Mehr Schutz für Whistleblower – mit dem Hinweisgeberschutzgesetz

Wer im Unternehmen einen Verstoß erkennt oder Informationen zu einem Verstoß erhält und diesen meldet, soll mit dem Hinweisgeberschutzgesetz sichergehen können, dass die Meldungen keine Benachteiligungen nach sich ziehen. Auch wenn das Gesetz bislang noch ein Entwurf ist, gibt es schon einige Fragen hinsichtlich Umsetzung und Datenschutz.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Icons8 Team, Unsplash
Lesedauer 3 Minuten

Inhaltsverzeichnis

Was ist das Hinweisgeberschutzgesetz?

Das Hinweisgeberschutzgesetz (HinSchG) dient dem Schutz von Personen, die während der Ausübung ihres Berufes Informationen über Verstöße erlangen und diese an interne oder externe Meldestellen weitergeben. Die sogenannte Whistleblower Richtlinie soll EU-weit ein einheitliches Schutzsystem für die Hinweisgeber gewährleisten. Es geht dabei vor allem darum, dass keine beruflichen Nachteile für die hinweisgebenden Beschäftigten entstehen dürfen.

Die Meldungen von Verstößen sollen entweder an entsprechend verantwortliche interne Stellen oder an öffentliche, externe Meldestellen erfolgen.

Wann tritt das Hinweisgeberschutzgesetz in Kraft?

Die Hinweisgeber-Richtlinie der EU (2019/1937) sollte bereits bis zum 17.12.2021 EU-weit in nationales Recht umgesetzt werden. Da die Umsetzung jedoch in 24 Mitgliedsstaaten entweder gar nicht oder nur unvollständig erfolgte, wurde im Januar 2022 ein Aufforderungsschreiben an die 24 Regierungen gesendet. 

In Deutschland wurde im Juli dann ein Regierungsentwurf der Hinweisgeberrichtlinie veröffentlicht und im September wurde über selbigen beraten. Hier findet ihr den vollständigen Inhalt zum Gesetzesentwurf auf der Webseite des Bundesjustizministeriums.

Welche Betriebe müssen ein Hinweisgebersystem einrichten?

Laut Gesetzentwurf müssen Betriebe mit mehr als 50 Mitarbeitern eine interne Meldestelle einrichten. Wer weniger als 50 Beschäftigte hat, muss jedoch je nach Arbeitsfeld trotzdem eine Meldestelle einrichten, das gilt für Wertpapierdienstleistungsunternehmen, Datenbereitstellungsdienste, Börsenträger, Kredit- und Wertpapierinstitute, Kapitalverwaltungsgesellschaften sowie Unternehmen des Versicherungsaufsichtsgesetzes. Details finden sich im Entwurf unter § 12 (2) Punkt 1 bis 7.

Die externe Meldestelle soll vom Bundesamt für Justiz eingerichtet werden und unabhängig vom sonstigen Zuständigkeitsbereich operieren. 

Welche Daten müssen erfasst und verarbeitet werden?

Der wichtigste Faktor innerhalb der Meldestelle ist die Gewährleistung der Vertraulichkeit. Anonymen Meldungen muss laut Entwurf nicht nachgegangen werden, umso relevanter ist die Wahrung der Diskretion hinsichtlich der Daten des Hinweisgebers.
Bei einer Meldung werden der Name des Hinweisgebers und der betroffenen, bzw. beschuldigten Personen erfasst und entsprechend den Vorgaben verarbeitet. So muss der Vorfall schriftlich dokumentiert werden und dauerhaft abrufbar sein. Bei einer telefonisch erfolgten Meldung genügt ein Inhaltsprotokoll. Die Ablage einer Tonaufzeichnung oder des genauen Wortlautes des Gespräches muss vom Anrufer schriftlich genehmigt werden. Wenn eine Abschrift der Tonaufnahme erfolgt ist, muss selbige gelöscht werden.
Selbstverständlich können Ausnahmen von der Wahrung der Vertraulichkeit gemacht werden, wenn dies auf Wunsch des Hinweisgebers geschieht. Diese Einwilligung muss schriftlich geschehen und gespeichert werden. Hier würde auch eine entsprechende E-Mail genügen.

Die Aufbewahrungspflicht sieht vor, dass die Daten erst zwei Jahre nach Abschluss des Verfahrens gelöscht werden dürfen.

Gelten für die Daten in einem Hinweisgebersystem besondere Vorkehrungen?

Da es sich bei den gesammelten Informationen um äußerst sensible Daten mit hoher Brisanz für Personen und Unternehmen handelt, greift nach DSGVO Art. 32 der Einsatz erhöhter Anforderungen an die technischen und organisatorischen Maßnahmen. Neben einem Berechtigungskonzept, einer Passwortrichtlinie ist eine hohe Verschlüsselung oder Anonymisierung der Daten erforderlich. Es sollte also möglichst frühzeitig der Datenschutzbeauftragte in eine Ermittlung einbezogen werden.

Es muss an alle nötigen Auftragsdatenverarbeitungsverträge gedacht werden, von Hosting-Unternehmen bis zu externen Anbietern, auch die besonderen Anforderungen bei cloudbasierten Systemen hinsichtlich des Datentransfers in Drittländer müssen Beachtung finden.

Die Weitergabe der personenbezogenen Daten und Inhalte aus einer Meldung ist selbstverständlich nicht gestattet, Ausnahmen bilden mögliche Einsichten in Akten, wenn es zu einem Strafprozess kommen sollte. Ist es zur Nachverfolgung einer Straftat notwendig, Daten der beschuldigten Person an Dritte weiterzugeben, so ist dies nach Art. 6 Abs. 1 lit. f DS-GVO in Verbindung mit § 24 Abs. 1 Nr. 1 BDSG gestattet.

Welche Meldungen fallen unter das Hinweisgeberschutzgesetz?

Der Kollege klaut immer den letzten Rest Milch oder Chef kommt zu spät zur Arbeit? Das sind keine Vorfälle, die unter das Hinweisgeberschutzgesetz fallen. Hier geht es um gravierende Verstöße, die laut Gesetzentwurf wie folgt definiert werden:

  • Verstöße, die strafbewehrt sind
  • Verstöße, die bußgeldbewehrt sind „soweit die verletzte Vorschrift dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient“
  • Verstöße gegen Rechtsvorschriften des Bundes und der Länder sowie unmittelbar geltende Rechtsakte der Europäischen Union und der Europäischen Atomgemeinschaft, die im Entwurf unter § 2 (1) 3. detailliert nach Gebieten aufgelistet werden und zum Beispiel Umweltschutz, Luft- und Straßenverkehrssicherheit oder Lebensmittelsicherheit beinhalten.

Nach Verabschiedung des Gesetzes werden wir alle dort verankerten Verstöße für euch zusammenfassen.

Welche Vorteile entstehen für Unternehmen durch die Einrichtung eines Hinweisgeberschutzssystems?

pwc Deutschland hat die Vorteile eines internen Hinweisgeberschutzssystems treffend zusammengefasst:

  • Blinde Flecken erkennen: Mit einem Hinweisgebersystem lassen sich Missstände aufdecken, die ansonsten möglicherweise unentdeckt geblieben wären.
  • Prozesse optimieren: Unternehmen können Schwachstellen und Fehler identifizieren und beseitigen.
  • Finanzielle Schäden vermeiden: Mit einem Hinweisgebersystem lassen sich Strafzahlungen oder Gerichtskosten sowie Aktienkurs- oder Verkaufseinbußen verhindern oder verringern.
  • Reputationsschäden verhindern: Dank Hinweisgebersystemen können Unternehmen negative Meldungen in der Presse und sozialen Medien vermeiden.
  • Betrüger abschrecken: Hinweisgebersysteme helfen, Betrugsfälle zu verhindern.
  • Vertrauen aufbauen: Ein Hinweisgebersystem stärkt die Integrität des Unternehmens und damit das Vertrauen der Mitarbeiter und weiterer Stakeholder.

Was passiert, wenn nach der Meldung eines Verstoßes Benachteiligungen  im Job die Folge sind?

Hat ein Arbeitnehmer nach der Meldung eines Verstoßes den Eindruck, dass Druck auf ihn ausgeübt oder Vergeltungsmaßnahmen ergriffen werden, gilt die sogenannte Vermutungswirkung, dass es sich um eine Repressalie handelt und der Arbeitgeber muss beweisen, dass die ergriffenen Maßnahmen aus berechtigten Gründen erfolgt sind und nicht in Zusammenhang mit der Verstoßmeldung stehen.

Quellen

dataguard.de
pwc.de

Unser Experte

Miriam Grothe
Miriam Grothe
Miriam Grothe ist als Chefredakteurin für den PRO-DSGVO Blog verantwortlich und kann dabei u.a. auf ihre langjährige Erfahrung als Chefredakteuring für das Gastgewerbe-Magazins zurückgreifen. In den letzten zehn Jahren konnte sie umfangreiche Einblicke in die Bedürfnisse zahlreicher Betriebe bekommen.