Ein funktionierendes Hinweisgebersystem aufbauen ist für viele Unternehmen seit dem Inkrafttreten des Hinweisgeberschutzgesetzes (HinSchG) im Juli 2023 zur gesetzlichen Pflicht geworden. Das Gesetz setzt die EU-Whistleblower-Richtlinie 2019/1937 in deutsches Recht um und gibt erstmals einen umfassenden rechtlichen Rahmen für den Schutz von Hinweisgeberinnen und Hinweisgebern vor. Dieser Beitrag erklärt, was das HinSchG verlangt, welche technischen Lösungen es gibt und worauf bei Datenschutz und Betriebsrat zu achten ist.
Hinweisgebersystem aufbauen: Wen trifft die HinSchG-Pflicht?
Das HinSchG verpflichtet Unternehmen ab bestimmten Schwellenwerten zur Einrichtung interner Meldestellen:
- Ab 50 Beschäftigte: Pflicht zur Einrichtung einer internen Meldestelle (§ 12 HinSchG)
- Unternehmen unter 50 Beschäftigte: Keine gesetzliche Pflicht, aber freiwillige Einrichtung ist sinnvoll
- Unternehmen 50–249 Beschäftigte: Können sich die Ressourcen einer gemeinsamen Meldestelle teilen (§ 14 HinSchG)
Zu beachten ist: Unabhängig von der Beschäftigtenzahl gilt das HinSchG für alle Unternehmen des Finanzsektors (Kreditinstitute, Versicherungen, Wertpapierfirmen) sowie für solche, die nach dem GwG verpflichtet sind.
Anforderungen des HinSchG an das Hinweisgebersystem
Das HinSchG stellt konkrete Anforderungen an die Ausgestaltung interner Meldestellen:
Sachliche Zuständigkeit
Interne Meldestellen müssen Hinweise auf Verstöße gegen eine Vielzahl von Rechtsgebieten entgegennehmen, darunter Straf- und Bußgeldvorschriften, Korruption, Datenschutz, Finanzdienstleistungsrecht, Produktsicherheit, Umweltrecht und mehr (§ 2 HinSchG).
Vertraulichkeit und Anonymität
Die Identität des Hinweisgebers ist zwingend zu schützen (§ 8 HinSchG). Das System muss so gestaltet sein, dass Unbefugte keine Rückschlüsse auf den Melder ziehen können. Anonyme Meldungen müssen zwar nicht zwingend entgegengenommen werden, aber viele Unternehmen ermöglichen dies freiwillig, da es die Meldebereitschaft erhöht.
Bestätigung und Rückmeldung
Innerhalb von sieben Tagen nach Eingang einer Meldung muss dem Hinweisgeber der Eingang bestätigt werden. Innerhalb von drei Monaten nach der Eingangsbestätigung muss die Meldestelle dem Hinweisgeber mitteilen, welche Maßnahmen ergriffen wurden oder geplant sind (§ 17 HinSchG).
Unabhängigkeit der Meldestelle
Die mit der Meldestelle betraute Person oder Organisationseinheit muss unabhängig agieren können und darf durch die Entgegennahme von Meldungen keinen Interessenkonflikten ausgesetzt sein.
Interne vs. externe Meldestelle: Unterschiede und Wechselwirkungen
Das HinSchG sieht ein zweistufiges System vor:
Interne Meldestelle (§ 12 HinSchG)
Die unternehmensinterne Meldestelle soll Hinweisgebern als erste Anlaufstelle dienen. Hinweisgeber sind nicht verpflichtet, interne Stellen zu nutzen – sie können sich jederzeit auch an externe Stellen wenden. Das Gesetz setzt jedoch Anreize für die interne Meldung, indem es vorsieht, dass interne Meldungen bevorzugt werden sollen, wenn eine interne Abhilfe möglich und keine Repressalien zu befürchten sind.
Externe Meldestelle (§ 19 HinSchG)
Als externe Meldestelle wurde das Bundesamt für Justiz (BfJ) eingerichtet. Zusätzlich haben die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und das Bundeskartellamt eigene externe Meldestellen für ihren jeweiligen Zuständigkeitsbereich. Hinweisgeber können sich jederzeit an externe Stellen wenden, ohne zunächst intern Meldung erstattet zu haben.
Technische Lösungen für das Hinweisgebersystem
Der Markt für Whistleblowing-Softwarelösungen hat sich in den letzten Jahren stark entwickelt. Typische Anforderungen an eine technische Lösung umfassen:
- Verschlüsselte Übermittlung der Meldungen
- Möglichkeit zur anonymen Kommunikation mit dem Hinweisgeber
- Nachvollziehbare Bearbeitungshistorie und Dokumentation
- Rollenbasierte Zugriffsrechte (nur Berechtigte können Meldungen einsehen)
- DSGVO-konforme Datenspeicherung und -löschung
- Mehrsprachigkeit für internationale Unternehmen
Gängige Lösungen am Markt sind u. a. EQS Integrity Line, BKMS Whistleblower System, Hintbox, SpeakUp und viele weitere. Praxishinweis: Die Wahl der technischen Lösung sollte immer im Hinblick auf Vertraulichkeit, Datenschutz und die tatsächliche Nutzbarkeit durch Hinweisgeber getroffen werden.
Datenschutz beim Hinweisgebersystem
Die Einrichtung eines Hinweisgebersystems berührt umfangreiche Datenschutzfragen nach der DSGVO und dem BDSG:
- Rechtsgrundlage der Verarbeitung: Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 10 HinSchG (rechtliche Verpflichtung) als primäre Rechtsgrundlage
- Datenschutzfolgenabschätzung (DSFA): Empfehlenswert ist die Durchführung einer DSFA, insbesondere bei anonymen Meldesystemen mit Gesprächsprotokollen
- Löschfristen: Nach § 11 Abs. 5 HinSchG sind Meldungen spätestens drei Jahre nach Abschluss des Verfahrens zu löschen, sofern keine längere Aufbewahrung gesetzlich vorgeschrieben ist
- Rechte der Beschuldigten: Personen, gegen die eine Meldung eingegangen ist, haben grundsätzlich das Recht auf Information nach Art. 14 DSGVO – dies kann jedoch nach § 9 HinSchG vorübergehend eingeschränkt sein
Zu beachten ist: Die Einschaltung des Betriebsrats bei der Einführung eines Hinweisgebersystems ist zwingend erforderlich, soweit technische Überwachungsmöglichkeiten im Sinne von § 87 Abs. 1 Nr. 6 BetrVG betroffen sind. Empfehlenswert ist der Abschluss einer Betriebsvereinbarung.
Schutz vor Repressalien
Das HinSchG enthält einen umfassenden Schutz vor Repressalien gegenüber Hinweisgebern (§§ 33 ff. HinSchG). Repressalien – also jede nachteilige Behandlung, Kündigung, Versetzung, Abmahnung, Mobbing – sind verboten. Bei Repressalien besteht ein gesetzliches Beweislastumkehr: Das Unternehmen muss beweisen, dass eine Maßnahme nicht in Zusammenhang mit der Meldung stand.
Praxishinweis: Unternehmen sollten sicherstellen, dass alle Führungskräfte über das Repressalienverbot informiert sind und bei Hinweisgebern besondere Sensibilität walten lassen. Eine unbedachte Kündigung nach einer Meldung kann teuer werden – der Hinweisgeber hat Schadensersatzansprüche nach § 37 HinSchG.
Häufige Fragen
Ab wann müssen Unternehmen ein Hinweisgebersystem einrichten?
Ab 50 Beschäftigten besteht nach § 12 HinSchG die Pflicht zur Einrichtung einer internen Meldestelle. Unabhängig von der Größe gilt die Pflicht für Unternehmen des Finanzsektors und solche, die nach dem Geldwäschegesetz verpflichtet sind.
Muss das Hinweisgebersystem anonyme Meldungen ermöglichen?
Nein, eine Pflicht zur Ermöglichung anonymer Meldungen sieht das HinSchG nicht ausdrücklich vor. In der Praxis empfiehlt sich die Ermöglichung anonymer Meldungen jedoch, da dies die Meldebereitschaft deutlich erhöht.
Welche Themen muss die interne Meldestelle abdecken?
Die interne Meldestelle muss Hinweise auf Verstöße gegen das EU-Recht sowie gegen nationales Straf- und Bußgeldrecht entgegennehmen. Dazu gehören Korruption, Datenschutz, Geldwäsche, Produktsicherheit, Umweltverstöße und viele weitere Bereiche nach § 2 HinSchG.
Was passiert, wenn ein Unternehmen kein Hinweisgebersystem einrichtet?
Verstöße gegen die Pflicht zur Einrichtung einer internen Meldestelle können nach § 40 HinSchG als Ordnungswidrigkeit mit einer Geldbuße von bis zu 20.000 Euro geahndet werden. Zudem drohen Reputationsschäden und erschwerte Strafverfolgung im Ernstfall.
Darf der Arbeitgeber herausfinden, wer eine Meldung abgegeben hat?
Nein. Das HinSchG schreibt zwingenden Vertraulichkeitsschutz vor (§ 8 HinSchG). Die Identität des Hinweisgebers darf nur in gesetzlich geregelten Ausnahmefällen (z. B. auf Anordnung einer Strafverfolgungsbehörde) offenbart werden.
Sie haben Fragen zu diesem Thema?
Dr. Andreas Grözinger und das Team von Gercke Wollschläger beraten Sie — vertraulich und erfahren im Wirtschaftsstrafrecht & Compliance.
