Aufsichtsbehörde beantwortet häufige Fragen zum Hinweisgeberschutzgesetz
Das deutsche Hinweisgeberschutzgesetz (HinSchG) ist am 2. Juli 2023 in Kraft getreten. Seit diesem Stichtag müssen Unternehmen ab 250 Beschäftigten interne Hinweisgebersysteme für einen geeigneten Hinweisgeberschutz eingerichtet haben. Ende des Jahres folgen dann Unternehmen ab 50 Mitarbeitenden.
Das neue Hinweisgeberschutzgesetz zielt darauf ab, einen besseren Schutz für Whistleblower zu bieten. Gleichzeitig dient das Gesetz dazu die EU-Richtlinie zum Schutz von Personen, die Verstöße gegen Unionsrecht melden, umzusetzen. In diesem Sinn soll das nationale Gesetz alle Einzelpersonen schützen, die Verstöße gegen interne oder externe rechtliche Verpflichtungen innerhalb ihrer Organisation oder Behörde melden. Damit soll sichergestellt sein, sie in erster Linie vor negativen Konsequenzen durch ihren Arbeitgeber, der im Gesetz als „Beschäftigungsgeber“ bezeichnet wird, sowie vor den gemeldeten „Rechtsverletzer“ selbst zu schützen.
Das Gesetz definiert „Whistleblower“ als Personen, die Informationen über aufgelistete Verstöße bereitstellen und schützt sie vor jeglicher Haftung, solange sie keine falschen Anschuldigungen in grob fahrlässiger Weise machen. Zu den zu meldenden Rechtsverletzungen gehören zunächst Handlungen, die straf- oder (mit einigen Einschränkungen) bußgeldbewehrt sind (§ 2 Abs. 1 Nr. 1 und 2 HinSchG). Unter dem Aspekt des Datenschutzes relevant sind nach § 2 Abs. 1 Nr. 3 HinSchG Verstöße gegen die in § 2 Abs. 1 Nr. 3 lit. o und p HinSchG genannten Vorschriften zum Schutz der Privatsphäre und personenbezogener Daten in der elektronischen Kommunikation (ePrivacy-Recht), zum Schutz vor unzumutbaren Belästigungen durch elektronische Werbung (sog. Kundendatenschutz) und auch zum Schutz personenbezogener Daten im Anwendungsbereich der Datenschutz-Grundverordnung (DS-GVO). Die Voraussetzung, dass der gemeldete Vorfall mit den beruflichen Tätigkeiten des Whistleblowers zusammenhängt, ist bewusst weit definiert und umfasst sowohl aktuelle als auch frühere berufliche Tätigkeiten.
Im Zusammenhang mit dem Inkrafttreten des Hinweisgeberschutzgesetzes stellen sich eine Vielzahl von datenschutzrechtlichen Fragen. Der Landesbeauftragte für den Datenschutz und
die Informationsfreiheit Baden-Württemberg (LfDI BW) beantwortet die häufig gestellten Fragen auf seiner Webseite und trägt so mit seinen fortlaufend gepflegten FAQ zu mehr Recht- und Handlungssicherheit für die Verantwortlichen bei.
(Foto: DOC RABE Media – stock.adobe.com)
Verwandte Produkte
Das könnte Sie auch interessieren
-
LinkedIn-Verrnetzung begründet keine Einwilligung für Werbe‑E‑Mails
Das AG Düsseldorf hat mit Urteil vom 20.11.2025 (Az. 23 C 120/25) klargestellt, dass berufliche Vernetzung in sozialen Netzwerken keine Einwilligung für den Versand werblicher E-Mails begründet. Hintergrund war ein Fall, in dem ein IT-Dienstleister zwei Werbe-E-Mails an eine GmbH sandte, die lediglich über LinkedIn vernetzt war, ohne dass eine ausdrückliche Zustimmung vorlag. LinkedIn-Kontakte ≠ Einwilligung für
Mehr erfahren -
Vergütung für nicht deklariertes „KI-Gutachten“ kann verweigert werden
Das Landgericht Darmstadt hat in einem Beschluss vom November 2025 (19 O 527/16) klargestellt, dass eine erhebliche, nicht gegenüber dem Gericht offengelegte Verwendung von Künstlicher Intelligenz (KI) bei der Erstellung eines gerichtlichen Sachverständigengutachtens zur vollständigen Versagung der Vergütung führen kann. Damit stärkt das Gericht die Anforderungen an Transparenz, persönliche Leistungspflicht und Nachvollziehbarkeit bei Gutachten, die im Rahmen zivilprozessualer
Mehr erfahren -
Gemeinsame Dateiablagen als datenschutzrechtliches Risiko
In der Aktuellen Kurz-Information 65 weist der Bayerische Landesbeauftragte für den Datenschutz auf die erhebliche Gefahr von Datenpannen durch gemeinsam genutzte Dateiablagen hin. Betroffen sind sowohl klassische Netzlaufwerke als auch moderne Kollaborationsplattformen wie Microsoft SharePoint. Diese Systeme dienen zwar der effizienten Zusammenarbeit, können jedoch bei unzureichender Konfiguration und Organisation zu unbeabsichtigten Offenlegungen personenbezogener Daten führen.
Mehr erfahren
