Hinweisgebersysteme: NIS-2-Richtlinie zwingt zur BSI-Registrierung
10.06.2026 - 20:42:42 | boerse-global.de
Ein Urteil des Verwaltungsgerichts Schleswig zeigt: Die Wahl des externen Dienstleisters ist Chefsache. Die Mitbestimmung greift erst später.
Konkret: Das Gericht entschied im Juni 2025 (Az. 19 A 7/24), dass die Beauftragung eines externen Anbieters für die interne Meldestelle nicht der Mitbestimmung des Personalrats unterliegt. Die Entscheidung falle in die Organisationshoheit des Arbeitgebers.
Compliance-Experten warnen, dass viele Unternehmen das Hinweisgeberschutzgesetz noch immer fehlerhaft umsetzen und dadurch Bußgelder riskieren. Dieser kostenlose Praxisleitfaden zeigt Ihnen Schritt für Schritt, wie Sie interne Meldestellen rechtssicher und DSGVO-konform organisieren. Endlich Klarheit beim HinSchG: Jetzt gratis Leitfaden sichern
Mitbestimmungspflichtig wird es erst, wenn Regelungen das Verhalten der Beschäftigten direkt betreffen. Also etwa die konkrete Ausgestaltung des Meldeverfahrens. Die reine Auswahl des Vertragspartners bleibt dagegen mitbestimmungsfrei.
Strenge Fristen für Beteiligungsverfahren
Dass prozedurale Fehler teuer werden können, zeigt ein aktuelles Urteil des Bundesarbeitsgerichts. Im Januar 2026 (Az. 2 AZR 128/25) erklärten die Richter eine Kündigung in der Probezeit für unwirksam. Grund: Die Schwerbehindertenvertretung war nicht ordnungsgemäß beteiligt worden.
Der Arbeitgeber hatte die einwöchige Stellungnahmefrist nicht vollständig abgewartet. Ein bloßer Kenntnis-Stempel reichte dem Gericht nicht als abschließende Äußerung. Diese strikte Auslegung gilt auch für Meldeverfahren nach dem Hinweisgeberschutzgesetz – sofern sie das Verhalten der Belegschaft berühren.
Parallel stärkte das BAG die Kontrollrechte der Betriebsräte. Sie haben Anspruch auf die namentliche Nennung von Mitarbeitern, die innerhalb eines Jahres länger als sechs Wochen krank waren. Ziel: Überwachung des betrieblichen Eingliederungsmanagements. Der Datenschutz steht dem nicht entgegen.
Ein korrekt durchgeführtes BEM ist essentiell, um Arbeitsplätze zu erhalten und rechtssicher zu handeln, doch Fehler bei der Vorbereitung können teuer werden. In diesem kostenlosen E-Book finden Sie eine vollständige Anleitung inklusive Gesprächsleitfaden und Muster-Betriebsvereinbarung für alle Beteiligten. Kostenlose BEM-Anleitung mit Mustervorlage herunterladen
Wenn der Dienstleister zum Risiko wird
Die Entscheidung für einen externen Partner birgt eigene Gefahren. Im April und Mai 2026 wurden Cyberangriffe auf spezialisierte Dienstleister wie Unimed oder Portraitbox bekannt. In einem Fall entwendeten Angreifer mehr als 120.000 Patientendatensätze. Auch bei AIDA/Carnival kam es zu massiven Datenabflüssen.
Die Botschaft ist klar: Unternehmen bleiben datenschutzrechtlich in der Pflicht. Die 72-Stunden-Meldefrist gemäß Art. 33 DSGVO gilt auch dann, wenn der Fehler beim Dienstleister liegt. Ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ist Pflicht – ersetzt aber nicht die Kontrolle.
Neue Regeln erhöhen den Druck
Hinzu kommen verschärfte Compliance-Anforderungen. Die NIS-2-Richtlinie zwingt Unternehmen zur Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Stand Juni 2026: Nur ein Bruchteil der betroffenen Firmen hat das fristgerecht geschafft.
Die Strafen sind empfindlich. Bei Nichtbeachtung drohen Bußgelder von bis zu zehn Millionen Euro – plus persönliche Haftung der Geschäftsführung.
Für Arbeitgeber heißt das: Die Einrichtung von Meldestellen ist kein isoliertes Projekt. Sie muss Teil einer umfassenden Governance-Strategie sein, die Mitbestimmungsrechte, IT-Sicherheit und Haftungsfragen integriert.
