Der Deutsche Bundestag verabschiedete das Hinweisgeberschutzgesetz am 16.12.2022. Der Bundesrat blockiert das Hinweisgeberschutzgesetz jedoch. Am 10.02.2023 wurde dem Gesetz entgegen vieler Erwartungen nicht zugestimmt. Vor allem von Unions-Politikern wurden die Anforderungen als zu weitgehend kritisiert, würde doch dergestalt Denunziation Tür und Tor geöffnet. Die Unabhängigkeit der internen Meldestelle und deren (Prüf-)Aufgaben wurden hierbei allerdings kaum diskutiert.

Am 09.05.2023 hat sich der Vermittlungsausschuss von Bundestag und Bundesrat auf Änderungen am Hinweisgeberschutzgesetz geeinigt. Der Bundestag verabschiedete das Gesetz am 11.05.2023 und der Bundesrat stimmte am 12.05.2023 zu. Damit hatte das ewige Gezerre um die Umsetzung der EU-Whistleblower-Richtlinie ein Ende. Dies nicht zuletzt wegen der drohenden Millionenstrafe für Deutschland im Wege eines Vertragsverletzungsverfahrens vor dem Europäischen Gerichtshof (EuGH). Nach der Ausfertigung durch den Bundespräsidenten wurde das Gesetz am 02.06.2023 im Bundesgesetzblatt verkündet (BGBl. I Nr. 140 vom 02.06.2023) . Es ist im Wesentlichen am 02.07.2023 in Kraft getreten.

Begriffsbestimmungen
Whistleblower (zu deutsch zunehmend Hinweisgeber, Enthüller oder Aufdecker) ist der Anglizismus für eine Person, die für die Öffentlichkeit wichtige Informationen aus einem geheimen oder geschützten Zusammenhang veröffentlicht. Das HinSchG verwendet den Begriff „hinweisgebende Person“. Und was im Datenschutzrecht der Verantwortliche ist, ist im Hinweisgeberschutzgesetz der Beschäftigungsgeber (vgl. § 3 Abs. 9 HinSchG).
Verstöße sind Handlungen oder Unterlassungen im Rahmen einer beruflichen, unternehmerischen oder dienstlichen Tätigkeit, die rechtswidrig sind und Vorschriften oder Rechtsgebiete betreffen […] (vgl. (§ 3 Abs. 2 HinSchG).
Informationen über Verstöße sind begründete Verdachtsmomente oder Wissen über tatsächliche oder mögliche Verstöße, […] (vgl. § 3 Abs. 3 HinSchG).
§ 3 Abs. 8 HinSchG definiert den Begriff Beschäftigte. Die Definition ist mit § 26 Abs. 8 des Bundesdatenschutzgesetzes (BDSG) vergleichbar.

Anwendungsbereich
Der persönliche Anwendungsbereich ist in § 1 HinSchG geregelt. Das Gesetz regelt den Schutz von natürlichen Personen als hinweisgebende Person sowie den Schutz von Personen, die Gegenstand einer Meldung oder Offenlegung sind.
Der sachliche Anwendungsbereich ist in § 2 HinSchG definiert. Das Gesetz gilt für die Meldung (§ 3 Abs. 4 HinSchG) und die Offenlegung (§ 3 Abs. 5 HinSchG) von Informationen über

1. Verstöße, die strafbewehrt sind,
2. Verstöße, die bußgeldbewehrt sind, soweit die verletzte Vorschrift dem Schutz von leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient,
3. sonstige Verstöße gegen Rechtsvorschriften des Bundes und der Länder sowie unmittelbare geltende Rechtsakte der Europäischen Union […].
4. Neben Verstößen gegen das Strafrecht erstreckt sich das HinSchG unter anderem auch auf Verstöße gegen Vorgaben zur Produktsicherheit, Produktkonformität sowie zum Umweltschutz und Datenschutz.

Der Schutz der Privatsphäre in der elektronischen Kommunikation, der Schutz der Vertraulichkeit der Kommunikation, der Schutz personenbezogenen Daten im Bereich der elektronischen Kommunikation, […] ist ebenso vom Anwendungsbereich umfasst (§ 2 Abs. 1 lit. o HinSchG) wie der Schutz personenbezogener Daten im Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) (§ 2 Abs. 1 lit. p HinSchG).

Wen schützt das HinSchG?
Geschützt sind
- die hinweisgebende Person,
- Personen, welche die hinweisgebende Person unterstützen,
- Personen, die Gegenstand der Meldung sind sowie
- sonstige Personen, die von einer Meldung betroffen sind.

Verpflichtung zur Einführung eines Hinweisgeberverfahrens (interne Meldestelle)
Das HinSchG gilt für jede deutsche Organisation und Behörde, also für nicht-öffentliche wie auch für öffentliche Institutionen.

- Seit dem 02.07.2023 müssen Unternehmen regulierter Industrien oder ab 250 Beschäftigten eine interne Meldestelle  implementiert haben.
- Ab 17.12.2023 müssen dann Unternehmen ab 50 Beschäftigte eine interne Meldestelle eingerichtet haben.
- Für Betriebe mit weniger als 50 Beschäftigten besteht keine Verpflichtung zur Einrichtung einer internen Meldestelle.

Entsprechende Prozesse und Verfahren zur Annahme und Bearbeitung von Informationen und vor allem Maßnahmen zum Schutz der hinweisgebenden Person sollten dennoch bestehen.

Aufgaben einer internen Meldestelle
Die Pflicht zur Einrichtung einer internen Meldestelle ergibt sich für den Beschäftigungsgeber aus § 12 HinSchG. Die Aufgaben der internen Meldestellen sind in § 13 HinSchG geregelt: Die internen Meldestellen betreiben Meldekanäle nach § 16 HinSchG, führen das Verfahren nach § 17 HinSchG und ergreifen Folgemaßnahme nach § 18 HinSchG.

Demzufolge sind die Aufgaben u.a.:
- Betreiben von internen Meldekanälen:
- Mündlich, d.h. Meldungen müssen per Telefon oder mittels einer anderen Art der Sprachübermittlung möglich sein;
- Meldung in Textform, z.B. per E-Mail;
- Persönlich, auf Ersuchen der hinweisgebenden Person.
- Eine gesetzliche Verpflichtung für den Betrieb einer Meldeplattform (softwarebasiertes Hinweisgebersystem) gibt es nicht.
- § 17 HinSchG regelt das Verfahren bei internen Meldungen, wie z.B. die Bestätigung des Meldeeingangs an die hinweisgebende Person binnen sieben Tagen wie auch die Rückmeldung nach drei Monaten.
- Als Folgemaßnahmen kann die interne Meldestelle (§ 18 HinSchG) z.B.
- interne Untersuchungen durchführen und betroffene Personen kontaktieren;
- das Verfahren aus Mangel an Beweisen oder aus anderen Gründen abschließen;
- das Verfahren zwecks weiterer Untersuchung abgeben an z.B. eine zuständige Behörde.
- Beachtung der datenschutzrechtlichen Anforderungen, wie z.B. Informationspflichten, Einwilligungen, Betroffenenrechte, etc.
- Die Meldungen und die Maßnahmen sind zu dokumentieren (Rechenschaftspflichten) und entsprechend aufzubewahren (drei Jahre).
- Es besteht keine Pflicht für die Einrichtung eines anonymen Meldekanals. Die Bearbeitung von anonymen Meldungen ist daher keine Pflicht, sie sollten aber bearbeitet werden.

Personen, die einen Hinweis auf einen Verstoß geben wollen, können sich wahlweise an eine interne oder eine externe Meldestelle wenden. Der internen Meldestelle ist der Vorzug zu geben, d.h. der Beschäftigungsgeber soll hier Anreize schaffen, dass der Hinweisgeber diesen Weg wählt (was nur im Interesse des Unternehmens ist). Grundsätzlich kann eine interne Meldestelle, die die internen Meldekanäle „betreibt“ an einen Dienstleister delegiert werden (externe Ombudsperson). Für viele klein- und mittelständische Unternehmen wird dies auch ein sinnvoller und empfehlenswerter Weg sein. Die Beauftragung eines externen Dritten bietet sich auch insofern an, um Interessenkonflikte zu vermeiden und Unabhängigkeit und Weisungsfreiheit zu gewährleisten. Die Meldestelle bleibt dabei aber rechtlich gesehen weiterhin eine „interne Meldestelle“. Externe Meldestellen (§§ 22 ff. HinSchG) wurden zum Inkrafttreten des Hinweisgeberschutzgesetzes auf der Webseite des Bundesamtes für Justiz veröffentlicht, über die sich hinweisgebende Personen an die externe Meldestelle des Bundes wenden können.

Welche Sanktionen sind geregelt?
Verstöße gegen die Vorgaben des HinSchG können mit einem Bußgeld geahndet werden. Dies gilt beispielsweise für Unternehmen, die keine interne Meldestelle einrichten (bis zu 20.000,00 Euro), die Meldungen behindern oder die Repressalien gegen die hinweisgebende Person ergreifen. Für den Fall, dass Beschäftigungsgeber die Vorgaben des HinSchG nicht einhalten, sind ferner Bußgelder von bis zu 50.000 Euro vorgesehen.
Aber auch der Ersatz von Schäden durch den Hinweisgeber bei vorsätzlicher und/oder grob fahrlässiger Falschmeldung sowie Schadensersatzansprüche des Hinweisgebers bei Vergeltungsmaßnahmen sind geregelt (§ 40 HinSchG).

Was ist aus Datenschutzsicht zu beachten?
Nach Art. 9 Whistleblower-Richtlinie müssen die internen Meldekanäle so sicher konzipiert sein, dass die Vertraulichkeit der Identität des Hinweisgebers und Dritter, die in der Meldung erwähnt werden, gewahrt bleibt. § 8 HinSchG regelt in Abs. 1, dass die Meldestellen die Vertraulichkeit der Identität der hinweisgebenden Person, der Personen, die Gegenstand einer Meldung sind und die sonstigen in der Meldung genannten Personen zu wahren hat. Dabei gilt das Gebot der Vertraulichkeit der Identität unabhängig davon, ob die Meldestelle für die eingehende Meldung zuständig ist oder nicht.
Es gelten grundsätzlich die Vorgaben der Datenschutz-Grundverordnung (DSGVO). § 10 HinSchG regelt die Verarbeitung der personenbezogenen Daten. Die Meldestelle ist befugt, personenbezogene Daten zu verarbeiten, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist.

Datenschutz-Folgenabschätzung
Nach der DSGVO ist das Unternehmen verpflichtet, bei Verarbeitungsvorgängen, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Aufgrund des (potenziell) hohen Risikos für die Rechte und Freiheiten natürlicher Personen, das sich aus der Meldung von Missständen ergibt, ist eine DSFA durchzuführen (Art. 35 Abs. 1 DSGVO). Dies gilt insbesondere auch im Hinblick auf die Verarbeitung kritischer und sensibler Daten durch die interne Meldestelle.

Weitere datenschutzrechtliche Anforderungen
Die Grundsätze der Verarbeitung personenbezogener Daten (Art. 5 Abs. 1 DSGVO) wie u.a. Zweckbindung, Datenminimierung und Transparenz sowie die Rechenschaftspflicht sind selbstverständlich einzuhalten und zu gewährleisten.
Gemäß Art. 15 DSGVO besteht ein Auskunftsrecht des Betroffenen. Gemäß Art. 14 DSGVO (Informationspflicht) sind Unternehmen verpflichtet, Betroffene über die Datenverarbeitung, den Eingang einer ihre Person betreffende Whistleblowing-Meldung, zu informieren. Es sind geeignete technisch-organisatorische Maßnahmen zu treffen. Ein Zugriff von Unbefugten ist auszuschließen und die Identität jeder von einer Meldung betroffenen Person muss geschützt sein. Ein Berechtigungskonzept („need-to-know-Prinzip“), die Protokollierung von Dateieingaben sowie eine abrufbare Dokumentation sind sicherzustellen wie auch ein entsprechendes Löschkonzept. Die Verarbeitungen sind im Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren.

Die Organisation hat die Umsetzung und Einhaltung des Datenschutzrechts nachzuweisen. Vor allem ist es empfehlenswert – und eigentlich zwingend erforderlich, denn nur dann kann es effektiv sein – die Prozesse für die hinweisgebende Person transparent darzulegen, die Beschäftigten zu informieren und zu schulen. Der Datenschutzbeauftragte sollte hier auf jeden Fall frühzeitig in die unternehmerische Planung und für die Bewertung der datenschutzrelevanten Anforderungen einbezogen werden.

Fazit
Das HinSchG selbst schreibt keine bestimmte Vorgehensweise vor. Ziel des Gesetzes ist es, Meldungen zu erleichtern und den Hinweisgeber vor Repressalien zu schützen. Ob und welche konkreten Folgemaßnahmen ergriffen werden, ist im Einzelfall abzuwägen und zu entscheiden. Der Beschäftigungsgeber richtet die Meldekanäle ein, die von der internen Meldestelle betrieben werden. Die Aufgaben der internen Meldestelle können an einen Dritten (eine externe Ombudsperson) delegiert werden. Die Vorgaben zur Einrichtung und Ausgestaltung der internen Meldekanäle wurden vom Gesetzgeber allgemein gehalten. Unternehmen haben damit einen gewissen Gestaltungsspielraum. Die hinweisgebende Person hat ein Wahlrecht, ob es an eine interne oder eine externe Stelle des Bundes meldet. Unternehmen sollen Anreize schaffen, dass sich die hinweisgebende Person vor einer Meldung an eine externe Meldestelle zunächst an den Beschäftigungsgeber wendet.

Der Vorgaben der Datenschutz-Grundverordnung sind in vollem Umfang zu beachten. Die datenschutzrechtlichen Implikationen des HinSchG sind nicht zu unterschätzen, insbesondere mit Blick auf die kurzen Umsetzungsfristen.
Unternehmen mit regelmäßig mehr als 249 Beschäftigten müssen ihre Meldestelle bereits seit dem 02.07.2023 eingerichtet und die Anforderungen umgesetzt haben. Für Unternehmen mit bis 249 Beschäftigten sieht das HinSchG eine Frist zur Einrichtung der internen Meldestelle bis zum 17.12.2023 vor.
Es besteht also dringender Handlungsbedarf, um das Hinweisgeberschutzgesetz nicht nur fristgerecht, sondern auch effektiv und effizient umzusetzen sowie Beschäftigte zu informieren und zu schulen. Aber auch um einen wichtigen Beitrag zur Compliance zu leisten - denn diese Hinweise ermöglichen es, Defizite frühzeitig zu erkennen und zu beseitigen.

Autorin
Regina Mühlich ist Wirtschaftsjuristin und Geschäftsführerin der AdOrga Solutions GmbH. Sie ist als Expertin für Datenschutz und Compliance schwerpunktmäßig als externe Datenschutzbeauftragte und Compliance Officer sowie als Ombudsfrau gemäß HinSchG tätig. Sie ist Vorständin des Berufsverbandes der Datenschutzbeauftragten Deutschlands (BvD) e.V.
Webseite: www.AdOrgaSolutions.de, Kontakt: [email protected]

Eine Zusammenfassung dieses Artikels erschien zuerst in der Ausgabe 07-08_23.