Q & A zum HinSchG

Die Verpflichtung, ein Hinweisgebersystem einzurichten und zu betreiben, richtet sich nach der Anzahl der Beschäftigten. Ab einer Anzahl von in der Regel mindestens 50 Beschäftigten ist die Einrichtung einer „internen Meldestelle“ (unternehmenseigenes Hinweisgebersystem) verpflichtend (§ 12 Abs. 1, Abs. 2 HinSchG). 

 

Der interne Meldekanal ist das Hinweisgebersystem, das durch das Unternehmen selbst implementiert und betrieben wird (§ 12 Abs. 1 S. 1 HinSchG). Über den internen Meldekanal abgegebene Meldungen sollen somit durch die vom Unternehmen dazu beauftragten Personen entgegengenommen und bearbeitet werden. Es obliegt dem Unternehmen, durch angemessene Folgemaßnahmen auf den Hinweis zu reagieren (§ 13 Abs. 1 HinSchG).

 

Bei externen Meldekanälen handelt es sich um die von Bund, Ländern und weiteren benannten Aufsichtsbehörden einzurichtenden Hinweisgebersysteme (§§ 19 ff. HinSchG), z.B. die Meldestelle beim Bundesamt für Justiz. Die externen Meldestellen stehen allen hinweisgebenden Personen gleichrangig neben dem internen System des eigenen Unternehmens zur Verfügung. 

 

Unternehmen mit in der Regel mehr als 50 Arbeitnehmern müssen nach dem Gesetzeswortlaut „dafür […] sorgen, dass bei ihnen mindestens eine Stelle für interne Meldungen eingerichtet ist und betrieben wird“ (§ 12 Abs. 1 S. 1 HinSchG). Sie müssen zum Betrieb des Hinweisgebersystems aber nicht zwingend eigenes Personal / eine eigene Organisationseinheit einsetzen, sondern es kann auch ein Dritter (z.B. ein externer Compliance-Beauftragter, eine externe Ombudsperson / Ombudskanzlei) beauftragt werden (§ 14 Abs. 1 S. 1 HinSchG). 

 

Die beauftragte Person muss, unabhängig davon, ob es sich um einen Angestellten oder einen Externen handelt, in ihrer Tätigkeit unabhängig sein und über die nötige Sachkunde verfügen (§ 15 HinSchG). Die Verpflichtung, Maßnahmen gegen einen durch das Hinweisgebersystem aufgedeckten Verstoß zu ergreifen, verbleibt bei den Verantwortlichen Organen des Unternehmens (§ 14 Abs. 1 S. 2 HinSchG). 

 

Hinweis: Die Unabhängigkeit kann gerade im Falle kleiner Unternehmen am besten durch die Beauftragung einer außerhalb des Unternehmens stehenden Person gewährleistet werden. Nach den Vorgaben der Richtlinie (EU) 2019/1937 muss zudem auch bei Verpflichtung eines Dritten sichergestellt sein, dass die Wahrung der Unabhängigkeit und Vertraulichkeit, des Datenschutzes und der Geheimhaltung garantiert ist, vgl. RL (EU) 2019/1937, EG 54. Daher empfiehlt es sich, bei der Beauftragung eines Dritten z.B. auf externe Berufsgeheimnisträgerinnen oder Berufsgeheimnisträger zurückzugreifen. Diese werden in der Regel die Anforderungen an die Unabhängigkeit und Vertraulichkeit erfüllen und ebenso die notwendige Fachkunde aufweisen.

 

Das Hinweisgebersystem muss den eigenen Beschäftigten und ggf. Leiharbeitnehmerinnen und Leiharbeitnehmern zugänglich sein (§ 16 Abs. 1 S. 1 HinSchG), z.B. über das Intranet oder die Unternehmensseite. Darüber hinaus kann das System auch Personen zugänglich gemacht werden, die mit dem Unternehmen in sonstiger Weise im beruflichen Kontext in Kontakt stehen, z.B. Kooperationspartner, Zulieferer (§ 16 Abs. 1 S. 3 HinSchG.) 

 

Es müssen Verstöße gegen nationales Recht gemeldet werden können. Hiervon umfasst sind Straftaten, z.B. Korruption, Diebstahl, Untreue und Ordnungswidrigkeiten, wenn die verletzte Vorschrift dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte der Beschäftigten oder ihrer Vertretungsorgane dient (§ 2 Abs. 2 Nr. 1 und 2 HinSchG).

 

Zudem müssen Meldungen möglich sein, die Verstöße gegen z.B. das Geldwäschegesetz, Vorgaben zu Produktsicherheit, Umweltschutzgesetze oder auch das Datenschutzrecht (DS-GVO) betreffen, vgl. den vollständigen Katalog in § 2 Abs. 1 Nr. 3 HinSchG. 

ACHTUNG: Sofern Beschäftigte gesetzlich zur Verschwiegenheit verpflichtet sind (z.B. Ärzte und Ärztinnen), sieht § 5 HinSchG den Vorrang von Verschwiegenheits- und Geheimhaltungspflichten vor. Eine Meldung soll dann nicht in den Anwendungsbereich des Gesetzes fallen, wenn ihr die Pflicht zur Wahrung der Verschwiegenheit entgegensteht (§ 5 Abs. 2 lit. 3 und 4 HinSchG). 
 

Die Meldung muss mündlich oder in Textform erfolgen können, z.B. per Telefon, per E-Mail oder über das Portal eines digitalen Hinweisgebersystems (§ 16 Abs. 3 S. 1, 2 HinSchG). Es besteht keine Verpflichtung, die Meldekanäle so auszugestalten, dass anonyme Meldungen möglich sind, § 16 Abs. 1 HinSchG.

Es muss die Möglichkeit gegeben sein, eine Meldung in einem persönlichen Gespräch abzugeben (§ 16 Abs. 3 S. 3 HinSchG). Dieses Treffen kann mit Einwilligung der hinweisgebenden Person auch durch Telefonie oder Videotelefonie erfolgen (§ 16 Abs. 3 S. 4 HinSchG).

 

Vertraulichkeit bedeutet, dass die Identität der hinweisgebenden Person, ebenso wie der Personen, die Gegenstand des Hinweises sind oder im Zusammenhang mit der Meldung genannt werden, zu schützen ist. Die Identität darf mithin nur den für die Entgegennahme und die Bearbeitung des Hinweises zuständigen Personen bekannt werden. Die Meldestellen sind zur Vertraulichkeit verpflichtet (§ 8 HinSchG).

 

Vom Vertraulichkeitsgebot gibt es Ausnahmen (§ 9 HinSchG). Sie betreffen z.B. Fälle, in denen die Kenntnis der Identität für die Durchführung von Folgemaßnahmen wie einer internen Untersuchung erforderlich ist oder auch die Weitergabe des Hinweises an eine Ermittlungsbehörde. 

 

Auch ohne extra eingerichteten anonymen Meldekanal können anonyme Hinweise eingehen. Das HinSchG regelt hierzu, dass diese auch bearbeitet werden sollen. Welche Folgemaßnahmen durch die Meldestelle ergriffen werden müssen, richtet sich auch bei anonymen Hinweisen einzelfallbezogen nach dem Ergebnis der Stichhaltigkeitsprüfung und dem Inhalt der Meldung.

 

Der Gesetzesentwurf sieht, ebenso wie bereits die EU-Richtlinie, klare Vorgaben für den Umgang mit Hinweisen vor. 

 

Aus den §§ 11, 17, 18 HinSchG ergibt sich folgendes Verfahren für die Bearbeitung eines Hinweises: 

§ 10 HinSchG berechtigt die Meldestelle zur Verarbeitung personenbezogener Daten, soweit dies zur Erfüllung der Aufgaben (s. Frage 5.6) erforderlich ist. 

Diese Berechtigung bezieht sich auch auf die Verarbeitung besonderer personenbezogener Daten. Für die Verarbeitung besonderer personenbezogener Daten sind angemessene technische und organisatorische Maßnahmen (vgl. § 22 Abs. 2 S. 2 BDSG) zur Wahrung der Interessen des Betroffenen zu ergreifen.

Unternehmen mit mehr als 250 Beschäftigten sind nach Ablauf eines Monats nach Verkündung des Gesetzes verpflichtet, ein System vorzuhalten. Für Unternehmen mit mehr als 50 und weniger als 250 Beschäftigten gilt eine Übergangsfrist und die Pflicht besteht ab dem 17.12.2023.

Wird die Einrichtung des internen Hinweisgebersystems trotz Verpflichtung unterlassen, stellt dies eine Ordnungswidrigkeit dar, die mit einer Geldbuße von bis zu 20.000 EUR geahndet werden kann (§ 40 Abs. 6 S. 1 HinSchG). Die fehlende Einrichtung soll aber erst 6 Monate nach Verkündung geahndet werden können (§ 42 Abs. 2 HinSchG).