Suche
Contact
28.04.2021 | KPMG Law Insights

Hinweisgebersystem und Case-Management – Die EU-Richtlinie zum Hinweisgeberschutz und deren Umsetzung in nationales Recht: Was kommt auf Unternehmen zu?

Die EU-Richtlinie zum Hinweisgeberschutz und deren Umsetzung in nationales Recht: Was kommt auf Unternehmen zu?

Die EU-Richtlinie: Die Richtlinie steht im Kontext eines Paradigmenwechsels der Rechtsdurchsetzungspolitik – in Europa und auch in Deutschland. Ziel der Richtline ist – das ist in ihrem Art. 1 beschrieben – die „Bessere Durchsetzung des Unionsrechts und der Unionspolitik in bestimmten Bereichen durch Festlegung gemeinsamer Mindeststandards, die ein hohes Schutzniveau für Personen sicherstellen, die Verstöße gegen das Unionsrecht melden“. Die Durchsetzung europäischen Rechts soll mit diesen Vorgaben präventiv vom Staat auf die Rechtsträger als eigene Angelegenheit übertragen werden. Durch die konkrete Vorgabe, Meldekanäle und ein Case Management zu implementieren und aufrecht zu erhalten

Stand des Gesetzgebungsverfahrens: Die Richtlinie wurde im so genannten Triolog-Verfahren erlassen und trat am 16.12.2019 in Kraft mit einer Umsetzungsfrist von zwei Jahren.

  • Umsetzungsstand in der EU: 19 von 27 EU-Mitgliedsstatten haben mit der Umsetzung bereits begonnen. Teilweise ist man schon weiter wie in Deutschland, insb. in den nordischen Ländern.
  • Referentenentwurf: In Deutschland sind, das Justiz- und das Arbeitsministerium arbeitsteilig mit dem Entwurf des Referentenentwurfes beschäftigt. Aufgrund der Komplexität und des Neulandes des Hinweisgeberschutzes ist bisher aber noch kein für die Öffentlichkeit freigegebener Entwurf verfügbar. Es ist das Ziel, den Zeitrahmen zur Umsetzung bis Ende 2021 (17.12.2021) einzuhalten. Aufgrund der vielfältigen Herausforderungen der Umsetzung kann zwar noch kein genaues Datum für einen offiziellen Referentenentwurf gegeben werden. Das BMAS und das BMJV sind hier in Abstimmung mit der Bundesregierung. Seit einiger Zeit kursiert aber der „Entwurf eines Gesetzes für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ (Hinweisgeberschutzgesetz). Vorbehaltlich etwaiger Änderungen zeigt der vorliegende Entwurf, wohin die Reise für deutsche Unternehmen gehen kann.

Kernanforderungen: Von den Kernanforderungen der EU-Whistleblowing-Richtlinie und deren avisierte Umsetzung im deutschen Recht seien ein paar Punkte herausgegriffen:

  • Alle Unternehmen so genannte Beschäftigungsgeber, gleich welcher Rechtsform oder Branche und auch die öffentliche Verwaltung, Gerichte und Gemeineden, so genannten Dienststellen, werden künftig zur Einrichtung eines Hinweisgebersystems verpflichtet sein. Das schon ab 50 Mitarbeitern. Der Gesetzgeber in Deutschland dehnt es für bestimmte Unternehmen im Anwendungsbereich des WPHG, BörsG, KWG, und VAG weiter aus. Im öffentlichen Sektor soll z.B. bei Gemeinden das Landesrecht Regelungen treffen.
  • Der Anwendungsbereich der Richtlinie umfasst Hinweisgeber im privaten und im öffentlichen Sektor. Dies bedeutet für den öffentlichen Sektor alle Mitarbeiter, die im beruflichen Kontext Informationen erhalten: Beamte, Öffentliche Bedienstete. Im privaten Sektor gilt dies entsprechend. Wichtig: Es ist ein weiter Anwendungsbereich – auch Mitarbeiter eines Geschäftspartners des Unternehmens müssen die Möglichkeit zur Meldung haben.
  • Hinsichtlich der umfassten Meldungen war zu erwarten, dass nicht nur Verstöße gegen EU-Recht, sondern auch Verstöße gegen nationales Recht in den Anwendungsbereich des Hinweisgeberschutzgesetzes fallen. Diese in der Politik nicht unumstrittene Vorgabe bedeutet, dass die Meldekanäle für alle straf- oder bußgeldbewehrten Verstöße offenstehen müssen und nicht nur EU-Rechtsverstöße erfassen dürfen.
  • Eine EU-Vorgabe besteht zum Umgang mit anonymen Hinweisen Eine Pflicht Meldekanäle für anonyme Hinweise zu öffnen ist für Deutschland nicht vorgesehen. Ausdrücklich wird nur klargestellt, dass externe Meldestellen anonymen Hinweisen nicht nachgehen müssen. Diese Aussage findet sich zwar nicht für interne Meldestellen. Jedenfalls ist der anonyme Hinweisgeber geschützt, wenn seine Identität zutage tritt.
  • In Bezug auf den Umgang mit gemeldeten Fällen gibt es präzise EU-Vorgaben mit Rückmeldungs- und Dokumentationspflichten, die entsprechend national umgesetzt werden.
  • Schließlich werden Pflichten zum Schutz des Hinweisgebers auferlegt, deren Erfüllung im Zweifel nachgewiesen werden muss. Die Beweislastumkehr zu Lasten der so genannten Beschäftigungsgeber und Dienststellen ist im Referentenentwurf entsprechend vorgesehen.
  • Keinen Whistleblower-Schutz gibt es aber grundsätzlich, wenn der Hinweisgeber besonders geschützte Informationen meldet. Keinen Schutz gibt es auch, wenn der Hinweisgeber direkt an die Öffentlichkeit geht, so genannte Offenlegung. Er ist nur dann geschützt, wenn er zuvor erfolglos eine externe Meldung gegenüber einer staatlich einzurichtenden Externen Meldestelle (Bundesdatenschutzbeauftragte, die BaFin und ggf. Landesbehörden) erstattet hat. Keinen Whistleblower-Schutz gibt es schließlich, wenn der Hinweisgeber vorsätzlich oder grob fahrlässig unrichtige Informationen meldet. Dann ist er sogar zum Ersatz des entstandenen Schadens verpflichtet.

 

Umsetzungsfrist und Auswirkungen auf den Markt: Die Umsetzungsfrist der EU-Richtlinie in nationales Recht endet im Dezember 2021. Für Unternehmen bis zu 249 Mitarbeitern sollen die Anforderungen aber nicht schon dieses Jahr, sondern erst 2023 in Kraft treten. Gut wäre, wenn klargestellt würde, ob sich die Mitarbeiterzahl nach Köpfen oder nach Full Time Equivalents berechnet. Die neue Rechtslage hat jedenfalls kurz- und mittelfristig Auswirkungen auf sehr viele Unternehmen.

  • Nach unserer Einschätzung haben in der EU wohl 50.000 Unternehmen mehr als 250 Mitarbeiter, in Deutschland allein dürften es 17.000 Unternehmen sein. Hier greifen die Pflichten ab Ende dieses Jahres. Wenn nur die Hälfte davon Anpassungen vornehmen müssen, z.B. ein digitales System einzuführen, dann sind das kurz- und mittelfristig EU-weit mehr als 25.000 Unternehmen.
  • Für kleinere Unternehmen kommt die Verpflichtung später. Nach unserer Einschätzung haben in der EU ca. 250.000 Unternehmen mehr als 50 Mitarbeiter (für Deutschland sind es wohl ca. 65.000). Wenn nur ein Viertel davon eine nachhaltige Umsetzung beabsichtigen, z.B. ein digitales System einzuführen, dann sind das langfristig mehr als 15.000 Unternehmen.
  • Nach unserer Einschätzung werden die Anforderungen des zukünftigen Hinweisgeberschutzgesetzes auch weltweit prägende Wirkung Das DOJ fordert Hinweisgebersysteme als Hallmark eines Compliance-Management-Systems über den FCPA auch extraterritorial. Die EU und der deutsche Gesetzgeber geben präzise Vorgaben zur Ausgestaltung des Hinweisgebersystems. Wenn ein Unternehmen international ein gruppenweites System einführt, sollten in Ländern außerhalb der EU unternehmensintern keine geringeren Compliance-Anforderungen als für die europäischen Gesellschaften gelten können.

 

Beschäftigungsgeber und Dienststellen sind gut beraten, die Zeit bis zum Inkrafttreten der verpflichtenden Regelungen zu nutzen, bestehende Hinweisgebersysteme an die zukünftigen Anforderungen anzupassen oder adäquate Hinweisgebersysteme einzuführen. Untern den verschiedenen Whistleblowing-Kanälen wird sich nach unserer Einschätzung jedenfalls in Europa eine IT-basierte Lösung durchsetzen. Denn bei Einrichtung und Betrieb von Hinweisgebersystemen sind neben obigen Vorgaben hinaus auch noch weitere rechtliche Anforderungen zu beachten. Insbesondere Datenschutz, den es geht im Kern um den Umgang mit personenbezogenen Daten: Hier gibt es einen Orientierungsleitfaden der Landesdatenschutzbehörden. Darüber hinaus sind bei Implementierung und Regelbetrieb vor allem die betriebliche Mitbestimmung, das Gesellschafsrecht und ggf. lokale Bestimmungen zu beachten.

Mit der EQS Group hat KPMG Law einen starken Allianz-Partner an seiner Seite – einer von den fünf relevantesten IT-Solution-Anbieter auf dem europäischen Markt, mit weltweiter Reichweite. Damit meinen wir, Beschäftigungsgeber und Dienststellen gut gerüstet mit einer ganzheitlichen Compliance-Lösung, den weltweit verfügbaren KPMG Integrity Service, bei Implementierung und Regelbetrieb unterstützen zu können.

Explore #more

10.07.2026 | KPMG Law Insights

Neues Verpackungsdurchführungsgesetz verschärft Pflichten für Unternehmen

  Co-Autorin: Séverine Sieprath, Director Audit, KPMG AG Wirtschaftsprüfungsgesellschaft   Das Verpackungsdurchführungsgesetz (VerpackDG), mit dem das deutsche Recht…

09.07.2026 | In den Medien

Gastbeitrag im Versicherungsmagazin: D&O-Versicherung – Rechtlicher Schutzschirm in stürmischen Zeiten

Haftungsrisiken für Führungskräfte nehmen spürbar zu: Neue regulatorische Anforderungen wie NIS-2, CSRD und das Lieferkettengesetz erhöhen die Verantwortung von Geschäftsleitern und Vorständen. Der Beitrag von

02.07.2026 | KPMG Law Insights

Einwurfeinschreiben bietet keinen sicheren Zugangsnachweis mehr – diese Alternativen gibt es

Das Einwurfeinschreiben im Rahmen der elektronischen Dokumentation begründet nicht mehr den Anscheinsbeweis für den Zugang eines Schriftstücks. Das hat das Bundesarbeitsgericht entschieden…

02.07.2026 | Dealmeldungen

KPMG Law advises Prinzhorn Group on the acquisition of German Stora Enso sites

KPMG Law  has advised Mosburger GmbH, a company of Dunapack Packaging and part of the Austrian Prinzhorn Group, on the acquisition of Stora Enso’s German…

02.07.2026 | In den Medien

KPMG Law Interview im Focus Business: Die EmpCo kommt: Nachhaltigkeitsmarketing wird zur Chefsache

Strengere EU‑Regeln setzen klarere Grenzen für Klimaversprechen und Social‑Claims. KPMG‑Law Expertin Manuela Meyer erklärt, welche Claims überprüft werden müssen und wie Unternehmen teure Fehler vermeiden…

29.06.2026 | KPMG Law Insights

Digitale Souveränität im Unternehmen verankern – rechtliche Anforderungen an IT-Systeme

Digitale Souveränität ist ein wichtiger strategischer Erfolgsfaktor und viele Maßnahmen sind auch gesetzlich vorgeschrieben. Unter anderem mit dem Data Act, NIS‑2, dem Cyber Resilience Act…

25.06.2026 | In den Medien

KPMG Law Interview in fvw I Traveltalk: Kommende EU-Pauschalreise-Richtlinie – „Für die Branche beginnt die eigentliche Arbeit erst jetzt“

Nach über zweieinhalb Jahren Dauer ist das Gesetzgebungsverfahren samt Veröffentlichung seit Kurzem abgeschlossen. Jetzt beginnt die Frist für Reiseveranstalter und Reisebüros – spätestens ab 29.…

24.06.2026 | Dealmeldungen

KPMG Law advised the shareholders of Zimmermann PV-Steel Group on the sale to Nextpower

KPMG Law Rechtsanwaltsgesellschaft mbH (KPMG Law) advised the shareholders of Zimmermann PV-Steel Group (Zimmermann) on the sale of the company to Nextpower™ (Nasdaq: NXT),  a…

23.06.2026 | KPMG Law Insights

Deutschland modernisiert das Schiedsverfahrensrecht

Die Bundesregierung hat am 10. Juni 2026 den Entwurf eines „Gesetzes zur Modernisierung des Schiedsverfahrensrechts“ vorgelegt. Damit möchte sie die gesetzlichen Regeln für die Streitbeilegung…

18.06.2026 | In den Medien

KPMG Law Gastbeitrag in Innovative Verwaltung: Schutz in stürmischen Zeiten

Organe kommunaler Unternehmen tragen ein persönliches, unbegrenztes Haftungsrisiko, das durch die Besonderheiten des öffentlichen Sektors zusätzlich exponiert ist. Eine D&O-Versicherung schützt Vermögen und deckt die…

Kontakt

Dr. Bernd Federmann, LL.M.

Partner
Regionalleiter Südwest
Leiter Compliance & Wirtschaftsstrafrecht

Theodor-Heuss-Straße 5
70174 Stuttgart

Tel.: +49 711 781923 418
bfedermann@kpmg-law.com

©2026 KPMG Law Rechtsanwaltsgesellschaft mbH, assoziiert mit der KPMG AG Wirtschaftsprüfungsgesellschaft, einer Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

Scroll