Hinweisgeberschutzgesetz
Das Hinweisgeberschutzgesetz (HinSchG) ist am 2. Juli 2023 in Kraft getreten und setzt die EU-Richtlinie 2019/1937 in deutsches Recht um. Es dient dem Schutz von HinweisgeberInnen vor Repressalien und verpflichtet Unternehmen ab einer bestimmten Größe oder in bestimmten Sektoren zur Einrichtung interner Meldestellen.
Ziel des Gesetzes ist es, Missstände frühzeitig intern zu klären – bevor externe Stellen oder die Öffentlichkeit eingeschaltet werden müssen.
Ein wirksames Hinweisgeberschutzsystem ist jedoch nicht nur gesetzliche Pflicht, sondern bringt Unternehmen auch zahlreiche Vorteile: Es stärkt die Compliance-Kultur, senkt das Risiko von Rechtsverstößen und schützt vor wirtschaftlichen Schäden durch Reputationsverlust oder Sanktionen. Unternehmen, die Hinweisgeberschutz ernst nehmen, fördern zudem ein offenes Betriebsklima und eine konstruktive Fehlerkultur.
Unternehmen profitieren in mehrfacher Hinsicht von einem funktionierenden Hinweisgeberschutz.
Frühzeitige Problemerkennung
Interne Meldungen ermöglichen es, Verstöße frühzeitig zu identifizieren und Gegenmaßnahmen einzuleiten.
Reputation und Vertrauen
Unternehmen, die aktiv Hinweisgeberschutz betreiben, werden als verantwortungsbewusst wahrgenommen und genießen höheres Vertrauen – bei Mitarbeitenden, KundInnen und Partnerunternehmen.
Reduzierung von Haftungsrisiken
Durch proaktive Maßnahmen lassen sich Bußgelder, Strafzahlungen und Imageschäden vermeiden.
Offene Unternehmenskultur
Ein Hinweisgeberschutzsystem schafft Transparenz und fördert eine Kultur der offenen Kommunikation.
Unternehmen und Behörden mit in der Regel mindestens 50 Mitarbeitenden sind zur Einrichtung einer internen Meldestelle verpflichtet. In bestimmten Branchen, wie dem Finanzsektor, gilt diese Pflicht unabhängig von der Unternehmensgröße.

Ihre Vorteile mit unserem Hinweisgeberschutzsystem HintPilot
Unsere Kanzlei bietet Ihnen ein umfassendes Hinweisgeberschutzsystem, das alle gesetzlichen Anforderungen erfüllt und nahtlos in Ihre Unternehmensstruktur integriert werden kann. Mit unserem sicheren Meldeportal HintPilot ermöglichen wir eine einfache, vertrauliche und effiziente Bearbeitung von Hinweisen.
Datenschutz-Grundverordnung
DSGVO
Die Datenschutz-Grundverordnung (DSGVO) ist seit dem 25. Mai 2018 in Kraft und bildet die zentrale rechtliche Grundlage für den Schutz personenbezogener Daten in der Europäischen Union. Sie legt fest, wie datenverarbeitende Stellen personenbezogene Daten verarbeiten dürfen, um so den Schutz der Privatsphäre von natürlichen Personen sicherzustellen.
Ziel der Verordnung ist es, ein einheitliches Datenschutzniveau innerhalb der EU zu gewährleisten und Betroffenen mehr Kontrolle über ihre Daten zu geben.
Die DSGVO basiert auf mehreren Grundprinzipien, die von allen Verantwortlichen beachtet werden müssen:
Die Verarbeitung personenbezogener Daten muss auf einer rechtlichen Grundlage beruhen und für die betroffenen Personen nachvollziehbar sein.
Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben und verarbeitet werden.
Unternehmen sollen nur so viele Daten erheben, wie für den jeweiligen Zweck erforderlich sind.
Daten müssen korrekt und auf dem neuesten Stand gehalten werden.
Daten dürfen nicht länger als notwendig gespeichert werden.
Unternehmen müssen geeignete Sicherheitsmaßnahmen ergreifen, um personenbezogene Daten zu schützen.
Pflichten der Verantwortlichen
Neben diesen Grundprinzipien müssen Verantwortliche ganz konkrete Pflichten erfüllen, soweit sie personenbezogene Daten verarbeiten. Dazu zählen beispielsweise:
- Die Gewährleistung der Betroffenenrechte
- Eine Meldepflicht bei Datenschutzverletzungen
- Die Benennung eines oder einer Datenschutzbeauftragten
- Die Gewährleistung von technischen und organisatorischen Maßnahmen zum Schutz von Daten
- Allgemeine Dokumentation und Rechenschaftspflichten
- Regelungen für den Drittlandtransfer
Sanktionen bei Verstößen
Die DSGVO sieht empfindliche Strafen bei Verstößen vor. Diese reichen von Verwarnungen bis hin zu hohen Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens. Neben finanziellen Sanktionen können Verstöße auch zu Reputationsschäden und einem Vertrauensverlust bei den betroffenen Personen führen.
Sie wollen sich einen ersten Überblick über das Datenschutzniveau in Ihrer Organisation machen? Nutzen Sie unseren kostenlosen DSGVO-Quick-Check.
Interview mit Scheja & Partners
KI-Verordnung
Die KI-Verordnung hat das Ziel, ein harmonisiertes Regelwerk innerhalb der EU zu schaffen, das die Sicherheit und die Grundrechte der Bürger schützt und gleichzeitig Innovationen fördert. Durch klare Vorgaben sollen Risiken im Zusammenhang mit dem Einsatz von KI minimiert werden.
KI-Systeme, die eine Bedrohung für Sicherheit oder Grundrechte darstellen, sind verboten.
Diese Systeme sind erlaubt, unterliegen jedoch strengen Anforderungen.
KI-Systeme, für die besondere Transparenzpflichten gelten.
KI-Kompetenz
Die KI-Verordnung verpflichtet Unternehmen, Behörden, Verbände und NGOs, bei ihren MitarbeiterInnen für ein „ausreichendes Maß an KI-Kompetenz“ zu sorgen. „KI-Kompetenz“ beinhaltet die Kenntnis der Chancen und Risiken von KI, der Rechte und Pflichten aus der KI-Verordnung sowie die Fähigkeit, KI-Systeme sachkundig einzusetzen. Da dies für alle KI-Systeme, unabhängig von deren Risikoeinstufung, gilt, sind hiervon alle Stellen betroffen, die KI-Systeme einsetzen.
Konsequenzen beim Einsatz von KI
Kernelement der KI-Verordnung ist die Ermittlung der konkret für Sie geltenden Pflichten. Hierbei muss zunächst geprüft werden, ob überhaupt ein „KI-System“ im Sinne der KI-Verordnung vorliegt. Kann dies bejaht werden, muss ermittelt werden, welche „Rolle“ die Unternehmen, Behörden, Verbände und NGOs jeweils einnehmen und welches Risiko von dem jeweiligen KI-System ausgeht. Hieran knüpfen sich spezielle Pflichten an, die Sie beim Einsatz der KI beachten müssen.
Scheja & Partners berät Sie umfassend zu allen Rechtsfragen zur KI-Verordnung, einschließlich der komplexen Bestimmung von Rolle und Risiko und zeigt Ihnen so Ihre individuellen Pflichten auf. So können Sie sich voll und ganz auf Ihr Kerngeschäft konzentrieren und sichergehen, dass KI-Systeme rechtskonform eingesetzt werden.
Ihre Bevollmächtigten nach Art. 22 und 54 KI-Verordnung
– Compliance auf höchstem Niveau
Zugang zum EU-Markt sichern. Risiken minimieren. Vertrauen schaffen.
Warum ist ein Bevollmächtigter unverzichtbar?
Für Anbieter mit Sitz außerhalb der EU – sei es für ein Hochrisiko-KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck – ist die Benennung eines in der EU niedergelassenen Bevollmächtigten gesetzlich vorgeschrieben, um auf dem EU-Markt tätig werden zu können. Ohne diese zentrale Rolle ist ein rechtmäßiger Marktzugang in vielen Fällen nicht möglich.
Unsere Expertise für Ihre Sicherheit

Bevollmächtigte für Anbieter von Hochrisiko-KI-Systemen
Als Bevollmächtigter für Ihr Unternehmen übernehmen wir umfassend die gesetzlich vorgeschriebenen Aufgaben, z. B.:
- Prüfung, ob EU‑Konformitätserklärung und technische Dokumentation erstellt wurden
- Bereithaltung der Kontaktdaten, Konformitätserklärung, Dokumentation und ggf. Zertifikate – 10 Jahre ab Inverkehrbringen/Inbetriebnahme
- Übermittlung aller für den Konformitätsnachweis benötigten Informationen und automatisiert erzeugter Protokolle auf behördliche Anfrage
- Zusammenarbeit mit Behörden zur Risikominimierung
- Ansprechpartner für Behörden in allen Fragen, die die Gewährleistung der Einhaltung der KI-VO betreffen

Bevollmächtigte für KI-Modelle mit allgemeinem Verwendungszweck
Für Anbieter solcher Modelle übernehmen wir sämtliche Aufgaben, die der EU-Gesetzgeber festgelegt hat, z. B.:
- Prüfung, ob die technische Dokumentation erstellt wurde und ob die gesetzlichen Pflichten eingehalten werden
- Bereithaltung der Dokumentation und Kontaktdaten – 10 Jahre ab Inverkehrbringen
- Übermittlung aller für den Konformitätsnachweis erforderlichen Informationen gegenüber dem Büro für Künstliche Intelligenz oder zuständigen Behörden auf konkreten Antrag
- Kooperation bei behördlichen Maßnahmen, auch wenn Ihr Modell in KI-Systeme integriert ist
- Ansprechpartner für Behörden in allen Fragen, die die Gewährleistung der Einhaltung der KI-VO betreffen
Der Data Act – Ein neuer Rechtsrahmen für den Datenzugang
Mit dem Data Act hat die Europäische Union einen Meilenstein gesetzt: Sukzessive gelten ab September 2025 weitreichende Pflichten zum Zugang, zur Nutzung und zur Weitergabe von Daten. Ziel ist es, Daten für Innovation und Wettbewerb besser nutzbar zu machen – insbesondere im Bereich vernetzter Produkte und digitaler Dienste.
Für Unternehmen bedeutet das: Neue Chancen für datengetriebene Geschäftsmodelle, aber auch erhebliche rechtliche Risiken, wenn Vorgaben nicht beachtet werden.
Die zentrales Herausforderung der Umsetzung liegt im Zusammenspiel von Data Act und den übrigen Rechtsakten der vergangenen Jahre, einschließlich der DSGVO. Der Data Act erfasst sowohl personenbezogene Daten als auch solche Daten, die nicht-personenbezogen sind. Dieses Spannungsfeld aufzulösen stellt die Adressaten dieses Rechtsakts in Zeiten komplexer Datenstrukturen vor enorme Herausforderungen:
- Welche Vorkehrungen müssen Verantwortliche treffen, um die Weitergabe von Daten zu ermöglichen?
- Welche technischen und rechtlichen Grundlagen müssen bereits vor Geltendmachung der Rechte durch Kunden und andere Dritte erledigt werden?
- Wie können Verantwortliche selbst vom Data Act profitieren?

Was Unternehmen jetzt tun sollten
Die Umsetzung des Data Act verlangt mehr als juristische Einzelfallprüfungen. Erforderlich sind ganzheitliche Strategien, die Technik, Vertragswesen und weitere zwingende Bestandteile der Umsetzung zusammenbringen. Dies sind u.a.:
- Aufbau sicherer Schnittstellen für Datennutzung und -weitergabe
- Anpassung von Vertragsklauseln im Lichte neuer Fairnessvorgaben
- Entwicklung integrierter Compliance-Konzepte, die DSGVO und Data Act zusammenführen
- Identifizierung von Chancen für neue datengetriebene Geschäftsmodelle
NIS2 – Sind Sie gut vorbereitet?
Sie ist in aller Munde – die EU-Richtlinie NIS2 (Network and Information Security Directive). Sie wird die Spielregeln für Cybersicherheit in Europa verändern und zielt darauf ab, die Cybersicherheit zu stärken und digitale Infrastrukturen widerstandsfähiger zu machen. Deutschland hat die Umsetzungsfrist im Oktober 2024 verpasst. Nach dem Beschluss des Regierungsentwurfs im Juli 2025 wird jedoch erwartet, dass das NIS2-Umsetzungsgesetz (NIS2UmsuCG) Ende 2025 oder Anfang 2026 in Kraft tritt.
NIS 2 verpflichtet künftig weit mehr Unternehmen und öffentliche Stellen, verbindliche Mindeststandards für IT-Sicherheit, Risikomanagement und Meldeverfahren einzuhalten. Es sollte daher mindestens eine frühzeitige Prüfung der Betroffenheit erfolgen. Da die neuen Vorgaben zudem komplex und umfassend sind, empfiehlt es sich für die in den Anwendungsbereich von NIS fallenden Organisationen, bereits vor Inkrafttreten des NIS2UmsuCG eine Gap-Analyse vorzunehmen und ggf. erforderliche Maßnahmen zur Erfüllung der gestiegenen Anforderungen zu ergreifen.

- Erweiterter Anwendungsbereich
Mehr Sektoren werden zu „wichtigen Einrichtungen“ erklärt – nicht nur klassische kritische Infrastrukturen. - Geschäftsleiterhaftung
Leitende Personen haften künftig ausdrücklich mit für die Umsetzung der Sicherheitsvorgaben. - Mindestsicherheitsanforderungen
Einführung verbindlicher Mindeststandards (z. B. technische und organisatorische Maßnahmen, Melde- und Reaktionsmechanismen).
- Stärkere Berücksichtigung der Lieferkette
Auch Dienstleister und Zulieferer müssen in die Sicherheits- und Risikoprozesse eingebunden werden.
- Mehrstufiges Meldesystem & verschärfte Meldepflichten
Bei Sicherheitsvorfällen muss zeitnah (nach nationalem Gesetz) gemeldet werden.
- Verstärkte Sanktionen & Bußgelder
Deutlich höhere Strafen für Nicht-Erfüllung – vergleichbar mit den Vorgaben der DSGVO.
- Öffentliche Stellen, Behörden und Unternehmen in definierten Sektoren wie Energie, Transport, Gesundheitswesen, digitale Dienste, öffentliche Verwaltung etc.
- Mittelgroße und große Einrichtungen, die wichtige oder kritische Dienste bereitstellen.
- IT-Dienstleister und Zulieferer, die Teil der Lieferkette sind.
- Governance- und Führungsverantwortung auf oberster Ebene (Geschäftsleitung, Behördenleitung)
- Risikoanalyse und Risikomanagement mit regelmäßiger Überprüfung
- Erstellung und Einhaltung technischer und organisatorischer Sicherheitsmaßnahmen
- Einbindung der Lieferkette in die Sicherheitsmaßnahmen
- Meldung von Sicherheitsvorfällen nach definierten Fristen an die zuständigen Behörden (z. B. das BSI)
- Registrierung betroffener Einrichtungen bei zuständigen Stellen
- Führen Sie eine Betroffenheitsprüfung durch: Ist Ihre Organisation bereits unter NIS2-Pflichten?
- Machen Sie eine GAP-Analyse: Wie weit sind Sie, und wo bestehen Lücken im Vergleich zu den neuen Anforderungen?
- Strukturieren Sie Governance & Verantwortlichkeiten: Geschäftsleitung, IT-Sicherheit, Datenschutz, Risiko etc.
- Beginnen Sie mit der Implementierung der Mindestsicherheitsanforderungen – insbesondere bei Technik, Prozesssteuerung und Lieferkettenmanagement.
- Planen Sie Registrierungen und Prozesse zur Meldung von Vorfällen mit ausreichend Vorlauf.
- Schulen Sie Mitarbeitende & Führungskräfte zur Schaffung einer Grund-Awareness
Wir bieten spezialisierte Beratung auf dem Gebiet Datenschutz & Datenrecht und haben umfassende Erfahrung mit komplexen Compliance-Anforderungen wie DSGVO, Lieferkettengesetz und eben NIS2. Wir helfen Ihnen, rechtliche und technische Anforderungen so umzusetzen, dass sie betrieblich praktikabel, risikomindert und zukunftssicher sind.
Ob mittelständisches Unternehmen, Großkonzern oder Behörde – mit uns können Sie sicher sein, dass Sie nicht „auf Sicht fahren“, sondern gut vorbereitet sind, wenn das NIS2UmsuCG greift und die Vorgaben von NIS2 damit auch in Deutschland verbindlich einzuhalten sind.