PortalDerWirtschaft.de



Suchmaschinenoptimierung mit PdW
mit Content-Marketing - Ihre News
🔍
Anmelden
Registrieren
English

Das Hinweisgeberschutzgesetz ist da – und jetzt?


Von AdOrga Solutions GmbH

Ein Kernpunkt des Gesetzes ist die Verpflichtung zur Einrichtung und zum Betrieb einer internen Meldestelle, an die sich Beschäftigte wenden können. Ein weiterer Kernpunkt ist der Schutz des Hinweisgeber vor Repressalien.

Die Richtlinie (EU) 2019/1937 des Europäischen Parlaments und Rates vom 23.10.2019 zum „Schutz von Personen, die Verstößen gegen das Unionrecht melden“, sog. Whistleblower-Richtlinie, ist am 16.12.2019 in Kraft getreten. Am 11.05.2023 wurde das Hinweisgeberschutzgesetzt (HinSchG) vom Bundestag verabschiedet und am 02.06.2023 im Bundesgesetzblatt verkündet. Am 02.07.2023 ist das HinSchG in Kraft getreten.

 

Thumb

Die Ziele und Erwägungsgründe für den EU-Gesetzgeber waren u.a.:

  • Die Vereinheitlichung der unterschiedlichen Regelungen in den Mitgliedstaaten. Die Folgen der von Hinweisgebern gemeldeten Verstöße gegen das Unionsrecht, die eine grenzüberschreitende Dimension aufweisen, zeigen deutlich, dass ein unzureichender Schutz in einem Mitgliedstaat die Funktionsweise der Unionsvorschriften nicht nur in diesem Mitgliedstaat, sondern auch in anderen Mitgliedstaaten und in der Union als Ganzem beeinträchtigt. 
  • Der Schutz von Hinweisgebern ist notwendig, um die Durchsetzung des Unionsrechts im Bereich der öffentlichen Auftragsvergabe zu verbessern.
  • Die Meldung von Verstößen durch Hinweisgeber kann entscheidend dazu beitragen, Risiken für die öffentliche Gesundheit und den Verbraucherschutz, die aus andernfalls womöglich unbemerkten Verstößen gegen Unionsvorschriften erwachsen, aufzudecken, zu verhindern, einzudämmen oder zu beseitigen.
  • Die Achtung der Privatsphäre und der Schutz personenbezogener Daten sind weitere Bereiche, in denen Hinweisgeber dazu beitragen können, Verstöße gegen das Unionsrecht, die das öffentliche Interesse schädigen können, aufzudecken.

Die wichtigsten Punkte

  • Einrichtung einer internen Meldestelle.
    Seit 02.07.2023 müssen Unternehmen regulierter Industrien oder mit mindestens 250 Beschäftigten eine interne Meldestelle implementiert haben.
    Ab 17.12.2023 müssen Unternehmen ab 50 Beschäftigte eine interne Meldestelle eingerichtet haben.
    Unternehmen mit unter 50 Beschäftigten müssen keine Meldestelle einrichten, die Schutzvorschriften des HinSchG bei Meldung eines Verstoßes gelten aber für alle Unternehmen.

  • Anonyme Meldungen sind möglich, allerdings besteht keine Pflicht für anonyme Meldekanäle. Die Bearbeitung von anonymen Meldungen ist keine Pflicht und sie sollten aber bearbeitet werden.

  • Bußgeldvorschriften sind in § 40 HinSchG geregelt. Das Fehlen einer internen Meldestelle wird mit bis zu 20.000 EUR sanktioniert. 

Aufgaben einer internen Meldestelle

Grundsätzlich kann eine interne Meldestelle an einen externen Dienstleister outgesourced werden. Bei vielen klein- und mittelständischen Unternehmen wird dies auch ein sinnvoller und einfacher Weg sein, u.a. auch zur Vermeidung von Interessenskonflikten. Externe Meldestellen (§§ 22 ff. HinSchG) werden rechtzeitig zum Inkrafttreten des Hinweisgeberschutzgesetzes am 02.07.2023 auf der Webseite des Bundesamtes für Justiz veröffentlicht, über die sich hinweisgebende Personen an die externe Meldestelle des Bundes wenden können. 

Die Pflicht zur Einrichtung einer internen Meldestelle ergibt sich für den Beschäftigungsgeber aus § 12 HinSchG. Die Aufgaben der internen Meldestellen sind in § 13 HinSchG geregelt:

  • (1)   Die internen Meldestellen betreiben Meldekanäle nach § 16, führen das Verfahren nach § 17 und ergreifen Folgemaßnahmen nach § 18.

 Die Aufgaben der internen Meldestelle sind u.a.: 

  • Betreiben von internen Meldekanälen (§ 16 HinSchG):
    - Mündlich, z.B. per Telefon oder andere Art der Sprachübermittlung;
    - Meldung in Textform, z.B. per E-Mail;
    - persönlich auf Ersuchen der hinweisgebenden Person.

  • § 17 HinSchG regelt das Verfahren bei internen Meldungen, wie z.B. die Bestätigung des Meldeeingangs an die hinweisgebende Person binnen sieben Tagen wie auch die Rückmeldung nach drei Monaten (Art. 17 Abs. 2 HinSchG).

  • Als Folgemaßnahmen kann die interne Meldestelle (§ 18 HinSchG) z.B.
    - interne Untersuchungen durchführen und betroffene Personen kontaktieren;
    - das Verfahren aus Mangel an Beweisen oder aus anderen Gründen abschließen;
    - das Verfahren zwecks weiterer Untersuchung abgeben an z.B. eine zuständige Behörde. 

Personen, die beabsichtigen Informationen über einen Verstoß zu melden, können wählen, ob sie sich an eine interne Meldestelle oder eine externe Meldestelle wenden. Das Unternehmen soll aber Anreize schaffen, damit die interne Meldestelle bevorzugt wird (§ 7 HinSchG).

 

Datenschutz

Nach Art. 9 Whistleblower-Richtlinie müssen die internen Meldekanäle so sicher konzipiert sein, dass die Vertraulichkeit der Identität des Hinweisgebers und Dritter, die in der Meldung erwähnt werden, gewahrt bleibt. Es gelten grundsätzlich die Anforderungen der Datenschutz-Grundverordnung (DSGVO).

 

Datenschutz-Folgenabschätzung

Unter Geltung der DSGVO gehört es zu den Pflichten des Verantwortlichen, bei Formen der Verarbeitung, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Eine DSFA sollte hier noch mehr als sonst als Chance verstanden werden, alles zu beleuchten, um neue Prozesse auf rechtliche Anforderungen abzustimmen.

 

Weitere datenschutzrechtliche Anforderungen

Die Grundsätze der Verarbeitung personenbezogener Daten (Art. 5 Abs. 1 DSGVO) wie u.a. Zweckbindung, Datenminimierung und Transparenz sowie die Rechenschaftspflicht (Abs. 2) sind selbstverständlich einzuhalten und zu gewährleisten.

Gemäß Art. 15 DSGVO besteht ein Auskunftsrecht des Betroffenen. Gemäß Art. 14 DSGVO (Informationspflicht) sind Unternehmen verpflichtet, Betroffene über die Datenverarbeitung, Eingang einer ihre Person betreffende Whistleblowing-Meldung, zu informieren. 

Es sind geeignete technisch-organisatorische Maßnahmen (Artt. 32, 25 DSGVO) zu treffen. Ein Zugriff von Unbefugten ist auszuschließen und die Identität jeder von einer Meldung betroffenen Person muss geschützt sein. Ein Berechtigungskonzept („need-to-know-Prinzip), die Protokollierung von Dateieingaben sowie eine abrufbare Dokumentation ist sicherzustellen wie auch Löschkonzepte.

Die Verarbeitungen sind im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) zu dokumentieren. 

Analog der Rechenschaftspflicht des Art. 5 Abs. 2 der DSGVO gilt auch beim HinSchG, dass die Organisation die Einhaltung nachweisen können muss. Vor allem ist es empfehlenswert die Prozesse für die hinweisgebende Person transparent darzulegen.

Der Datenschutzbeauftragte sollte hier frühzeitig in die unternehmerische Planung und für die Bewertung der datenschutzrelevanten Anforderungen einbezogen werden. 



Kommentare

07. Aug 23
Meldung teilen
Bewerten Sie diesen Artikel
Bewertung dieser Pressemitteilung 5 Bewertung dieser Pressemitteilung 4 Bewertungen bisher (Durchschnitt: 5)
Hinweis Für den Inhalt der Pressemitteilung ist der Einsteller, Regina Mühlich (Tel.: 08142 46249 - 20), verantwortlich.

Pressemitteilungstext: 771 Wörter, 7034 Zeichen. Artikel reklamieren
Keywords
Diese Pressemitteilung wurde erstellt, um bei Google besser gefunden zu werden.

Tragen Sie jetzt Ihre kostenlose Pressemitteilung ein!
© 2024 PortalDerWirtschaft.de UG
Arienheller Straße 10
56598 Rheinbrohl

Jetzt online: 8883 Besucher