Update 2025 – EU-Sanktion gegen Deutschland wegen verspäteter Umsetzung

Im März 2025 wurde Deutschland vom Europäischen Gerichtshof (EuGH) zu einer Strafe von 34 Millionen Euro verurteilt, weil die Bundesrepublik die EU-Whistleblower-Richtlinie (Richtlinie (EU) 2019/1937) nicht fristgerecht bis Ende 2021 umgesetzt hatte. Dieses Urteil verdeutlicht die hohe Relevanz des Themas auf europäischer Ebene – und den politischen Druck, Hinweisgeberschutz ernst zu nehmen. Für Unternehmen unterstreicht dies die Notwendigkeit, gesetzeskonforme Hinweisgebersysteme nicht nur formal, sondern auch inhaltlich sauber und praktikabel umzusetzen.

Update 2024 – Änderungen am Gesetz

Am 27. Dezember 2024 traten durch das Finanzmarktdigitalisierungsgesetz (FinmadiG) Änderungen am Hinweisgeberschutzgesetz in Kraft, die rückwirkend zum 1. Juli 2024 wirksam wurden. Diese betreffen überwiegend technische und administrative Aspekte der Umsetzung, unter anderem die Konkretisierung von Dokumentationspflichten, die Regelung zur Datenlöschung sowie Anpassungen für betriebsinterne Ombudspersonen. Auch wenn diese Änderungen im Detail vor allem juristisch und verwaltungstechnisch relevant sind, sollten Unternehmen sie in ihre internen Compliance-Prozesse integrieren. Es empfiehlt sich, vorhandene Richtlinien regelmäßig zu überprüfen und mit juristischer Expertise abzugleichen.

Welche Betriebe müssen ein Hinweisgebersystem einrichten?

Seit dem 2. Juli 2023 sind Unternehmen mit mehr als 250 Mitarbeitern verpflichtet, ein Hinweisgeberschutzsystem in ihrem Unternehmen einsatzbereit zur Verfügung zu stellen. 

Lesen Sie auch

Datenschutz

Cyberangriffe – wie das Gastgewerbe sich auf Datenschutzvorfälle vorbereiten sollten

Für Unternehmen mit mehr als 50 und weniger als 250 Beschäftigten gab es einen Aufschub und das HinSchG gilt erst seit dem 17. Dezember 2023. Betriebe dieser Größe können sich auch zusammenschließen und eine gemeinsame Meldestelle mit einem Hinweisgebersystem etablieren (§ 14 Abs. 2 HinSchG-E).

Wer weniger als 50 Beschäftigte hat, muss eine Meldestelle einrichten, sofern er diesem Arbeitsumfeld angehört: Wertpapierdienstleistungsunternehmen, Datenbereitstellungsdienste, Börsenträger, Kredit- und Wertpapierinstitute, Kapitalverwaltungsgesellschaften sowie Unternehmen des  Versicherungsaufsichtsgesetzes. 

Details finden sich im Entwurf unter § 12 (2) Punkt 1 bis 7. Die externe Meldestelle soll vom Bundesamt für Justiz eingerichtet werden und unabhängig vom sonstigen Zuständigkeitsbereich operieren.

Zum vollständige Bundesgesetzblatt

Welche Strafen erwarten Unternehmen, die das Hinweisgeberschutzgesetz nicht umsetzen?

Verstöße gegen das HinSchG gelten als Ordnungswidrigkeit und ziehen seit dem 1. Dezember 2023 eine Geldstrafe nach sich. Wie hoch das Bußgeld ausfällt, hängt von der Art des Verstoßes ab. Unter Abschnitt 5 § 40 sind im Gesetz die Bußgeldvorschriften festgelegt und sehen Beträge von 10.000 bis 50.000 Euro vor.

Wer kein Hinweisgebersystem einrichtet, muss mit einer Strafe von bis zu 20.000 Euro rechnen – jedoch erst ab dem 1. Dezember 2023 (Absatz 2, Nummer 2).

Wer die Meldung oder Kommunikation absichtlich behindert oder zu Repressalien gegenüber dem Meldenden greift, kann mit einer Geldbuße von bis zu 50.000 Euro belegt werden (Absatz 2, Nummer 1 und 3). Der gleiche Betrag kann fällig werden, wenn die Vertraulichkeit vorsätzlich oder leichtfertig nicht bewahrt wird (Absatz 3). Dies gilt für die internen Verantwortlichen – bei juristischen Personen/Unternehmen liegt das Bußgeld bei bis zu 500.000, wenn sie Meldungen behindern oder Vertraulichkeit verletzen.

Auch wer entgegen § 32 Absatz 2 eine unrichtige Information offenlegt oder durch Fahrlässigkeit das Vertraulichkeitsgebot missachtet, muss mit einer Geldstrafe rechnen, die laut Gesetz mit bis zu 10.000 Euro zu Buche schlägt.

Aufgepasst: Der Bußgeldrahmen bis 50.000 Euro gilt für die Verantwortlichen des Unternehmens. Unternehmen selbst hingegen (juristische Personen und Personenvereinigungen) können je nach Konstellation im Zusammenhang mit Verhinderung der Meldung oder Verstößen gegen das Vertraulichkeitsgebot mit Verweis auf § 30 Absatz 2 Satz 3 des OWiG (Gesetz über Ordnungswidrigkeiten) mit Bußgeldern in zehnfacher Höhe, also bis zu 500.000 Euro belegt werden.

Es ist noch nicht bekannt, ob bei Verstößen vorab schriftliche Abmahnungen versendet werden. Wie es nach dem Gesetzesentwurf aussieht, werden umgehend die entsprechenden Bußgelder fällig.

Was ist das Hinweisgeberschutzgesetz?

Das Hinweisgeberschutzgesetz (HinSchG) dient dem Schutz von Personen, die während der Ausübung ihres Berufes Informationen über Verstöße erlangen und diese an interne oder externe Meldestellen weitergeben. Die sogenannte Whistleblower Richtlinie soll EU-weit ein einheitliches Schutzsystem für die Hinweisgeber gewährleisten. Es geht dabei vor allem darum, dass keine beruflichen Nachteile für die hinweisgebenden Beschäftigten entstehen dürfen.

Die Meldungen von Verstößen sollen entweder an entsprechend verantwortliche interne Stellen oder an öffentliche, externe Meldestellen erfolgen.

Welche Daten müssen erfasst und verarbeitet werden?

Der wichtigste Faktor innerhalb der Meldestelle ist die Gewährleistung der Vertraulichkeit. Anonymen Meldungen muss laut Entwurf nicht nachgegangen werden, umso relevanter ist die Wahrung der Diskretion hinsichtlich der Daten des Hinweisgebers.

Bei einer Meldung werden der Name des Hinweisgebers und der betroffenen, bzw. beschuldigten Personen erfasst und entsprechend den Vorgaben verarbeitet. So muss der Vorfall schriftlich dokumentiert werden und dauerhaft abrufbar sein. Bei einer telefonisch erfolgten Meldung genügt ein Inhaltsprotokoll. Die Ablage einer Tonaufzeichnung oder des genauen Wortlautes des Gespräches muss vom Anrufer schriftlich genehmigt werden. Wenn eine Abschrift der Tonaufnahme erfolgt ist, muss selbige gelöscht werden.

Selbstverständlich können Ausnahmen von der Wahrung der Vertraulichkeit gemacht werden, wenn dies auf Wunsch des Hinweisgebers geschieht. Diese Einwilligung muss schriftlich geschehen und gespeichert werden. Hier würde auch eine entsprechende E-Mail genügen.

Die Aufbewahrungspflicht sieht vor, dass die Daten erst zwei Jahre nach Abschluss des Verfahrens gelöscht werden dürfen.

Gelten für die Daten in einem Hinweisgebersystem besondere Vorkehrungen?

Da es sich bei den gesammelten Informationen um äußerst sensible Daten mit hoher Brisanz für Personen und Unternehmen handelt, greift nach DSGVO Art. 32 der Einsatz erhöhter Anforderungen an die technischen und organisatorischen Maßnahmen. Neben einem Berechtigungskonzept, einer Passwortrichtlinie ist eine hohe Verschlüsselung oder Anonymisierung der Daten erforderlich. Es sollte also möglichst frühzeitig der Datenschutzbeauftragte in eine Ermittlung einbezogen werden.

Es muss an alle nötigen Auftragsdatenverarbeitungsverträge gedacht werden, von Hosting-Unternehmen bis zu externen Anbietern, auch die besonderen Anforderungen bei cloudbasierten Systemen hinsichtlich des Datentransfers in Drittländer müssen Beachtung finden.

Die Weitergabe der personenbezogenen Daten und Inhalte aus einer Meldung ist selbstverständlich nicht gestattet, Ausnahmen bilden mögliche Einsichten in Akten, wenn es zu einem Strafprozess kommen sollte. Ist es zur Nachverfolgung einer Straftat notwendig, Daten der beschuldigten Person an Dritte weiterzugeben, so ist dies nach Art. 6 Abs. 1 lit. f DS-GVO in Verbindung mit § 24 Abs. 1 Nr. 1 BDSG gestattet.

Welche Meldungen fallen unter das Hinweisgeberschutzgesetz?

Der Kollege klaut immer den letzten Rest Milch oder Chef kommt zu spät zur Arbeit? Das sind keine Vorfälle, die unter das Hinweisgeberschutzgesetz fallen. Hier geht es um gravierende Verstöße, die laut Gesetzentwurf wie folgt definiert werden:

• Verstöße, die strafbewehrt sind
• Verstöße, die bußgeldbewehrt sind „soweit die verletzte Vorschrift dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient“
• Verstöße gegen Rechtsvorschriften des Bundes und der Länder sowie unmittelbar geltende Rechtsakte der Europäischen Union und der Europäischen Atomgemeinschaft, die im Entwurf unter § 2 (1) 3. detailliert nach Gebieten aufgelistet werden und zum Beispiel Umweltschutz, Luft- und Straßenverkehrssicherheit oder Lebensmittelsicherheit beinhalten.

Nach Verabschiedung des Gesetzes werden wir alle dort verankerten Verstöße für euch zusammenfassen.

Welche Vorteile entstehen für Unternehmen durch die Einrichtung eines Hinweisgeberschutzssystems?

Die Vorteile eines internen Hinweisgeberschutzssystems wurden von der Wirtschaftsprüfungsgesellschaft pwc treffend zusammengefasst:

• Blinde Flecken erkennen: Mit einem Hinweisgebersystem lassen sich Missstände aufdecken, die ansonsten möglicherweise unentdeckt geblieben wären.
• Prozesse optimieren: Unternehmen können Schwachstellen und Fehler identifizieren und beseitigen.
• Finanzielle Schäden vermeiden: Mit einem Hinweisgebersystem lassen sich Strafzahlungen oder Gerichtskosten sowie Aktienkurs- oder Verkaufseinbußen verhindern oder verringern.
• Reputationsschäden verhindern: Dank Hinweisgebersystemen können Unternehmen negative Meldungen in der Presse und sozialen Medien vermeiden.
• Betrüger abschrecken: Hinweisgebersysteme helfen, Betrugsfälle zu verhindern.
• Vertrauen aufbauen: Ein Hinweisgebersystem stärkt die Integrität des Unternehmens und damit das Vertrauen der Mitarbeiter und weiterer Stakeholder.

Was passiert, wenn nach der Meldung eines Verstoßes Benachteiligungen im Job die Folge sind?

Hat ein Arbeitnehmer nach der Meldung eines Verstoßes den Eindruck, dass Druck auf ihn ausgeübt oder Vergeltungsmaßnahmen ergriffen werden, gilt die sogenannte Vermutungswirkung, dass es sich um eine Repressalie handelt und der Arbeitgeber muss beweisen, dass die ergriffenen Maßnahmen aus berechtigten Gründen erfolgt sind und nicht in Zusammenhang mit der Verstoßmeldung stehen.

Wann ist das Hinweisgeberschutzgesetz in Kraft getreten?

Nachdem das Hinweisgeberschutzgesetz als Adaption der EU-Whistleblower-Richtlinie am 11. Mai 2023 vom Deutschen Bundestag und am 12. Mai 2023 vom Bundesrat verabschiedet wurde, ist es am am 2. Juli 2023 in Kraft getreten.

Doch der Weg bsi zu diesem Schritt war lang: Die Hinweisgeber-Richtlinie der EU (2019/1937) sollte bereits bis zum 17.12.2021 EU-weit in nationales Recht umgesetzt werden. Da die Umsetzung jedoch in 24 Mitgliedsstaaten entweder gar nicht oder nur unvollständig erfolgte, wurde im Januar 2022 ein Aufforderungsschreiben an die 24 Regierungen gesendet. In Deutschland wurde im Juli dann ein Regierungsentwurf der Hinweisgeberrichtlinie veröffentlicht und im September wurde über selbigen beraten. Am 10. Februar 2023 hat der Bundesrat keine Zustimmung zum Gesetzesentwurf des Hinweisgeberschutzgesetzes gegeben. Mitte März 2023 wiederum wurde der neue Ansatz zur Umsetzung der EU-Whistleblower-Richtlinie vom Deutschen Bundestag angenommen und folgend im Rechtsausschuss besprochen. Die für den 30. März 2023 geplanten 2. und 3. Lesung im Bundestag wurde von der Tagesordnung genommen – auf Entschluss der Bundesregierung wurde dann ein Vermittlungsausschuss einberufen.