Hinweisgeberschutzgesetz: Was Kommunen und öffentliche Auftraggeber jetzt umsetzen müssen
Seit dem 2. Juli 2023 gilt das Hinweisgeberschutzgesetz (HinSchG) und setzt die EU-Richtlinie zum Schutz von Whistleblowern in nationales Recht um – und es betrifft nicht nur private Unternehmen, sondern ausdrücklich auch Städte, Kommunen und sonstige öffentliche Stellen. Insbesondere Kommunen mit mehr als 10.000 Einwohnern sind verpflichtet, interne Meldestellen für Hinweisgeber (sog. Whistleblower) einzurichten. Ziel des Gesetzes ist es, Personen, die auf Missstände oder Rechtsverstöße hinweisen – etwa bei Vergaben, Haushaltsmitteln oder in der Bauverwaltung – effektiv vor Benachteiligungen zu schützen.
Die praktische Umsetzung bringt jedoch zahlreiche rechtliche, organisatorische und datenschutzrechtliche Herausforderungen mit sich. Kommunale Entscheidungsträger und Compliance-Verantwortliche sollten daher frühzeitig handeln, um Bußgelder und Reputationsschäden zu vermeiden.
Interne Meldestellen: Auch Kommunen sind verpflichtet
Das HinSchG verpflichtet alle juristischen Personen des öffentlichen Rechts – dazu zählen Städte, Gemeinden, Landkreise sowie Eigenbetriebe und kommunale Unternehmen – mit mehr als 50 Beschäftigten zur Einrichtung interner Meldestellen (§ 12 HinSchG). Für Unternehmen und Behörden mit 50 bis 249 Mitarbeitern galt eine Übergangsfrist bis Dezember 2023. Für Kommunen greift zusätzlich eine Schwelle auf Basis der Einwohnerzahl: Gemeinden mit über 10.000 Einwohnern sind unabhängig von der Zahl ihrer Beschäftigten zur Einrichtung einer internen Meldestelle verpflichtet. Die Umsetzungsfrist lief hier bereits im Juni 2023 ab.
Die Aufgabe dieser Meldestellen besteht darin, hinweisgebenden Personen einen vertraulichen, sicheren und niederschwelligen Weg zu bieten, um Verstöße gegen Gesetze und Rechtsvorschriften zu melden – etwa Verstöße gegen das Vergaberecht, gegen haushaltsrechtliche Vorschriften oder gegen Antikorruptionsrichtlinien. Dabei ist es unerheblich, ob sich der Hinweis auf intern begangene oder durch Dritte verursachte Verstöße bezieht.
Die Meldestelle kann durch interne Stellen (sog. „Ombudspersonen“) oder durch einen externen Dienstleister betrieben werden. Dabei kann z.B. auch ein Rechtsanwalt als Ombudsmann im Sinne des Hinweisgeberschutzgesetzes fungieren. Anwälte bietet Hinweisgebern eine vertrauliche und unabhängige Anlaufstelle zur Meldung von Missständen und Verstößen im Unternehmen. Durch seine Verschwiegenheitspflicht und sein Zeugnisverweigerungsrecht schützt der Rechtsanwalt die Identität des Hinweisgebers. Es können auch die externen Meldestellen des Bundesamts für Justiz und in Spezialfällen die der BaFin und des Bundeskartellamts (BKartA) aufgesucht werden. Entscheidend ist, dass sie unabhängig, fachlich qualifiziert und technisch so ausgestattet ist, dass die Vertraulichkeit der Hinweise gewahrt bleibt.
Datenschutz und technische Anforderungen
Ein zentrales Element des Hinweisgeberschutzes ist der Schutz der Identität der hinweisgebenden Person. Das Gesetz verlangt ausdrücklich, dass die Identität des Hinweisgebers nur mit dessen ausdrücklicher Zustimmung offengelegt werden darf (§ 8 HinSchG). Damit stellt das Gesetz hohe Anforderungen an den Datenschutz.
Kommunale Meldesysteme müssen daher zwingend DSGVO-konform ausgestaltet sein. Das betrifft sowohl die Auswahl der technischen Plattformen und Anbieter, die nachweislich europäische Datenschutzstandards einhalten (z.B. Hosting in der EU, ISO-Zertifizierungen), als auch die Prozesse zur Speicherung, Verarbeitung und Löschung personenbezogener Daten. Eine unzureichende datenschutzrechtliche Absicherung – etwa durch nicht abgesicherte Meldekanäle oder fehlende Verschlüsselung – kann nicht nur zu Datenschutzverstößen, sondern auch zu einem Vertrauensverlust in der Belegschaft führen.
Rückmeldepflichten und Fristen: Organisatorische Klarheit erforderlich
Gemäß § 17 HinSchG sind auch öffentliche Stellen verpflichtet, Hinweisgebern innerhalb von sieben Tagen den Eingang ihrer Meldung zu bestätigen. Innerhalb von drei Monaten muss die Meldestelle eine Rückmeldung über ergriffene oder geplante Folgemaßnahmen geben.
Um diesen Anforderungen gerecht zu werden, müssen Verantwortlichkeiten eindeutig geregelt und interne Abläufe klar definiert sein. Es empfiehlt sich, feste Bearbeitungsteams oder Ansprechpartner zu benennen, klare Fristenkontrollen einzurichten und die Kommunikation strukturiert zu dokumentieren.
Für Kommunen kann die Zusammenarbeit in interkommunalen Kooperationen eine sinnvolle Option sein – insbesondere bei der Auslagerung an externe, spezialisierte Dienstleister.
Schutz vor Repressalien – auch im öffentlichen Dienst
Ein Herzstück des Hinweisgeberschutzgesetzes ist nach der gesetzlichen Konzeption der Schutz vor Repressalien (§ 36 HinSchG). Hinweisgeber dürfen durch ihre Meldung keine Nachteile erleiden – weder durch Versetzungen, Kündigungen, Beförderungsblockaden noch durch subtile Maßnahmen wie Mobbing oder Ausgrenzung oder durch Einschränkungen in ihrer dienstlichen Tätigkeit. Dies gilt selbstverständlich auch für Beschäftigte im öffentlichen Dienst, Beamte oder Honorarkräfte.
Kommunen sind daher gut beraten, eine Whistleblower-freundliche Verwaltungskultur zu fördern. Dazu gehören Sensibilisierungsmaßnahmen, Schulungen für Führungskräfte und transparente Kommunikationsstrategien. Nur wenn Mitarbeitende auf den Schutz durch das Meldesystem vertrauen, wird es auch genutzt.
Hinweisgeberschutz im Vergaberecht und in sensiblen Bereichen
In der kommunalen Praxis spielt der Hinweisgeberschutz insbesondere bei der Vergabe öffentlicher Aufträge eine wichtige Rolle. Rechtsverstöße – etwa durch fehlerhafte Verfahrensdokumentation, unzulässige Direktvergaben oder Verstöße gegen die Transparenzpflicht – können durch Whistleblower frühzeitig offengelegt werden.
Auch in sicherheitsrelevanten Bereichen, wie der kommunalen IT, der Wasserversorgung oder im Gesundheitswesen, kann das Hinweisgebersystem eine zentrale Rolle spielen – etwa bei Hinweisen auf IT-Sicherheitslücken oder Verstöße gegen technische Normen. Eine funktionierende Meldestelle kann hier nicht nur zur Einhaltung rechtlicher Pflichten beitragen, sondern auch präventiv Schaden vom Gemeinwesen abwenden.
Es kann sich für öffentliche Auftraggeber und insbesondere auch Kommunen daher lohnen, dies im Rahmen einer Ausschreibung eines Hinweisgeberschutzsystems zu berücksichtigen, die Vergabeunterlagen entsprechend vergabekonform zu konzipieren und die Leistungsbeschreibung für das Vergabeprojekt an die Gegebenheite und Vorgaben des Hinweisgeberschutzgesetzes anzupassen, auch mit Hilfe der Unterstützung von externer anwaltlicher Beratung.
Bußgelder bei Verstößen: Kommunen sollten aktiv werden
Verstöße gegen das Hinweisgeberschutzgesetz – etwa das Fehlen einer internen Meldestelle, mangelhafte Datenschutzvorkehrungen oder unterlassene Rückmeldungen – können mit Bußgeldern von bis zu 50.000 € geahndet werden (§ 40 HinSchG). Das gilt insbesondere auch wenn betroffene Unternehmen oder betroffene öffentliche Stellen, wie z.B. Kommunen, entgegen der Vorschrift des § 12 Absatz 1 Satz 1 HinschG nicht dafür sorgen, dass eine interne Meldestelle eingerichtet ist und betrieben wird. Es sollte daher geprüft werden, ob man unter den Regelungsgehalt des Hinweisgeberschutzgesetzes fällt, bzw. ob die Regelungen des HinSchG für einen selbst in seinem Unternehmen, seiner Organisation, seiner Stadt, Behörde oder Kommune gelten, um evtl. Bußgelder zu vermeiden. Neben finanziellen Sanktionen können auch erhebliche Reputationsverluste drohen, insbesondere wenn es zu öffentlichen Diskussionen über unterlassene Hinweisverfolgung kommt.
Compliance und Prävention als Chance
Das HinSchG stellt für Arbeitgeber auch eine Chance dar, die Compliance-Strukturen im Unternehmen zu verbessern. Eine gut funktionierende interne Meldestelle kann dabei helfen, Rechtsverstöße frühzeitig zu identifizieren und zu beheben, bevor sie größeren Schaden anrichten. Um dies zu erreichen, sollten Beschäftigungsgeber nicht nur die gesetzlichen Mindestanforderungen erfüllen, sondern proaktiv Maßnahmen ergreifen, um die Mitarbeiter zur Nutzung der Meldestelle zu ermutigen.
Dies kann durch Schulungen und regelmäßige Kommunikation geschehen, in denen die Bedeutung des Hinweisgeberschutzes und der Schutz vor Repressalien betont werden. Zudem sollte die Meldestelle klar als vertrauenswürdige Anlaufstelle positioniert werden.
Es besteht zudem die Möglichkeit, Hinweisgebersysteme mit bestehenden Beschwerde- oder Antikorruptionsstrukturen zu verzahnen, sofern deren Anforderungen an Vertraulichkeit und Unabhängigkeit erfüllt werden. Auch der Einsatz von Künstlicher Intelligenz kann dabei möglich sein, dann sind aber zusätzlich zu den Regelungen der Datenschutzgrundverordnung (DSGVO) regelmäßig auch die Regelungen der KI-Verordnung (AI Act) zu prüfen.
Hinweisgeberschutz im Bereich kritischer Infrastrukturen
Besondere Relevanz entfaltet das Hinweisgeberschutzgesetz für Betreiber kritischer Infrastrukturen im Sinne der Kritisverordnung. In diesen Bereichen – etwa der Verkehrssteuerung, der Siedlungsabfallentsorgung, der Energieversorgung und des Gesundheitswesens – kann der Schutz von Hinweisgebern nicht nur Compliance-rechtliche, sondern auch sicherheitsrelevante Auswirkungen haben.
Meldungen über Unregelmäßigkeiten in der Steuerung von Anlagen oder in der Erbringung von sicherheitskritischen Dienstleistungen, beispielsweise im Verkehrssystem oder bei der Erzeugungsanlage eines Energieversorgers, müssen mit besonderer Sorgfalt behandelt werden. Arbeitgeber solcher Einrichtungen sollten ihre internen Meldesysteme auf die spezifischen Anforderungen hochsensibler Bereiche anpassen und den besonderen Schutzbedarf berücksichtigen.
Auch Änderungen an Prozessen oder technischen Systemen, die sicherheitsrelevant sind, können Hinweisgegenstand sein – insbesondere, wenn durch solche Änderungen Risiken für die Versorgungssicherheit oder die Umwelt entstehen könnten. Gerade hier ist es entscheidend, ein wirksames Hinweisgebersystem zu etablieren, das schnelle und vertrauliche Meldungen ermöglicht, um im Ernstfall unverzüglich reagieren zu können.
Fazit: Handlungsbedarf für die öffentliche Hand, insbesonderefür Kommunen – rechtlich, organisatorisch und technisch
Das Hinweisgeberschutzgesetz verlangt, neben betroffenen Unternehmen, auch von Kommunen, Städten und öffentlichen Auftraggebern eine systematische Auseinandersetzung mit interner Compliance. Die Einrichtung einer DSGVO-konformen Meldestelle, die Einhaltung der gesetzlichen Fristen und der wirksame Schutz vor Repressalien sind nicht nur gesetzliche Pflichten, sondern auch Ausdruck moderner Verwaltungskultur.
Kommunale Entscheidungsträger sollten das Hinweisgebersystem dabei nicht als Belastung, sondern als Chance begreifen: Wer Hinweisgeber schützt, schützt auch sich selbst – vor Rechtsverstößen, finanziellen Schäden und Vertrauensverlusten in der Verwaltung und damit letztlich auch Bürgerinnen und Bürger.
Unsere Kanzlei berät insbesondere Kommunen und öffentliche Auftraggeber bei der rechtssicheren Umsetzung des HinSchG – von der technischen Lösung über Schulungen bis zur externen Ombudsperson.