Hinweisgeberschutzgesetz

EU-Richtlinie zum Schutz von Whistleblowern ist in Kraft

Die Umsetzung der EU-Whistleblower-Richtlinie durch das neue Hinweisgeberschutzgesetz (HinSchG) wurde nun durch den Bundestag beschlossen. Im Rahmen dieser Beitrages möchten wir Ihnen noch einmal einen Überblick über das Hinweisgeberschutzgesetzes geben.

Ziele

Mit dem neuen Hinweisgeberschutzgesetz sollen Verstöße oder auch Missstände im Unternehmen schneller aufgedeckt oder unterbunden werden. Außerdem soll sichergestellt werden, dass Whistleblower weder zivil-, straf- oder verwaltungsrechtlich, noch bezugnehmend auf das Beschäftigungsverhältnis, haftbar gemacht werden können. Zudem sollen interne Meldekanäle eingesetzt werden, um die Durchsetzung von EU-Recht im Allgemeinen zu optimieren.

Für wen und ab wann gilt das neue Gesetz?

Das Gesetz findet sowohl für private als auch für öffentliche Unternehmen Anwendung. Dementsprechend müssen Behörden und private Unternehmen eine interne Meldestelle einrichten.

Grundsätzlich sollen alle Unternehmen ein Hinweisgeberschutzsystem einrichten. Das Gesetz sieht allerdings auch Ausnahmen vor: private Unternehmen mit weniger als 50 Mitarbeiter sind ausgenommen, es sei denn, das Unternehmen ist auf dem Finanzsektor tätig. Diese Unternehmen müssen, unabhängig von der Größe, eine interne Meldestelle für Arbeitnehmer einführen.

Das Gesetz tritt einen Monat nach Verkündung in Kraft, sodass nach deutschem Recht bereits Mitte des Jahres 2023 alle betroffenen Unternehmen ein Hinweisgebersystem vorweisen müssen. Die EU-Richtlinie ist allerdings schon im Dezember 2022 in Kraft getreten, sodass Unternehmen mit 250 und mehr Mitarbeitern nach EU-Recht schon jetzt ein Hinweisgebersystem in ihr Unternehmen integriert haben müssen.  Unternehmen mit einer Mitarbeiteranzahl zwischen 50 und 249 haben eine verlängerte Frist für die Einführung eines Hinweisgebersystems bis zum 17.12.2023.

Was bedeutet das für Unternehmen?

Mit Geltung des Hinweisgeberschutzgesetzes sollen Hinweisgeber betriebsinterne Verstöße melden können. Ob dies schriftlich oder mündlich erfolgt, muss der jeweilige Hinweisgeber wählen können.

Die Implementierung der internen Meldestelle sollte möglichst frühzeitig stattfinden. Innerhalb des Unternehmens sollte eine festgelegte Person, die Hinweise entgegennehmen. Hierfür eignet sich auch der (externe) Datenschutzbeauftragter. Der Einsatz eines externen Datenschutzbeauftragten hat hierbei den Vorteil, dass er bereits viel Wissen und Erfahrung zu diesem Thema hat und die betriebsinternen Ansprechpartner und Abläufe kennt. Zudem ist der Datenschutzbeauftragte Geheimnisträger, so dass ein Hinweisgeber sich sicher sein kann, dass die Meldung des Verstoßes verschwiegen bearbeitet wird.

Jegliche Meldungen von Verstößen müssen dokumentiert werden und es sollten dementsprechende Folgemaßnahmen ergriffen werden. Der Bearbeitung muss binnen 3 Monaten abgeschlossen sein.

Ablauf eines Meldesystems

Die Meldung wird durch den Whistleblower über das Hinweisgebersystem abgegeben. Dort wird der Hinweis durch eine unparteiische Person, beispielsweise einen externen Datenschutzbeuaftragten, angenommen, der binnen sieben Tagen eine Eingangsbestätigung sendet. Die Bearbeitung und Rückmeldung an den Whistleblower erfolgt innerhalb von drei Monaten

Die Daten aus dem Hinweisgebersystem sind besonders sensibel und sollten deshalb besonders geschützt werden. Gemäß § 32 DS-GVO werden besonders hohe Ansprüche an technische und organisatorische Maßnahmen gestellt. Das Hinweisgebersystem sollte also mit einem speziellen Berechtigungskonzept, einer Passwortrichtlinie und mit einer Pseudonymisierung beziehungsweise Verschlüsselung der Daten einhergehen. Auch das Hinweisgebersystem selbst muss die Vorgaben der DS-GVO erfüllen.

Unter Umständen kann auch eine Datenschutzfolgenabschätzung im Sinne des Art. 35 Abs. 3 DS-GVO erforderlich sein. Im Falle einer Datenverarbeitung durch berechtigte Dritte wie dem Plattformbetreiber, Hosting-Anbieter oder andere externe Dienstleister, die an dem Hinweisgebersystem beteiligt sind, sollten unbedingt Auftragsverarbeitungsverträge gemäß Art. 28 DS-GVO abgeschlossen werden.