Ein Kernpunkt des Gesetzes ist die Verpflichtung zur Einrichtung und zum Betrieb einer internen Meldestelle, an die sich Beschäftigte wenden können. Ein weiterer Kernpunkt ist der Schutz des Hinweisgeber vor Repressalien.
Die Richtlinie (EU) 2019/1937 des Europäischen Parlaments und Rates vom 23.10.2019 zum „Schutz von Personen, die Verstößen gegen das Unionrecht melden“, sog. Whistleblower-Richtlinie, ist am 16.12.2019 in Kraft getreten. Am 11.05.2023 wurde das Hinweisgeberschutzgesetzt (HinSchG) vom Bundestag verabschiedet und am 02.06.2023 im Bundesgesetzblatt verkündet. Am 02.07.2023 ist das HinSchG in Kraft getreten.
Die Ziele und Erwägungsgründe für den EU-Gesetzgeber waren u.a.:
- Die Vereinheitlichung der unterschiedlichen Regelungen in den Mitgliedstaaten. Die Folgen der von Hinweisgebern gemeldeten Verstöße gegen das Unionsrecht, die eine grenzüberschreitende Dimension aufweisen, zeigen deutlich, dass ein unzureichender Schutz in einem Mitgliedstaat die Funktionsweise der Unionsvorschriften nicht nur in diesem Mitgliedstaat, sondern auch in anderen Mitgliedstaaten und in der Union als Ganzem beeinträchtigt.
- Der Schutz von Hinweisgebern ist notwendig, um die Durchsetzung des Unionsrechts im Bereich der öffentlichen Auftragsvergabe zu verbessern.
- Die Meldung von Verstößen durch Hinweisgeber kann entscheidend dazu beitragen, Risiken für die öffentliche Gesundheit und den Verbraucherschutz, die aus andernfalls womöglich unbemerkten Verstößen gegen Unionsvorschriften erwachsen, aufzudecken, zu verhindern, einzudämmen oder zu beseitigen.
- Die Achtung der Privatsphäre und der Schutz personenbezogener Daten sind weitere Bereiche, in denen Hinweisgeber dazu beitragen können, Verstöße gegen das Unionsrecht, die das öffentliche Interesse schädigen können, aufzudecken.
Die wichtigsten Punkte
- Einrichtung einer internen Meldestelle.
Seit 02.07.2023 müssen Unternehmen regulierter Industrien oder mit mindestens 250 Beschäftigten eine interne Meldestelle implementiert haben.
Ab 17.12.2023 müssen Unternehmen ab 50 Beschäftigte eine interne Meldestelle eingerichtet haben.
Unternehmen mit unter 50 Beschäftigten müssen keine Meldestelle einrichten, die Schutzvorschriften des HinSchG bei Meldung eines Verstoßes gelten aber für alle Unternehmen. - Anonyme Meldungen sind möglich, allerdings besteht keine Pflicht für anonyme Meldekanäle. Die Bearbeitung von anonymen Meldungen ist keine Pflicht und sie sollten aber bearbeitet werden.
- Bußgeldvorschriften sind in § 40 HinSchG geregelt. Das Fehlen einer internen Meldestelle wird mit bis zu 20.000 EUR sanktioniert.
Aufgaben einer internen Meldestelle
Grundsätzlich kann eine interne Meldestelle an einen externen Dienstleister outgesourced werden. Bei vielen klein- und mittelständischen Unternehmen wird dies auch ein sinnvoller und einfacher Weg sein, u.a. auch zur Vermeidung von Interessenskonflikten. Externe Meldestellen (§§ 22 ff. HinSchG) werden rechtzeitig zum Inkrafttreten des Hinweisgeberschutzgesetzes am 02.07.2023 auf der Webseite des Bundesamtes für Justiz veröffentlicht, über die sich hinweisgebende Personen an die externe Meldestelle des Bundes wenden können.
Die Pflicht zur Einrichtung einer internen Meldestelle ergibt sich für den Beschäftigungsgeber aus § 12 HinSchG. Die Aufgaben der internen Meldestellen sind in § 13 HinSchG geregelt:
- (1) Die internen Meldestellen betreiben Meldekanäle nach § 16, führen das Verfahren nach § 17 und ergreifen Folgemaßnahmen nach § 18.
Die Aufgaben der internen Meldestelle sind u.a.:
- Betreiben von internen Meldekanälen (§ 16 HinSchG):
- Mündlich, z.B. per Telefon oder andere Art der Sprachübermittlung;
- Meldung in Textform, z.B. per E-Mail;
- persönlich auf Ersuchen der hinweisgebenden Person. - § 17 HinSchG regelt das Verfahren bei internen Meldungen, wie z.B. die Bestätigung des Meldeeingangs an die hinweisgebende Person binnen sieben Tagen wie auch die Rückmeldung nach drei Monaten (Art. 17 Abs. 2 HinSchG).
- Als Folgemaßnahmen kann die interne Meldestelle (§ 18 HinSchG) z.B.
- interne Untersuchungen durchführen und betroffene Personen kontaktieren;
- das Verfahren aus Mangel an Beweisen oder aus anderen Gründen abschließen;
- das Verfahren zwecks weiterer Untersuchung abgeben an z.B. eine zuständige Behörde.
Personen, die beabsichtigen Informationen über einen Verstoß zu melden, können wählen, ob sie sich an eine interne Meldestelle oder eine externe Meldestelle wenden. Das Unternehmen soll aber Anreize schaffen, damit die interne Meldestelle bevorzugt wird (§ 7 HinSchG).
Datenschutz
Nach Art. 9 Whistleblower-Richtlinie müssen die internen Meldekanäle so sicher konzipiert sein, dass die Vertraulichkeit der Identität des Hinweisgebers und Dritter, die in der Meldung erwähnt werden, gewahrt bleibt. Es gelten grundsätzlich die Anforderungen der Datenschutz-Grundverordnung (DSGVO).
Datenschutz-Folgenabschätzung
Unter Geltung der DSGVO gehört es zu den Pflichten des Verantwortlichen, bei Formen der Verarbeitung, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Eine DSFA sollte hier noch mehr als sonst als Chance verstanden werden, alles zu beleuchten, um neue Prozesse auf rechtliche Anforderungen abzustimmen.
Weitere datenschutzrechtliche Anforderungen
Die Grundsätze der Verarbeitung personenbezogener Daten (Art. 5 Abs. 1 DSGVO) wie u.a. Zweckbindung, Datenminimierung und Transparenz sowie die Rechenschaftspflicht (Abs. 2) sind selbstverständlich einzuhalten und zu gewährleisten.
Gemäß Art. 15 DSGVO besteht ein Auskunftsrecht des Betroffenen. Gemäß Art. 14 DSGVO (Informationspflicht) sind Unternehmen verpflichtet, Betroffene über die Datenverarbeitung, Eingang einer ihre Person betreffende Whistleblowing-Meldung, zu informieren.
Es sind geeignete technisch-organisatorische Maßnahmen (Artt. 32, 25 DSGVO) zu treffen. Ein Zugriff von Unbefugten ist auszuschließen und die Identität jeder von einer Meldung betroffenen Person muss geschützt sein. Ein Berechtigungskonzept („need-to-know-Prinzip), die Protokollierung von Dateieingaben sowie eine abrufbare Dokumentation ist sicherzustellen wie auch Löschkonzepte.
Die Verarbeitungen sind im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) zu dokumentieren.
Analog der Rechenschaftspflicht des Art. 5 Abs. 2 der DSGVO gilt auch beim HinSchG, dass die Organisation die Einhaltung nachweisen können muss. Vor allem ist es empfehlenswert die Prozesse für die hinweisgebende Person transparent darzulegen.
Der Datenschutzbeauftragte sollte hier frühzeitig in die unternehmerische Planung und für die Bewertung der datenschutzrelevanten Anforderungen einbezogen werden.
Die Ziele und Erwägungsgründe für den EU-Gesetzgeber waren u.a.:
- Die Vereinheitlichung der unterschiedlichen Regelungen in den Mitgliedstaaten. Die Folgen der von Hinweisgebern gemeldeten Verstöße gegen das Unionsrecht, die eine grenzüberschreitende Dimension aufweisen, zeigen deutlich, dass ein unzureichender Schutz in einem Mitgliedstaat die Funktionsweise der Unionsvorschriften nicht nur in diesem Mitgliedstaat, sondern auch in anderen Mitgliedstaaten und in der Union als Ganzem beeinträchtigt.
- Der Schutz von Hinweisgebern ist notwendig, um die Durchsetzung des Unionsrechts im Bereich der öffentlichen Auftragsvergabe zu verbessern.
- Die Meldung von Verstößen durch Hinweisgeber kann entscheidend dazu beitragen, Risiken für die öffentliche Gesundheit und den Verbraucherschutz, die aus andernfalls womöglich unbemerkten Verstößen gegen Unionsvorschriften erwachsen, aufzudecken, zu verhindern, einzudämmen oder zu beseitigen.
- Die Achtung der Privatsphäre und der Schutz personenbezogener Daten sind weitere Bereiche, in denen Hinweisgeber dazu beitragen können, Verstöße gegen das Unionsrecht, die das öffentliche Interesse schädigen können, aufzudecken.
Die wichtigsten Punkte
- Einrichtung einer internen Meldestelle.
Seit 02.07.2023 müssen Unternehmen regulierter Industrien oder mit mindestens 250 Beschäftigten eine interne Meldestelle implementiert haben.
Ab 17.12.2023 müssen Unternehmen ab 50 Beschäftigte eine interne Meldestelle eingerichtet haben.
Unternehmen mit unter 50 Beschäftigten müssen keine Meldestelle einrichten, die Schutzvorschriften des HinSchG bei Meldung eines Verstoßes gelten aber für alle Unternehmen. - Anonyme Meldungen sind möglich, allerdings besteht keine Pflicht für anonyme Meldekanäle. Die Bearbeitung von anonymen Meldungen ist keine Pflicht und sie sollten aber bearbeitet werden.
- Bußgeldvorschriften sind in § 40 HinSchG geregelt. Das Fehlen einer internen Meldestelle wird mit bis zu 20.000 EUR sanktioniert.
Aufgaben einer internen Meldestelle
Grundsätzlich kann eine interne Meldestelle an einen externen Dienstleister outgesourced werden. Bei vielen klein- und mittelständischen Unternehmen wird dies auch ein sinnvoller und einfacher Weg sein, u.a. auch zur Vermeidung von Interessenskonflikten. Externe Meldestellen (§§ 22 ff. HinSchG) werden rechtzeitig zum Inkrafttreten des Hinweisgeberschutzgesetzes am 02.07.2023 auf der Webseite des Bundesamtes für Justiz veröffentlicht, über die sich hinweisgebende Personen an die externe Meldestelle des Bundes wenden können.
Die Pflicht zur Einrichtung einer internen Meldestelle ergibt sich für den Beschäftigungsgeber aus § 12 HinSchG. Die Aufgaben der internen Meldestellen sind in § 13 HinSchG geregelt:
- (1) Die internen Meldestellen betreiben Meldekanäle nach § 16, führen das Verfahren nach § 17 und ergreifen Folgemaßnahmen nach § 18.
Die Aufgaben der internen Meldestelle sind u.a.:
- Betreiben von internen Meldekanälen (§ 16 HinSchG):
- Mündlich, z.B. per Telefon oder andere Art der Sprachübermittlung;
- Meldung in Textform, z.B. per E-Mail;
- persönlich auf Ersuchen der hinweisgebenden Person. - § 17 HinSchG regelt das Verfahren bei internen Meldungen, wie z.B. die Bestätigung des Meldeeingangs an die hinweisgebende Person binnen sieben Tagen wie auch die Rückmeldung nach drei Monaten (Art. 17 Abs. 2 HinSchG).
- Als Folgemaßnahmen kann die interne Meldestelle (§ 18 HinSchG) z.B.
- interne Untersuchungen durchführen und betroffene Personen kontaktieren;
- das Verfahren aus Mangel an Beweisen oder aus anderen Gründen abschließen;
- das Verfahren zwecks weiterer Untersuchung abgeben an z.B. eine zuständige Behörde.
Personen, die beabsichtigen Informationen über einen Verstoß zu melden, können wählen, ob sie sich an eine interne Meldestelle oder eine externe Meldestelle wenden. Das Unternehmen soll aber Anreize schaffen, damit die interne Meldestelle bevorzugt wird (§ 7 HinSchG).
Datenschutz
Nach Art. 9 Whistleblower-Richtlinie müssen die internen Meldekanäle so sicher konzipiert sein, dass die Vertraulichkeit der Identität des Hinweisgebers und Dritter, die in der Meldung erwähnt werden, gewahrt bleibt. Es gelten grundsätzlich die Anforderungen der Datenschutz-Grundverordnung (DSGVO).
Datenschutz-Folgenabschätzung
Unter Geltung der DSGVO gehört es zu den Pflichten des Verantwortlichen, bei Formen der Verarbeitung, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Eine DSFA sollte hier noch mehr als sonst als Chance verstanden werden, alles zu beleuchten, um neue Prozesse auf rechtliche Anforderungen abzustimmen.
Weitere datenschutzrechtliche Anforderungen
Die Grundsätze der Verarbeitung personenbezogener Daten (Art. 5 Abs. 1 DSGVO) wie u.a. Zweckbindung, Datenminimierung und Transparenz sowie die Rechenschaftspflicht (Abs. 2) sind selbstverständlich einzuhalten und zu gewährleisten.
Gemäß Art. 15 DSGVO besteht ein Auskunftsrecht des Betroffenen. Gemäß Art. 14 DSGVO (Informationspflicht) sind Unternehmen verpflichtet, Betroffene über die Datenverarbeitung, Eingang einer ihre Person betreffende Whistleblowing-Meldung, zu informieren.
Es sind geeignete technisch-organisatorische Maßnahmen (Artt. 32, 25 DSGVO) zu treffen. Ein Zugriff von Unbefugten ist auszuschließen und die Identität jeder von einer Meldung betroffenen Person muss geschützt sein. Ein Berechtigungskonzept („need-to-know-Prinzip), die Protokollierung von Dateieingaben sowie eine abrufbare Dokumentation ist sicherzustellen wie auch Löschkonzepte.
Die Verarbeitungen sind im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) zu dokumentieren.
Analog der Rechenschaftspflicht des Art. 5 Abs. 2 der DSGVO gilt auch beim HinSchG, dass die Organisation die Einhaltung nachweisen können muss. Vor allem ist es empfehlenswert die Prozesse für die hinweisgebende Person transparent darzulegen.
Der Datenschutzbeauftragte sollte hier frühzeitig in die unternehmerische Planung und für die Bewertung der datenschutzrelevanten Anforderungen einbezogen werden.
|
Frau Regina Mühlich info@adorgasolutions... |
|
|
|
|
|
Regina Mühlich presse@adorgasolutio... 08142 46249 - 20 |
|
|
|
Kommentare
Ansprechpartner
|
|
Frau Regina Mühlich info@adorgasolutions... |
|
|
|
|
|
Regina Mühlich presse@adorgasolutio... 08142 46249 - 20 |
|
|
|
Das könnte Sie auch interessieren:
Newsreport: 2. Ebene 08/250617 - Deutschland: Gebietsfremde und rückkehrende Tierarten...
Von Complex-Berlin.de
Brennpunkt: Infos zu gebietsfremden und zum Teil invasiven und auch zu rückkehrenden Tieren stehen aktuell immer stärker im Medienfocus! Definition: Als invasiv gelten Tierarten dann, wenn ... | mehr
Nachweislich PFC frei von Reemissionen - Langzeitanalysen belegen dauerhafte Wirkung
Brandenburg, Juni 2025 - PFAS-freie Sicherheit ist kein Zukunftsversprechen mehr, sondern gelebte Realität: Die NT Service GmbH bestätigt, dass ihr eigens entwickeltes Dekontaminationsverfahren zur Reinigung ... | mehr
Die Vor- und Nachteile des Wechselmodells
Vor- und Nachteile eines modernen Betreuungskonzepts nach Trennung und Scheidung Nach einer Trennung oder Scheidung stehen Eltern vor der komplexen Aufgabe, ein geeignetes Betreuungsmodell für ihre ... | mehr