Update zum Hinweisgeberschutzgesetz: Schutz von Whistleblowern

Geschrieben am 31.07.2023 von:

Team MORGENSTERN

MORGENSTERN: Innovativ in Datenschutz, IT-Sicherheit und Digitalisierung.
zum Profil

Kontaktiere mich:

+49 (0) 6232 – 100119 44
E-Mail senden

Die EU-Whistleblower-Richtlinie wurde nun in nationales Recht umgesetzt, um den Schutz von Hinweisgeber*innen zu ver­bessern. Mit dem neuen deutschen Hinweisgeberschutzgesetz, das am 02. Juli 2023 in Kraft getreten ist, kommen daher auf viele Unternehmen neue Anforderungen zur Wahrung ihrer Compliance zu.

Hintergrundwissen:

Sogenannte „Whistleblower“ decken Rechtsverstöße in Unternehmen und Behörden auf und sollen deshalb einen besonderen Schutz vor Benachteiligungen erhalten. Aber auch Unternehmen sollen umfassend durch das Gesetz geschützt und so Haftungsansprüche und Image­schäden für Unternehmen und Behörden vermieden wer­den. Die Hinweise sollen ein frühzeitiges Einschreiten er­möglichen.

Das Gesetz findet sowohl Anwendung bei Verstößen gegen EU-Recht als auch gegen deutsches Recht und betrifft vor allem Meldungen von Verstößen, die straf- und bußgeldbewehrt sind sowie Verstöße gegen Rechtsnormen, die zur Umsetzung europäischer Regelungen getroffen wurden. Hinweisgeber sind verpflichtet, sich an ein konkretes Verfahren zu halten und dürfen Informationen nur als ultima ratio an die Öffentlichkeit weitergeben.

Für wen gilt das Gesetz?

Unternehmen und Organi­sationen mit 250 oder mehr Beschäftigten sind bereits seit Inkrafttreten des Gesetzes verpflichtet, eine interne Meldestelle einzurichten, da sonst ein Bußgeld droht. Unternehmen mit in der Regel zwischen 50 und 249 Beschäftigten haben noch bis zum 17. Dezember 2023 Zeit, die Meldestelle einzurichten. Behörden und Kommunen mit mehr als 10.000 Einwohner*innen sind ebenfalls verpflichtet, entsprechende Meldekanäle einzurichten. Für bestimmte Unternehmen, wie bspw. Im Versicherungswesen, gilt jedoch die Pflicht der Einrichtung einer internen Meldestelle unabhängig von der Beschäftigtenzahl.

Die Bußgeldandrohung für die Nichteinrichtung einer internen Meldestelle trotz vorgenannter Verpflichtung tritt nunmehr erst 6 Monate nach Verkündung des HinSchG in Kraft.

Wie muss so ein Meldekanal nun umgesetzt werden?

In aller Kürze solltet ihr seit dem 02.Juli 2023 oder eben erst ab dem 17.Dezember 2023 folgende Mindestanforderungen an den Meldekanal beachten:

1. Form der Meldung im Meldekanal

  • Die Abgabe von Meldungen muss mündlich oder in Textform möglich sein; mündliche Meldungen müssen telefonisch oder durch andere Arten der Sprachübertragung möglich sein
  • Möglichkeit einer persönlichen Zusammenkunft, wenn die hinweisgebende Person dies wünscht (mit Einwilligung auch im Wege der Bild- oder Tonübertragung)

2. Umsetzung der Verfahrensanforderungen

  • Um die gesetzlichen Fristen einhalten zu können, sollten Erinnerungen und Alarme/Benachrichtigungen eingerichtet werden
  • Um die Verfahrensanforderungen einhalten zu können, sollten klar definierte Prozesse und Muster implementiert werden
    • Spätestens innerhalb von sieben Tagen muss der meldenden Person nämlich der Eingang seiner Meldung bestätigt werden und für die Rückmeldung habt ihr maximal drei Monate Zeit
  • Die Hinweise sind unter Beachtung des Vertraulichkeitsgebots zu dokumentieren und für drei Jahre nach Abschluss des Verfahrens aufzubewahren (sofern andere Vorschriften keine längere Aufbewahrung erfordern)

3. Datenschutz

  • Umsetzung der Informationspflichten nach Art. 13, 14 DS-GVO
  • Einholung von Einwilligungen im Meldekanal soweit erforderlich
  • Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO
  • Abschluss eines Auftragsverarbeitungsvertrags (mit externen Anbietern als interne Meldestelle)

4. Vertraulichkeit, Anonymität und Datensicherheit

  • Wie sieht es mit anonymen Hinweisen aus?
    • Der Meldekanal muss zwar nicht so gestaltet sein, dass anonyme Meldungen möglich sind. Anonyme Meldungen sollen jedoch bearbeitet werden. Möglicherweise unterliegst du aber bestimmten ISO-Normen, die eine Anonymität verlangen (z.B. ISO 37301).
  • Wichtig ist in allen Fällen, dass Maßnahmen zum Schutz der Vertraulichkeit und der Identität des Meldenden getroffen werden. Dies kann unter anderem z.B. durch Zugangs- und Trennkontrollen im Meldekanal, die Einrichtung von Berechtigungssystemen sowie ausreichende Verschlüsselungen erfolgen.

Gerne unterstützen wir dich bei der Implementierung und dem Betrieb deines Hinweisgebersystems. Unser Hinweisgeber-Compliance-Paket bietet dir ein vollständig digitalisiertes Meldesystem (interne Meldestelle) mit verschiedenen hochsicheren Meldekanälen einschließlich Case-Management, Reporting und Dokumentation. Wir freuen uns auf deine Anfrage!


Zurück zu den News