Das Hinweisgeberschutzgesetz, welches auf der Grundlage der EU: Richtlinie (EU) 2019/1937 basiert, wurde vom Bundestag am 16.12.2022 verabschiedet. Die Zustimmung des Bundesrates steht noch aus, diese gilt aber als sicher. Voraussichtlich wird das Gesetz spätestens im April 2023 in Kraft treten. Die wesentlichen Regelungen sind:

• Unternehmen und Organisationen ab 50 Beschäftigten müssen sichere interne Hinweisgebersysteme installieren und betreiben. Kleineren Unternehmen zwischen 50 und 249 Beschäftigten wird dafür eine Umsetzungsfrist bis zum 17. Dezember 2023 eingeräumt.
• Whistleblower müssen die Möglichkeit erhalten, Hinweise mündlich, schriftlich oder auf Wunsch auch persönlich abzugeben.
• Wird ein Hinweis abgegeben, muss die interne Meldestelle dies dem Hinweisgeber innerhalb von sieben Tagen bestätigen.
• Binnen drei Monaten muss die Meldestelle den Whistleblower über die ergriffenen Maßnahmen informieren, beispielsweise über die Einleitung interner Compliance-Untersuchungen oder die Weiterleitung einer Meldung an eine zuständige Behörde, etwa eine Strafverfolgungsbehörde.
• Als zweite, gleichwertige Möglichkeit zur Abgabe von Hinweisen wird beim Bundesamt für Justiz eine externe Meldestelle eingerichtet. Die Bundesländer können darüber hinaus eigene Meldestellen einrichten.
• Whistleblower können sich frei entscheiden, ob sie eine Meldung an die interne Meldestelle ihres Unternehmens abgeben oder die externe Meldestelle nutzen möchten.
• Auch anonymen Hinweisen muss nachgegangen werden.
• Zum Schutz der Whistleblower vor „Repressalien“ enthält das Gesetz eine weitgehende Beweislastumkehr: Wird ein Whistleblower im Zusammenhang mit seiner beruflichen Tätigkeit „benachteiligt“, wird vermutet, dass diese Benachteiligung eine Repressalie ist. Zudem kommen Schadensersatzansprüche des Whistleblowers aufgrund von Repressalien in Betracht.

Datenschutzrechtlich stellt die Einführung der Meldestellen und die Bearbeitung der Hinweise für die Unternehmen eine Herausforderung dar, da die Verarbeitung der personenbezogenen Daten im Einklang mit der DSGVO stehen muss.

Über den Fortgang des Gesetzgebungsverfahrens können Sie sich auf der Seite der BMI unter folgendem Link informieren: https://www.bmj.de/SharedDocs/Gesetzgebungsverfahren/DE/Hinweisgeberschutz.html