Unternehmens- und Wirtschaftsrecht

+49 (0)89 1219165 50

Neue Compliance- Pflichten ab Juli 2023 nach dem Hinweisgeberschutzgesetz

Am 02. Juli 2023 ist das Hinweisgeberschutzgesetz (HinSchG) in Kraft getreten. Insbesondere wird darin der Schutz von Hinweisgebern vor Repressalien, wie z.B. Kündigungen oder andere Handlungen, die im Zusammenhang mit der Meldung einen Nachteil für den Hinweisgeber darstellen, geregelt. Aus dem HinSchG ergeben sich aber auch unabhängig von einem konkreten Anlass neue Anforderungen an organisatorische (compliance) Maßnahmen für Unternehmen mit mehr als 50 Mitarbeitern, insbesondere die Pflicht zur Einführung eines sicheren Hinweisgebersystems. Verstöße gegen das HinSchG stellen Ordnungswidrigkeiten dar, die zu einer Geldbuße bis zu EUR 50.000,– führen können. Hierzu gehören die Nichterrichtung der internen Meldestelle, Behinderung einer Meldung und die Offenlegung von unrichtigen Informationen.

  • Bis zum 2. Juli 2023 müssen danach Unternehmen ab 250 Mitarbeitern und bis zum 17. Dezember 2023 müssen Unternehmen ab 50 Mitarbeitern ein sicheres Hinweisgebersysteme einführen (interne oder externe Meldestelle).
  • Das Verfahren der Meldungsabgabe muss mündlich oder schriftlich und auf Wunsch auch persönlich möglich sein.
  • Dem Schutz des HinSchG unterliegen Meldungen (i) über strafbewehrte Verstöße (Straftat) über (ii) bußgeldbewehrten Verstöße (Ordnungswidrigkeit), soweit die verletzte Vorschrift dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient, (iii) über Verstöße gegen nationale Rechtsvorschriften oder unmittelbar geltendes EU-Recht, soweit diese spezifische, im HinSchG aufgeführte Schutzbereiche betreffen (z.B. Regelungen zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung, zum Schutz der Vertraulichkeit der Kommunikation, zur Sicherheit der Informationstechnik oder zu steuerlichen Pflichten).
  • Die einzurichtende Meldestelle muss (i) den Hinweisgebern innerhalb von 7 Tagen den Eingang der Meldung bestätigen und (ii) sie innerhalb von drei Monaten darüber informieren, welche Maßnahmen in Folge ergriffen wurden (z.B. Einleitung interner Untersuchung, Weitergabe an eine zuständige Behörde, etc.).
  • Die Unternehmen müssen (i) die Identität der Hinweisgeber schützen , (ii) DSGVO-Vorgaben hinsichtlich personenbezogener Daten einhalten (iii) Informationen über zuständige Aufsichtsbehörde(n) bereithalten.