HinSchG und der Bundesrat: Der lange Weg zum Hinweisgeberschutzgesetz und seine operativen Pflichten

Das Hinweisgeberschutzgesetz (HinSchG) trat am 2. Juli 2023 in Kraft und setzt die EU-Whistleblower-Richtlinie (Richtlinie (EU) 2019/1937) in deutsches Recht um. Der Weg dorthin war ungewöhnlich. Der Bundestag verabschiedete das Gesetz am 16. Dezember 2022. Der Bundesrat verweigerte am 10. Februar 2023 die Zustimmung. Der Vermittlungsausschuss einigte sich am 9. Mai 2023, der Bundestag stimmte am 11. Mai 2023, der Bundesrat folgte am 12. Mai 2023. Die EU-Kommission hatte zwischenzeitlich am 15. Februar 2023 Klage vor dem EuGH wegen verspäteter Umsetzung erhoben.

Inhaltlich brachten die Verhandlungen Änderungen, die für die operative Umsetzung relevant sind: Die Pflicht zur Annahme anonymer Meldungen wurde entschärft, der Bußgeldrahmen wurde von 100.000 Euro auf 50.000 Euro halbiert, der Bezug zu verfassungsfeindlichen Äußerungen wurde gestrichen. Dieser Beitrag fasst die Genese und die heute laufenden Pflichten zusammen, mit Fokus auf Unternehmen mit 50 bis 249 Beschäftigten, für die die Pflicht seit 17. Dezember 2023 gilt.

Die EU-Whistleblower-Richtlinie (Richtlinie (EU) 2019/1937) wäre bis 17. Dezember 2021 umzusetzen gewesen. Deutschland verfehlte die Frist deutlich. Der Regierungsentwurf wurde am 27. Juli 2022 vom Bundeskabinett beschlossen, der Bundestag verabschiedete das Gesetz am 16. Dezember 2022. Der Bundesrat verweigerte am 10. Februar 2023 die Zustimmung, obwohl die Bundesregierung das Gesetz ursprünglich als nicht zustimmungspflichtig eingestuft hatte. Hintergrund war der Streit um die Inanspruchnahme der Länder durch die Pflicht zur Einrichtung externer Meldestellen.

Die Bundesregierung berief den Vermittlungsausschuss am 30. März 2023 an. Die Einigung am 9. Mai 2023 reduzierte den Bußgeldrahmen, klärte die Pflicht zur Bearbeitung anonymer Meldungen und beseitigte einige sachlich-politisch strittige Passagen. Der Bundestag bestätigte das Vermittlungsergebnis am 11. Mai 2023, der Bundesrat stimmte am 12. Mai 2023 zu. Die Verkündung im Bundesgesetzblatt erfolgte am 2. Juni 2023, das Gesetz trat am 2. Juli 2023 in Kraft. Die EuGH-Klage der Kommission gegen Deutschland wurde nach Inkrafttreten zurückgenommen. Wer die Genese kennt, versteht, warum Kommentarliteratur und behördliche Hinweise zeitweise widersprüchliche Versionen referenzierten.

§ 12 HinSchG verpflichtet Beschäftigungsgeber mit in der Regel mindestens 50 Beschäftigten zur Einrichtung einer internen Meldestelle. Für Beschäftigungsgeber mit 50 bis 249 Beschäftigten galt nach § 42 HinSchG eine Übergangsfrist bis 17. Dezember 2023. Seit diesem Datum laufen die Pflichten flächendeckend. Für Beschäftigungsgeber mit 250 und mehr Beschäftigten gilt die Pflicht seit Inkrafttreten am 2. Juli 2023. Ohne Schwellenwert verpflichtet sind unter anderem Wertpapierdienstleistungsunternehmen, Kapitalverwaltungsgesellschaften, Versicherungen, bestimmte Finanzdienstleister und Verpflichtete nach dem Geldwäschegesetz.

Die Schwelle bemisst sich an der Zahl der Beschäftigten ohne Berücksichtigung von Auszubildenden und Leiharbeitnehmern, die auf der Grundlage einer Anordnung des Beschäftigungsgebers eingesetzt werden. Gemeinsame Meldestellen mehrerer Unternehmen sind nach § 14 Absatz 2 HinSchG zulässig, sofern die Vertraulichkeit gewahrt bleibt. Konzerne können nach § 14 Absatz 1 HinSchG die Aufgaben einer internen Meldestelle bei einer anderen Konzerngesellschaft ansiedeln, was das Bundesarbeitsministerium ausdrücklich klargestellt hat. Die Übersicht der internen Meldestelle beschreibt die Pflichten in der Praxis.

§ 2 HinSchG legt den sachlichen Anwendungsbereich fest. Geschützt sind Meldungen über Verstöße, die strafbewehrt sind, über Verstöße, die bußgeldbewehrt sind, soweit die verletzte Vorschrift dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient, sowie über Verstöße gegen Rechtsvorschriften des Bundes und der Länder und unmittelbar geltende Rechtsakte der EU in den in § 2 Absatz 1 Nummer 3 aufgezählten Bereichen.

Die Liste umfasst Geldwäsche und Terrorismusfinanzierung, Produktsicherheit, Verkehrssicherheit, Umweltschutz, Strahlenschutz, Lebensmittel- und Futtermittelsicherheit, Tiergesundheit, öffentliche Gesundheit, Verbraucherschutz, Datenschutz und Sicherheit von Netz- und Informationssystemen, finanzielle Interessen der EU, Binnenmarkt einschließlich Wettbewerbs- und Beihilfenrecht sowie Körperschaftsbesteuerung. Steuerliche Meldungen über Umsatzsteuer und Körperschaftsteuer sind ausdrücklich erfasst, einkommensteuerliche Verstöße nicht. Verstöße gegen verfassungsfeindliche Äußerungen sind nach der Vermittlungseinigung nicht mehr ausdrücklich erfasst, fallen aber in Teilen über andere Tatbestände (zum Beispiel § 130 StGB). Die Abgrenzung zu nicht erfassten Meldungen ist Teil der Arbeit des Beauftragten der internen Meldestelle, der mit dem Compliance-Beauftragten abstimmt.

§§ 12 bis 18 HinSchG regeln die interne Meldestelle. Sie muss mündliche, schriftliche und auf Wunsch persönliche Meldungen ermöglichen. Mündliche Meldungen erfolgen telefonisch oder durch andere Arten der Sprachübermittlung; persönliche Treffen sind innerhalb angemessener Zeit zu ermöglichen. Die internen Meldekanäle müssen so gestaltet sein, dass die Vertraulichkeit der Identität der hinweisgebenden Person und der weiteren in der Meldung genannten Personen gewahrt bleibt. Zugang zu den Meldungen haben ausschließlich die für die Entgegennahme zuständigen Personen und Personen, die diese bei der Erfüllung ihrer Aufgaben unterstützen.

§ 17 HinSchG legt das Verfahren fest. Eingangsbestätigung an die hinweisgebende Person innerhalb von sieben Tagen, Prüfung der Stichhaltigkeit, Aufrechterhaltung des Kontakts, Ergreifung angemessener Folgemaßnahmen und Rückmeldung an die hinweisgebende Person innerhalb von drei Monaten nach Eingangsbestätigung. Die Folgemaßnahmen umfassen interne Untersuchungen, Verweisung an die zuständige Stelle, Abgabe an eine zuständige Behörde oder Abschluss des Verfahrens. Frist läuft ab Kenntnis. Anonyme Meldungen sollen bearbeitet werden, eine zwingende Bearbeitungspflicht besteht nach dem Vermittlungsergebnis nicht; die Praxis tendiert dazu, anonyme Meldungen anzunehmen, um den Schutz nach § 35 HinSchG nicht durch faktische Sperre auszuhöhlen.

§ 36 HinSchG verbietet jede Benachteiligung hinweisgebender Personen und der mit ihnen verbundenen Personen wegen einer Meldung oder Offenlegung. Benachteiligungen umfassen Kündigung, Versagung einer Beförderung, Versetzung, Lohnminderung, Ausgrenzung, Mobbing, ungerechtfertigte negative Leistungsbeurteilung, Aufhebung eines Aufstiegs und ähnliche Nachteile. § 36 Absatz 2 HinSchG enthält eine Beweislastumkehr: Erleidet eine hinweisgebende Person nach einer Meldung eine Benachteiligung, wird vermutet, dass die Benachteiligung eine Folge der Meldung war. Der Beschäftigungsgeber muss beweisen, dass die Maßnahme auf hinreichend gerechtfertigten Gründen beruhte oder dass sie nicht auf der Meldung beruhte.

§ 37 HinSchG regelt den Schadensersatz. Bei einer Verletzung des Benachteiligungsverbots schuldet die verantwortliche Person Ersatz des entstandenen Schadens. Auch ein Schaden, der nicht Vermögensschaden ist, ist angemessen in Geld zu entschädigen. Der Schutz erstreckt sich auf Beschäftigte, Bewerber, ehemals Beschäftigte, Selbständige, Anteilseigner, Geschäftsführer, Mitglieder von Organen und Beratungsgremien sowie Praktikanten und Personen, die Tätigkeiten unter der Aufsicht und Leitung des Beschäftigungsgebers verrichten. Bestellurkunde, unterschrieben, abgelegt, belegbar. Die Beweislastumkehr macht die Dokumentation jeder personalrelevanten Entscheidung nach einer Meldung zur zentralen Aufgabe.

§§ 19 bis 31 HinSchG regeln die externen Meldestellen. Beim Bundesamt für Justiz ist die externe Meldestelle des Bundes nach § 19 HinSchG eingerichtet. Spezielle externe Meldestellen bestehen bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für Verstöße im Anwendungsbereich des Wertpapierhandels- und Bankenaufsichtsrechts und beim Bundeskartellamt für Verstöße gegen das Kartellrecht. Die Länder können nach § 20 HinSchG eigene externe Meldestellen einrichten, eine Pflicht besteht nicht.

Hinweisgebende Personen können nach § 7 Absatz 1 HinSchG frei wählen, ob sie eine interne oder eine externe Meldestelle nutzen. Diese Wahlfreiheit war im ursprünglichen Bundestagsentwurf strittig; das HinSchG hat sie unverändert übernommen. § 7 Absatz 2 HinSchG empfiehlt die interne Meldung, soweit intern wirksam gegen den Verstoß vorgegangen werden kann und die hinweisgebende Person keine Repressalien befürchtet. In der Praxis stärkt eine professionell eingerichtete interne Meldestelle das Vertrauen und verringert die Quote externer Meldungen. Eine externe Meldung führt nicht zu Sanktionen für die hinweisgebende Person, auch nicht, wenn die interne Stelle nicht zuerst befasst wurde. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

§ 40 HinSchG sieht Bußgelder vor. Die Behinderung einer Meldung oder der Kommunikation zwischen der hinweisgebenden Person und der internen oder externen Meldestelle wird mit bis zu 50.000 Euro geahndet. Die Repressalie gegen eine hinweisgebende Person, das Verletzen des Vertraulichkeitsgebots und die vorsätzliche oder fahrlässige Offenlegung der Identität der hinweisgebenden Person werden ebenfalls mit bis zu 50.000 Euro geahndet. Die Nichteinrichtung einer internen Meldestelle ist nach § 40 Absatz 2 Nummer 2 HinSchG mit bis zu 20.000 Euro bußgeldbewehrt. Der Bußgeldrahmen wurde im Vermittlungsausschuss von ursprünglich 100.000 Euro auf 50.000 Euro reduziert.

Die Verarbeitung personenbezogener Daten in der internen Meldestelle ist nach § 10 HinSchG und nach Artikel 6 DSGVO zulässig. § 11 HinSchG ordnet die Dokumentation jeder Meldung an. Mündliche Meldungen sind durch eine vollständige und genaue Niederschrift, durch eine dauerhafte und abrufbare Tonaufzeichnung mit Einwilligung oder durch eine Niederschrift des Gesprächs zu dokumentieren. Die Dokumentation ist drei Jahre nach Abschluss des Verfahrens aufzubewahren und unverzüglich zu löschen, wenn sie für die Erfüllung der Aufgaben nicht mehr erforderlich ist. Eine längere Aufbewahrung ist zulässig, soweit dies für rechtliche Zwecke erforderlich und verhältnismäßig ist. Der Prüfer ruft an, der Nachweis liegt bereit.

Die Einrichtung einer rechtssicheren internen Meldestelle ist in 30 Tagen machbar, wenn die Reihenfolge stimmt. Schritt 1: Bestellurkunde der Meldestellenbeauftragten mit Befugnissen, Berichtslinie und Unabhängigkeitsklausel. Schritt 2: Verfahrensordnung mit Eingangsbestätigung (sieben Tage), Rückmeldefrist (drei Monate), Eskalationspfaden und DSGVO-Lösch- und Aufbewahrungsregeln. Schritt 3: Technische Meldekanäle (Webformular, E-Mail-Postfach, Telefonleitung mit Voicemail-Funktion, persönliches Treffen auf Wunsch).

Schritt 4: Schulung der Beauftragten und der Geschäftsleitung zu Vertraulichkeit, Befangenheit und Untersuchungsstandards. Schritt 5: Kommunikation an die Belegschaft über Aushang, Intranet, Onboarding und Verträge mit externen Beschäftigten. Schritt 6: Verzeichnis der Verarbeitungstätigkeiten nach Artikel 30 DSGVO, Anpassung der Datenschutzhinweise und gegebenenfalls Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO. Schritt 7: Test des Eingangskanals mit einer dokumentierten Probemeldung. Schritt 8: Reportingstruktur an die Geschäftsleitung mit Quartals- und Jahresbericht. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Audit-fest, dokumentiert, § 12-fest.

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service. Für das HinSchG bietet die Plattform einen sicheren Meldekanal mit EU-Datenresidenz, eine Verfahrensordnung als Vorlage, Vertraulichkeitsschutz durch rollenbasierte Zugriffe, integrierte Sieben-Tage- und Drei-Monats-Fristen, sowie Dokumentationsvorlagen, die § 11 HinSchG genügen. Die 37 einsatzbereiten Audit-Vorlagen werden ergänzt um spezifische Bausteine für Eingangsbestätigung, Folgemaßnahmen und Abschlussbericht.

Das duale Modell ist einfach: Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Wer keinen freien Kopf in der Rechtsabteilung hat oder Anonymität gegenüber dem Arbeitgeber maximieren möchte, wählt die externe Bestellung. Die CIVAC-SLA für eine Bestellung liegt bei zwei Werktagen, statt zwei bis sechs Wochen im klassischen Markt. Bestellurkunde, unterschrieben, abgelegt, belegbar. Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Frist läuft ab Kenntnis, und der nächste Eingang braucht eine Eingangsbestätigung innerhalb von sieben Tagen.