Whistleblower Software - Hinweisgeberschutz mit System
Sicherheitstechnik Stolz - Datenschutz
Hinweisgebersystem

Hinweisgebersystem

NEWS zum Hinweisgeberschutzgesetz (HinSchG)

Die Auflagen der EU-Whistleblower-Richtline sollen durch das Hinweisgeberschutzgesetz (HinSchG) in Kürze umgesetzt werden

Bereits zum 17.12.2021 hätte die Bundesregierung die Anforderungen aus der Hinweisgeberschutz-Richtlinie der Europäischen Union ((EU) 2019 / 1937, (EU) 2020 / 1503) umsetzen müssen. Da dies versäumt wurde, läuft nun ein von der EU-Kommission angestrengtes Vertragsverletzungsverfahren gegen Deutschland und zahlreiche andere Mitgliedsstaaten der europäischen Union.

Am 29.09.2022 wurde nun erstmalig über den Gesetzesentwurf des Hinweisgeberschutzgesetzes im Bundestag beraten.

Ziel des Gesetzes, welches neben der EU-Whistleblower-Richtline auch der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte (EGMR) entsprechen soll, ist der bessere Schutz von hinweisgebenden Personen, sogenannten Whistleblowern.

Bislang sind diese nicht ausreichend vor Repressalien durch den Arbeitgeber geschützt. Ihnen drohen bei Meldung von Verstößen gegen EU-Recht bislang zum Teil Benachteiligungen im Job, Mobbing durch Vorgesetzte und Kollegen bis hin zur Kündigung des Arbeitsverhältnisses. Diesem Missstand möchte die EU mit Umsetzung der EU-Whistleblower-Richtline etwas entgegen setzen.


Update vom 23.11.2022:
Der Bundesjustizminister Herr Buschmann erklärt, dass sich die Verabschiedung des Gesetzes auf Grund der vielen geforderten Änderungen auf das erste
Quartal 2023 vertagen wird. Wir gehen davon aus, dass erst zum Ende des Quartals die Verabschiedung erfolgen wird und somit das Gesetz erst zur Mitte des Jahres 2023 in Kraft treten wird.


Update vom 19.12.2022:
Nun ging es doch schneller als gedacht. Der Bundestag beschließt in seiner letzten Sitzung am 16.12.2022 das Hinweisgeberschutzgesetz mit ein paar Änderungen.
Das Hinweisgeberschutzgesetz wird drei Monate nach Verkündung und somit wohl spätestens im April 2023 in Kraft treten. Für Unternehmen, die zwischen 50 und 249 Arbeitnehmenden wird noch eine „Schonfrist“ hinsichtlich der Umsetzung bis zum 17. Dezember 2023 bestehen, für Arbeitgeber ab 250 Beschäftigten besteht nun Handlungsbedarf.
Im Kommunalen Bereich wurde der Schutz von Personen, die verfassungsfeindliche Äußerungen von Beamtinnen und Beamten (Stichwort „Reichsbürger“) melden zum Gesetz hinzugefügt.

Die wesentlichsten Änderungen für Unternehmen sind

  • die Möglichkeit, auch anonyme Meldungen abgeben zu können und mit dem Meldenden in Kommunikation treten zu können.
  • Weiterhin dürfen miteinander verbundene Konzerne eine gemeinsame Meldestelle betreiben. Der deutsche Gesetzgeber vergleicht die zentrale Meldestelle im Konzern mit dem „Outsourcing“ an eine externe Meldestelle. Beide seien „Dritte“ im Sinne von Art. 8 Abs. 5 EU Whistleblowing Richtlinie (RL 2019/1937). Die originäre Verantwortung, den gemeldeten Vorfall aufzuklären, abzustellen und zu ahnden, verbleibt in jedem Fall bei der einzelnen Konzerngesellschaft.
  • Die Aufbewahrungsfrist für die Dokumentation der eingehenden Meldungen und den folgenden Ermittlungen wurde von 2 auf 3 Jahre angehoben.
  • Die Schadensersatzvorschrift für immaterielle Schäden durch Mobbing oder Stalking wurde gestärkt. Wie die einzelnen Gerichte die Höhen der Ersatzansprüche ermitteln wollen, ist noch unklar, ein Meldender kann sich aber auf § 37 Abs. 1 S. 2 HinSchG berufen und eine Entschädigung in Geld fordern.
  • Die Attraktivität der internen Meldestelle soll gesteigert werden, aber das dürfte ja ohnehin im Sinne der Unternehmen sein.

Wen betrifft das neue Hinweisgeberschutzgesetz (HinSchG)?

Wen betrifft das neue Hinweisgeberschutzgesetz (HinSchG)?

Grundsätzlich gilt das HinSchG für alle privaten und öffentlichen Unternehmen in unserem Land. Dabei ist allerdings für Beschäftigungsgeber mit mehr als 50 Mitarbeitern verpflichtend, ein sogenanntes Hinweisgebersystem einzuführen.

  • Für private Beschäftigungsgeber zwischen 50 und 249 Mitarbeitern ist das System bis zum 17.12.2023 einzuführen.
  • Für Beschäftigungsgeber ab 250 Mitarbeitern ist geplant, das System sofort nach Inkrafttreten des Hinweisgeberschutzgesetzes einführen zu müssen.

Das stellt letztere vor eine große Herausforderung. Für öffentliche Stellen ist die geplante Gesetzgebung noch vage. Wir informieren Sie hier an dieser Stelle, sobald es weitere Informationen gibt…

Wer kann denn eigentlich was melden?

Wer kann denn eigentlich was melden?

Hinweisgeber oder Whistleblower kann im Prinzip jeder sein, der mit dem Unternehmen in Verbindung steht wie

  • aktuelle Arbeitnehmer
  • Azubis
  • Praktikanten
  • ehemalige Arbeitnehmer
  • Bewerber
  • Ehrenamtliche
  • Lieferanten
  • Kunden/Klienten/Patienten
  • Auftragnehmer
  • Freiberufler
  • Bewerber um Ausschreibungen,
  • Aktionäre
  • und weitere…

Was kann gemeldet werden?

Was kann gemeldet werden?

Gemeldet werden können jegliche Verstöße gegen geltendes EU-Recht, zum Beispiel Vorgaben

  • aus dem Arbeitsschutz
  • aus dem Arbeitsrecht
  • aus dem Datenschutz
  • aus dem Verbraucherschutz
  • bei Qualitäts- und Sicherheitsstandards bei Arzneimitteln und Medizinprodukten
  • aus dem Vergaberecht
  • zur Bekämpfung von Geldwäsche
  • zur Bekämpfung von Korruption
  • zur Sicherheit in der Informationstechnik
  • und weitere geltende.

Wie muss so ein Hinweisgebersystem aussehen, welche Anforderungen müssen erfüllt werden?

Wie muss so ein Hinweisgebersystem aussehen, welche Anforderungen müssen erfüllt werden?

Grundsätzlich kann der Hinweisgeber auch jetzt schon sein Anliegen bei Behörden oder öffentlichen Meldestellen vornehmen. Als Unternehmen/Einrichtung empfiehlt es sich jedoch, eine eigene, leicht erreichbare Möglichkeit zu schaffen, um intern Missstände aufarbeiten und beseitigen zu können. Dabei sollte ein solches System folgende Mindestvoraussetzungen bieten:

  • Alle mit dem Unternehmen oder der Einrichtung verbundenen Personen, welche als Hinweisgeber in Frage kommen, müssen die Möglichkeit haben, jederzeit eine Meldung vorzunehmen.
  • Eingehende Meldungen müssen nach HinSchG dokumentiert und nach Abschluss des vorliegenden Falles 2 Jahre unter Beachtung eines Zugriffs- und Löschkonzept aufbewahrt werden.
  • Das System muss eine Eingangsbestätigung innerhalb von sieben Tagen versenden können.
  • Der Hinweisgeber muss auch anonym melden können, ohne dass sein Name dem Arbeitgeber bekannt wird. Als anonymer Hinweisgeber muss er aber auch innerhalb der vorgeschriebenen Fristen Antwort und Information zu seiner Meldung erhalten.
  • Die Meldung muss elektronisch oder mindestens per Sprachaufzeichnung möglich sein. (Auf Wunsch des Hinweisgebers muss auch ein privates Treffen ermöglicht werden).
  • Die Meldung muss in verschiedenen Sprachen möglich sein, um ggf. vorhandene Barrieren abzustellen.
  • Die Kommunikation muss verschlüsselt erfolgen können, Administratoren dürfen in diesem Fall auch keine Zugriffsmöglichkeiten auf ausgetauschte Nachrichten haben.

Die Betreuung eines solchen Hinweisgebersystems muss durch qualifizierte und neutrale Personen erfolgen. Bestens geeignet wäre neben dem Compliance Beauftragten ein Datenschutzbeauftragter oder ein Mitglied aus BR oder PR. Nach HinSchG kann die Stelle für die eingehenden Meldungen auch durch externe Berater erfolgen (sogenannter Ombudsmann). Die Anforderungen ergeben sich aus § 15 HinSchG.

Was sind die Aufgaben des Beauftragten für Hinweisgebersysteme?

Was sind die Aufgaben des Beauftragten für Hinweisgebersysteme?

  • Innerhalb von 7 Tagen muss der Hinweisgeber eine Eingangsbestätigung erhalten.
  • Der Beauftragte prüft, ob der gemeldete Verstoß in den sachlichen Anwendungsbereich des § 2 HinSchG fällt.
  • Er nimmt Kontakt mit dem Meldenden auf, um weitere Informationen einzuholen. Nur so können Falschmeldungen von gerechtfertigten unterschieden werden.
  • Er muss neben den Anforderungen der Vertraulichkeit und Anonymität auch den Datenschutz beachten.
  • Der Beauftragte nimmt Kontakt mit den betroffenen Stellen im Unternehmen auf und leitet ggf. ein Ermittlungsverfahren ein.
  • Spätestens 3 Monate nach Eingang der Meldung muss der Fall abgeschlossen sein und der Hinweisgeber eine Rückmeldung mit Informationen und den getroffenen Maßnahmen erhalten.

Welche weiteren Auflagen müssen bei Einführung eines internen Hinweisgebersystem erfüllt werden?

Welche weiteren Auflagen müssen bei Einführung eines internen Hinweisgebersystems erfüllt werden?

Eine interne Einrichtung eines solchen Meldesystems ist nach dem Kurzpapier der Datenschutzkonferenz https://www.datenschutzkonferenz-online.de/media/oh/20181114_oh_whistleblowing_hotlines.pdf möglich. Allerdings stößt man dabei auf einige zu lösende Konfliktfelder. So ist es zum Beispiel nicht möglich, eine interne über die eigene EDV betreute E-Mail-Adresse einzurichten, da ein Zugriff durch die Administratoren nicht ausgeschlossen werden kann. Ebenfalls kann die Einrichtung einer Hotline nicht über die unternehmenseigene Infrastruktur erfolgen, da eine Nachverfolgung von Anrufern nicht möglich sein darf.

Und neben diesen Anforderungen aus dem HinSchG selbst müssen noch die verschiedenen Anforderungen aus dem Datenschutzrecht erfüllt werden. Da diese Systeme ggf. besondere Arten von Daten nach Art. 9 DS-GVO verarbeiten, muss eine Datenschutzfolgeabschätzung (DSFA) nach Art. 35 DS-GVO erarbeitet werden, es muss für die Meldenden eine Information über die Datenverarbeitung nach Art. 12 DS-GVO vorliegen und sollte der Meldekanal über eine Beauftragte Meldestelle eingerichtet werden, müssen entsprechend Verträge zur Auftragsdatenverarbeitung nach Art. 28 DS-GVO geschlossen werden.

Dabei wählen Sie aus bis zu 3 Varianten unseres Services aus

Single Software-Lösung

Mit der Whistleblower Software erhalten Sie ein benutzerfreundliches Tool, welches leicht erreichbar über eine Verlinkung auf ihrer unternehmenseigenen Website alle genannten Anforderungen erfüllt.

  • Erreichbarkeit für alle möglichen mit dem Unternehmen verbundenen potenziellen Hinweisgeber
  • Die Meldenden werden in leicht verständlicher Sprache durch den Meldeprozess geführt, sodass alle notwendigen Informationen zur Verifikation der Meldung vorliegen sollten.
  • Die Meldung kann in über 70 Sprachen abgesetzt werden, wird in Ihre gewählte Sprache übersetzt und Ihre Antwort natürlich wieder in die Sprache des Meldenden.
  • Das Hinweisgebersystem erfüllt die Anforderung, komplett anonym melden zu können und trotzdem dem Meldenden sowohl eine Eingangsbestätigung sowie den Abschlussbericht zukommen zu lassen, als auch in Kommunikation zu bleiben.
  • Über eine spezielle Funktion ist es möglich, auch mündliche Meldungen über die Software abzusetzen und ersetzt damit die Einrichtung der geforderten Hotline.
  • Die Kommunikation ist selbstverständlich Ende-zu-Ende verschlüsselt und auch der Anbieter selbst hat keinen Zugriff auf die Daten im System.
  • Die Whistleblower Software ist ISAE 3000 zertifiziert, nutzt ausschließlich ISO 27001 zertifizierte Hosting-Lieferanten und erfüllt alle Anforderungen aus dem HinSchG und der General Data Protection Regulation GDPR (Allgemeine Datenschutz-Verordnung).

Als Partner bieten wir Ihnen folgende Endkundenpreise für die Software:

MitarbeiterMonatlicher Preis*
0 – 4970€» Software testen
50 – 24980€» Software testen
250 – 499135€» Software testen
500 – 999215€» Software testen
1.000 – 1.999285€» Software testen
2.000+Kontaktieren Sie uns:» Kontakt-Mail senden
* Jährlich abgerechnet

Auf Wunsch können wir die

  • Einrichtung und Konfiguration des Systems,
  • die Erstellung der Datenschutzfolgeabschätzung
  • die Erstellung der notwendigen Information nach Art. 12 DS-GVO

gegen eine Pauschale von 189 € für Sie übernehmen.


Ihre Vorteile im Überblick bei unserer Software-Lösung:

  • Volle Kostenkontrolle

  • Benutzerfreundliches System

  • Sichere Kommunikation durch Verschlüsselungstechnik

  • Erfüllung aller rechtlichen Anforderungen

  • Zwei-Faktor-Authentifizierung

  • Fallmanagement

  • Zugangskontrolle

  • Unbegrenzte Benutzer

  • Unbegrenzte Fälle

  • Einfache Erstellung von Statistiken und Berichten

  • E-Mail-Benachrichtigung bei eingegangenen Meldungen

Softwarelösung über Whistleblower Software plus Übernahme der Meldestelle als zertifizierte Beauftragte für Hinweisgebersysteme

Wir konfigurieren die Software mit allen notwendigen rechtlichen Anforderungen und übernehmen für Sie folgende Aufgaben:

  • Vertrauliche Entgegennahme der mündlich oder schriftlich eingehenden Meldungen
  • Versenden der rechtlich geforderten Eingangsbestätigung
  • Unparteiische Betrachtung und Bewertung der eingegangenen Meldungen
  • Überprüfung des gemeldete Verstoßes nach § 2 HinSchG (ist die Meldung gerechtfertigt)
  • Kontaktaufnahme und Kommunikation mit dem Meldenden um weitere Informationen einzuholen
  • Dokumentation der Meldungen, Kommunikation, Ermittlung und Erstellung des Abschlussbericht nach den Anforderungen des HinSchG
  • Kontaktaufnahme mit den betroffenen Stellen im Unternehmen, Einleitung eines Ermittlungsverfahrens
  • Rückmeldung an den Meldenden nach Abschluss des Vorgangs

Ihre monatlichen Kosten im Überblick:

MitarbeiterMonatlicher Preis Software*Monatlicher Preis bei Übernahme der Meldestelle*Ihr Gesamt-Aufwand
0 – 4970€29€99€
50 – 24980€39€119€
250 – 499135€59€194€
500 – 999215€79€294€
1.000 – 1.999285€134€419€
2.000+Bitte sprechen Sie uns an» Kontakt-Mail senden» Rufen Sie uns an
* Jährlich abgerechnet

Ihre Vorteile im Überblick bei unserer Komplett-Lösung:

  • Volle Kostenkontrolle

  • Geringer Zeitaufwand zur Einrichtung des Hinweisgebersystem (ca. 1-2 Stunden für die Zulieferung von Ansprechpartnern und Absprachen)

  • Keine Schaffung einer weiteren Infrastruktur innerhalb Ihres Unternehmens

  • Mitarbeiter-Ressourcen bleiben im Unternehmen

  • Keine Kosten für Aus- und Weiterbildung der internen Beauftragten für das Hinweisgebersystem

  • Erfüllung aller rechtlichen Anforderungen

Wir sind für Sie da

Nadine Stolz

Nadine Stolz

stellv. Geschäftsführerin
Bereichsleitung Datenschutz
Auditorin Datenschutz
Beauftragte für Hinweisgebersystem

Sarah Klein

Sarah Klein

Office Management
Sachbearbeiterin – Herr Klein
Datenschutzkoordinatorin
Beauftragte für Hinweisgebersystem

Information zum Sprachgebrauch / Gendern:

Wir sind ein weltoffenes Unternehmen und unterstützen jegliche Form von Diversität. Von uns aus kann jeder sein wie er möchte. Der Übersichtlichkeit der Website geschuldet verwenden wir weiterhin die bislang allgemein gängige Sprachregelung. Wenn wir zum Beispiel von den Beratern sprechen, schließen wir in der Formulierung alle Geschlechter mit ein.