOUT_TOKEN	YouTube	Anstehend	180 Tage	HTTP-Cookie
iU5q-!O9@$ [x2]	YouTube	Registriert eine eindeutige ID, um Statistiken der Videos von YouTube, die der Benutzer gesehen hat, zu behalten.	Sitzung	HTML Local Storage
LAST_RESULT_ENTRY_KEY [x2]	YouTube	Wird verwendet, um die Interaktion der Nutzer mit eingebetteten Inhalten zu verfolgen.	Sitzung	HTTP-Cookie
LogsDatabaseV2:V#\|\|LogsRequestsStore	YouTube	Wird verwendet, um die Interaktion der Nutzer mit eingebetteten Inhalten zu verfolgen.	Beständig	IndexedDB
nextId [x2]	YouTube	Wird verwendet, um die Interaktion der Nutzer mit eingebetteten Inhalten zu verfolgen.	Sitzung	HTTP-Cookie
NID	Google	Anstehend	6 Monate	HTTP-Cookie
remote_sid	YouTube	Notwendig für die Implementierung und Funktionalität von YouTube-Videoinhalten auf der Website.	Sitzung	HTTP-Cookie
requests [x2]	YouTube	Wird verwendet, um die Interaktion der Nutzer mit eingebetteten Inhalten zu verfolgen.	Sitzung	HTTP-Cookie
ServiceWorkerLogsDatabase#SWHealthLog	YouTube	Notwendig für die Implementierung und Funktionalität von YouTube-Videoinhalten auf der Website.	Beständig	IndexedDB
TESTCOOKIESENABLED	YouTube	Wird verwendet, um die Interaktion der Nutzer mit eingebetteten Inhalten zu verfolgen.	1 Tag	HTTP-Cookie
VISITOR_INFO1_LIVE	YouTube	Versucht, die Benutzerbandbreite auf Seiten mit integrierten YouTube-Videos zu schätzen.	180 Tage	HTTP-Cookie
YSC	YouTube	Registriert eine eindeutige ID, um Statistiken der Videos von YouTube, die der Benutzer gesehen hat, zu behalten.	Sitzung	HTTP-Cookie
yt.innertube::nextId [x2]	YouTube	Registriert eine eindeutige ID, um Statistiken der Videos von YouTube, die der Benutzer gesehen hat, zu behalten.	Beständig	HTML Local Storage
ytidb::LAST_RESULT_ENTRY_KEY [x2]	YouTube	Wird verwendet, um die Interaktion der Nutzer mit eingebetteten Inhalten zu verfolgen.	Beständig	HTML Local Storage
YtIdbMeta#databases [x2]	YouTube	Wird verwendet, um die Interaktion der Nutzer mit eingebetteten Inhalten zu verfolgen.	Beständig	IndexedDB
yt-remote-cast-available [x2]	YouTube	Speichert die Benutzereinstellungen beim Abruf eines auf anderen Webseiten integrierten Youtube-Videos	Sitzung	HTML Local Storage
yt-remote-cast-installed [x2]	YouTube	Speichert die Benutzereinstellungen beim Abruf eines auf anderen Webseiten integrierten Youtube-Videos	Sitzung	HTML Local Storage
yt-remote-connected-devices [x2]	YouTube	Speichert die Benutzereinstellungen beim Abruf eines auf anderen Webseiten integrierten Youtube-Videos	Beständig	HTML Local Storage
yt-remote-device-id [x2]	YouTube	Speichert die Benutzereinstellungen beim Abruf eines auf anderen Webseiten integrierten Youtube-Videos	Beständig	HTML Local Storage
yt-remote-fast-check-period [x2]	YouTube	Speichert die Benutzereinstellungen beim Abruf eines auf anderen Webseiten integrierten Youtube-Videos	Sitzung	HTML Local Storage
yt-remote-session-app [x2]	YouTube	Speichert die Benutzereinstellungen beim Abruf eines auf anderen Webseiten integrierten Youtube-Videos	Sitzung	HTML Local Storage
yt-remote-session-name [x2]	YouTube	Speichert die Benutzereinstellungen beim Abruf eines auf anderen Webseiten integrierten Youtube-Videos	Sitzung	HTML Local Storage

Name	Anbieter	Zweck	Maximale Speicherdauer	Typ
CM_DELIVERY_UNIT [x2]	IHK	Anstehend	Sitzung	HTTP-Cookie
EOA2_XSRF-TOKEN	IHK	Anstehend	Sitzung	HTTP-Cookie
et_oi_services	Etracker	Anstehend	Sitzung	HTTP-Cookie
lux.app.theme.name	IHK	Anstehend	Beständig	HTML Local Storage
omq-help-cookie-HE-308f091c-185d-4c04-9e9e-55b701ec01f6	OMQ	Anstehend	1 Tag	HTTP-Cookie
omq-help-cookie-HE-63a5fa09-a08a-47ec-9db6-502986fce562	OMQ	Anstehend	1 Tag	HTTP-Cookie
omq-help-cookie-HE-969ad005-bb40-4b44-9c0f-4af899480c59	OMQ	Anstehend	1 Tag	HTTP-Cookie
omq-help-cookie-HE-a7ecb8a3-c430-4bac-981f-1ae92aec78fa	OMQ	Anstehend	1 Tag	HTTP-Cookie