Interne und externe Meldestellen haben auch anonym eingehende Meldungen zu bearbeiten und dafür Meldekanäle vorzuhalten, welche die anonyme Kontaktaufnahme und die für die hinweisgebende Person anonyme Kommunikation zwischen hinweisgebender Person und interner/externer Meldestelle ermöglichen.
 
Hinweis: Die Verpflichtung gilt erst zum 1. Januar 2025. Die EU-Whistleblower-Richtlinie sieht keine Verpflichtung zur Annahme und Bearbeitung anonymer Hinweise vor.

Der persönliche Anwendungsbereich des HinSchG ist weit gefasst und umfasst alle Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit Informationen über Verstöße erlangt haben. Dies können neben Arbeitnehmer:innen (vgl. Ausführungen zu „Arbeitnehmer:in“), Verbeamtete, Selbstständige, Anteilseigner:innen oder auch Mitarbeiter:innen von Lieferanten sein.

In den sachlichen Anwendungsbereich werden alle Verstöße einbezogen, die strafbewehrt sind, sowie bußgeldbewehrte Verstöße, soweit die verletzte Vorschrift dem Schutz von Leben, Leib, Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient (u.a. Arbeitsschutz, Gesundheitsschutz). Darüber hinaus sind alle Verstöße gegen Rechtsnormen umfasst, die zur Umsetzung europäischer Regelungen getroffen wurden (in begrenztem Umfang auf nationale Vorschriften aus dem jeweiligen Regelungsbereich ausgedehnt).

Das HinSchG sieht vor, dass die Meldekanäle gegenüber allen Arbeitnehmer:innen des Unternehmens offenstehen müssen. Der Begriff „Arbeitnehmer:in“ wird dabei weit ausgelegt (einschließlich leitender Angestellter, Auszubildende, überlassene Leiharbeitnehmer, arbeitnehmerähnliche Personen sowie Leitungsorgane). Ebenso mit eingeschlossen sind Beamte. Darüber hinaus können die Meldekanäle auch für andere Personen geöffnet werden (vgl. Ausführungen zu „Unternehmens-Externe“).

Das HinSchG verlangt Meldekanäle, die so sicher konzipiert, eingerichtet und betrieben werden, dass nicht nur die Vertraulichkeit der Identität der Hinweisgeber:in, sondern auch die Vertraulichkeit von Dritten, die in der Meldung erwähnt werden, gewahrt bleibt und nicht befugten Mitarbeiter:innen der Zugriff darauf verwehrt wird. Insbesondere das Austarieren von Beschuldigtenschutz einerseits und Hinweisgeberschutz andererseits bereitet bei unternehmensinternen Ermittlungen von Hinweisen häufig Probleme.

Der Betriebsrat hat im Regelfall bei der Implementierung eines Hinweisgebersystems ein Mitbestimmungsrecht, d.h. dass das Hinweisgebersystem in der Regel nicht ohne die vorherige Zustimmung des Betriebsrates eingeführt werden darf. In Konzernen oder Unternehmensgruppen ist sorgsam die Zuständigkeit des Konzernbetriebsrates, der Gesamtbetriebsräte und/ oder der lokalen Betriebsräte zu prüfen und bei Zweifeln auf Delegationsbeschlüsse hinzuwirken.

Wenn die hinweisgebende Person darlegt, dass er/sie Verstöße im Einklang mit dem HinSchG gemeldet oder offengelegt und eine Benachteiligung nach einer Meldung oder Offenlegung erfahren hat, wird vermutet, dass diese Benachteiligung eine verbotene Repressalie ist. D.h., dass in solchen Fällen der Arbeitgeber nachweisen muss, dass sein Vorgehen in keiner Weise mit der erfolgten Meldung oder Offenlegung in Verbindung stand (Beweislastumkehr).

Jedoch muss die hinweisgebende Person darlegen und beweisen, dass eine Maßnahme eine Benachteiligung darstellt.

Ein funktionierendes Hinweisgebersystem ist ein zentraler Baustein eines effektiven CMS und ist insofern zwingend mit den übrigen Elementen eines CMS zu verknüpfen. Neben der Ermittlung von Compliance-Verstößen dient das Hinweisgebersystem auch dazu, zu ermitteln, ob die angestrengten präventiven Compliance-Maßnahmen greifen und etwaiges Fehlverhalten vermieden wird. In gleichem Maße hilft ein Hinweisgebersystem dabei, notwendige Anpassungen und Verbesserungen des CMS zu identifizieren und gleichzeitig zu Gunsten des betroffenen Unternehmens die Deutungshoheit über den der jeweiligen Meldung zu Grunde liegenden Sachverhalt zu bewahren.

Bei der Verarbeitung personenbezogener Daten hat die interne Meldestelle die Vorschriften über den Datenschutz einzuhalten. Soweit die interne Meldestelle zur Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, soll vor allem bei internen Meldestellen, die von einer Einzelperson betrieben werden, diese nicht die für die Verarbeitung verantwortliche Person im Sinne der datenschutzrechtlichen Vorschriften sein.
 
Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist Art. 6 Abs. 1 lit.c DSGVO in Verbindung mit § 10 HinSchG. Dabei umfasst die Norm auch die Verarbeitung besonderer Kategorien personenbezogener Daten aus Art. 9 DSGVO. Bei der Verarbeitung besonderer Kategorien personenbezogener Daten zu den in Satz 1 genannten Zwecken hat die Meldestelle angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen. Dabei ist § 22 Absatz 2 Satz 2 des Bundesdatenschutzgesetzes entsprechend anzuwenden.
 
Die Rechtsgrundlage sollte hinreichend dokumentiert werden. Zudem bedarf es einer vollständigen Information über die Datenverarbeitungen gem. Art. 13, 14 DSGVO und zwar in der Regel gegenüber allen Personen, deren personenbezogene Daten verarbeitet werden. Ferner ist im Rahmen der Implementierung eine Datenschutzfolgenabschätzung durchzuführen.
 
Soweit externe Dritte im Rahmen einer Auftragsverarbeitung mit der Einrichtung und dem Betreiben der internen Meldestelle beauftragt werden, sind die Vorgaben für Auftragsdatenverarbeitungen zu beachten, vgl. Artikel 28 DSGVO. Findet zudem noch eine Verarbeitung außerhalb der EU oder des EWR statt (sei es auch nur ein Zugriff zu Supportzwecken auf Daten in der EU), bedarf es weiterer Schutzmaßnahmen, um ein angemessenes Datenschutzniveau sicherzustellen. Verstößt das Hinweisgebersystem gegen diese oder weitere datenschutzrechtliche Vorgaben, drohen gravierende Sanktionen.

Die Personen, die in einer Meldestelle für die Entgegennahme von Meldungen zuständig sind, dokumentieren alle eingehenden Meldungen in dauerhaft abrufbarer Weise unter Beachtung des Vertraulichkeitsgebotes. Erfolgt die Meldung über das Telefon oder über eine andere Art der Sprachübermittlung, darf eine brauchbare Tonaufzeichnung des Gespräches nur mit der Einwilligung der hinweisgebenden Person erfolgen. Die Dokumentation ist in jedem Fall drei Jahre nach Abschluss des Verfahrens zu löschen.

Eine externe Meldestelle ist eine Behörde, an die mündlich oder schriftlich Informationen über Fehlverhalten mitgeteilt werden können.

Die hinweisgebende Person darf wählen, ob er:sie sich zunächst intern an das Unternehmen und/oder extern an die zuständige Behörde wendet. Er:Sie kann sich also auch direkt an eine zuständige externe Meldestelle wenden.

Eine zentrale externe Meldestelle soll beim Bundesamt für Justiz (BfJ) eingerichtet werden. Daneben sollen die bestehenden Meldesysteme bei der Bundesanstalt für Finanzdienstleistungsaufsicht sowie beim Bundeskartellamt als weitere externe Meldestellen mit Sonderzuständigkeiten weitergeführt werden.

Unternehmen sollten daher intensiv ein internes Hinweisgebersystem unterstützen, um möglichst starke Anreize zu setzen, dass das interne Hinweisgebersystem vorrangig genutzt wird und somit ein externer Hinweis möglichst unterbleibt. Die Unternehmen sollten für Beschäftigte klare und leicht zugängliche Informationen über die Nutzung des internen Meldeverfahrens bereit halten. Die Möglichkeit einer externen Meldung darf hierdurch nicht beschränkt oder erschwert werden.

 Eine falsche Verdächtigung im Rahmen einer Meldung oder Offenlegung kann weitreichende Folgen für die Betroffenen haben. Die Auswirkungen lassen sich unter Umständen nicht mehr gänzlich rückgängig machen. Daher steht den Geschädigten ein Anspruch auf Ersatz des aus einer vorsätzlichen oder grob fahrlässigen unrichtigen Meldung oder Offenlegung entstandenen Schadens zu.

Ferner wird die Identität von Personen, die vorsätzlich oder grob fahrlässig falsche Informationen melden, nach dem HinSchG nicht vor einer Weitergabe geschützt. Im Fall einer solchen Falschmeldung besteht für Personen, die Gegenstand dieser Meldung sind, ein berechtigtes Interesse daran, Kenntnis über die Identität der meldenden Person zu erlangen, um gegebenenfalls Schadensersatzansprüche geltend machen zu können.

Hinweisgebende Person kann jede natürliche Person sein, der gegenüber der Meldekanal offensteht – d.h. jede:r Arbeitnehmer:in des Unternehmens sowie ggf. auch UnternehmensExterne – und die im Zusammenhang mit ihrer Arbeitstätigkeit erlangte Informationen über Verstöße meldet oder offenlegt (vgl. Ausführungen zu „Arbeitnehmer:in“, „Anwendungsbereich“ und „Unternehmens-Externe“

Es zählt zu den Kernpflichten für Unternehmen, (i) hinweisgebende Personen vor Repressalien jeder Art – direkt oder indirekt, einschließlich der Androhung und des Versuchs – zu schützen und (ii) die Vertraulichkeit der Identität von hinweisgebenden Personen zu wahren. Es besteht ein umfangreicher Schutz vor Repressalien.

Sofern die datenschutzrechtlichen Voraussetzungen für einen grenzüberschreitenden Datentransfer eingehalten wurden, kann das Hinweisgebersystem der Konzernmutter nur als zusätzliches Tool genutzt werden. Die Töchter und Enkelunternehmen müssen daneben auch einen lokalen Meldekanal vorhalten (vgl. Ausführungen zum „Zentralen Hinweisgebersystem“).

Eine Stelle innerhalb einer juristischen Person des privaten oder öffentlichen Sektors, an die mündlich oder schriftlich Informationen über Fehlverhalten mitgeteilt werden können, insb. Führungskraft, Compliance Officer, HR Leiter:in, Ombudsperson (z.B. Rechtsanwälte:innen), betrieblicher Arbeitnehmervertreter. Zur besseren Handhabung eines Hinweisgebersystems sollte die Abteilung/ Person, welche die Funktion der internen Meldestellte im Unternehmen wahrnimmt, ausdrücklich mit dieser Verantwortlichkeit betraut werden.

Es dürfen nur die befugten Mitarbeiter:innen, die für die Entgegennahme von Meldungen oder für das Ergreifen von Folgemaßnahmen zu Meldungen zuständig sind, Zugriff auf Informationen haben, aus denen die Identität des/der Hinweisgebers/Hinweisgeberin hervorgeht. In der Regel ist die IT Abteilung aber nicht zuständig für das Entgegennehmen und die Aufklärung von Meldungen, so dass die IT Abteilung von dem Inhalt etwaiger Meldungen abgeschirmt werden muss.

Nicht für alle Meldungen oder Offenlegungen kann Hinweisgeberschutz erwirkt werden.

Sicherheitsinteressen sowie Verschwiegenheits- und Geheimhaltungspflichten haben Vorrang vor dem HinSchG (z.B.: Verschwiegenheitspflichten von Rechtsanwälten, Notaren oder Ärzten und Apothekern.)

Es gibt aber Fälle, bei denen trotz bestehender Verschwiegenheits- oder Geheimhaltungspflichten Schutz nach dem HinSchG besteht. Dafür muss die hinweisgebende Person hinreichenden Grund zu der Annahme haben, dass diese Meldung oder diese Offenlegung notwendig ist, um einen Verstoß aufzudecken. Davon betroffen sind Personen, die Geschäftsgeheimnisse bzw. vertrauliche Informationen in einem beruflichen Kontext erlangt haben. Sie
genießen den Schutz i.S.d. HinSchG, wenn sie die Voraussetzungen dieses Gesetzes erfüllen und die Weitergabe des Geschäftsgeheimnisses erforderlich war, um einen Verstoß im sachlichen Anwendungsbereich dieses Gesetzes aufzudecken. Eine Weitergabe von Geschäftsgeheimnissen bzw. vertraulichen Informationen ist damit erlaubt.

Eine hinweisgebende Person, welche Informationen gegenüber der Öffentlichkeit offenbart, kann sich nur dann auf den vorgesehenen Whistleblower-Schutz berufen, wenn durch das Unternehmen (intern) und/oder die Behörde (extern) keine geeigneten Maßnahmen innerhalb des vorgesehenen Zeitrahmens ergriffen wurden oder im Ausnahmefall auch bei hinreichendem Grund zur Annahme der Gefährdung des öffentlichen Interesses, Befürchtung von Repressalien oder fehlender Aussicht auf Aufklärung.

Das HinSchG schützt daher als äußerste Möglichkeit auch die Abgabe von Hinweisen an die Öffentlichkeit, z.B. über soziale Medien oder an die Strafverfolgungsbehörden.

Ja, die Verpflichtung zur Einrichtung interner Meldekanäle und Verfahren für interne Meldungen und für Folgemaßnahmen gilt für juristische Personen des privaten und des öffentlichen Sektors. Für Gemeinden und Gemeindeverbände und solche Beschäftigungsgeber, die im Eigentum oder unter der Kontrolle von Gemeinden und Gemeindeverbänden stehen, richtet sich die Pflicht zur Einrichtung interner Meldestellen nach dem jeweiligen Landesrecht.

Zudem bestehen einige der Verpflichtungen der EU-Whistleblower Richtlinie nicht erst ab Inkrafttreten des HinSchG, sondern bereits seit dem 18. Dezember 2021. Spätestens ab Inkrafttreten greifen sämtliche Hinweisgeberschutzpflichten für den öffentlichen Dienst.

Bei einem Ombudssystem handelt es sich im Regelfall um externe Rechtsanwält:innen, die den Hinweisgebern als Anlaufstelle zur Verfügung stehen. Diese geben den Hinweis – ggf. nach Vornahme eines rechtlichen „First-Level-Checks“ – an das Unternehmen weiter. Ja, die Einrichtung eines Ombudssystems stellt auch weiterhin einen zulässigen Meldekanal dar.

Alle direkten oder indirekten Handlungen oder Unterlassungen in einem beruflichen Kontext, die durch eine interne oder externe Meldung oder eine Offenlegung ausgelöst werden und durch die eine ungerechtfertigter Nachteil für den/die Hinweisgeber:in entstehen kann (z.B. Kündigung oder Suspendierung, Abmahnung, Versetzung oder Aufgabenverlagerung, ausbleibende Beförderung, Nichtbewilligung einer Fortbildung, soziales Ausgrenzung, Mobbing etc.). Bei einem Verstoß gegen das Verbot von Repressalien ist der Verursacher verpflichtet, der hinweisgebenden Person den daraus entstehenden Schaden zu ersetzen. Wegen eines Schadens, der nicht Vermögensschaden ist, kann die hinweisgebende Person eine angemessene Entschädigung in Geld verlangen. 

Es ist ein Bußgeld vorgesehen, wenn ein internes Meldesystem nicht eingerichtet oder nicht betrieben wird. Daneben besteht natürlich das Risiko eines (legitimen) Know-how Abflusses aufgrund von öffentlichen Meldungen (insbesondere von Geschäftsgeheimnissen) sowie eine Gefahr von Reputationsschäden (vgl. „Sanktionen“).

Die hinweisgebenden Person soll möglichst umfassend über den Umgang mit seinem:ihrem Hinweis unterrichtet werden. Dies umfasst sowohl eine Empfangsbestätigung als auch eine Darlegung der geplanten und ergriffenen Folgemaßnahmen sowie der Ergebnisse einer etwaigen Untersuchung.

Innerhalb einer Frist von 7 Tagen nach Eingang einer Meldung ist der hinweisgebenden Person der Eingang zu bestätigen. Innerhalb eines angemessenen zeitlichen Rahmens – maximal innerhalb von 3 Monaten – ist der hinweisgebenden Person eine Rückmeldung über Folgemaßnahmen zu geben.

Das Verhindern einer Meldung und die darauffolgende Kommunikation, das Ergreifen einer verbotenen Repressalie oder das vorsätzliche oder leichtfertige Missachten des Vertraulichkeitsgebotes ist mit einem Bußgeld von bis zu EUR 100.000 belegt. Das fahrlässige Missachten des Vertraulichkeitsgebotes ist mit einem Bußgeld von bis zu EUR 10.000 bedroht. Unternehmen, die ihrer Pflicht zur Einrichtung und zum Betrieb einer internen Meldestelle nicht nachkommen, droht eine Geldbuße von bis zu EUR 20.000.

Durch den Verweis auf §§ 30, 130 OWiG ist es möglich, dass bei gravierenden Verstößen die Höchstgrenze für Geldbußen verzehnfacht werden kann.

Häufig ist es für Mitarbeiter:innen nicht einfach zu beurteilen, ob ein erlebtes Verhalten, einen „Rechtsverstoß“ oder ein „unethisches Verhalten“ darstellt. Es ist daher ratsam, den Unternehmensangehörigen mittels klar formulierter Richtlinien und Guidelines ein unmissverständliches Bild davon zu vermitteln, welche Verhaltensweisen als meldewürdig erachtet werden. Komplexe Rechtsbegriffe sollten so gut es geht vermieden werden. Gleiches gilt für die Vermittlung eines möglichst transparenten Verständnisses von den Zuständigkeiten und Prozessen zur Bearbeitung von eingehenden Hinweisen, um das Vertrauen der Mitarbeiter in die Funktionsweise und Effektivität eines Hinweisgebersystems zu gewinnen und zu bewahren. Hierzu sollen den potentiellen hinweisgebenden Personen zutreffende Informationen in einer leicht zugänglichen Weise bereitgestellt werden. Es ist daher empfehlenswert, den Whistleblowing-Prozess (sofern mangels Betriebsrats eine Betriebsvereinbarung nicht ohnehin zu schließen ist) in einer Richtlinie/Policy festzuschreiben und diese allen Mitarbeiter:innen auszuhändigen.

Das HinSchG begründet keine Pflicht für Unternehmen, Hinweise von Personen, die nicht in den persönlichen Anwendungsbereich fallen, d.h. von Unternehmens-Externen, zuzulassen. Es empfiehlt sich jedoch, dies als Option zu berücksichtigen, insb. im Hinblick auf die im Lieferkettensorgfaltspflichtengesetz vorgesehene Verpflichtung zur Einrichtung eines Beschwerdeverfahrens.

Nach dem Anwendungsbereich der EU-Whistleblower Richtlinie unterliegt nur die Meldung von Verstößen gegen bestimmtes Unionsrecht deren Schutz. Das HinSchG weitet den sachlichen Anwendungsbereich aus und bezieht Verstöße gegen das nationale Recht mit ein. Es fallen Verstöße gegen Strafvorschriften, Verstöße, die bußgeldbewehrt sind, soweit sie dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dienen sowie alle Verstöße gegen Rechtsvorschriften des Bundes und der Länder in den sachlichen Anwendungsbereich des HinSchG.

Ja, das HinschG verlangt Meldekanäle, die so sicher konzipiert, eingerichtet und betrieben werden, dass die Vertraulichkeit der Identität der hinweisgebenden Person und Dritter, die in der Meldung erwähnt werden, gewahrt bleibt und nicht befugten Mitarbeiter:innen der Zugriff darauf verwehrt wird.

Das HinSchG regelt jedoch Ausnahmetatbestände, wonach das Gebot der Vertraulichkeit in bestimmten Fällen nicht gilt (z.B. ist die Identität einer Person, welche vorsätzlich oder grob fahrlässig eine falsche Information meldet, nicht vom Schutz der Vertraulichkeit umfasst).

Es ist ferner empfehlenswert, dass alle Mitarbeiter:innen, die befugt sind, Hinweismeldungen entgegenzunehmen und / oder zu bearbeiten, eine gesonderte Vertraulichkeitserklärung
unterzeichnen.

Nach bisheriger Auffassung der EU-Kommission, die sich zu dieser Frage im Sommer 2021 geäußert hat, stellt ein konzernweites zentrales Hinweisgebersystem bei der Muttergesellschaft keine zulässige Ressourcenteilung dar, sodass Tochtergesellschaften, die aufgrund ihrer Mitarbeiterzahl in den Anwendungsbereich fallen, (zusätzlich) noch ein eigenes dezentrales Hinweisgebersystem einrichten müssen.

Das HinSchG spricht sich dagegen ausdrücklich für ein sog. „Konzernprivileg“ aus, d. h. konzernweite Meldestellen bleiben zulässig. Danach kann die interne Meldestelle eines Unternehmens nicht nur beispielsweise an Anwaltskanzleien „outgesourct“ werden, sondern auch innerhalb eines Konzerns zentral bei einer Konzerngesellschaft eine unabhängige und vertrauliche Stelle als Dritter im Sinne des § 14 Absatz 1 HinSchG angesiedelt werden. Dabei ist es notwendig, dass die originäre Verantwortung dafür, einen festgestellten Verstoß weiterzuverfolgen und zu beheben, immer bei dem jeweiligen beauftragenden Konzernunternehmen verbleibt. Für hinweisgebende Personen muss ein leichter Zugang gewährleistet (z.B. keine sprachlichen Barrieren) sein. 

Angesichts des Widerspruchs des HinSchG zur Auffassung der EU-Kommission, ist es ratsam, die Zulässigkeit konzernweiter Meldestellen kritisch zu hinterfragen.