Hinweisgeberschutzgesetz (HinSchG) 

Anwendungsbereich, Regelungen und Verpflichtungen für Unternehmen

Hinweisgeberschutzgesetz HinSchG
HInweisgeberschutzgesetz (HinSchG) 
Primary Item (H2)- Sub Item 1 (H3)

Anwendungsbereich

Was wird im HinSchG geregelt und für wen gilt es?

Was steht im Hinweisgeberschutzgesetz?

Gesetz für einen besseren Schutz hinweisgebender Personen (Hinweisgeberschutzgesetz - HinSchG)

Das Hinweisgeberschutzgesetz - wurde am 31.05.2023 ausgefertigt und ist in den wesentlichsten Teilen am 02.07.2023 in Kraft getreten.

Mit dem HinSchG wurde die Whistleblower-Richtlinie in deutsches Recht umgesetzt.

Das neue Gesetz dient dazu, dass Hinweisgeber, die Verstöße gegen nationale Vorschriften und EU-Recht melden, zukünftig besser geschützt werden sollen.

Zentrale Vorschrift ist § 36 HinSchG.

Demnach sind gegen Hinweisgeber gerichtete Repressalien verboten. Das gilt auch für die Androhung und den Versuch, Repressalien auszuüben. Der Begriff ist weit zu verstehen: Jede (Personal-)Maßnahme zulasten des Hinweisgebers kommt in Betracht, zum Beispiel arbeitgeberseitige Weisungen, Versetzungen oder Kündigungen, aber auch die Nichtberücksichtigung bei der Besetzung einer Beförderungsstelle gehören dazu.

Anwendungsbereich des Hinweisgeberschutzgesetzes

Der Anwendungsbereich des HinSchG wird in §2 näher definiert:

(1) Dieses Gesetz gilt für die Meldung (§ 3 Absatz 4) und die Offenlegung (§ 3 Absatz 5) von Informationen über

  1. Verstöße, die strafbewehrt sind,
  2. Verstöße, die bußgeldbewehrt sind, soweit die verletzte Vorschrift dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient,
  3. sonstige Verstöße gegen Rechtsvorschriften des Bundes und der Länder sowie unmittelbar geltende Rechtsakte der Europäischen Union und der Europäischen Atomgemeinschaft

Mitarbeiteranzahl - Grenzen

Wann gilt das HinSchG und für welche Personen?

Gilt das HinSchG auch für ehemalige Mitarbeiter oder Lieferanten?

1 Zielsetzung und persönlicher Anwendungsbereich


(1) Dieses Gesetz regelt den Schutz von natürlichen Personen, die im Zusammenhang mit ihrer beruflichen
Tätigkeit oder im Vorfeld einer beruflichen Tätigkeit
Informationen über Verstöße erlangt haben und diese an die
nach diesem Gesetz vorgesehenen Meldestellen melden oder offenlegen (hinweisgebende Personen).
(2) Darüber hinaus werden Personen geschützt, die Gegenstand einer Meldung oder Offenlegung sind, sowie
sonstige Personen, die von einer Meldung oder Offenlegung betroffen sind.

„Der persönliche Anwendungsbereich des HinSchG ist weit gefasst und umfasst alle Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit Informationen über Verstöße erlangt haben. Dies können neben Arbeitnehmer:innen (vgl. Ausführungen zu „Arbeitnehmer:in“), Verbeamtete, Selbstständige, Anteilseigner:innen oder auch Mitarbeiter:innen von Lieferanten sein.“

„Das HinSchG sieht vor, dass die Meldekanäle gegenüber allen Arbeitnehmer:innen des Unternehmens offenstehen müssen. Der Begriff „Arbeitnehmer:in“ wird dabei weit ausgelegt (einschließlich leitender Angestellter, Auszubildende, überlassene Leiharbeitnehmer, arbeitnehmerähnliche Personen sowie Leitungsorgane). Ebenso mit eingeschlossen sind Beamte. Darüber hinaus können die Meldekanäle auch für andere Personen geöffnet werden (vgl. Ausführungen zu „Unternehmens-Externe“).“

Mehr Infos

Laut IHK kann ein Hinweisgeber auch ein ehemaliger Mitarbeiter sein.


(1) Gegen hinweisgebende Personen gerichtete Repressalien sind verboten. Das gilt auch für die Androhung
und den Versuch, Repressalien auszuüben.
(2) Erleidet eine hinweisgebende Person eine Benachteiligung im Zusammenhang mit ihrer beruflichen Tätigkeit
und macht sie geltend, diese Benachteiligung infolge einer Meldung oder Offenlegung nach diesem Gesetz erlitten
zu haben, so wird vermutet, dass diese Benachteiligung eine Repressalie für diese Meldung oder Offenlegung ist. In
diesem Fall hat die Person, die die hinweisgebende Person benachteiligt hat, zu beweisen, dass die
Benachteiligung auf hinreichend gerechtfertigten Gründen basierte oder dass sie nicht auf der Meldung oder
Offenlegung beruhte.

--> Das HinSchG ist im Anwendungsbereich bewusst weit gefasst. Somit fallen alle Informationen darunter, die im beruflichen Kontext erlangt worden sind. Somit können auch ehemalige Mitarbeiter oder Lieferanten Hinweise über die Meldeportale abgeben.

Fazit

  • Der Schutzbereich des HinSchG umfasst damit grundsätzlich alle natürlichen Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit Informationen über Verstöße erlangt haben und diese melden.
  • Auch Externe Auftragnehmer und Lieferanten und Personen deren Arbeitsverhältnis beendet ist oder noch nicht begonnen hat und sich in einem vorvertraglichen Stadium befindet, sind daher meldeberechtigt.
  • § 16 I HinSchG legt die Mindestanforderungen für den verpflichtenden Zugang zum internen Meldetool fest: Es muss für die eigenen Mitarbeitende und Leiharbeitnehmer des Unternehmens zur Verfügung stehen.
  • Für Bewerber, Partner und andere Dritte ist es Sache der Unternehmen zu definieren, ob sie ihr internes System nutzen können.

Gilt das Hinweisgeberschutzgesetz auch, wenn man weniger als 50 Mitarbeiter beschäftigt? 

Das HinSchG umfasst in seinem Anwendungsbereich also grundsätzlich alle Beschäftigungsgeber in jeder Größe. Unternehmen werden also bereits ab dem ersten Beschäftigten erfasst.

Allerdings: Die Verpflichtung zur Einrichtung einer internen Meldestelle für Hinweise gilt nur für Unternehmen mit mindestens 50 Beschäftigten.

14 Organisationsformen interner Meldestellen

(1) Eine interne Meldestelle kann eingerichtet werden, indem eine bei dem jeweiligen Beschäftigungsgeber oder bei der jeweiligen Organisationseinheit beschäftigte Person, eine aus mehreren beschäftigten Personen bestehende Arbeitseinheit oder ein Dritter mit den Aufgaben einer internen Meldestelle betraut wird. Die Betrauung eines Dritten mit den Aufgaben einer internen Meldestelle entbindet den betrauenden Beschäftigungsgeber nicht von der Pflicht, selbst geeignete Maßnahmen zu ergreifen, um einen etwaigen Verstoß abzustellen. Ist der Beschäftigungsgeber der Bund oder ein Land, gilt Satz 2 für die jeweiligen Organisationseinheiten entsprechend.

(2) Mehrere private Beschäftigungsgeber mit in der Regel 50 bis 249 Beschäftigten können für die Entgegennahme von Meldungen und für die weiteren nach diesem Gesetz vorgesehenen Maßnahmen eine gemeinsame Stelle einrichten und betreiben. Die Pflicht, Maßnahmen zu ergreifen, um den Verstoß abzustellen, und die Pflicht zur Rückmeldung an die hinweisgebende Person verbleiben bei dem einzelnen Beschäftigungsgeber.

Als Unternehmen gilt nach 14 Abs. 1 BGB
„Unternehmer ist eine natürliche oder juristische Person oder eine rechtsfähige Personengesellschaft, die bei Abschluss eines Rechtsgeschäfts in Ausübung ihrer gewerblichen oder selbständigen beruflichen Tätigkeit handelt.“

Das heißt: bei zwei Unternehmen, bei dem beispielsweise jedes jeweils 30 Personen beschäftigt, muss keine Meldestelle eingerichtet werden. Aber: das HinSchG gilt trotzdem!

 

Werden die Mitarbeiter in (außer)europäischen Niederlassungen mitberechnet?

Die Pflicht zur Einrichtung von Meldestellen richtet sich nach der Anzahl der Mitarbeiter. Maßgeblich für die Umsetzungspflicht einer Meldestelle in einem deutschen Unternehmen sind die Anzahl der Beschäftigten im deutschen Unternehmenshauptsitz. Sind in (außer)europäsichen Niederlassungen weitere Mitarbeiter beschäftigt, kommt es auf die Anzahl der Mitarbeiter an, ob ein eigenes Meldestellensystem eingerichtet werden muss.


Für Konzerne können zentrale Meldestellen eingerichtet werden, sofern es sich um eine Organisationseinheit handelt nach §14 HinSchG, vgl. Taylor Wessing.

Es gilt zudem: Die Zählung der Beschäftigten erfolgt als reine "Kopfzahl". Teilzeitbeschäftigte (auch Minijobber) werden also nicht nur anteilig berücksichtigt, sondern jeweils voll gezählt.

Bei der Frage, wie die Mitarbeiter in einer Tochtergesellschaft, Zweigniederlassung und/oder Betriebsstätte im In- und Ausland zu zählen sind, muss man sich zuerst einen Überblick darüber verschaffen, wie die Gesellschaften rechtlich zu sehen sind, vgl. IHK

Danach kann man die Unternehmenteile, die eigene juristische Personen darstellen, gesondert zählen (wie z.B. die Tochtergesellschaften) bzw. richten sich diese nach dem jeweiligen ausländischen Recht und andere (z.B. die rechtlich unselbständige Betriebsstätte) zusammenzählen.

Meldestellen

Wann müssen interne und externe Meldestellen eingerichtet werden?

Neue Pflichten für Unternehmen aus dem Hinweisgeberschutzgesetz

Das HinSchG verpflichtet Unternehmen, interne Meldestellen einzurichten, an diese sich Beschäftigte wenden können und Verstöße melden können. Diese Regelung betrifft laut § 12 HinSchG jedoch nur Unternehmen, die mindestens 50 Beschäftige haben bzw. – unabhängig von der Beschäftigungsanzahl - Wertpapierdienstleistungsunternehmen, Börsenträger und Kredit- und Finanzdienstleitungsinstitute.

Sollten Unternehmen die Regelungen zur Einrichtung einer internen Meldestelle nicht gesetzeskonform umsetzen, drohen Bußgelder von bis zu 20.000 €. Sonstige Bußgelder sollen bis zu 50.000 € betragen können (vgl. § 40 HinSchG).

In § 11 und §12 HinSchG werden der Umgang mit personenbezogenen Daten sowie die Dokumentations- und Aufbewahrungspflichten geregelt, wie hinsichtlich des Datenschutzes mit gemeldeten Verstößen umzugehen ist.
Eine Löschung der Dokumentation ist nach 2 Jahren vorgesehen.

Pflicht zur Einrichtung von internen und externen Meldestellen

19 - Externe Meldestellen - Errichtung und Zuständigkeit einer externen Meldestelle des Bundes

 (1) Der Bund errichtet beim Bundesamt für Justiz eine Stelle für externe Meldungen (externe Meldestelle des Bundes). Die externe Meldestelle ist organisatorisch vom übrigen Zuständigkeitsbereich des Bundesamts für Justiz getrennt.

(2) Die Aufgaben der externen Meldestelle des Bundes werden unabhängig von den sonstigen Aufgaben des Bundesamts für Justiz wahrgenommen. Die Dienstaufsicht über die externe Meldestelle des Bundes führt die Präsidentin oder der Präsident des Bundesamts für Justiz. Die externe Meldestelle des Bundes untersteht einer Dienstaufsicht nur, soweit nicht ihre Unabhängigkeit beeinträchtigt wird.

(3) Der externen Meldestelle des Bundes ist die für die Erfüllung ihrer Aufgaben notwendige Personal- und Sachausstattung zur Verfügung zu stellen.

(4) Die externe Meldestelle des Bundes ist zuständig, soweit nicht eine externe Meldestelle nach den §§ 20 bis 23 zuständig ist.

--> Betroffene Unternehmen sind dazu verpflichtet, ihre Mitarbeiter entsprechend darauf hinzuweisen, dass sowohl interne als auch externe Meldestellen für die Meldung von Verstößen kontaktiert werden können

Wie muss die Möglichkeit zur Meldung nach HinSchG gestaltet sein, wenn sie auch externe Personen (Bewerber, Lieferanten, etc.) zur Verfügung stehen soll?

  • Interne Meldestellen müssen Meldungen in mündlicher oder Textform ermöglichen.
  • Mündliche Meldungen (z. B. durch Bereithalten einer „Hotline“ oder eines Anrufbeantworters)
  • Meldungen in Textform (z. B. durch Einrichtung einer elektronischen Hinweisgeberplattform oder auch einer speziellen E-Mail-Adresse)
  • Zusätzlich ist für hinweisgebende Personen auf Wunsch eine angemessene Zeit für ein persönliches Zusammentreffen in der internen Meldestelle einzurichten um die Meldungen entsprechend entgegen nehmen zu können.
  • Der hinweisgebenden Person soll zudem ermöglicht werden, die Dokumentation der Meldung zu prüfen, zu korrigieren und durch Unterschrift zu bestätigen.

Hinweisgeber müssen über die Meldewege informiert werden. Das kann über eine zentrale Informationsmail an die Mitarbeiter oder über einen Aushang erledigt werden.

Denkbar ist auch:

  • Intranet-Veröffentlichung
  • Unternehmensnewsletter
  • Manager-Kommunikation
  • Schulungen oder Präsentationen

Interne Meldestelle

Datenschutzbeauftragte als interne Meldestelle - Begründung zur Formulierungshilfe der Bundesregierung

„Erwägungsgrund 56 der HinSch-RL nennt als mögliche interne Meldestellen in kleineren Unternehmen Mitarbeiterinnen oder Mitarbeiter mit einer Doppelfunktion, Leiterinnen oder Leiter der Complianceabteilung, Integritätsbeauftragte, Rechts- oder Datenschutzbeauftragte oder Auditverantwortliche. Dies zeigt die Bandbreite der möglichen Umsetzung der Verpflichtung, die nicht eingeschränkt werden soll, solange die gesetzlichen Vorgaben insbesondere in Bezug auf die Unabhängigkeit und Vertraulichkeit eingehalten werden.“ (vgl. Seite 76 - Formulierungshilfe der Bundesregierung)

Können Geschäftsführer oder Personalverantwortliche Meldestellen-Beauftragte sein?

15 - Unabhängige Tätigkeit; notwendige Fachkunde


(1) Die mit den Aufgaben einer internen Meldestelle beauftragten Personen sind bei der Ausübung ihrer Tätigkeit
unabhängig. Sie dürfen neben ihrer Tätigkeit für die interne Meldestelle andere Aufgaben und Pflichten wahrnehmen. Es ist dabei sicherzustellen, dass derartige Aufgaben und Pflichten nicht zu Interessenkonflikten führen.
(2) Beschäftigungsgeber tragen dafür Sorge, dass die mit den Aufgaben einer internen Meldestelle beauftragten
Personen über die notwendige Fachkunde verfügen. Ist der Beschäftigungsgeber der Bund oder ein Land, gilt
Satz 1 für die jeweiligen Organisationseinheiten entsprechend.

Stimmen aus dem Internet dazu:

Diese Personen können insbesondere sein: Compliance-Leiter, Legal Councel, Datenschutzbeauftragter, Finanzdirektor, Auditverantwortlicher. Diese Personen können neben ihrer Tätigkeit für die interne Meldestelle andere Aufgaben und Pflichten wahrnehmen.

Wichtig ist aber, sicherzustellen, dass derartige Aufgaben und Pflichten nicht zu Interessenskonflikten führen und diese Personen unabhängig handeln können (§ 15 Absatz 1 HinSchG). Geschäftsführer oder Personalverantwortliche können aufgrund bestehender Interessenskonflikte grundsätzlich nicht Meldestellen-Beauftragte sein. Mehr Infos dazu bei der IHK Stuttgart

Ergebnis: Geschäftsführer/-innen sind nicht geeignet, Meldestellen-Beauftragte(r) zu sein, da die Unabhängigkeit nicht gewährleistet werden kann. Bei Personalverantwortlichen muss genau geprüft werden, welche Aufgaben die Person ansonsten noch wahrzunehmen hat.

 

Datenschutzbeauftragte als Meldestelle

RICHTLINIE (EU) 2019/1937 DES EUROPÄISCHEN PARLAMENTS UND DES RATES - Erwägungsgrund 56

„Welche Personen oder Abteilungen innerhalb einer juristischen Person des privaten Sektors am besten geeignet sind, Meldungen entgegenzunehmen und Folgemaßnahmen zu ergreifen, hängt von der Struktur des Unternehmens ab; ihre Funktion sollte jedenfalls dergestalt sein, dass ihre Unabhängigkeit gewährleistet wird und Interessenkonflikte ausgeschlossen werden. In kleineren Unternehmen könnte diese Aufgabe durch einen Mitarbeiter in Doppelfunktion erfüllt werden, der direkt der Unternehmensleitung berichten kann, etwa ein Leiter der Compliance- oder Personalabteilung, ein Integritätsbeauftragter, ein Rechts- oder Datenschutzbeauftragter, ein Finanzvorstand, ein Auditverantwortlicher oder ein Vorstandsmitglied.“

(Keine) Notwendigkeit zur Durchführung einer Datenschutzfolgenabschätzung 

Meldestelle nach HinSchG – Haltung des Bay LDA hinsichtlich einer Datenschutzfolgenabschätzung

„Die DSK-Orientierungshilfe zu Whistleblowing-Hotlines sah das Erfordernis der Durchführung einer DSFA.

Ein zwingendes Erfordernis bei der Einrichtung interner Meldestellen zur Durchführung einer DSFA sehen wir derzeit jedoch nicht. Vielmehr bedarf es einer Betrachtung der konkreten Umstände und Risiken. Hierzu gehört z.B. auch die Größe eines Unternehmens sowie dessen Struktur und Einbindung in eine Unternehmensgruppe.“ 

(vgl. BayLDA, S. 6 - Fragen und Antworten zur Sitzung des GDD-ERFA-Kreises Nürnberg vom 27.07.2023)

Genügt hinsichtlich der Informationspflichten aus dem HinSchG ein Hinweis in der Datenschutzerklärung zur Meldestelle und zu den Kontaktmöglichkeiten?

Allgemeines

  • § 7 Abs. 3 S. 2 HinSchG verpflichtet den Beschäftigungsgeber, der eine interne Meldestelle einrichten muss, für Beschäftigte klare und leicht zugängliche Informationen über die Nutzung des internen Meldeverfahrens bereitzustellen.
  • Der Beschäftigungsgeber kann Informationen über die praktische Funktionsfähigkeit der internen Meldestelle zum Gegenstand der bereitzustellenden Informationen machen (Der Rechtsausschuss verband mit dieser Vorgabe die Hoffnung, dass dadurch die Bereitschaft, zunächst interne Meldestellen zu nutzen, gefördert wird.)
  • In der Literatur hat zudem die Gewährung finanzieller Belohnungen für interne Meldungen als mögliche Anreizform Beachtung gefunden.

Wir raten davon ab, auf die Informationspflichten nach HinSchG lediglich innerhalb der Datenschutzerklärung zu verweisen, denn die Intention des Gesetzgebers war hierbei eine andere. Insofern sind die Informationspflichten nach HinSchG und DSGVO voneinander zu trennen.

Ähnliche Trennungen kennt man z.B. im Verbraucherschutz: Hier gibt es bestimmet Informationspflichten des Verkäufers, die nicht (allein) in die AGB aufgenommen werden können.

Meldungen

Wie muss das Meldesystem gestaltet sein?

Müssen die Meldungen externer Hinweisgeber anonymisiert sein?

Entgegen vorheriger Entwürfe des HinSchG, enthält die endgültig beschlossene Fassung ausdrücklich keine Verpflichtung zur Einrichtung anonymer Meldekanäle.

Anonyme Meldemöglichkeiten können auf freiwilliger Basis eingerichtet werden, es besteht aber keine Pflicht.

Das Gesetz enthält lediglich eine Soll-Bestimmung, nach der anonym eingehende Meldungen von internen Meldestellen auch bearbeitet werden sollen.

Werden Meldungen anonym abgegeben, kann auch keine Rückmeldung an den Hinweisgeber erfolgen. Im Gesetz steht jedoch ausdrücklich, dass die Möglichkeit zur anonymen Meldung nicht verpflichtend ist.

(1)… Die interne Meldestelle sollte auch anonym eingehende Meldungen bearbeiten. Es besteht allerdings keine Verpflichtung, die Meldekanäle so zu gestalten, dass sie die Abgabe anonymer Meldungen ermöglichen.

Erfolgt ein Hinweis mit unterdrückter Rufnummer ohne Namensangabe oder ein anonymer Zetteleinwurf bei der Meldestelle, steht der Meldestelle keine Möglichkeit zur Rückmeldung zur Verfügung. Eine Rückmeldung kann daher nicht erfolgen.

Kann man die Rückmeldung an den Hinweisgeber generell so gestalten, dass keine schützenswerten Daten enthalten sind?

(1) Die interne Meldestelle

1.bestätigt der hinweisgebenden Person den Eingang einer Meldung spätestens nach sieben Tagen,

2.prüft, ob der gemeldete Verstoß in den sachlichen Anwendungsbereich nach § 2 fällt,

3.hält mit der hinweisgebenden Person Kontakt,

4.prüft die Stichhaltigkeit der eingegangenen Meldung,

5.ersucht die hinweisgebende Person erforderlichenfalls um weitere Informationen und

6.ergreift angemessene Folgemaßnahmen nach § 18. 

(2) Die interne Meldestelle gibt der hinweisgebenden Person innerhalb von drei Monaten nach der Bestätigung des Eingangs der Meldung oder, wenn der Eingang nicht bestätigt wurde, spätestens drei Monate und sieben Tage nach Eingang der Meldung eine Rückmeldung. Die Rückmeldung umfasst die Mitteilung geplanter sowie bereits ergriffener Folgemaßnahmen sowie die Gründe für diese. Eine Rückmeldung an die hinweisgebende Person darf nur insoweit erfolgen, als dadurch interne Nachforschungen oder Ermittlungen nicht berührt und die Rechte der Personen, die Gegenstand einer Meldung sind oder die in der Meldung genannt werden, nicht beeinträchtigt werden.

 

Meldet der Hinweisgeber mit seinem Klarnamen und ggf. seiner E-Mail-Adresse einen Verstoß, der in den Anwendungsbereich des Hinweisgeberschutzgesetztes fällt, sind automatisch personenbezogene Daten enthalten.

Wenn statt dem Klarnamen lediglich eine Rolle innerhalb des Unternehmens genannt wird, ist eine Zuordnung unter Umständen (je nach Unternehmensgröße) relativ leicht möglich. Wenn keine anonyme Meldung erfolgt (bzw. das technisch nicht möglich ist) ist eine Rückmeldung meist der Verarbeitung personenbezogener Daten verbunden.

Rückmeldungen ohne eine Verarbeitung personenbezogener Daten sind daher in der Praxis kaum denkbar.

Gibt es im HinSchG eine Verpflichtung die Übermittlung einer Meldung oder die Dokumentation zu einer Meldung besonders zu schützen?

(1)Nach § 12 zur Einrichtung interner Meldestellen verpflichtete Beschäftigungsgeber richten für diese Meldekanäle ein, über die sich Beschäftigte und dem Beschäftigungsgeber überlassene Leiharbeitnehmerinnen und Leiharbeitnehmer an die internen Meldestellen wenden können, um Informationen über Verstöße zu melden. Ist der Beschäftigungsgeber der Bund oder ein Land, gilt Satz 1 für die jeweiligen Organisationseinheiten entsprechend. Der interne Meldekanal kann so gestaltet werden, dass er darüber hinaus auch natürlichen Personen offensteht, die im Rahmen ihrer beruflichen Tätigkeiten mit dem jeweiligen zur Einrichtung der internen Meldestelle verpflichteten Beschäftigungsgeber oder mit der jeweiligen Organisationseinheit in Kontakt stehen. Die interne Meldestelle sollte auch anonym eingehende Meldungen bearbeiten. Es besteht allerdings keine Verpflichtung, die Meldekanäle so zu gestalten, dass sie die Abgabe anonymer Meldungen ermöglichen.

(2) Die Meldekanäle sind so zu gestalten, dass nur die für die Entgegennahme und Bearbeitung der Meldungen zuständigen sowie die sie bei der Erfüllung dieser Aufgaben unterstützenden Personen Zugriff auf die eingehenden Meldungen haben.

(3) Interne Meldekanäle müssen Meldungen in mündlicher oder in Textform ermöglichen. Mündliche Meldungen müssen per Telefon oder mittels einer anderen Art der Sprachübermittlung möglich sein. Auf Ersuchen der hinweisgebenden Person ist für eine Meldung innerhalb einer angemessenen Zeit eine persönliche Zusammenkunft mit einer für die Entgegennahme einer Meldung zuständigen Person der internen Meldestelle zu ermöglichen. Mit Einwilligung der hinweisgebenden Person kann die Zusammenkunft auch im Wege der Bild- und Tonübertragung erfolgen.

 

Im Hinweisgeberschutzgesetz gibt es keine eindeutige Verpflichtung, dass die Übermittlung einer Meldung oder die Dokumentation einer Meldung besonders zu schützen wäre, z.B. durch verschlüsselte Kommunikation oder durch revisionssichere Verfahren einer Archivierung (z.B. elektronische Signatur mit Zeitstempel).

Es ist lediglich sicherzustellen, dass nur die für die Meldung verantwortliche Person auf eingehende Meldungen Zugriff haben darf und dieser Kanal darf nicht öffentlich einsehbar sein.

Eine Einrichtung einer allgemeinen E-Mail-Adresse, auf dessen Postfach nicht-autorisierte Personen Zugriff nehmen dürfen, wäre nicht gesetzeskonform.

 

Wie müssen die Protokolle über eingehende Hinweise in der Praxis gestaltet sein?

(1) Die Personen, die in einer Meldestelle für die Entgegennahme von Meldungen zuständig sind, dokumentieren alle eingehenden Meldungen in dauerhaft abrufbarer Weise unter Beachtung des Vertraulichkeitsgebots (§ 8).

(2) Bei telefonischen Meldungen oder Meldungen mittels einer anderen Art der Sprachübermittlung darf eine dauerhaft abrufbare Tonaufzeichnung des Gesprächs oder dessen vollständige und genaue Niederschrift (Wortprotokoll) nur mit Einwilligung der hinweisgebenden Person erfolgen. Liegt eine solche Einwilligung nicht vor, ist die Meldung durch eine von der für die Bearbeitung der Meldung verantwortlichen Person zu erstellende Zusammenfassung ihres Inhalts (Inhaltsprotokoll) zu dokumentieren

(3) Erfolgt die Meldung im Rahmen einer Zusammenkunft gemäß § 16 Absatz 3 oder § 27 Absatz 3, darf mit Zustimmung der hinweisgebenden Person eine vollständige und genaue Aufzeichnung der Zusammenkunft erstellt und aufbewahrt werden. Die Aufzeichnung kann durch Erstellung einer Tonaufzeichnung des Gesprächs in dauerhaft abrufbarer Form oder durch ein von der für die Bearbeitung der Meldung verantwortlichen Person erstelltes Wortprotokoll der Zusammenkunft erfolgen.

(4) Der hinweisgebenden Person ist Gelegenheit zu geben, das Protokoll zu überprüfen, gegebenenfalls zu korrigieren und es durch ihre Unterschrift oder in elektronischer Form zu bestätigen. Wird eine Tonaufzeichnung zur Anfertigung eines Protokolls verwendet, so ist sie zu löschen, sobald das Protokoll fertiggestellt ist.

(5) Die Dokumentation wird drei Jahre nach Abschluss des Verfahrens gelöscht. Die Dokumentation kann länger aufbewahrt werden, um die Anforderungen nach diesem Gesetz oder nach anderen Rechtsvorschriften zu erfüllen, solange dies erforderlich und verhältnismäßig ist.

Zusammenfassung:

Alle Meldungen müssen in dauerhaft abrufbarer Weise dokumentiert werden

  • Telefonische Meldungen: Tonaufzeichnung des Gesprächs oder Wortprotokoll (nur mit Einwilligung) oder Inhaltsprotokoll
  • Persönliche Meldung: Aufzeichnung (nur mit Einwilligung) oder Protokoll der Zusammenkunft
  • Überprüfung und ggf. Korrektur der Protokolle durch Hinweisgeber und Bestätigung
  • Löschung der Dokumentation nach 3 Jahren nach Abschluss des Verfahrens

Gesetzlich ist also demnach geregelt, dass die Dokumentation erst 3 Jahre nach Abschluss des Verfahrens gelöscht werden kann. Eine frühere Löschung ist damit ausgeschlossen. Diese Fristen sind bspw. vergleichbar mit der Aufbewahrung von Buchhaltungsdokumenten, denn diese dürfen aus steuerlichen Gründen auch nicht früher gelöscht werden, auch wenn sich der Betroffene das aus Datenschutzgründen wünschen würde.

Hinweisgeber

Wie sind Hinweisgeber geschützt?

Muss der Tippgeber bei einer Auskunftsanfrage einer anderen Person gem. Art 15 DSGVO namentlich genannt werden?

Grundsätzlich muss der Tippgeber bei einer Auskunfstanfrage einer anderen Person gem. Art. 15 DSGVO nicht namentlich genannt werden, denn der Hinweisgeber ist geschützt nach § 8 HinSchG. Namentliche Nennung ist nur erforderlich, wenn eine seltener Fall nach § 9 HinSchG vorliegt.

§ 8 - Vertraulichkeitsgebot

(1) Die Meldestellen haben die Vertraulichkeit der Identität der folgenden Personen zu wahren:

  1. der hinweisgebenden Person, sofern die gemeldeten Informationen Verstöße betreffen, die in den Anwendungsbereich dieses Gesetzes fallen, oder die hinweisgebende Person zum Zeitpunkt der Meldung hinreichenden Grund zu der Annahme hatte, dass dies der Fall sei,
  2. der Personen, die Gegenstand einer Meldung sind, und
  3. der sonstigen in der Meldung genannten Personen.

Die Identität der in Satz 1 genannten Personen darf ausschließlich den Personen, die für die Entgegennahme von Meldungen oder für das Ergreifen von Folgemaßnahmen zuständig sind, sowie den sie bei der Erfüllung dieser Aufgaben unterstützenden Personen bekannt werden.

(2) Das Gebot der Vertraulichkeit der Identität gilt unabhängig davon, ob die Meldestelle für die eingehende Meldung zuständig ist.

(1) Die Identität einer hinweisgebenden Person, die vorsätzlich oder grob fahrlässig unrichtige Informationen über Verstöße meldet, wird nicht nach diesem Gesetz geschützt.

(2) Informationen über die Identität einer hinweisgebenden Person oder über sonstige Umstände, die Rückschlüsse auf die Identität dieser Person erlauben, dürfen abweichend von § 8 Absatz 1 an die zuständige Stelle weitergegeben werden

1.in Strafverfahren auf Verlangen der Strafverfolgungsbehörden,

2.aufgrund einer Anordnung in einem einer Meldung nachfolgenden Verwaltungsverfahren, einschließlich verwaltungsbehördlicher Bußgeldverfahren,

3.aufgrund einer gerichtlichen Entscheidung
(…)

Die Meldestelle hat die hinweisgebende Person vorab über die Weitergabe zu informieren. Hiervon ist abzusehen, wenn die Strafverfolgungsbehörde, die zuständige Behörde oder das Gericht der Meldestelle mitgeteilt hat, dass durch die Information die entsprechenden Ermittlungen, Untersuchungen oder Gerichtsverfahren gefährdet würden. Der hinweisgebenden Person sind mit der Information zugleich die Gründe für die Weitergabe schriftlich oder elektronisch darzulegen.

(3) Über die Fälle des Absatzes 2 hinaus dürfen Informationen über die Identität der hinweisgebenden Person oder über sonstige Umstände, die Rückschlüsse auf die Identität dieser Person erlauben, weitergegeben werden, wenn

1.die Weitergabe für Folgemaßnahmen erforderlich ist und

2.die hinweisgebende Person zuvor in die Weitergabe eingewilligt hat.

Die Einwilligung nach Satz 1 Nummer 2 muss für jede einzelne Weitergabe von Informationen über die Identität gesondert und in Textform vorliegen. Die Regelung des § 26 Absatz 2 des Bundesdatenschutzgesetzes bleibt unberührt.

Inkrafttreten

Welche Fristen gelten und ab wann werden Bußgelder verhängt?

Wann ist das HinSchG in Kraft getreten?

42 – Übergangsregelung


“(1) Abweichend von § 12 Absatz 1 müssen private Beschäftigungsgeber mit in der Regel 50 bis 249
Beschäftigten ihre
internen Meldestellen erst ab dem 17. Dezember 2023 einrichten. Satz 1 gilt nicht für die in
§ 12 Absatz 3 genannten Beschäftigungsgeber.“

„(2) § 40 Absatz 2 Nummer 2 ist erst ab dem 1. Dezember 2023 anzuwenden.“

--> Bußgelder wegen fehlender Einrichtung und Betrieb der Internen Meldestellen werden seit Dezember 2023 verhängt

Zeitplan:

  • 02.07.2023 
    Inkrafttreten Hinweisgeberschutzgesetz
  • 02.07.2023  
    Pflicht zur Einrichtung der internen Meldestellen für Unternehmen ab 250 Mitarbeiter und alle Unternehmen im Sinne des § 12 Abs. 3:

  Abweichend von Absatz 2 gilt die Pflicht nach Absatz 1 Satz 1 unabhängig von der Zahl der Beschäftigten für

  1. Wertpapierdienstleistungsunternehmen im Sinne des § 2 Absatz 10 des Wertpapierhandelsgesetzes,
  2. Datenbereitstellungsdienste im Sinne des § 2 Absatz 40 des Wertpapierhandelsgesetzes,
  3. Börsenträger im Sinne des Börsengesetzes,
  4. Institute im Sinne des § 1 Absatz 1b des Kreditwesengesetzes und Institute im Sinne des § 2 Absatz 1 des Wertpapierinstitutsgesetzes,
  5. Gegenparteien im Sinne des Artikels 3 Nummer 2 der Verordnung (EU) 2015/2365 des Europäischen Parlaments und des Rates vom 25. November 2015 über die Transparenz von   Wertpapierfinanzierungsgeschäften und der  Weiterverwendung sowie zur Änderung der Verordnung (EU) Nr. 648/2012 (ABl. L 337 vom 23.12.2015, S. 1), die zuletzt durch die Verordnung   (EU) 2021/23 (ABl. L 22 vom 22.1.2021, S. 1) geändert worden ist, in der jeweils geltenden Fassung,
  6. Kapitalverwaltungsgesellschaften gemäß § 17 Absatz 1 des Kapitalanlagegesetzbuchs sowie
  7. Unternehmen gemäß § 1 Absatz 1 des Versicherungsaufsichtsgesetzes mit Ausnahme der nach den §§ 61 bis 66a des  Versicherungsaufsichtsgesetzes  tätigen  Unternehmen  mit  Sitz  in    einem  anderen  Mitgliedstaat  der Europäischen  Union  oder  einem  anderen  Vertragsstaat  des  Abkommens  über  den  Europäischen Wirtschaftsraum
  • 01.12.2023 
    Verhängen von Bußgeldern wegen fehlender Einrichtung und Betrieb der internen Meldestellen
  • 17.12.2023 
    Pflicht zur Einrichtung der internen Meldestellen für private Beschäftigungsgeber
    (50 – 249 Mitarbeiter)

Verantwortlichkeiten 

Welche Verantwortlichkeiten ergeben sich für Auftragsverarbeiter?

Ist eine Ombudsstelle für das HinSchG auch Auftragsverarbeiter, oder nur der Anbieter der Cloud-Lösung?

Die Ombudsstelle hat eine eigenständige Verantwortlichkeit. Die Tätigkeit der Ombudsstelle geht im datenschutzrechtlichen Sinne weit über die reine Datenverarbeitung hinaus, da nicht die Datenverarbeitung im Vordergrund steht.

Der Dienstleister, der die Cloud-Lösung für die Meldung zur Verfügung steht, ist im klassischen Sinne Auftragsverarbeiter nach Art. 4 Abs. 8 DSGVO. Damit müssen die Vorgaben der Art. 28, 29 DSGVO eingehalten werden.


Mehr Infos zum Thema Auftragsverarbeitung findet man in der Auslegungshilfe des LDA Bayern.  

Rechtliche Konsequenzen

Welche Verantwortlichkeiten ergeben sich für Auftragsverarbeiter?

Welche rechtlichen Grundlagen und Folgen ergeben sich, wenn hinweisgebende Personen Straftaten von anderen Personen fotografieren/filmen und einer Meldestelle nach dem HinSchG übermitteln?

Voraussetzung:

Über das HinSchG können nur Straftaten gemeldet werden, die im Zusammenhang des Arbeitskontextes gefilmt oder fotografiert wurden. An die Meldestellen können keine Hinweise gemeldet werden, die außerhalb der beruflichen Tätigkeit bzw. ohne Zusammenhang der beruflichen Tätigkeit stattgefunden haben. Anlaufstelle für privat aufgezeichnetes Material ist die Polizei.

Erfolgte die Aufzeichnung unwissentlich bzw. gegen den Willen der fotografierten/gefilmten Person, ist stets das Recht am eigenen Bild zu beachten.

Rechtsgrundlage

Das Recht auf informationelle Selbstbestimmung („Volkszählurteil von 1983“ - Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 Grundgesetz (GG)) sowie das Recht am eigenen Bild nach KUG. Sobald Dritte betroffen sind, müssen also deren berechtigte Interessen berücksichtigt werden, da sonst ggf. eine Verletzung von Persönlichkeitsrechten angezeigt werden kann à Abwägung!

Abwägung:

Das unberechtigte Anfertigen von Foto- und Videomaterial ohne Kenntnis bzw. Einwilligung der fotografierten/videoüberwachten Person ist grundsätzlich unzulässig.

Dennoch kann in bestimmten Fällen das angefertigte Beweismaterial in Gerichtsprozessen u.U. zulässig sein (vgl. Dashcam-Aufzeichnungen - BGH, Urteil vom 15.5.2018 – VI ZR 233/17) und zur Aufklärung von Straftaten verwendet werden.

Stand: September 2024  

Sie brauchen Unterstützung?

Wir stehen Ihnen gerne für weitere Fragen und zur Beratung zur Verfügung - kontaktieren Sie uns!
Kontakt
envelopecartphonemap-markerlocation