WhistlePort - VON RUEDEN

Ihr individueller Demo-Termin

Vereinbaren Sie jetzt einen Demo-Termin bei uns!

Termin wählen

Hinweisgeberschutzgesetz kommt vermutlich im Mai 2023

Liebe Compliance-Verantwortliche, das Hinweisgeberschutzgesetz hat im Dezember 2022 den Bundestag passiert und wird vermutlich spätestens im Mai 2023 in Kraft treten. Das bedeutet für Unternehmen, dass sie, wenn sie in der Regel mindestens 50 Beschäftigte haben, Handlungsbedarf haben. Mittlere Unternehmen (in der Regel 50 bis 249 Beschäftigte) haben laut Gesetz bis zum 17. Dezember 2023 Zeit für die Umsetzung. 

Für Sie ist es wichtig, sich vorab auf die neuen Regelungen vorzubereiten und die notwendigen Vorkehrungen zu treffen.

Sie sollten bereits jetzt folgende Entscheidungen fällen: 

  • Möchten Sie Ihre interne Meldestelle selbst betreiben oder sie an eine Anwaltskanzlei bzw. einen externen Anbieter auslagern? 
  • Das Team, das für die interne Meldestelle und Folgemaßnahmen zuständig ist, sollte definiert werden. 
  • Die Prozesse, von dem Eingang einer Meldung bis zum Abschluss des Verfahrens, sollten festgelegt werden. 
  • FAQs und Richtlinien zum Verfahren sollten erstellt werden
  • Der Betriebsrat sollte – sofern vorhanden – eingebunden werden. 
  • Schulungen für das/die betraute(n) Team(s) sollten vorbereitet werden. 
  • Der betriebliche Datenschutzbeauftragte sollte eingebunden werden. 

Eine Datenschutz-Folgenabschätzung und Datenschutzhinweise sollten vorbereitet werden:

  • Die Nichteinrichtung einer solchen Meldestelle kann mit einem Bußgeld von bis zu 20.000 EUR bestraft werden. 
  • Unternehmen können die interne Meldestelle auch an externe Dritte, wie Anwaltskanzleien, auslagern. 

Die interne Meldestelle muss folgende Vorgaben erfüllen: 

  • Zugriff auf eingehende Meldungen dürfen nur Personen haben, die für deren Entgegennahme und Bearbeitung zuständig sind, oder Personen, die diese bei der Erfüllung dieser Aufgaben unterstützen. 
  • Meldungen müssen in mündlicher oder schriftlicher Form möglich sein. 
  • Es muss auf Wunsch von Hinweisgebenden innerhalb einer angemessenen Frist ein persönliches Treffen mit einer Person der internen Meldestelle ermöglicht werden. 

Bevor die interne Meldestelle eingerichtet wird, sollten folgende Stellen einbezogen werden:

  • Der Betriebsrat hat, je nach Ausgestaltung der Meldestelle, umfangreiche Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 1 BetrVG (betriebliche Ordnung) und nach § 87 Abs. 1 Nr. 6 BetrVG (Einführung und Anwendung technischer Einrichtungen). Um eine Einrichtung der Meldestelle bereits zeitnah zu ermöglichen, sollten Unternehmen frühzeitig mit dem Betriebsrat darüber beraten. 
  • Auch der betriebliche Datenschutzbeauftragte sollte frühzeitig eingebunden werden, da folgende Maßnahmen aus datenschutzrechtlicher Sicht durchgeführt werden müssen:
  • Sensibilisierung der Mitarbeiter, ggf. Anpassung der Verschwiegenheitspflicht und Verpflichtung zur Einhaltung der DSGVO. 
  • Einsatz von Verschlüsselung und Gewährleistung eines sicheren Datentransfers, Beschränkung der Zugriffe auf die Daten des Meldesystems auf strenger need-to-know-Basis, Erstellung eines Berechtigungskonzepts und Protokollierung von Dateneingaben. Anpassung des Löschkonzepts. 

Was ist bei Eingang einer Meldung zu beachten? 

  • Eine Eingangsbestätigung für Hinweisgebende sollte spätestens 7 Tage nach Eingang der Meldung versandt werden. 
  • Der gemeldete Verstoß wird auf seinen Anwendungsbereich und seine Stichhaltigkeit überprüft. Falls der Verstoß und der Hinweis als stichhaltig eingestuft werden, werden weitere Ermittlungen durchgeführt, wobei gegebenenfalls Rückfragen an den Hinweisgebenden gestellt werden.
  • Nach Abschluss der Ermittlungen werden angemessene Folgemaßnahmen ergriffen. Innerhalb von 3 Monaten nach der Eingangsbestätigung wird eine Rückmeldung an den Hinweisgebenden mit Informationen über geplante und bereits ergriffene Folgemaßnahmen sowie die Gründe dafür versendet, sofern diese Angaben nicht die internen Nachforschungen oder Ermittlungen oder die Rechte von Personen, die in der Meldung genannt werden, beeinträchtigen. 
  • Die erhaltenen Hinweise werden unter Beachtung des Vertraulichkeitsgebots für maximal zwei Jahre aufbewahrt.

Regeln beim Umgang mit hinweisgebenden Personen:  

  • Der persönliche Schutz von Hinweisgebenden beinhaltet die Pflicht der Meldestelle, deren Identität geheim zu halten. Hinweisgebende sind vor Repressalien und Vergeltungsmaßnahmen jeglicher Art geschützt. 
  • Hinweisgebende sind auch vor Schäden, die nicht das Vermögen betreffen, geschützt. 
  • Bei Repressalien gegen Arbeitnehmende muss von Arbeitgebern nachgewiesen werden, dass sie nicht im Zusammenhang mit der Aufdeckung von Missständen stehen. 
  • Der Schutz von Hinweisgebenden gilt nur, wenn diese zum Zeitpunkt der Meldung oder Offenlegung hinreichenden Grund zu der Annahme hatten, dass die von ihnen gemeldeten oder offengelegten Informationen der Wahrheit entsprechen und sich auf Verstöße im Anwendungsbereich des Gesetzes beziehen. 
  • Motive von Hinweisgebenden spielen keine Rolle, solange der Hinweis selbst in den Anwendungsbereich des Gesetzes fällt. 

VON RUEDEN ist bekannt aus