365 Tage Hinweisgeberschutzgesetz – Was ist bisher geschehen?

Data Privacy 02.07.2024 08:54 von Chantal Nußbaum

Das Hinweisgeberschutzgesetz (HinSchG) trat am 2. Juli 2023 in Kraft – auf den Tag genau vor 365 Tagen. Wir ziehen aus unserer Perspektive ein Fazit.

Das Gesetz verpflichtet Unternehmen dazu, Hinweisgebersysteme einzurichten, damit hinweisgebende Personen Meldungen über Verstöße gegen bestehende Gesetze, Sicherheitsvorkehrungen, Geldwäsche oder auch Terrorismus sicher und anonym abgeben können. Das HinSchG setzt die EU-Whistleblower-Richtlinie in deutsches Recht um und hat zum Ziel, Personen, die Hinweise auf Missstände geben, besser vor Repressalien zu schützen. Das HinSchG gilt für alle Unternehmen ab 50 Beschäftigten.

In den vergangenen Monaten sahen sich Unternehmen vor die Herausforderung gestellt, geeignete Meldewege zu etablieren, die den jeweiligen Unternehmensstrukturen, der DS-GVO und weiteren Gesetzen gerecht werden.

Aktueller Stand der Umsetzung

Manche Unternehmen stellten bis zur finalen Umsetzungsfrist (17.12.2023) fest, dass sie keine innerbetrieblichen Meldewege abbilden können. Hauptgründe sind häufig die Interessenskonflikte, die bei der Bearbeitung von Meldungen entstehen würden, personelle Ressourcen für die Betreuung der Meldewege oder technische Umsetzungsmöglichkeiten zur Wahrung der Frist für die Eingangsbestätigung innerhalb von 7 Tagen. Hier konnte durch die Auslagerung an externe Ombudspersonen und die Bereitstellung eines Hinweisgebersystems Abhilfe geschaffen werden.

Andere Unternehmen haben wiederum das HinSchG noch nicht umgesetzt. Hier bestehen oftmals Unklarheiten über die Betreuung der Meldewege oder es fehlt an zeitlichen Kapazitäten, um sich mit dem HinSchG auseinander zusetzen.

Hohe Bußgeldstrafen bei Nicht-Umsetzung

Dennoch darf dieses Thema nicht unter den Tisch fallen. Setzen Unternehmen die Regelungen zur Einrichtung einer internen Meldestelle nicht gesetzeskonform um, drohen Bußgelder von bis zu 20.000 €. Unter bestimmten Voraussetzungen sieht das Gesetz sogar Bußgelder von bis zu 50.000 € vor. Darüber hinaus können Geschäftsführer für Bußgelder persönlich in Regress genommen werden und haften somit auch mit ihrem Privatvermögen.

Wie kann eine gesetzeskonforme Umsetzung realisiert werden?

Prüfung geeigneter Meldewege (z.B. über ein Hinweisgebersystem wie die ETES Hinweisgeber-Meldestelle, per E-Mail, telefonisch o.ä.)
Prüfung der benötigten Ressourcen und Kompetenzen: Sind im Unternehmen fachkundige Personen und können diese für die Betreuung der Meldewege eingesetzt werden?
Einführung eines Meldeweges, der für die Unternehmensstruktur geeignet ist
Information der Mitarbeiter nach Art. 13 und Art. 14 DS-GVO
Anpassung der Datenschutzerklärung
Ergänzung des Verarbeitungsverzeichnisses (VVT)
Sofern Dienstleister eingesetzt werden: Prüfen, ob vertragliche Regelungen getroffen werden müssen (Auftragsverarbeitung, gemeinsame Verantwortlichkeit)
Betreuung der Meldewege
Gewährleistung der Eingangsbestätigung innerhalb von 7 Tagen
Gewährleistung einer Rückmeldung zum Sachverhalt innerhalb von 3 Monaten
Einhaltung der Löschfrist

Wann kommt ein Hinweisgebersystem in Frage?

Interne Mitarbeiter können in einen Interessenskonflikt geraten, wenn sie eingehende Meldungen bearbeiten. Wann es zu einem Interessenskonflikt kommen kann, haben wir in diesem Blogpost zusammengefasst.
Die geforderten Kompetenzen liegen im Unternehmen nicht vor. Für die Bearbeitung eingehender Meldungen muss eine entsprechende Fachkunde vorliegen, sodass hinweisgebende Personen als auch Personen, die Gegenstand einer Meldung sind, nach den gesetzlichen Forderungen geschützt und Datenschutzverstöße verhindert werden.
Personelle Kapazitäten stehen nicht zur Verfügung. Im Unternehmen stehen für die Betreuung der Meldewege keine Personen zur Verfügung.
Der bisherige Meldeweg eignet sich nicht. Der Meldeweg kann beispielsweise keine fristgerechte Eingangsbestätigung für die Meldung abbilden.
Die gewünschte Anonymität kann nicht gewahrt werden. Wenn eine Meldung per E-Mail abgegeben wird, ist diese nicht anonym. E-Mails werden auf die jeweiligen E-Mail-Eingangsserver (z.B. Exchange-Server) empfangen und erst anschließend auf die jeweiligen Postfächer durch diesen verteilt. Personen, die auf diese Mail-Server Zugriff haben, können somit potenziell Kenntnis von den Meldungen erlangen, obwohl sie nichts mit dem eigentlichen sensibel zu behandelnden Hinweisgeberprozess zu tun haben.

Gerne betrachten wir mit Ihnen Ihre Unternehmenssituation und beraten Sie zu einem möglichen Lösungsweg. Wir stellen Ihnen gerne unsere Ombudspersonen und unser Hinweisgebersystem vor. Mit unserer Dienstleistung als externe Meldestelle sind wir in der Lage, Ihnen eine zuverlässige und interessenkonfliktfreie Lösung zu bieten.

Wir freuen uns über Ihre Kontaktaufnahme.

Jetzt Kontakt
aufnehmen!