Hinweisgeberschutzgesetz: Leitfaden für Unternehmen

Das Hinweisgeberschutzgesetz (HinSchG) ist die deutsche Umsetzung der EU-Whistleblower-Richtlinie. Es schafft einen verbindlichen Rahmen, um Hinweisgeber:innen zu schützen und sicherzustellen, dass Unternehmen Meldungen über Missstände transparent und wirksam bearbeiten. Erfasst sind öffentliche und private Organisationen in der gesamten EU. Das Gesetz regelt sichere Meldekanäle, etwa Whistleblower-Hotlines, über die Verstöße vertraulich gemeldet werden können.

Compliance mit dem Gesetz ist heute Grundvoraussetzung für jedes Unternehmen in Deutschland und Europa. Es stellt sicher, dass zuständige Behörden die Einhaltung der Hinweisgeberschutzregeln überprüfen können, personenbezogene Daten geschützt sind und Repressalien verhindert werden.

In diesem Artikel zeigen wir die wichtigsten Elemente des Gesetzes, die konkreten Anforderungen an Unternehmen und die typischen Herausforderungen bei der Umsetzung. Außerdem führen wir Sie Schritt für Schritt durch den Aufbau eines compliancekonformen Hinweisgebersystems.

Was ist das Hinweisgeberschutzgesetz?

Das Hinweisgeberschutzgesetz (HinSchG) trat am 2. Juli 2023 in Kraft und setzt die EU-Whistleblower-Richtlinie (Richtlinie (EU) 2019/1937) in deutsches Recht um. Es schützt Personen, die Verstöße gegen EU-Recht und nationales Recht melden, in Bereichen wie Verbraucherschutz, öffentliche Gesundheit, Finanzdienstleistungen, Umweltschutz, Tierschutz und Datenschutz.

Das Gesetz gilt für alle privaten und öffentlichen Unternehmen mit 50 oder mehr Beschäftigten sowie für Kommunen ab 10.000 Einwohner:innen. Es verlangt:

• Sichere Meldekanäle
• Vertraulichkeit der Hinweisgeber:innen
• Schutz vor Repressalien

Ziel des Gesetzes ist es, Hinweisgebung zu erleichtern, indem Risiken minimiert werden und Unternehmen verbindlich Verantwortung für die Aufklärung gemeldeter Verstöße übernehmen.

Wichtig: Die deutsche Umsetzung geht teilweise über die EU-Mindestanforderungen hinaus. Das HinSchG erfasst nicht nur EU-Recht, sondern auch Verstöße gegen nationales Recht, zum Beispiel Straftaten und bestimmte Ordnungswidrigkeiten.

Wen betrifft das Hinweisgeberschutzgesetz?

Das HinSchG betrifft einen breiten Kreis von Stakeholdern.

Geschützt werden Hinweisgeber:innen – darunter Angestellte, freie Mitarbeitende, Lieferant:innen, Volontär:innen und Bewerber:innen, die Verstöße melden. Erfasst werden öffentliche und private Organisationen ab 50 Beschäftigten, die interne Meldestellen einrichten müssen. Zusätzlich betreiben staatliche Stellen externe Meldekanäle, in Deutschland insbesondere das Bundesamt für Justiz (BfJ).

Das Gesetz hat auch direkte Konsequenzen für Führungskräfte, Geschäftsleitung sowie Legal- und HR-Verantwortliche. Sie spielen eine zentrale Rolle bei der Umsetzung: Transparenz schaffen, Compliance sicherstellen, eine Speak-up-Kultur fördern.

Geschützt wird ein weiter Personenkreis, der weit über Vollzeit- und Teilzeitangestellte hinausgeht:

• Selbstständige Auftragnehmer:innen und Freelancer:innen
• Anteilseigner:innen
• Mitglieder von Geschäftsführung oder Aufsichtsgremien
• Unbezahlte Praktikant:innen
• Externe wie Lieferant:innen und Geschäftspartner:innen

So stellt das Gesetz sicher, dass jede Person mit Bezug zu einer Organisation oder öffentlichen Einrichtung Missstände melden kann, ohne Repressalien fürchten zu müssen.

Die zentralen Anforderungen des HinSchG

Das Hinweisgeberschutzgesetz definiert klare Pflichten für Unternehmen. Hier sind die fünf wichtigsten:

1. Schutz vor Repressalien

Unternehmen dürfen Hinweisgeber:innen nicht benachteiligen, weder durch Kündigung, Versetzung, Mobbing, Einschüchterung noch durch Lohnkürzungen. Ein zentrales Element: die Beweislastumkehr. Erleidet eine hinweisgebende Person nach einer Meldung eine Benachteiligung, wird vermutet, dass diese eine Repressalie ist. Das Unternehmen muss das Gegenteil beweisen.

2. Vertraulichkeit

Hinweisgeber:innen müssen sich sicher fühlen, Missstände zu melden, auf Wunsch auch anonym. Geben sie ihre Identität preis, muss das Unternehmen diese vertraulich behandeln.

Pflicht ist außerdem: Datenschutz gewährleisten, sichere Meldekanäle bereitstellen und den Zugriff auf gemeldete Informationen strikt beschränken. Verstöße gegen das Vertraulichkeitsgebot können mit Bußgeldern bis zu 50.000 Euro geahndet werden.

3. Sichere Meldekanäle

Unternehmen müssen vertrauliche, sichere, überwachte und zugängliche Meldekanäle einrichten. Klare Anweisungen zur Nutzung und Kontaktdaten der zuständigen Stellen sind Pflicht.

4. Fristgerechte Bearbeitung

Das Hinweisgeberschutzgesetz schreibt klare Reaktionszeiten vor: Eingang der Meldung innerhalb von sieben Tagen bestätigen, Rückmeldung an die hinweisgebende Person innerhalb von drei Monaten geben.

Unternehmen müssen Hinweisgeber:innen über den Untersuchungsverlauf informieren, Folgemechanismen etablieren und eine Person oder Abteilung benennen, die Meldungen entgegennimmt und bearbeitet.

5. Schulung und Sensibilisierung

Unternehmen müssen ihre Mitarbeitenden zu Meldeverfahren und Schutzmaßnahmen schulen. So entsteht Bewusstsein für Rechte und Mechanismen rund um die Hinweisgebung.

Was passiert bei Verstößen gegen das Hinweisgeberschutzgesetz?

Wer das Gesetz nicht umsetzt, riskiert spürbare rechtliche und finanzielle Folgen. Das Gesetz sieht „wirksame, verhältnismäßige und abschreckende" Sanktionen vor:

1. Bußgelder und Sanktionen: Bis zu 50.000 Euro Bußgeld drohen bei Behinderung von Meldungen, Vertraulichkeitsverstößen oder Repressalien gegen Hinweisgeber:innen. Bei juristischen Personen kann zusätzlich nach § 30 OWiG eine Verbandsbuße bis zu 1 Mio. Euro verhängt werden. Weitere Sanktionen können den Geschäftsbetrieb einschränken oder den Ausschluss von öffentlichen Vergaben nach sich ziehen.
2. Rechtliche Auseinandersetzungen: Hinweisgeber:innen können auf Schadensersatz klagen, wenn sie Repressalien erleiden oder das Unternehmen keine konformen Meldekanäle bereitstellt. Aufgrund der Beweislastumkehr ist die rechtliche Position der Hinweisgeber:innen stark.
3. Reputationsschaden: Nichteinhaltung kann die öffentliche Wahrnehmung des Unternehmens deutlich beeinträchtigen, was Folgen für Kundenvertrauen und Mitarbeitermoral haben kann.
4. Operative Beeinträchtigungen: Erforderliche Prozessanpassungen oder Verwicklungen in Gerichtsverfahren können den Geschäftsbetrieb stören.
5. Verstärkte Aufsicht: Nicht-konforme Unternehmen rechnen mit häufigeren Audits und Kontrollen, was einen zusätzlichen operativen Aufwand darstellt.

Typische Herausforderungen für HR bei der Umsetzung

Ein Hinweisgebersystem aufzubauen ist anspruchsvoll. Diese Herausforderungen begegnen Unternehmen am häufigsten:

1. Anonymität sicherstellen: Anonyme Meldungen schützen die Identität der Hinweisgeber:innen, aber echte Anonymität erfordert sorgfältig durchdachte Technik und Prozesse. Das Gesetz schreibt anonyme Kanäle nicht zwingend vor, empfiehlt sie aber dringend.
2. Transparenz und Vertraulichkeit balancieren: HR muss bei Untersuchungen ausreichend transparent agieren, ohne die Identität der hinweisgebenden Person zu gefährden. Zu viel Offenheit kann Vertrauen zerstören.
3. Grenzüberschreitende Operationen managen: Multinationale Unternehmen haben es mit unterschiedlichen nationalen Umsetzungen und kulturellen Normen zu tun. Die Harmonisierung über Jurisdiktionen hinweg erhöht das Risiko von Compliance-Lücken.
4. Schutz ohne Backlash: HR muss Hinweisgeber:innen wirksam schützen und gleichzeitig eine offene Arbeitskultur erhalten. Wahrgenommene Bevorzugung kann das Klima belasten.
5. Schulung und Awareness: Umfassende Schulungs- und Awareness-Programme sind Pflicht. Alle Mitarbeitenden müssen die Anforderungen, Verfahren und Schutzmechanismen kennen.

So bauen Sie ein compliantes Hinweisgebersystem auf

Diese Schritte führen zu einem wirksamen und gesetzeskonformen System:

1. Verantwortliche Person oder Abteilung benennen

Bestimmen Sie ein Team oder eine Einzelperson aus HR, Compliance oder Leadership, die das Hinweisgebermanagement übernimmt. So stellen Sie eine zeitnahe und unparteiische Bearbeitung sicher. Wichtig: Die Stelle muss unabhängig agieren, Interessenkonflikte sind zu vermeiden (§ 15 HinSchG).

2. Klare Richtlinien und Verfahren entwickeln

Erstellen Sie umfassende Richtlinien, die folgende Punkte abdecken:

• Arten von Verstößen: Definieren Sie meldepflichtige Tatbestände wie Betrug, Sicherheitsverstöße oder ethische Verfehlungen.
• Meldeverfahren: Beschreiben Sie detailliert, wie Meldungen erstellt, eingereicht und bearbeitet werden.
• Schutzmaßnahmen für Hinweisgeber:innen: Heben Sie Schutzmechanismen gegen Repressalien hervor, wozu auch Arbeitsplatzsicherheit und Anonymitätsoptionen zählen.
• Untersuchungsprozess: Erklären Sie Schritte und Fristen nach Eingang einer Meldung. Schaffen Sie Transparenz.
• Verbot von Repressalien: Betonen Sie das Commitment zu einem sicheren Meldeumfeld, das schafft Vertrauen.

3. Interne Meldekanäle einrichten

Bauen Sie mehrere Kanäle auf, wie etwa Hotline, E-Mail, Web-Portal, für vertrauliche oder anonyme Meldungen. Achten Sie auf einfache Auffindbarkeit, klare Anleitungen, mehrsprachige Optionen und 24/7-Verfügbarkeit. Mündliche, schriftliche und auf Wunsch auch persönliche Meldungen müssen möglich sein.

4. Externe Meldekanäle kommunizieren

Informieren Sie über externe Meldewege für Hinweisgeber:innen, die ihre Meldung an Dritte eskalieren möchten. In Deutschland sind das insbesondere:

• das Bundesamt für Justiz (BfJ) als zentrale externe Meldestelle
• Spezialbehörden wie die BaFin (Finanzthemen) oder das Bundeskartellamt
• Landesmeldestellen der Bundesländer

5. Die gesamte Belegschaft schulen

Starten Sie mit HR- und Compliance-Teams. Schulen Sie anschließend alle Mitarbeitenden zum Hinweisgebersystem, zu Meldeverfahren und zum Schutz hinweisgebender Personen.

6. Vertraulichkeit und Datenschutz sicherstellen

Implementieren Sie Maßnahmen, die die Identität der Hinweisgeber:innen schützen und mit DSGVO sowie BDSG konform sind. Zugriff auf Meldungen haben nur autorisierte Personen. Eine Datenschutz-Folgenabschätzung (DSFA) ist hier dringend empfohlen. Die oder der Datenschutzbeauftragte sollte frühzeitig einbezogen werden.

7. Richtlinie kommunizieren und verankern

Machen Sie Policy und Verfahren im Intranet leicht auffindbar. Stellen Sie sicher, dass die gesamte Belegschaft weiß, wo diese zu finden sind. Erinnern Sie regelmäßig mit Updates und Ressourcen daran.

8. System überwachen und auditieren

Prüfen und auditieren Sie das System regelmäßig. So überwachen Sie Meldungsarten und den Bearbeitungsstand und sichern langfristig die Wirksamkeit und das Vertrauen in den Prozess.

Eine offene Speak-up-Kultur aufbauen

Schaffen Sie ein Umfeld, in dem Mitarbeitende sich sicher fühlen, Missstände zu melden. Führungskräfte spielen dabei die Schlüsselrolle: Sie modellieren und unterstützen eine offene Kultur, in der Hinweisgebung wertgeschätzt wird.

Hier sind konkrete Maßnahmen:

1. Regelmäßige Schulungen durchführen, etwa quartalsweise, die den Wert und Prozess des Speaking-up betonen. Beispiel: Interaktive Workshops, in denen Mitarbeitende üben, ethische Verstöße zu erkennen und korrekt zu melden.
2. Klare Botschaften der Geschäftsleitung: Führungskräfte sollten offen über die Bedeutung von Meldungen und den Schutz der Hinweisgeber:innen sprechen. Beispiel: Eine Nachricht der CEO in einer internen Kommunikation, mit Fokus auf ethisches Verhalten und Schutz der Hinweisgeber:innen.
3. Hinweisgeberschutz in Meetings hervorheben: Beispiel: Eine Führungskraft teilt eine Success Story, in der ein gemeldetes Problem ohne Repressalien gelöst wurde.
4. Meldemechanismen in bestehende HR-Prozesse integrieren: Onboarding, kontinuierliches Lernen, Performance Reviews. Beispiel: Neue Mitarbeitende lernen im Onboarding die Meldekanäle kennen. Hinweise zu ethischem Verhalten sind Teil von Performance-Gesprächen.
5. Speak-up belohnen: Beispiel: Ein „Ethics Champion"-Award würdigt Mitarbeitende, die zur Wahrung der Unternehmenswerte beigetragen haben.

Erweitern Sie Ihr Wissen zu zentralen Compliance-Themen und bleiben Sie Branchentrends einen Schritt voraus, mit unserem Compliance-Newsletter.

Globale Compliance mit Deel sicherstellen

Mit Deel bleiben Sie in allen Jurisdiktionen compliant, in denen Sie operieren – inklusive gesetzlicher Urlaubsregelungen, Payroll-Compliance, DSGVO-Anforderungen, Kündigungsregeln und lokalen Hinweisgeberschutzgesetzen. Deel gibt Ihnen die Werkzeuge an die Hand, um ein Hinweisgeberprogramm in 150 Ländern aufzubauen, zu überwachen und zu steuern:

• Sichere und vertrauliche Meldekanäle
• Feedback über Umfragen und Performance-Monitoring, anonym oder offen, mit Deel HR, das eine offene Speak-up-Kultur fördert
• Schulungen über innovative KI-gestützte Learning-Technologie zur Sensibilisierung für Meldeverfahren und Schutzmechanismen
• Integrierte HRIS-Funktionen

Vereinbaren Sie eine Demo und erfahren Sie, wie Sie mit Deel ein effizientes und compliantes Hinweisgeberprogramm umsetzen.