Das Hinweisgeberschutzgesetz (HinSchG): Umfassender Schutz für Hinweisgeber
Das “Gesetz für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden” (Hinweisgeberschutzgesetz, HinSchG) tritt am 02.07.2023 in Kraft. Es stellt einen wichtige Baustein im deutschen Recht zum Schutz von Hinweisgebern dar.
Hinweisgeber sind Personen, die Missstände oder rechtswidrige Handlungen in Unternehmen oder öffentlichen Einrichtungen aufdecken. Das HinSchG bietet ihnen Rechtssicherheit bei der Offenlegung solcher Informationen.
Dieser Artikel erläutert die wichtigsten Aspekte des Hinweisgeberschutzgesetzes.
Um was geht es konrekt?
Das am 02.072023 in Kraft getretene Hinweisgeberschutzgesetz hat zum Ziel, Hinweisgeber vor beruflichen Nachteilen zu schützen und ihnen gleichzeitig die Möglichkeit zu geben, Verstöße gegen Gesetze und ethische Standards zu melden. Es schafft einen klaren Rahmen für den Umgang mit Hinweisen sowohl in privaten Unternehmen als auch im öffentlichen Sektor.
Ein zentraler Punkt des HinSchG ist die Gewährleistung von Anonymität und Vertraulichkeit für Hinweisgeber. Wer einen Missstand melden möchte, kann dies ohne Angst vor Repressalien oder Vergeltungsmaßnahmen tun. Das Gesetz verbietet Arbeitgebern, Whistleblower zu benachteiligen oder zu sanktionieren. Wird ein Whistleblower dennoch belästigt

, kann er rechtliche Schritte einleiten und Schadensersatzansprüche geltend machen.
Das HinSchG regelt auch den Umgang mit den gemeldeten Hinweisen. Unternehmen sind verpflichtet, ein internes Hinweisgebersystem einzurichten, das den Datenschutz gewährleistet. Die Identität des Hinweisgebers muss vertraulich behandelt werden, es sei denn, der Hinweisgeber stimmt der Offenlegung seiner Identität ausdrücklich zu. Dieser Schutz der Anonymität fördert das Vertrauen der Hinweisgeber und ermutigt sie, wichtige Informationen weiterzugeben.
Das HinSchG gilt für eine Vielzahl von Verstößen, darunter Korruption, Geldwäsche, Umweltverschmutzung und Verstöße gegen das Arbeitsrecht. Es stärkt die Integrität von Unternehmen und Organisationen, indem es die Offenlegung von Fehlverhalten fördert und dazu beiträgt, Schaden von der Gesellschaft abzuwenden.
Mit der Einführung des Hinweisgeberschutzgesetzes schließt Deutschland zu anderen europäischen Ländern auf, die ähnliche Gesetze eingeführt haben. Es trägt zu einer transparenten und integren Unternehmenskultur bei und stärkt das Vertrauen der Öffentlichkeit in Wirtschaft und Verwaltung.
Insgesamt bietet das Hinweisgeberschutzgesetz (HinSchG) einen wichtigen rechtlichen Rahmen für den Schutz von Hinweisgebern in Deutschland. Es schafft Sicherheit, Anonymität und Anreize für diejenigen, die Missstände melden wollen. Das Gesetz trägt zur Integrität von Unternehmen und zur Wahrung ethischer Standards bei und stärkt das Vertrauen der Öffentlichkeit.
Was ist wichtig?
- Bis zum 2. Juli 2023 sind Unternehmen mit 250 oder mehr Mitarbeitenden verpflichtet, sichere Hinweisgebersysteme einzuführen.
- Unternehmen mit 50 bis 249 Mitarbeitenden haben eine Übergangszeit bis zum 17. Dezember 2023. Diese Vorschriften gelten auch für Unternehmen des öffentlichen Sektors sowie für Städte und Kommunen mit mehr als 10.000 Einwohnerinnen und Einwohnern.
- Das Verfahren zur Meldungsabgabe muss den Hinweisgebern verschiedene Möglichkeiten bieten: mündlich, schriftlich und auf Wunsch auch persönlich.
- Innerhalb von 7 Tagen nach Eingang der Meldung muss die interne Meldestelle den Hinweisgeber darüber informieren, dass die Meldung eingegangen ist.
- Das Hinweisgeberschutzgesetz gilt in geschützten Anwendungsbereichen, darunter EU-Recht und nationales Recht, wenn es sich um strafbewehrte (Straftat) oder bußgeldbewehrte (Ordnungswidrigkeit) Vergehen handelt.
- Die Meldestelle hat innerhalb von drei Monaten nach Eingang der Meldung die Pflicht, die hinweisgebende Person über die ergriffenen Maßnahmen zu informieren. Dies kann beispielsweise die Einleitung interner Untersuchungen oder die Weitergabe der Meldung an die zuständige Behörde umfassen.
- Unternehmen müssen die Identität der Hinweisgeber schützen und die Vorgaben der Datenschutz-Grundverordnung (DSGVO) einhalten. Zusätzlich müssen sie Informationen über die zuständigen Aufsichtsbehörden bereithalten.
Abmahnung und Schadensersatz bei Verstoß gegen die DSGVO
Datentransfer in die USA — Trans-Atlantic-Data-Privacy-Framework
TADPF: “USA Datenschutz ist jetzt angemessen”
Am 10.07.2023 hat die EU-Kommission die Angemessenheitsentscheidung (Adäquanzentscheidung gem. Art. 45 DSGVO) für den sicheren Datenverkehr zwischen der EU und den USA, auch “Trans-Atlantic Data Privacy Framework” (TADPF) genannt, verabschiedet. Diese dritte Initiative nach “Safe Harbor” und “Privacy Shield” soll die Anforderungen des EuGH erfüllen und die Datenübermittlung in die USA wieder relativ unbürokratisch ermöglichen. Es aber zu erwarten, dass auch dieses Abkommen wieder vor dem EuGH landen wird.
Was ist das Transatlantic Data Privacy Framework?
Mit dem TADPF zwischen der EU und den USA werden neue verbindliche Garantien für US-amerikanische Empfänger von Daten eingeführt.
Dazu gehören die Beschränkung des Zugriffs auf Daten von EU-Bürgern durch US-Geheimdienste sowie die Einrichtung des Data Protection Review Court (DPRC), einer auch Nicht-US-Bürgern zugänglichen Kontrollinstanz. Das DPRC kann bei Verstößen auch die Löschung von Daten anordnen.
Das transantlantic data privacy framework (TADPF) wird regelmäßig von der Europäischen Kommission gemeinsam mit Vertretern der europäischen Datenschutzbehörden und den zuständigen US-Behörden überprüft. Die erste Überprüfung soll innerhalb eines Jahres nach dem Inkrafttreten des TADPF stattfinden.
Welche Wirkung hat das TADPF?
Es hat die Wirkung eines Angemessenheitsbeschlusses nach Art. 45 Abs. 1 DSGVO und gilt grundsätzlich ab sofort. Zusätzliche Legitimationsinstrumente wie Standardvertragsklauseln (SVK oder auch Standard Contractual Clauses — SCC) sind damit für Datenexporte an US-amerikanische Empfänger nicht mehr erforderlich, da die USA wieder als sicheres Drittland gelten. US-Unternehmen müssen jedoch eine Selbstzertifizierung vornehmen und sich zur Einhaltung bestimmter Datenschutzverpflichtungen verpflichten, um von den Wirkungen des TADPF profitieren zu können. Die Selbstzertifizierung gab es bereits beim Vorgänger Privacy Shield und es wird einige Tage dauern, bis die ersten Unternehmen zertifiziert sind. Der aktuelle Stand kann ab dem 17.07.2023 unter https://www.dataprivacyframework.gov/s/ eingesehen werden.
Was sind die wichtigsten Regeln?
Variante 1: Datenempfänger in den USA, TADPF-Zertifizierung vorhanden
Ist der Datenempfänger in den USA angesiedelt und verfügt über eine TADPF-Zertifizierung, gelten die “normalen” Regeln des bereits abgeschlossenen Auftragsverarbeitungsvertrages (Data Processing Agreement — DPA) nach Art. 28 DSGVO und die SCC finden keine Anwendung mehr. Eine Vertragsanpassung ist in diesem Fall nicht erforderlich.
Variante 2: Datenempfänger in den USA, TADPF-Zertifizierung (noch nicht) vorhanden
Hat der Datenempfänger seinen Sitz in den USA und unterzieht sich aber (noch) nicht der Zertifizierung, gelten weiterhin die bisherigen Regelungen, also die Verwendung von Standardvertragsklauseln (SCC) und die Durchführung eines Transfer Impact Assessment (TIA). Es ist jedoch wichtig zu beachten, dass die Zusammenarbeit mit US-amerikanischen Unternehmen nicht automatisch ausgeschlossen ist, nur weil keine Selbstzertifizierung vorgenommen wurde.
Was müssen Unternehmen jetzt unternehmen?
Es empfiehlt sich deshalb, zunächst abzuwarten und bei neuen Verträgen zu prüfen, ob der Datenempfänger bereits zertifiziert ist. Nur wenn dies der Fall ist, greifen die neuen Regelungen.
Bei bestehenden Verträgen sollte geprüft werden, ob eine Anpassung erforderlich ist, wenn der Datenempfänger nach TADPF zertifiziert ist. Eine Anpassung ist häufig nicht erforderlich, da die SCC nur dann gelten, wenn der Datenempfänger in einem Land ohne Angemessenheitsbeschluss ansässig ist.
Durch die Einführung des TADPF können Anpassungen in den Datenschutzhinweisen der Website oder anderer Prozesse — z.B. bei der Nutzung von Cloud-Produkten usw. — (Art. 13, 14 DSGVO), Auftragsverarbeitungsverträgen, Datenschutz-Folgenabschätzungen und im Verzeichnis nach Art. 30 DSGVO (Verarbeitungsverzeichnis) erforderlich werden.
Datentransfer in die USA (Teil 2) — Zertifizierungsliste
Hinweisgeberschutzgesetz ab 02.07.2023
Das Hinweisgeberschutzgesetz (HinSchG): Umfassender Schutz für Hinweisgeber
Das “Gesetz für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden” (Hinweisgeberschutzgesetz, HinSchG) tritt am 02.07.2023 in Kraft. Es stellt einen wichtige Baustein im deutschen Recht zum Schutz von Hinweisgebern dar.
Hinweisgeber sind Personen, die Missstände oder rechtswidrige Handlungen in Unternehmen oder öffentlichen Einrichtungen aufdecken. Das HinSchG bietet ihnen Rechtssicherheit bei der Offenlegung solcher Informationen.
Dieser Artikel erläutert die wichtigsten Aspekte des Hinweisgeberschutzgesetzes.
Um was geht es konrekt?
Das am 02.072023 in Kraft getretene Hinweisgeberschutzgesetz hat zum Ziel, Hinweisgeber vor beruflichen Nachteilen zu schützen und ihnen gleichzeitig die Möglichkeit zu geben, Verstöße gegen Gesetze und ethische Standards zu melden. Es schafft einen klaren Rahmen für den Umgang mit Hinweisen sowohl in privaten Unternehmen als auch im öffentlichen Sektor.
Ein zentraler Punkt des HinSchG ist die Gewährleistung von Anonymität und Vertraulichkeit für Hinweisgeber. Wer einen Missstand melden möchte, kann dies ohne Angst vor Repressalien oder Vergeltungsmaßnahmen tun. Das Gesetz verbietet Arbeitgebern, Whistleblower zu benachteiligen oder zu sanktionieren. Wird ein Whistleblower dennoch belästigt
, kann er rechtliche Schritte einleiten und Schadensersatzansprüche geltend machen.
Das HinSchG regelt auch den Umgang mit den gemeldeten Hinweisen. Unternehmen sind verpflichtet, ein internes Hinweisgebersystem einzurichten, das den Datenschutz gewährleistet. Die Identität des Hinweisgebers muss vertraulich behandelt werden, es sei denn, der Hinweisgeber stimmt der Offenlegung seiner Identität ausdrücklich zu. Dieser Schutz der Anonymität fördert das Vertrauen der Hinweisgeber und ermutigt sie, wichtige Informationen weiterzugeben.
Das HinSchG gilt für eine Vielzahl von Verstößen, darunter Korruption, Geldwäsche, Umweltverschmutzung und Verstöße gegen das Arbeitsrecht. Es stärkt die Integrität von Unternehmen und Organisationen, indem es die Offenlegung von Fehlverhalten fördert und dazu beiträgt, Schaden von der Gesellschaft abzuwenden.
Mit der Einführung des Hinweisgeberschutzgesetzes schließt Deutschland zu anderen europäischen Ländern auf, die ähnliche Gesetze eingeführt haben. Es trägt zu einer transparenten und integren Unternehmenskultur bei und stärkt das Vertrauen der Öffentlichkeit in Wirtschaft und Verwaltung.
Insgesamt bietet das Hinweisgeberschutzgesetz (HinSchG) einen wichtigen rechtlichen Rahmen für den Schutz von Hinweisgebern in Deutschland. Es schafft Sicherheit, Anonymität und Anreize für diejenigen, die Missstände melden wollen. Das Gesetz trägt zur Integrität von Unternehmen und zur Wahrung ethischer Standards bei und stärkt das Vertrauen der Öffentlichkeit.
Was ist wichtig?
Nachweisgesetz — Neufassung ab dem 01.08.2022
Nachweisgesetz (neu ab 01.08.2022 wirksam) Übersichtliche und vollständige Zusammenfassung der Änderungen.
Nachweisgesetz — Neufassung ab dem 01.08.2022 — Alles, was Sie wissen müssen.
Verwaltungsgericht Wiesbaden: US-Dienste nicht nutzen, auch wenn Daten in Europa gespeichert werden. Risiko durch CLOUD Act. Jetzt hier informieren!