Hinweisgeberverfahren – Rechtsgrundlagen

Bislang existierte in Deutschland kein umfassendes, einheitliches Hinweisgeberschutzsystem. Hinweisgebende Personen (Whistleblower) können wertvolle Beiträge dazu leisten, das Fehlverhalten natürlicher oder juristischer Personen aufzudecken und die negativen Folgen dieses Fehlverhaltens einzudämmen beziehungsweise zu korrigieren.
Im Jahr 2019 erließ die EU die sog. Whistleblower-Richtlinie, die bis zum 17.12.2021 in nationales Recht hätte umgesetzt werde müssen.

Der Bundestag verabschiedete am 11.05.23 das Hinweisgeberschutzgesetz mit den Änderungsvorschlägen des Vermittlungsausschusses; der Bundesrat stimmte am 12.05.23 dem Gesetzesentwurf zu.

Mit der Zustimmung des Bundesrates ist das parlamentarische Verfahren abgeschlossen. Das Gesetz wurde am 02. Juni 2023 im Bundesgesetzblatt verkündet und wird einen Monat nach der Verkündung in Kraft treten – also am 02. Juli 2023.

Hinweisgeberschutzgesetz (HinSchG)

Verstöße gegen folgende Vorschriften sind vom Schutz des HinSchG umfasst:

  • Verstöße gegen Strafvorschriften
  • Verstöße gegen bußgeldbewehrte Vorschriften, soweit die verletzte Vorschrift dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient (dies ist weit auszulegen und umfasst etwa Vorschriften zum Arbeitsschutz, Gesundheitsschutz, Mindestlohn oder Arbeitnehmerüberlassung)
  • Verstöße gegen Rechtsnormen, die zur Umsetzung europäischer Regelungen getroffen wurden (etwa Geldwäsche, Produktsicherheit, Verbraucherschutz, Datenschutz etc.)


Die wesentlichen Inhalte

  • Der weit gefasste Kreis der Beschäftigungsgeber umfasst neben Unternehmen (juristische Personen wie Personengesellschaften) etwa auch Anstalten, öffentlich-rechtliche Stiftungen, Kirchen und sonstige Religionsgemeinschaften
  • Die Verpflichtung gilt für Beschäftigungsgeber mit mehr als 250 Mitarbeitern
  • Ab dem 17.12.2023 sinkt die Schwelle auf Beschäftigungsgeber mit mehr als 50 Mitarbeitern
  • Hinweisgeber sollen die freie Wahl erhalten, sich an die „interne Meldestelle“ des Beschäftigungsgebers oder eine „externe Meldestelle“ der Behörden zu wenden
  • Der Meldekanal ist so zu gestalten, dass keine unberechtigten Personen Zugriff auf die Identität der hinweisgebenden Person oder den Hinweis selbst haben (Vertraulichkeitsgebot)
  • Dem Beschäftigungsgeber soll die Entscheidung überlassen bleiben, ob er die Abgabe und Bearbeitung anonymer Meldungen ermöglichen will
  • Beschäftigungsgeber mit mehr als 250 Mitarbeitern (etwa Konzerngesellschaften) können einen „Dritten“ mit der Bereitstellung einer „internen Meldestelle“ beauftragen (etwa die Konzernmutter). Hier ist aber zu beachten, dass der beauftragte „Dritte“ bei der Ausübung seiner Tätigkeit unabhängig bleibt und das Vertraulichkeitsgebot beachtet
  • Mit den Aufgaben der internen Meldestelle beauftragte Personen müssen über die notwendige Fachkunde verfügen
  • Verstöße gegen wesentliche Vorgaben des HinSchG (darunter auch das Versäumen der Einrichtung) sollen als Ordnungswidrigkeiten mit einer Geldbuße geahndet werden können



Schutz des Whistleblowers vor Vergeltungsmaßnahmen

  • Ziel der Richtlinie ist es, den Hinweisgeber und sonstige von der Meldung betroffene Personen vor Repressalien wie Mobbing, Diskriminierung oder Kündigung zu schützen.
  • Dies umfasst auch eine Beweislastumkehr, wonach der Arbeitgeber künftig nachweisen muss, dass Maßnahmen gegen Arbeitnehmer nicht im Zusammenhang mit der Aufdeckung von Missständen stehen.


Wie können die Anforderungen des HinSchG-E durch Unternehmen erfüllt werden?

  • Vertrag mit einer Ombudsperson, telefonische Erreichbarkeit der Ombudsperson (jedoch auch in allen notwendigen und relevanten Sprachen und Zeitzonen)
  • IT-gestütztes Hinweisgebersystem
  • Hinweisgeberverfahren zum Schutz des Hinweisgebers kann auch intern eingerichtet werden, allerdings sind dann erhöhte Anforderungen an den Schutz des Hinweisgebers zu stellen:
    • Wenn die üblichen internen Kommunikationskanäle des Unternehmens genutzt werden (interne Telefonnummer oder interne E-Mail Adresse), werden die Daten des Hinweisgebers (IP-Adresse) über die IT des Unternehmens in der Regel protokolliert (siehe § 76 BDSB (2018)).
    • Schutz der Anonymität des Hinweisgebers durch einen internen Ansprechpartner nur möglich, wenn von der IT des Unternehmens getrennte Kommunikationskanäle eingerichtet werden oder über externe Systeme.

ISO 37301 Nr. 8.3.

Die Organisation muss einen Prozess zur Förderung und Ermöglichung — wenn Grund zu der Annahme besteht, dass die Informationen wahr sind — der Meldung versuchter, vermuteter oder tatsächlicher Verstöße gegen die Compliance-Politik oder Compliance-Verpflichtungen festlegen, implementieren und aufrechterhalten.

Dieser Prozess muss

  • in der gesamten Organisation sichtbar und zugänglich sein,
  • Berichte vertraulich behandeln,
  • anonyme Berichte annehmen,
  • meldende Personen vor Vergeltung schützen und
  • es Personen ermöglichen, Ratschläge zu erhalten.

Lieferkettensorgfaltspflichtengesetz § 8 LkSG: Beschwerdeverfahren

Das Unternehmen hat dafür zu sorgen, dass ein angemessenes unternehmensinternes Beschwerdeverfahren eingerichtet ist. Das Beschwerdeverfahren ermöglicht Personen, auf menschenrechtliche oder umweltbezogene Risiken sowie auf Verletzungen menschenrechtsbezogener oder umweltbezogener Pflichten hinzuweisen, die durch das wirtschaftliche Handeln eines Unternehmens im eigenen Geschäftsbereich oder eines unmittelbaren Zulieferers entstanden sind. Das Lieferkettengesetz ist ab 2023 von Unternehmen einzuhalten, die in der Regel mehr als 3000 Arbeitnehmer in Deutschland beschäftigen. Ab 2024 gilt es dann auch für Unternehmen mit mehr als 1000 Arbeitnehmern in Deutschland.