Mit dem Hinweisgeberschutzgesetz (HinSchG) setzt der deutsche Gesetzgeber die im Alltagssprachgebrauch genannte Whistleblower-Richtline um. Das Gesetz soll Hinweisgeber in Unternehmen bei der Meldung von bestimmten Verstößen schützen und die Prozesse rund ums Whistleblowing transparent regulieren. Das Hinweisgeberschutzgesetz tritt am 2. Juli 2023 in Kraft. Als Mitarbeiter/in gelten hierbei alle Angestellten. Eine Unterscheidung, wie wir sie in der DSGVO haben, zwischen Mitarbeiter/innen die personenbezogenen Daten verarbeiten gibt es hierbei nicht. Als Anlaufstelle kann dabei auch ein Datenschutzbeauftragter als sogenannter „Ombudsmann“ eingesetzt werden. Das deutsche Hinweisgeberschutzgesetz umfasst zunächst alle Personen, die in ihrem beruflichen Umfeld Informationen über Verstöße erlangt haben und die mit dem betroffenen Unternehmen selbst beruflich in Kontakt stehen. Hinweisgeber müssen dabei ein genaues Verfahren einhalten und können sich nicht sofort an die Öffentlichkeit wenden. Letzteres ist zum möglich, wenn die hinweisgebende Person nach der Meldung eines Verstoßes keine Rückmeldung erhalten haben.
Das Verfahren der Meldungsabgabe muss mündlich, schriftlich und auf Wunsch des Hinweisgebers auch persönlich möglich sein. Innerhalb von drei Monaten nach Bestätigung des Eingangs muss die jeweilige Meldestelle dem Hinweisgeber eine Rückmeldung geben. Diese Rückmeldung muss über geplante sowie bereits ergriffene Folgemaßnahmen mitteilen, sowie die Gründe für diese nennen. Die Meldungen sowie der gesamte Vorgang sind umfassend zu dokumentieren. Um den Hinweisgeber, bzw. dessen Identität effektiv zu schützen müssen die Meldungen anonym erfolgen können. Daher sieht das Hinweisgeberschutzgesetz vor, dass die Identität dieser Personen nur dem für die Meldung zuständigem Bearbeiter bekannt sein darf. Die internen Meldestellen müssen die Unabhängigkeit wahren und frei von Interessenskonflikten sein. Beispielhaft wären hier Mitarbeiter der Compliance, oder der Datenschutzbeauftragten des Unternehmens zu nennen. Weiterhin müssen die mit der Bearbeitung der Meldungen betrauten Personen für diese Aufgabe besonders geschult werden. Sie müssen dabei insbesondere geltende Datenschutzvorschriften kennen