FAQ – Häufig an uns gestellte Fragen zum Hinweisgeberschutz aus Unternehmenssicht

Als Datenschutzbeauftragte und Informationssicherheitsbeauftragte beraten wir unsere Kunden zu allen Aspekten des Hinweisgeberschutzes.

Dabei erhalten wir regelmäßig Fragestellungen von unseren Kunden, die oft ähnlich gelagert sind.

Deshalb haben wir für unsere Kunden sowie Interessenten die nachfolgende FAQ erstellt, die Ihnen einen Überblick über die wichtigsten Fragen und Antworten zum Hinweisschutz aus Unternehmenssicht gibt und Sie bei Ihrer täglichen Arbeit unterstützt.

Wir aktualisieren und erweitern diese FAQ nach Bedarf. Wenn Sie eine Anregung oder Frage haben, die hier nicht beantwortet wird, können Sie uns gerne über unser spezielles Kontaktformular “Anregung/Frage zur FAQ” erreichen. Dieses finden Sie am Ende dieser Seite verlinkt.

Was sind meine Pflichten als Arbeitgeber oder Organisation im Hinblick auf den Hinweisgeberschutz?

Als Arbeitgeber oder Organisation sind Sie verpflichtet, interne Hinweisgebersysteme einzurichten, die es Ihren Beschäftigten oder anderen Personen ermöglichen, Verstöße gegen das Unionsrecht oder das nationale Recht zu melden, die Gesundheit, Leben oder öffentliche Interessen gefährden könnten. Diese Systeme müssen sicher und vertraulich sein und den Hinweisgebenden einen Schutz vor Benachteiligungen gewähren. Sie müssen außerdem die Hinweisgebenden über den Eingang und die Bearbeitung ihrer Meldung informieren und ihnen die Möglichkeit geben, sich an eine zuständige Aufsichtsbehörde zu wenden, wenn sie mit dem internen Verfahren nicht zufrieden sind. Diese Pflichten ergeben sich aus dem Hinweisgeberschutzgesetz (HinschG), das am 2. Juli 2023 in Kraft getreten ist und die EU-Whistleblower-Richtlinie umsetzt.

Wie kann ich eine Kultur der Offenheit und des Vertrauens fördern?

Eine Kultur der Offenheit und des Vertrauens zu fördern ist eine wichtige Voraussetzung für einen wirksamen Hinweisgeberschutz. Sie können dies tun, indem Sie:

Ihre Mitarbeiter über die Bedeutung und die Vorteile von Hinweisen informieren und schulen.
Eine klare und transparente Richtlinie für Hinweisgeber erstellen und kommunizieren.
Verschiedene sichere und vertrauliche Kanäle für Hinweise bereitstellen und zugänglich machen.
Die Hinweisgeber vor jeglicher Vergeltung oder Diskriminierung schützen und unterstützen.
Die Hinweise ernst nehmen, fair und zeitnah prüfen und angemessen darauf reagieren.
Die Hinweisgeber über den Fortschritt und das Ergebnis ihrer Hinweise informieren.
Die Erfolge und die positiven Auswirkungen von Hinweisen anerkennen und würdigen.

Wie kann ich ein wirksames Hinweisgeberschutzsystem einführen und umsetzen?

Um ein wirksames Hinweisgeberschutzsystem einzuführen und umzusetzen, müssen Sie zunächst die gesetzlichen Anforderungen des Hinweisgeberschutzgesetzes (HinSchG) kennen und erfüllen. Das HinSchG verpflichtet Unternehmen ab 250 Beschäftigten ab Juli 2023 und Unternehmen ab 50 Beschäftigten ab Dezember 2023, interne Meldestellen für Hinweise auf Verstöße gegen das Unionsrecht oder nationales Recht einzurichten. Diese Meldestellen müssen vertraulich, unabhängig und effektiv arbeiten und die Rechte und Pflichten der Hinweisgeber, Beschuldigten und aufklärenden Stellen klar definieren. Zudem müssen Sie die Mitarbeiter über das Hinweisgeberschutzsystem informieren und schulen.

Neben der Erfüllung der gesetzlichen Vorgaben sollten Sie auch die Vorteile eines Hinweisgeberschutzsystems für Ihr Unternehmen erkennen und nutzen. Ein Hinweisgeberschutzsystem kann Ihnen helfen, Risiken frühzeitig zu erkennen und zu minimieren, Reputationsschäden zu vermeiden und interne Prozesse zu verbessern. Ein Hinweisgeberschutzsystem kann auch das Vertrauen der Mitarbeiter, Kunden und Geschäftspartner in die Integrität und Reaktionsfähigkeit Ihres Unternehmens stärken.

Um ein wirksames Hinweisgeberschutzsystem einzuführen und umzusetzen, sollten Sie daher folgende Schritte beachten:

Analysieren Sie den Status quo Ihres bestehenden Hinweisgeberschutzsystems oder ‑prozesses und identifizieren Sie Verbesserungspotenziale.
Entwickeln Sie eine Strategie für die Einführung oder Weiterentwicklung Ihres Hinweisgeberschutzsystems, die Ihre Unternehmensziele, ‑kultur und ‑werte berücksichtigt.
Wählen Sie eine geeignete IT-Lösung für Ihr Hinweisgeberschutzsystem aus, die den Anforderungen an Sicherheit, Datenschutz und Benutzerfreundlichkeit entspricht.
Implementieren Sie Ihr Hinweisgeberschutzsystem unter Einbeziehung aller relevanten Stakeholder und unter Beachtung der gesetzlichen Rahmenbedingungen.
Kommunizieren Sie Ihr Hinweisgeberschutzsystem intern und extern transparent und überzeugend.
Überprüfen Sie regelmäßig die Wirksamkeit Ihres Hinweisgeberschutzsystems und passen Sie es bei Bedarf an.

Wie gehe ich mit einer Meldung von einem Hinweisgeber um?

Wenn Sie eine Meldung von einem Hinweisgeber erhalten, sollten Sie diese ernst nehmen und prüfen, ob sie einen Verstoß gegen das Unionsrecht oder das nationale Recht darstellt. Sie sollten dem Hinweisgeber innerhalb von sieben Tagen den Eingang der Meldung bestätigen und ihn über seine Rechte und Pflichten informieren. Sie sollten die Identität des Hinweisgebers schützen und seine personenbezogenen Daten gemäß der DSGVO verarbeiten. Sie sollten innerhalb von drei Monaten dem Hinweisgeber mitteilen, welche Maßnahmen Sie in Folge seiner Meldung ergriffen haben, zum Beispiel die Einleitung interner Untersuchungen oder die Weitergabe der Meldung an die zuständige Behörde. Sie sollten den Hinweisgeber vor Benachteiligungen oder Vergeltungsmaßnahmen schützen und ihm gegebenenfalls Unterstützung anbieten.

Wie schütze ich die Identität und die Interessen des Hinweisgebers?

Die Identität und die Interessen des Hinweisgebers zu schützen ist eine wichtige Aufgabe für den Arbeitgeber/die Organisation. Um dies zu gewährleisten, sollten folgende Maßnahmen ergriffen werden:

Richten Sie ein vertrauliches und sicheres Meldesystem ein, das es dem Hinweisgeber ermöglicht, anonym oder unter Wahrung seiner Identität einen Hinweis abzugeben.
Benennen Sie eine unabhängige und qualifizierte Stelle, die für die Entgegennahme, Prüfung und Weiterleitung der Hinweise zuständig ist.
Schützen Sie den Hinweisgeber vor jeglicher Diskriminierung, Vergeltung oder Benachteiligung, die aufgrund seines Hinweises entstehen könnte.
Informieren Sie den Hinweisgeber über den Fortgang und das Ergebnis der Untersuchung und bieten Sie ihm gegebenenfalls Unterstützung oder Beratung an.
Beachten Sie die gesetzlichen Vorschriften zum Hinweisgeberschutz und halten Sie diese ein.

Wie untersuche ich einen gemeldeten Missstand sachgerecht und unabhängig?

Um einen gemeldeten Missstand sachgerecht und unabhängig zu untersuchen, sollten Sie folgende Schritte beachten:

Bestätigen Sie den Eingang der Meldung innerhalb von 7 Tagen an die hinweisgebende Person und informieren Sie sie über das weitere Vorgehen.
Schützen Sie die Identität der hinweisgebenden Person und stellen Sie sicher, dass sie keine Benachteiligungen oder Repressalien erfährt.
Prüfen Sie, ob die Meldung in den Anwendungsbereich des Hinweisgeberschutzgesetzes fällt, d.h. ob es sich um einen Verstoß gegen EU-Recht oder nationales Recht handelt, der straf- oder bußgeldbewehrt ist oder die Gesundheit oder das Leben gefährdet.
Beauftragen Sie eine unabhängige und qualifizierte Person oder Stelle mit der Untersuchung des Missstands. Diese sollte keinen Interessenkonflikt haben und über die nötigen Ressourcen und Befugnisse verfügen.
Informieren Sie die hinweisgebende Person innerhalb von drei Monaten über das Ergebnis der Untersuchung und die ergriffenen Maßnahmen. Wenn die Untersuchung länger dauert, begründen Sie dies und teilen Sie einen neuen Zeitrahmen mit.
Wenn Sie den Missstand nicht intern klären können oder wenn er schwerwiegend ist, leiten Sie die Meldung an die zuständige Aufsichtsbehörde weiter oder ermöglichen Sie der hinweisgebenden Person, dies zu tun.

Wie kommuniziere ich mit dem Hinweisgeber und anderen Beteiligten?

Die Kommunikation mit dem Hinweisgeber und anderen Beteiligten ist ein wichtiger Aspekt des Hinweisgeberschutzes. Sie sollten folgende Punkte beachten:

Verwenden Sie einen sicheren und vertraulichen Kommunikationskanal, z.B. eine verschlüsselte E‑Mail oder eine spezielle Plattform für Hinweisgeber.
Informieren Sie den Hinweisgeber über den Stand und den Ausgang des Verfahrens, soweit dies möglich und angemessen ist.
Respektieren Sie die Anonymität des Hinweisgebers, wenn er oder sie dies wünscht, und vermeiden Sie jede Form von Vergeltung oder Diskriminierung.
Beteiligen Sie nur die Personen, die für die Bearbeitung des Hinweises erforderlich sind, und schützen Sie deren Identität ebenfalls.
Halten Sie sich an die geltenden Datenschutzbestimmungen und löschen Sie personenbezogene Daten, wenn sie nicht mehr benötigt werden.

Wie vermeide ich Konflikte und Eskalationen im Zusammenhang mit einer Meldung?

Als Unternehmen oder Organisation sollten Sie folgende Punkte beachten, um Konflikte und Eskalationen im Zusammenhang mit einer Meldung zu vermeiden:

Informieren Sie Ihre Mitarbeiterinnen und Mitarbeiter über die Vorteile und den Ablauf des Hinweisgebersystems. Erklären Sie, wie sie eine Meldung abgeben können und welche Rechte und Pflichten sie haben.
Schützen Sie die Identität der hinweisgebenden Personen vor unbefugtem Zugriff oder Offenlegung. Stellen Sie sicher, dass die Meldungen vertraulich behandelt werden und dass keine Vergeltungsmaßnahmen gegen die Hinweisgebenden ergriffen werden.
Reagieren Sie zeitnah und angemessen auf die Meldungen. Bestätigen Sie den Eingang der Meldung innerhalb von 7 Tagen und informieren Sie die hinweisgebende Person innerhalb von 3 Monaten über die ergriffenen Maßnahmen oder die Gründe für eine Nichtbearbeitung.
Kooperieren Sie mit den zuständigen Behörden, wenn die Meldung einen Verstoß gegen das Unionsrecht oder das nationale Recht betrifft, der eine Straftat oder eine Ordnungswidrigkeit darstellt oder die Gesundheit oder das Leben gefährdet.
Halten Sie sich an die gesetzlichen Vorgaben zum Hinweisgeberschutz, insbesondere an das Hinweisgeberschutzgesetz (HinSchG), das am 2. Juli 2023 in Kraft getreten ist.

Wie beuge ich Repressalien gegen den Hinweisgeber vor?

Um Repressalien gegen den Hinweisgeber vorzubeugen, sollten Sie folgende Schritte beachten:

Schaffen Sie eine Kultur der Offenheit und des Vertrauens in Ihrer Organisation, die Hinweisgeber ermutigt und unterstützt, Missstände zu melden.
Informieren Sie Ihre Mitarbeiter über die rechtlichen und internen Schutzmaßnahmen für Hinweisgeber, die in Ihrem Land oder Ihrer Branche gelten.
Stellen Sie sicher, dass Sie über ein wirksames Meldesystem verfügen, das vertraulich, unabhängig und leicht zugänglich ist.
Nehmen Sie jede Meldung ernst und prüfen Sie sie gründlich und zeitnah.
Schützen Sie die Identität des Hinweisgebers so weit wie möglich und vermeiden Sie jede Form von Diskriminierung, Mobbing oder Vergeltung gegen ihn oder sie.
Ergreifen Sie angemessene Maßnahmen gegen diejenigen, die für das gemeldete Fehlverhalten verantwortlich sind oder die versuchen, den Hinweisgeber zu schikanieren oder einzuschüchtern.
Geben Sie dem Hinweisgeber regelmäßig Feedback über den Stand und das Ergebnis der Untersuchung.
Erkennen Sie den Beitrag des Hinweisgebers zur Verbesserung Ihrer Organisation an und danken Sie ihm oder ihr für seinen oder ihren Mut.

Wie bewerte ich die Relevanz und die Folgen einer Meldung für meine Organisation?

Die Relevanz und die Folgen einer Meldung für Ihre Organisation hängen von verschiedenen Faktoren ab, wie zum Beispiel:

der Art und dem Umfang des gemeldeten Verstoßes gegen das Unionsrecht oder das nationale Recht
den möglichen Schäden oder Risiken für die öffentliche Sicherheit, die Gesundheit, die Umwelt oder die Finanzen
den rechtlichen Konsequenzen oder Sanktionen, die sich aus dem Verstoß ergeben können
der Glaubwürdigkeit und der Beweislage der Meldung
den internen oder externen Kontrollmechanismen oder Aufsichtsbehörden, die für die Untersuchung oder Behebung des Verstoßes zuständig sind

Um eine angemessene Bewertung vorzunehmen, sollten Sie als Betreiber einer internen Meldestelle folgendes beachten:

Prüfen Sie die Meldung sorgfältig und holen Sie alle relevanten Informationen ein.
Informieren Sie die hinweisgebende Person innerhalb von sieben Tagen über den Eingang der Meldung und innerhalb von drei Monaten über die ergriffenen Maßnahmen.
Schützen Sie die Identität der hinweisgebenden Person und halten Sie die datenschutzrechtlichen Vorgaben ein.
Leiten Sie die Meldung gegebenenfalls an die zuständige Aufsichtsbehörde weiter oder leiten Sie eine interne Untersuchung ein.
Dokumentieren und archivieren Sie die Meldung.

Wie lerne ich aus einer Meldung und wie verbessere ich meine Prozesse und Strukturen?

Eine Meldung kann ein wertvoller Hinweis auf Schwachstellen oder Fehlverhalten in der Organisation sein, die behoben oder verhindert werden müssen. Um aus einer Meldung zu lernen und die Prozesse und Strukturen zu verbessern, sollte die Organisation folgende Schritte unternehmen:

Die Meldung ernst nehmen und sorgfältig prüfen, ob sie begründet ist und welche Maßnahmen erforderlich sind.
Die hinweisgebende Person über den Eingang, den Fortschritt und das Ergebnis der Prüfung informieren und ihr Schutz vor Benachteiligungen gewähren.
Die Ursachen für den gemeldeten Missstand analysieren und geeignete Korrektur- oder Präventionsmaßnahmen ergreifen.
Die Wirksamkeit der Maßnahmen überwachen und gegebenenfalls nachbessern.
Die Mitarbeiterinnen und Mitarbeiter über die Bedeutung des Hinweisgeberschutzes und die vorhandenen Meldekanäle aufklären und sensibilisieren.

Welche gesetzlichen Regelungen und Standards gelten für den Hinweisgeberschutz in Deutschland und in der EU?

Der Hinweisgeberschutz in Deutschland und in der EU basiert auf verschiedenen gesetzlichen Regelungen und Standards. Die wichtigsten sind:

Die EU-Whistleblower-Richtlinie (Richtlinie (EU) ²⁰¹⁹⁄₁₉₃₇), die bis zum 17. Dezember 2021 in nationales Recht umgesetzt werden musste. Sie schützt Personen, die Verstöße gegen das Unionsrecht melden, vor Benachteiligungen und Vergeltungsmaßnahmen.
Das Gesetz für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (Hinweisgeberschutzgesetz, HinSchG), das am 2. Juni 2023 im Bundesgesetzblatt verkündet wurde und am 2. Juli 2023 in Kraft getreten ist. Es erweitert den Schutz von Hinweisgebern auf Verstöße gegen nationales Recht, die straf- oder bußgeldbewehrt sind oder die Gesundheit oder das Leben gefährden, und verpflichtet Unternehmen und Behörden zur Einrichtung interner Hinweisgebersysteme.
Das Gesetz zur Ergänzung der Regelungen zum Hinweisgeberschutz, das ebenfalls am 2. Juni 2023 im Bundesgesetzblatt verkündet wurde und am 2. Juli 2023 in Kraft getreten ist. Es passt unter anderem die beamtenrechtliche Verschwiegenheitspflicht an das HinSchG an und ermöglicht insbesondere Landesbeamtinnen und Landesbeamten eine Meldung oder Offenlegung nach dem HinSchG.

Welche Unterstützung und Beratung kann ich als Verantwortlicher in Anspruch nehmen?

Als Verantwortlicher können Sie verschiedene Unterstützung und Beratung in Anspruch nehmen, um Ihre Pflichten zum Hinweisgeberschutz zu erfüllen. Zum Beispiel:

Sie können sich an eine externe Beratungsfirma wenden, die Ihnen bei der Entwicklung und Implementierung eines regelkonformen Hinweisgebersystems helfen kann. Dabei sollten Sie auf die Einhaltung von Datenschutz und Mitbestimmung achten.
Sie können sich an das Bundesministerium der Justiz oder andere zuständige Behörden wenden, um sich über die gesetzlichen Anforderungen und Best Practices zu informieren.
Sie können sich an branchenspezifische oder interdisziplinäre Netzwerke oder Verbände wenden, um Erfahrungen und Wissen mit anderen Verantwortlichen auszutauschen und voneinander zu lernen.

Wie kann ich den gesellschaftlichen Nutzen und die Anerkennung von Hinweisgebern erhöhen?

Als Verantwortlicher können Sie den gesellschaftlichen Nutzen und die Anerkennung von Hinweisgebern erhöhen, indem Sie:

ein sicheres und vertrauenswürdiges Hinweisgebersystem in Ihrer Organisation einführen, das den Anforderungen des Hinweisgeberschutzgesetzes (HinSchG) entspricht
Ihre Beschäftigten über ihre Rechte und Pflichten als Hinweisgeber informieren und schulen
eine offene und transparente Fehlerkultur fördern, die Hinweise ernst nimmt und konstruktiv bearbeitet
Hinweisgeber vor Benachteiligungen, Vergeltungsmaßnahmen oder Diskriminierungen schützen und unterstützen
den Beitrag von Hinweisgebern zur Vermeidung oder Aufdeckung von Rechtsverstößen anerkennen und würdigen

Anregung/Frage zur FAQ

Diversity- LGBTI — Wir unterstützen jegliche Form von Diversity.

FAQ – Häu­fig an uns gestell­te Fra­gen zum Hin­weis­ge­ber­schutz aus Unternehmenssicht

Was sind mei­ne Pflich­ten als Arbeit­ge­ber oder Orga­ni­sa­ti­on im Hin­blick auf den Hinweisgeberschutz?

Wie kann ich eine Kul­tur der Offen­heit und des Ver­trau­ens fördern?

Wie kann ich ein wirk­sa­mes Hin­weis­ge­ber­schutz­sys­tem ein­füh­ren und umsetzen?

Wie gehe ich mit einer Mel­dung von einem Hin­weis­ge­ber um?

Wie schüt­ze ich die Iden­ti­tät und die Inter­es­sen des Hinweisgebers?

Wie unter­su­che ich einen gemel­de­ten Miss­stand sach­ge­recht und unabhängig?

Wie kom­mu­ni­zie­re ich mit dem Hin­weis­ge­ber und ande­ren Beteiligten?

Wie ver­mei­de ich Kon­flik­te und Eska­la­tio­nen im Zusam­men­hang mit einer Meldung?

Wie beu­ge ich Repres­sa­li­en gegen den Hin­weis­ge­ber vor?

Wie bewer­te ich die Rele­vanz und die Fol­gen einer Mel­dung für mei­ne Organisation?

Wie ler­ne ich aus einer Mel­dung und wie ver­bes­se­re ich mei­ne Pro­zes­se und Strukturen?

Wel­che gesetz­li­chen Rege­lun­gen und Stan­dards gel­ten für den Hin­weis­ge­ber­schutz in Deutsch­land und in der EU?

Wel­che Unter­stüt­zung und Bera­tung kann ich als Ver­ant­wort­li­cher in Anspruch nehmen?

Wie kann ich den gesell­schaft­li­chen Nut­zen und die Aner­ken­nung von Hin­weis­ge­bern erhöhen?