Hinweisgeberschutzgesetz (HinSchG)

Seit dem 17.12.2021 müssen betroffene Unternehmen in Deutschland als Folge der EU-Whistleblowing-Richtlinie ein Hinweisgebersystem umgesetzt haben. In Deutschland wird die Richtlinie als Hinweisgeberschutzgesetz umgesetzt.

Spätestens jetzt müssen Sie als Unternehmen reagieren und alle nötigen Vorgaben umsetzen!

 

Verstöße aufdecken

Ein Whistleblower, zu Deutsch Hinweisgeber, kann prinzipiell jede natürliche Person sein, die Informationen über Verstöße oder illegale Vorgänge einer juristischen Person besitzt und diese Hinweise an interne oder externe Meldestellen weitergibt.

Eine interne Meldestelle ist dabei im Bereich der juristischen Person, also innerhalb des Unternehmens eingerichtet. Eine Externe auf Seiten der zuständigen Behörde. Diese Hinweise sind wichtig, um Missstände, Verstöße und illegale Machenschaften in Unternehmen aufzudecken und somit die Gesellschaft zu schützen. Da Unternehmen oder anderen juristischen Personen entsprechende Strafen bei Vergehen jeglicher Art drohen, gelten Whistleblower in Unternehmen als großes Risiko. Eine regelrechte Stigmatisierung, Repressalien und Vergeltungsmaßnahmen sind nicht selten die Folge. Um dennoch Hinweise von Whistleblowern zu erlangen, wurde die EU-weite Direktive auf den Weg gebracht, welche Ende 2021 in ein nationales Gesetz umgewandelt werden soll.

 

Datenschutz

Aktuell wurde der Entwurf für das Hinweisgeberschutzgesetz in Deutschland jedoch noch nicht verabschiedet. Ende 2020 wurde von dem deutschen Bundesministerium für Justiz und Verbraucherschutz (BMJV) ein erster Gesetzentwurf vorgelegt, der allerdings Ende April 2021 von der CSU/CDU gekippt wurde. Eigentlich musste die Direktive bis zum 16. Dezember 2021 in nationales Recht umgewandelt werden. Aufgrund der Bundestagswahl und der darauffolgenden Koalitionsbildung wurde dieser Termin nicht eingehalten.

Da durch Hinweisgeber Daten weitergegeben werden, spielt hierbei auch der Datenschutz eine wichtige Rolle. Hierbei muss man allerdings unterscheiden zwischen

  • Meldungen, die aufgrund von Datenschutzverstößen gemacht werden und
  • Meldungen, in denen der Datenschutz aufgrund der Meldung an sich eine große Rolle spielt.

 

Der letztgenannte Fall tritt insbesondere dann ein, wenn:

  • Wenn Dritte zur Entgegennahme externer Mitteilungen verpflichtet werden, dann müssen diese „entsprechende Garantien“ für Datenschutz-Schutzmaßnahmen bieten (ErwG 54 der RL). Das gilt entsprechend für externe Meldestellen.
  • Der Adressat muss sicherstellen, dass aufseiten des Empfängers der Mitteilung kein Interessenkonflikt, Mangel an Integrität oder Unabhängigkeit besteht.
  • Datenschutz durch Technikgestaltung (Art. 5 DSGVO) und datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO) (Erwg 83 der RL) müssen gewährleistet werden.
  • Schutz des Whistleblowers vor missbräuchlicher Ausnutzung von DSGVO-Betroffenenrechten, wie bspw. vor der Offenlegung seines Namens durch ein Auskunftsersuchen.
  • Bei Datenschutzverstößen des Melders durch die Meldung/Offenlegung ist ein Haftungsausschluss vor Gericht gemäß Art. 21 Abs. 7 möglich. Ausgenommen sind hier jedoch Straftaten des Melders.

 

Umsetzung im Unternehmen

Auch wenn der Gesetzentwurf noch nicht verabschiedet ist, können Unternehmen bereits jetzt auf das kommende Hinweisgeberschutzgesetz reagieren.

  • Unternehmen ab 50 Mitarbeitern müssen sichere, interne Hinweisgebersysteme einführen. Das kann durch das Einrichten einer internen Meldestelle erfolgen. Ziel ist es, jederzeit einen Verstoß melden zu können - egal ob schriftlich, mündlich oder persönlich. Dazu muss ein Verfahren zur Meldungsabgabe eingerichtet werden.
  • Der Hinweisgeber muss eine Bestätigung über den Eingang der Meldung erhalten. Ein fehlerfreies System im Umgang mit Meldungen ist hierbei das A und O.
  • Die Meldestelle ist verpflichtet, dem Hinweisgeber innerhalb von drei Monaten mitzuteilen, welche Konsequenzen die Meldung nach sich gezogen hat und wie der aktuelle Stand ist. Das dient vor allem dem Schutz des Hinweisgebers.

 

Tipp:

Das Hinweisgeberschutzgesetz sieht vor, zwei Kanäle, einen internen und einen externen, zur Meldung von Verstößen zur Verfügung zu stellen. Der Hinweisgeber kann dann wählen, ob er über den internen Meldekanal im Unternehmen agiert, oder sich an den externen, angesiedelt unter anderem bei dem Bundesdatenschutzbeauftragten, wendet.

Das Thema Whistleblowing ist ein wichtiges Thema, das auch aus datenschutzrechtlicher Sicht nicht unterschätzt werden darf. Es ist wichtig, sowohl Hinweisgeber zu schützen wie auch sichere Meldesysteme aufzubauen, um auch in Zukunft von Hinweisgebern profitieren zu können.

Um Sie in diesem Bereich zu unterstützen, bieten wir eine umfangreiche Datenschutzberatung an, die Sie auch im Umgang mit Whistleblowing-Vorgängen umfassend unterstützt. Unsere Expertenberatung kann ganz einfach und unverbindlich angefragt werden. Wir freuen uns auf Ihre Nachricht!

 

Hinweis:

Zum Thema gibt es bereits Neuigkeiten. Diese Informationen finden Sie in unserem neueren Artikel vom 15.06.2023: https://www.bitbasegroup.com/news-details/hinweisgeberschutzgesetz-gilt-ab-juli-202

Hier erfahren Sie mehr.

Ich berate Sie gerne und freue mich auf Ihre Fragen.

Head of Privacy & IT-Security

Markus Vatter