Das HinSchG will einen umfassenden Schutz von Personen sicherstellen, die in ihrem beruflichen Umfeld Informationen über Rechtsverstöße erlangen und diese melden.
Es ist naturgemäß schwierig, wie man mit Mißständen im eigenen Unternehmen umgeht, die man als Mitarbeiter mitbekommt.
Aus Angst vor Repressalien wird oft lieber geschwiegen, anstatt die Delikte aufzudecken.
Dabei geht es um Verstöße die straf- oder bußgeldbewehrt sind.
Beispielsweise also um Fälle von Korruption, Bestechung, Insiderhandel oder auch Verstöße gegen Lebensmittel- oder Produktsicherheit sowie Verletzung von Verbraucherrechten.
Weiterhin die weiten Felder von Menschenrechtsverletzungen, Datenmißbrauch und Umweltverschmutzungen.

Im Grunde können alle Personen, die in einem beruflichen Kontakt zur gemeldeten Firma stehen, stehen werden oder standen, Vergehen melden.
Also z. B. (ehemalige) Arbeitnehmer, Auszubildende, Bewerber, Leiharbeiter aber eben auch Selbständige und Lieferanten.
Geschützt werden zudem Personen, die den Hinweisgeber unterstützen oder die mit der Hinweisgeber in Verbindung stehen.
Der Schutz umfaßt als zentrales Element das in § 36 Absatz 1 HinSchG verankerte Verbot von Repressalien.
Verboten sind z. B.: Suspendierung, Kündigung, Herabstufung/Versagung von Beförderung, Nötigung, Einschüchterung, Mobbing sowie Nichtverlängerung befristeter Arbeitsverträge, Rufschädigung, negative Leistungsbeurteilung etc.

Laut § 5 HinSchG haben bestimmte Sicherheitsinteressen sowie Verschwiegenheits- und Geheimhaltungspflichten Vorrang, also z. B. Informationen, die die nationale Sicherheit oder wesentliche Sicherheitsinteressen des Staates betreffen.
Zudem sind u. a. Hinweise ausgenommen, die mit der ärztlichen oder anwaltlichen Schweigepflicht kollidieren.
Grundsätzlich aber eben auch Hinweise auf Verstöße, die nicht straf- oder bußgeldbewehrt sind sowie vorsätzliche oder grob fahrlässige Falschmeldungen.

Ab einer Betriebsgröße von 50 Arbeitnehmern gilt die Pflicht, eine interne Meldestelle einzurichten.
Unternehmen mit bis zu 49 Beschäftigten sind von der Pflicht zur Einrichtung eines internen Meldekanals ausgenommen. Die Schutzvorschriften des HinSchG dürften aber wohl auch in diesen kleinen Unternehmen gelten, wenn Rechtsverstöße gemeldet werden.

Die interne Meldestelle wird vom Unternehmen selbst bereitgestellt und sollte niederschwellig erreichbar sein.
Solche Hinweisgebersysteme müssen Meldungen in mündlicher (z. B. Whistleblower-Hotline, Anrufbeantworter) oder in Textform (z. B. IT-gestütztes Hinweisgebersystem, dedizierte E-Mail-Adresse) ermöglichen sowie auf Ersuchen auch persönliche Zusammenkünfte (z. B. persönliches Treffen, aber auch Videokonferenz).
Viele Unternehmen setzen auf einen Meldekanal in Form eines Ticketsystems.

Unternehmen können die Meldestelle mit geeigneten Mitarbeitern besetzen, die als „Meldestellenbeauftragte“ oder „Case Manager“ die eingegangenen Hinweise betreuen.
Aufgrund der zahlreichen Anforderungen ist es von Rechts wegen vorgesehen und potenziell vorteilhafter, die Aufgaben der internen Meldestelle einem externen, vertrauenswürdigen Dienstleister zu übertragen.
Auf jeden Fall gilt:
– Meldungen müssen vertraulich über einen sicheren, niederschwellig erreichbaren Meldekanal abgegeben werden können.
– Die Bearbeitung erfolgt ebenso unter strengster Vertraulichkeit
– Informationspflichten nach Art. 13 und 14 DSGVO müssen erfüllt werden.
– Die Vertrauensperson oder das Team, daß die Meldungen entgegennimmt und für Folgemaßnahmen zuständig ist, muß unabhängig sein und darf keinen Interessenskonflikten unterliegen.
– Unternehmen tragen dafür Sorge, daß die mit den Aufgaben einer internen Meldestelle beauftragten Personen über die notwendige Fachkunde verfügen.
– Die interne Meldestelle muß nach einem Hinweis den Eingang innerhalb von sieben Tagen bestätigen.
– Jede eingehende Meldung muß in dauerhaft abrufbarer Weise dokumentiert (und drei Jahre nach Abschluß des Verfahrens gelöscht) werden.
– Spätestens nach drei Monaten muß die Meldestelle dem Hinweisgeber über die ergriffenen oder geplanten Maßnahmen informieren.
– Auch anonymen Hinweisen soll nachgegangen werden, eine Pflicht besteht aber nicht.
– Es müssen Informationen über alternative externe Meldeverfahren bereitgestellt werden. Hierzu bieten sich z. B. die Unternehmens-Website, das Intranet oder das Schwarze Brett an.

Das Hinweisgeberschutzgesetz und die Datenschutz-Grundverordnung (DSGVO) sind zwei rechtliche Rahmenwerke, die auf den ersten Blick unterschiedliche Ziele zu haben scheinen, aber dennoch eng miteinander verknüpft sind.
– Datenschutzfolgeabschätzung (DSFA)
Die Daten, die bei Meldungen verarbeitet werden, haben potentiell einen „sehr hohen“ Schutzbedarf und damit besteht automatisch ein „hohes Risiko“ nach Art. 35 DSGVO.

– Eintrag Verzeichnis der Verarbeitungstätigkeiten (VVT)
Die eingesetzten Meldekanäle müssen entsprechend im VVT inklusive der Löschfristen dokumentiert werden.

– Rechtsgrundlage
Rechtsgrundlage ist hier i. d. R. Art. 6 Abs. 1 lit.c DSGVO in Verbindung mit § 10 HinSchG.

– Technische und organisatorische Maßnahmen (TOMs)
Je nach Konstellation müssen gegebenenfalls die TOMs angepaßt oder ergänzt werden.

– Datenschutzhinweise
Die eingesetzten Meldekanäle müssen mit entsprechenden Datenschutzhinweisen versehen werden.

– Vertrag Auftragsverarbeitung (AVV)
Je nach Konstellation muß es mit dem Dienstleister einen AVV nach Art. 28 DSGVO geben.

– Gemeinsame Verantwortlichkeit
Je nach Konstellation muß es mit dem Dienstleister eine Vereinbarung nach Art. 26 DSGVO geben.

– Vertraulichkeitsverpflichtung/Benennung beauftragter Personen
An die mit der Betreuung der Meldestelle beauftragten Personen gelten besondere Vertraulichkeitsregelungen, die gesondert dokumentiert werden sollten.

– Unbedeutende Daten direkt löschen
Personenbezogene Daten, die für die Bearbeitung eines Verstoßes offensichtlich nicht von Bedeutung sind oder unbeabsichtigt erhoben wurden, müssen unverzüglich gelöscht werden.

– Meldung
Ein Hinweisgeber meldet ein Vergehen über bereitgestellte Meldekanäle.

– Bearbeitung
Zunächst wird aus der Meldestelle wird der Eingang des Hinweises innerhalb von sieben Tagen bestätigt.
Dann erfolgt eine Prüfung,
ob der gemeldete Verstoß in den sachlichen Anwendungsbereich nach § 2 HinSchG fällt und
ob die eingegangene Meldung stichhaltig ist.
Weiterhin wird eine Möglichkeit für den Hinweisgeber zur Verfügung gestellt, den Vorgang weiter zu verfolgen sowie den Kontakt (auch für Rückfragen) zu halten.

– Rückmeldung und Maßnahmen
Innerhalb von drei Monaten erfolgt eine Rückmeldung, die die Mitteilung geplanter sowie bereits ergriffener Folgemaßnahmen sowie die Gründe für diese umfaßt. Eine Rückmeldung an die hinweisgebende Person darf nur insoweit erfolgen, als dadurch interne Nachforschungen oder Ermittlungen nicht berührt und die Rechte der Personen, die Gegenstand einer Meldung sind oder die in der Meldung genannt werden, nicht beeinträchtigt werden.
Als Folgemaßnahmen nach § 18 HinSchG kann die interne Meldestelle insbesondere
interne Untersuchungen in der Organisation durchführen und betroffene Personen und Arbeitseinheiten kontaktieren,
die hinweisgebende Person an andere zuständige Stellen verweisen,
das Verfahren aus Mangel an Beweisen oder aus anderen Gründen abschließen oder
das Verfahren zwecks weiterer Untersuchungen abgeben an
a) eine bei dem Beschäftigungsgeber oder bei der jeweiligen Organisationseinheit für interne Ermittlungen zuständige Arbeitseinheit oder
b) eine zuständige Behörde.

– Dokumentation
Alle eingehenden Meldungen werden in dauerhaft abrufbarer Weise unter Beachtung des Vertraulichkeitsgebots dokumentiert.
Die Dokumentation wird drei Jahre nach Abschluß des Verfahrens gelöscht.

Die Ausgestaltung des Meldekanals ist mitbestimmungspflichtig.
Ansonsten:
– Es gibt zunächst einen Anspruch auf Unterrichtung.
– Die Entscheidung, ob die Meldestelle extern betrieben wird, obliegt keiner zwingenden Mitbestimmung.
– Bei dem Erwerb der Fachkunde für die Meldestellenverantwortlichen könnte es Beteiligungsrechte geben.

In jedem Fall empfiehlt sich die frühzeitige Einbindung des Betriebsrats.

Grundsätzlich sind nach § 40 HinSchG bei Nichtbeachtung des Hinweisgeberschutzgesetzes Bußgelder in Höhe von bis zu 50.000 Euro möglich.
Um die Durchsetzbarkeit von Ansprüchen gegen Repressalien gegen den Schädiger zu verbessern, enthält das HinSchG in § 36 Absatz 2 eine Beweislastumkehr zugunsten der geschützten Person.
Beschäftigte haben zudem immer die Möglichkeit, sich an die externe Meldestelle zu wenden, was für das betroffene Unternehmen normalerweise eher von Nachteil ist.

Externe Meldestellen werden vom Staat eingerichtet. Die staatliche Hauptmeldestelle ist beim Justizministerium angesiedelt, die Länder können ebenfalls externe Meldestellen anbieten.
Hinweisgeber können sich auch direkt an eine externe Stelle wenden.
Whistleblower sollten in den Fällen, in denen intern wirksam gegen den Verstoß vorgegangen werden kann und sie keine Repressalien befürchten, die Meldung an eine interne Meldestelle bevorzugen.
Darüber hinaus können sich Informanten mit Hinweisen über Verstöße auch an die Öffentlichkeit (z. B. Presse, Social Media) wenden, dies jedoch nur unter den engen Voraussetzungen des § 32 HinSchG. Die hinweisgebende Person ist im Falle der Meldung eines Verstoßen an die Öffentlichkeit nur dann durch das HinSchG geschützt, wenn sie sich zuvor erfolglos an eine externe Meldestelle gewendet hat oder Gefahr für die Allgemeinheit droht.

Es dürfte im Interesse eines jeden Unternehmens sein, daß Mißstände im Unternehmen selbst aufdeckt und behandelt werden.
Direkte Hinweise an externe Meldestellen oder gar an die Öffentlichkeit sind aus vielseitigen Gründen nachvollziehbar eher nicht von Vorteil.

Gesetzliche Formalien sind für alle Unternehmen eine Herausforderung.
Im Sinne eines langfristigen Erfolgskonzeptes ist also eine effiziente Implementierung der Anforderungen des Hinweisgeberschuztgesetzes sinnvoll.

Ein externer Dienstleister hilft ressourcensparend mit vorhandener Expertise
– bei der Erstellung einer internen Richtlinie,
– der Implementierung des Meldekanals und
– der Schulung Ihrer Mitarbeiter und der Erlangung des Fachkundenachweises.

Ein guter Dienstleister hat ein Augenmerk auf Ihre bestehenden (Ticket-)Systeme und entwickelt mit Ihnen eine passende Lösung.
Wenn die bestehenden Systeme nicht effizient verwendet werden können, wird Ihnen ein guter Dienstleister auch eine günstige, passende, „schlüsselfertige“ Lösung anbieten.