Termin vereinbaren

Hinweisgeberschutz-Gesetz (HinSchG)

Ihre Pflichten und was zu tun ist!

Mit Inkrafttreten des HinSchG am 02.07. 23 sind Unternehmen ab 250 Mitarbeiter (ab 17.12.23 ab 50 Mitarbeiter) zur Einrichtung interner Meldestellen für hinweisgebende Personen verpflichtet.

Gemeldet werden kann ein breites Spektrum an Rechtsverstößen in beruflichen/unternehmerischen Zusammenhang. Dabei sind über den gesamten Verlauf, von der Meldung bis zum Verfahrensabschluss hinweisgebende Personen, Betroffene und sonstige Beteiligte umfassend zu schützen!

Das betrifft insbesondere die Vertraulichkeit der Meldungen und den Schutz der Identitäten des betroffenen Personenkreises. Dadurch besteht ein starker Zusammenhang zur DSGVO.

Im Rahmen der Beweislastumkehr obliegt es dem Unternehmen zu beweisen, dass eine hinweisgebende Person keine Repressalien erfahren hat.

Unternehmen, die den umfassenden Pflichten des HinSchG nicht nachkommen drohen empfindliche Bußgelder, Schadensersatz- forderungen und Reputationsschäden.

Hinweisgeberschutz-Gesetz (HinSchG)

mit weniger als 50 Mitarbeitern nach der neuen DIN SPEC  27076!

Cyber-Beratung, CyberRisiko-Check + konkrete Handlungsempfehlungen

Verständlich, praxistauglich, einsatzbereit, kosteneffizient

Schützen Sie Ihr Unternehmen!

mIT-Standard sicherer!

Rechtslage

Pflichten

Whistleblowing

Compliance

    Leitfaden

    Hinweisgeberschutzgesetz (HinSchG) verabschiedet

    neue und kurzfristige Pflichten für Unternehmen, Behörden + Verwaltungen

    Bundestag und Bundesrat haben nach Vermittlung des Vermittlungsausschusses das Hinweisgeberschutz-Gesetz (HinSchG) verabschiedet. Das Gesetz ist am 02.07.23 in Kraft getreten. Beschäftigungsgeber – Unternehmen, Behörden und Verwaltungen müssen kurzfristig interne Meldestellen einrichten.

    Hinweisgeber*innen können bußgeld- und strafbewährte sowie sonstige Rechtsverstöße melden. Dabei sind die höchst sensiblen Informationen, wie die Identitäten der Hinweisgeber*innen, der Beschuldigten und sonstigen Beteiligten (z.B. Zeugen) sowie die Informationen der Meldung zu schützen und Bearbeitungsfristen einzuhalten.

    Erfahren Sie, wie Sie die Anforderungen des HinSchG rechtskonform, wirksam und effizient bewältigen und Bußgelder vermeiden.

    Kurze Reaktionszeiten für Unternehmen, Behörden und Verwaltungen 

    Die Umsetzungsfristen sind für Beschäftigungsgeber gestaffelt und anspruchsvoll. Bei Fristversäumnissen drohen hohe Bußgelder.

    Unternehmen mit mehr als 250 Mitarbeitern + Finanzdienstleister

    • Umsetzung seit 02.07.2023 (Bußgeldbewährt ab 01.12.2023)

    Unternehmen > 50 Mitarbeiter und < 250 Mitarbeiter

    • Umsetzung bis 17.12.2023

    Ziele des Hinweisgeberschutzgesetzes (HinSchG)

    Das HinSchG verfolgt zwei Ziele:

    • Durchsetzung von europäischem und nationalem Recht
    • Standards zum Schutz hinweisgebender Personen die Rechtsverstöße melden.

    Whistleblowing deckt Unrecht auf

    Hinweisgeber*innen leisten einen wichtigen Beitrag zur Aufdeckung und Ahndung von Missständen, Korruption, Rechtsverstößen sowie anderen illegalen Aktivitäten.  Ziel dieses Gesetzes ist es, deren Benachteiligungen auszuschließen und Rechtssicherheit zu geben.

    Angstfreie Meldung ohne Repressalien befürchten zu müssen

    Mit HinSchG soll der bislang lückenhafte und unzureichende Schutz aller Beteiligten im Rahmen einer Meldung von Rechtsverstößen und der nachfolgenden Untersuchung im Einklang mit den europäischen Vorgaben (Whistleblower Richtline) wirksam und nachhaltig verbessert und geregelt werden.

    Schutz der Identitäten aller Beteiligten

    Durch das HinSchG werden hinweisgebende Personen sowie Personen, die Gegenstand einer Meldung oder Offenlegung sind und sonstige Betroffene geschützt.

    Rechtsrahmen für Maßnahmen

    Was für Beschäftigungsgeber zunächst wie eine neue bürokratische Repressalie wirkt, ermöglicht diesen nun gemeldete Rechtsverstöße in einem Rechtsrahmen geordnet zu behandeln und zu untersuchen.

     

    Daten schützen

    Bewusste und unbewusste Rechtsverstöße

    Trotz zahlreicher Rechtsvorschriften in Deutschland gab und gibt es jedes Jahr eine Vielzahl von bewussten und unbewussten Rechtsverstößen. Das rechtswidrige Verhalten Einzelner kann die Zukunft eines ganzen Unternehmens gefährden.

    Milliardenschäden in Unternehmen durch Rechtsverstöße

    Unternehmen entstehen durch Rechtsverstöße jährlich finanzielle Schäden in Milliardenhöhe, Reputationsschäden und Vertrauensverlust mit Innen- und Außenwirkung!

    Bekannte Whitleblowing-Fälle

    Wie wichtig Whistleblowing ist, belegen Fälle, wie Facebook, Tönnies oder der des Zahlungsdienstleisters Wirecard, der Fondstochter der Deutschen Bank (DWS), wo Externe und Mitarbeitende auf Missstände aufmerksam gemacht hatten.

    Rechtsverstöße im Sinne des HinSchG

    Der Anwendungsbereich des HinSchG umfasst die Meldung (§ 3 Absatz 4) und die Offenlegung (§ 3 Absatz 5) von Informationen über Verstöße gegen Rechtsvorschriften der EU, des Bundes und der Länder, die

    • strafbewährt
    • bußgeldbewährt, insbesondere
      • der Schutz von Gesundheit, Leib und Leben
      • der Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane (z.B. Betriebsrat),

    sind.

    Beruflicher Kontext muss gegeben sein

    Verstöße im Sinne des HinSchG sind Handlungen oder Unterlassungen im Rahmen einer beruflichen, unternehmerischen oder dienstlichen Tätigkeit, die rechtswidrig sind und Vorschriften oder Rechtsgebiete betreffen.

    Zahlreiche Rechtsgebiete includiert

    Gemeldet werden kann ein breites Spektrum an Rechtsverstößen aus nachfolgenden Rechtsgebieten:

    • Bekämpfung von Geldwäsche und Terrorismusfinanzierung,
    • Vorgaben zur Produktsicherheit und -konformität,
    • Vorgaben zur Verkehrssicherheit (Straße, Bahn, See, Luft),
    • Vorgaben zu Umweltschutz, Strahlenschutz und zur kerntechnischen Sicherheit,
    • Förderung der Nutzung von Energie aus erneuerbaren Quellen und der Energieeffizienz,
    • Lebensmittel- und Futtermittelsicherheit,
    • Qualitäts- und Sicherheitsstandards für Organe und Substanzen menschlichen Ursprungs, Human- und Tierarzneimittel, Medizinprodukte
    • Herstellung, zur Aufmachung und zum Verkauf von Tabakerzeugnissen,
    • Regelung der Verbraucherrechte und des Verbraucherschutzes,
    • Schutz personenbezogener Daten im Anwendungsbereich DSGVO
    • Sicherheit in der Informationstechnik
    • Regelung der Rechte von Aktionären von Aktiengesellschaften
    • Abschlussprüfung bei Unternehmen von öffentlichem Interesse
    • Rechnungslegung einschließlich der Buchführung von Unternehmen
    • Regelungen für Auftraggeber zum Verfahren der Vergabe von öffentlichen Aufträgen und Konzessionen
    • Finanzdienstleistungsaufsichtsgesetzes
    • für Körperschaften und Personenhandelsgesellschaften geltende steuerliche Rechtsnormen
    • missbräuchliche Verstöße zur Verschaffung steuerlichen Vorteile
    • Arbeitsweise der Europäischen Union
    • bestreitbare und faire Märkte im digitalen Sektor
    • Verstoß gegen die Pflicht zur Verfassungstreue durch Beamtinnen und Beamten
    • Schutz der finanziellen Interessen der Europäischen Union
    • Binnenmarktvorschriften

     

    Beteiligte Personenkreise

    (persönlicher Anwendungsbereich, HinSchG § 1):

    Das HinSchG regelt den Schutz von natürlichen Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit Informationen über Verstöße erlangt haben und diese an die nach dem HinSchG vorgesehenen Meldestellen melden oder offenlegen (hinweisgebende Personen).

    Darüber hinaus werden Personen geschützt, die Gegenstand einer Meldung oder Offenlegung sind, sowie sonstige Personen, die von einer Meldung oder Offenlegung betroffen sind.

    Der Kreis umfasst Arbeitnehmende, Selbstständige, Gesellschafter, Praktikanten, Freiwillige, Mitarbeiter von Lieferanten sowie Personen, deren Arbeitsverhältnis bereits beendet ist oder noch nicht begonnen hat und sich in einem vorvertraglichen Stadium befindet in 3 Rollen:

    • Personen, die Verstöße melden (Whistleblower)
    • Personen, die Gegenstand einer Meldung oder Offenlegung sind (Beschuldigte)
    • Personen, die von einer Meldung oder Offenlegung betroffen sind (z.B. Zeugen)

    Hinweisgebende Personen (Whistleblower) im Sinne des HinSchG:

    Der persönliche Anwendungsbereich des HinSchG ist weit gefasst und umfasst alle Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit Informationen über Verstöße einer Organisation im Zusammenhang mit ihrer beruflichen Tätigkeit erlangt haben.

    • Arbeitnehmerinnen und Arbeitnehmern
    • Freiberufler + Leiharbeitnehmer:innen
    • Beamtinnen und Beamten
    • Selbstständige
    • Anteilseignerinnen und Anteilseigner
    • Mitarbeiterinnen und Mitarbeiter von Lieferanten
    • Personen, die bereits vor Beginn eines Arbeitsverhältnisses Kenntnisse von Verstößen erlangt haben
    • Zulieferer + Dienstleister

     

    Daten schützen

    Insolvenzen nach CyberAttacken

    KKU verfügen oft über keine eigene IT-Abteilung und sind besonders gefährdet. So vielfältig wie die Cyber-Angriffsarten sind, so mannigfaltig sind Risiken und direkten und indirekten Auswirkungen erfolgreicher CyberAngriffe (Sicherheitsvorfall / CyberIncident). Die Insolvenz von Prophete nach einer CyberAttacke ist nur ein prominentes Beispiel.

    Risiken

    • Verschlüsselung aller Unternehmensdaten > Betriebsstörung
    • Erpressung + Lösegeldforderungen
    • Diebstahl von Daten und Know-How
    • Reputationsschäden + Kundenverluste
    • Erlöschen des Versicherungsschutzes (CyberVersicherung)
    • Gesetzesverstöße (StGB, SGB, DSGVO, GeschGehG)
    • Folgekosten (IT-Experten, Anwälte, Bußgelder, Schadensersatzforderungen)
    • Verlust der Zuverlässigkeit zur Geschäftsführung
    • Betriebsstörung und -unterbrechung
    • Insolvenz

    Verstöße gegen Gesetze

    Je nach CyberAngriffs-Art kann es dabei auch zu einem Datendiebstahl oder Datenmissbrauch (Data Breach) kommen.

    Oft bedeuten erfolgreiche CyberIncidents gleichzeitig Verstöße gegen Gesetze wie das StGB, das SGB, die Datenschutz-Grundverordnung (DSGVO), das Geschäftsgeheimnisgesetz (GeschGehG), das GmbHG und Andere. Das kann weitreichen Konsequenzen für das betroffene Unternehmen aber auch ganz persönlich für Unternehmer :in oder Geschäftsführer :in haben.

    Neuer Standard für Beratung und CyberRisiko-Check

    Der neue IT-Sicherheitsstandard wurde auf Initiative und unter Mitwirkung des Verbandes Der Mittelstand, BVMW e.V. (BVMW), sowie der Mitwirkung des Bundesamtes für Informationssicherheit (BSI), des DIN Deutsches Institut für Normung e. V. (DIN) und den Mitgliedern des DIN SPEC-Konsortiums speziell für kleine und Kleinstunternehmen (KKU < 50 Mitarbeiter) entwickelt.

    Status, Risiko-Profil, Handlungsempfehlungen CyberSicherheit

    Ziel ist, dass KKU durch neutrale Beratung, Check und konkrete Handlungsempfehlungen in einer Zeit zunehmender CyberBedrohungslage, mit einem kosten- und zeiteffizienten Beratungsstandard eine schnelle Verbesserung und ein vertretbares Minimum der IT- und Informationssicherheit erreichen.

    Sie erhalten einen konkreten Überblick über Ihren CyberSicherheitsstatus:

    • Einstufung Ihres Risiko-Status
    • Visualisierung Ihres Risiko-Profil
    • Sensibilisierung für CyberSicherheit
    • Verständliche Handlungsempfehlungen

    Umfang und Ablauf der unabhängigen Beratung nach DIN SPEC 27076

    Der Beratungsstandard ist schlank konzipiert, praxisorientiert, zeiteffektiv und kosteneffizient. Die Beratung und der Check können vollständig online (auf Wunsch Präsenz) durchgeführt werden.

    1. Vorbereitungsgespräch zum Ablauf

    Im Vorbereitungsgespräch (Online, ggf. Präsenz) berate ich Sie über den Ablauf, die erforderliche Dokumente und den erforderlichen Teilnehmerkreis für den weiteren Beratungsprozess und den CyberRisiko-Check nach DIN SPEC 27076.

    In diesem Erstgespräch vereinbaren wir einen Termin für einen ca. 3-stündigen Termin zur Aufnahme Ihres IST-Zustandes.

    2. Aufnahme des IST-Zustandes

    In unserem zweiten Termin erfassen wir gemeinsam anhand eines Auditkataloges mit 27 Anforderungen aus nachfolgenden 6 Themenbereichen Ihren individuellen Status:

    • Organisation + Sensibilisierung
    • Datensicherung
    • Schutz vor Schadprogrammen
    • Identitäts- und Berechtigungsmanagement
    • Patch- und Änderungsmanagement
    • IT-Systeme und Netzwerke

    3. Auswertung und Ergebnisbericht

    Nach der Aufnahme Ihres IST-Status bewerte ich Ihren Status und erarbeite daraus konkrete Handlungsempfehlungen für Sie.

    Die Ergebnisse fasse ich in einem DIN SPEC 27076-konformen Bericht für Sie kompakt und verständlich zusammen.

    4. Präsentation der Ergebnisse und Handlungsempfehlungen

    Im letzten Schritt erläutere ich Ihnen in einem Online-Termin, die Ergebnisse der IST-Aufnahme sowie Ihre individuellen Schwachstellen. Diese sind im Ergebnisbericht zusammengefasst.

    Der Bericht enthält ein Spinnennetz-Diagramm, aus dem Sie Soll-Werte und Ihren individuellen IST-Status entnehmen können. Des Weiteren erhalten Sie übersichtlich und verständlich formulierte Handlungsempfehlungen zur Umsetzung.

    Förderung möglich

    In diesem Termin informiere ich Sie über die Förderprogramme für kleine und mittlere Unternehmen (KMU incl. KKU) für die Umsetzung Ihrer Handlungsempfehlungen und zur Verbesserung Ihrer IT-Sicherheit.

    Wie geht es danach weiter?

    Der Ergebnisbericht incl. Statuswert sowie den aufgezeigten Schwachstellen liefert Ihnen konkrete Informationen zum Stand Ihrer CyberSicherheit und Ihren Schwachstellen.

    Er ist die konkrete Grundlage zur schnellen Umsetzung der erforderlichen Sicherheitsmaßnahmen. Die Maßnahmen setzen Sie mit Ihrer eigenen IT-Abteilung oder Ihrem IT-Dienstleister um.

    Dadurch erreichen Sie schnell und kosteneffizient eine signifikante Verbesserung Ihres CyberSchutzes und Ihrer IT-Sicherheit.

    Daten sichern

    Regelmäßige Wiederholung CyberRisiko-Check sinnvoll

    Nach Abschluss der Verbesserungsmaßnahmen empfiehlt sich eine Wiederholung des CyberRisiko-Checks. Der Nachweis der Maßnahmenumsetzung und die Verbesserung des Sicherheitsstatus beeinflusst die Beziehungen zu den verschiedenen Stakeholdern positiv.

    Eine absolute CyberSicherheit ist unmöglich und die ergriffen Maßnahmen sollten keine trügerische CyberSicherheit vermitteln. Es gilt eine SecurityAwareness zu entwickeln, die Entwicklung der CyberRisiken aufmerksam zu verfolgen und Ihre IT-Sicherheitsmaßnahmen kontinuierlich daran anzupassen.

    Hierbei liefert die regelmäßige Wiederholung des CyberRisiko-Checks oder eine weiterführende Zertifizierung wichtige Informationen.

    Wie wir Sie unterstützen:

    Wir unterstützen Sie bei der Umsetzung Ihrer Pflichten des HinSchG durch

    • Beratung zum Gesetz und Ihren Pflichten
    • Übernahmen Funktion Meldestellen-Beauftragter
    • Bereitstellung einer Meldestellen-Plattform
    • Einrichtung der internen Meldestelle
    • Fachliche Kommunikation mit Betriebsrat
    • Erstellung einer unternehmensspezifischen Whistleblower-Richtline / Whistleblower Policy
    • Erst- und wiederkehrende Schulung /Unterweisung Ihrer Mitarbeiter + Stakeholder
    • Fristgerechte Bearbeitung eingehender Meldungen
    • Unterstützung bei internen Nachforschungen
    • Kommunikation mit Hinweisgeber
    • Kommunikation mit Behörden
    • Verfahrensdokumentation
    • Aufbewahrung und fristgerechte Löschung Ermittlungen

    Buchen Sie jetzt ein kostenfreies Informationsgespräch (15 min.) und erfahren Sie, wie Sie das HinSchG nachhaltig und effizient umsetzen können.

    Buchen Sie einen kostenfreies Informationsgespräch

    Termin vereinbaren

    Niemand wird mehr gehasst, als derjenige, der die Wahrheit sagt!“

    Platon, Philosoph (428/427 -347 v. Chr.)