Umsetzung Hinweisgeberschutzgesetz
Pflicht für Unternehmen von 50-249 Mitarbeitenden ab dem 17.12.2023!
1. Organisatorische Vorgaben
Das Hinweisgeberschutzgesetz enthält zwingende verfahrensrechtliche Vorgaben zur Infrastruktur eines Hinweisgebersystems und dessen Betrieb.
So muss die Möglichkeit einer schriftlichen oder mündlichen Meldung bestehen. Wir empfehlen sowohl schriftliche als auch mündliche und persönliche Meldemöglichkeiten. Auf Ersuchen der hinweisgebenden Person muss zudem innerhalb einer angemessenen Zeit eine persönliche Zusammenkunft gewährleistet werden.
Nach dem Eingang eines Hinweises muss das Unternehmen den Gegenstand des Hinweises und dessen Stichhaltigkeit prüfen. Zusätzlich muss das Unternehmen mit der hinweisgebenden Person in Kontakt treten und ggfs. weitere Informationen anfordern. Unter Umständen muss das Unternehmen Folgemaßnahmen einleiten.
Die Lösung von der Datenschutzkonzept GmbH besteht aus vier unterschiedlichen Meldewegen, über die Hinweisgeber Hinweise abgeben können.
Folgende vier Meldewege bilden unser Hinweisgebersystem:
Meldeweg 1 – Digitales System
Wir ermöglichen mit unserer Software anonyme Meldungen gegen Compliance-Verstöße und weitere Missstände: hochsicher und konform mit dem Hinweisgeberschutzgesetz.
Meldeweg 2 – Telefonische Erreichbarkeit
Hinweisgeber können uns auch per Telefon erreichen. Wir sind täglich erreichbar und nehmen Hinweise entgegen. Denn nicht jeder Hinweisgeber möchte ein rein digitales System nutzen.
Meldeweg 3 – Persönliche Treffen
Hinweisgeber können mit uns persönliche Treffen vereinbaren, die wir diskret und auf Wunsch natürlich anonym abhalten.
Meldeweg 4 – Post
Hinweisgeber können uns (anonyme) Briefe zusenden.
2. Unabhängigkeit des internen Bearbeiters
Eine in der Praxis relevante Anforderung an den täglichen Betrieb des internen Hinweisgebersystems ist die gesetzlich geforderte Unabhängigkeit der Meldestelle, also der Person(en), die Hinweise über das interne Hinweisgebersystem entgegennimmt.
Das Gesetz lautet hierzu wörtlich: „Die mit den Aufgaben einer internen Meldestelle beauftragten Personen sind bei der Ausübung ihrer Tätigkeit unabhängig. Sie dürfen neben ihrer Tätigkeit für die interne Meldestelle andere Aufgaben und Pflichten wahrnehmen. Es ist dabei sicherzustellen, dass derartige Aufgaben und Pflichten nicht zu Interessenkonflikten führen.“
Betroffene Unternehmen müssen also folgende Anforderungen an ihre Meldestelle stellen:
Unabhängigkeit, keine Interessenskollisionen
Unternehmen haben außerdem dafür Sorge zu tragen, dass die benannte Person über die notwendige Fachkunde verfügt.
Unter Berücksichtigung des „need to know“-Prinzips sind Meldekanäle nach dem HinSchG derart auszugestalten, dass nur die zuständigen Personen (und sie hierbei unterstützende Personen) Zugriff auf die eingehenden Meldungen haben.
Wenn die Datenschutzkonzept GmbH zum Betrieb des Hinweisgebersystems beauftragt ist, erfüllen Unternehmen diese Anforderungen, denn wir verfügen insbesondere über die geforderte Fachkunde.
3. Fristen und Rückmeldepflichten
Hinweise und Rückmeldungen an hinweisgebende Personen sind nach dem Hinweisgeberschutzgesetz („HinSchG“) zu dokumentieren. Diese Dokumentation ist nach einer bestimmten Frist nach Abschluss des Verfahrens zu löschen. Die Frist zu einer ersten Rückmeldung (Empfangsbestätigung) beträgt sieben Tage, die Frist zu einer qualifizierten, inhaltlichen Rückmeldung beträgt drei Monate ab Eingang eines Hinweises. Zu den Anforderungen an Rückmeldungen: Die Rückmeldung soll die hinweisgebende Person in die Lage versetzen, sich ein Bild zu machen, ob möglicherweise eine anderweitige Folgemeldung oder eine Offenlegung des Sachverhalts notwendig ist.
Daher raten wir, Rückmeldungen an hinweisgebende Personen mit größtmöglicher Sorgfalt zu geben. Wenn die Datenschutzkonzept GmbH mit dem Betrieb des Hinweisgebersystems beauftragt wird, werden Rückmeldungen vorgeschlagen und mit dem Unternehmen zusammen finalisiert.
4. Datenschutz
Jedes Hinweisgebersystem benötigt eine Datenschutzfolgenabschätzung. Die Datenschutzkonzept GmbH bietet als Inklusivleistung des Komplett-Pakets eine Datenschutzfolgenabschätzung für die Einrichtung und den Betrieb eines Hinweisgebersystems.
Warum braucht es eine Datenschutzfolgenabschätzung?
a. Folgende Berührungspunkte mit dem Bereich Datenschutz müssen beachtet worden:
Zum einen fallen datenschutzrechtliche Verstöße in den sachlichen Anwendungsbereich des Hinweisgeberschutzgesetzes.
b. Zum anderen enthält eine getätigte Meldung in aller Regel personenbezogene Daten und zwar auf verschiedene Betroffenenkategorien bezogen:
Die hinweisgebende Person (soweit diese nicht anonym meldet), die bearbeitende Person in der Meldestelle, die die Meldung bearbeitet und die von der Meldung betroffene Personen, in der Regel also die Person, die sich einem Vorwurf ausgesetzt sieht, aber auch andere Personen, die etwa als Zeugen in Betracht kommen oder Geschädigte sind. Es geht dabei in der Regel um sehr
sensible Daten.
5. Möglichkeit des Outsourcing
Mit der Funktion einer internen Meldestelle können nach dem Hinweisgeberschutzgesetz auch Dritte, etwa Dienstleister wie die Datenschutzkonzept GmbH, betraut werden. Ein Vorteil: Ein Outsourcing schafft bei den Beschäftigten besonderes Vertrauen. Denn außerhalb des Unternehmens stehende Dienstleister werden von hinweisgebenden Personen regelmäßig als neutrale Ansprechpartner angesehen.
6. Möglichkeit zu Anonymität
Anonyme Meldungen sollten nach ihrem Eingang bearbeitet werden. Jedoch besteht weiterhin keine Pflicht, anonyme interne Meldungen zu ermöglichen.
Was folgt daraus für die verpflichteten Unternehmen?
Wir gehen mit der absoluten Mehrheit der Rechtspraxis von einer Bearbeitungspflicht von substantiierten anonymen Meldungen aus. Dies folgt auch aus §130 OWiG. Daneben halten wir es für sehr wichtig, Hemmschwellen für Meldungen abzubauen. Daher
empfehlen wir die Ermöglichung anonymer Meldungen.
7. Keine Priorisierung der internen Meldestelle
Hinweisgeber haben ein freies Wahlrecht, ob sie sich zuerst an das interne Hinweisgebersystem wenden wollen oder ob sie zum Hinweisgebersystem einer Behörde melden wollen.
Hintergrund
Das Hinweisgeberschutzgesetz bestimmt ein Wahlrecht des Hinweisgebers, ob die Meldung gegenüber einer internen oder externen Meldestelle erfolgt. Zwar heißt es im Gesetz, dass der Hinweisgeber zuerst an das Unternehmen melden „sollte“, was aber eben kein „müssen“ bedeutet.
Sie wünschen eine umfassende Beratung?
Nehmen Sie Kontakt mit uns auf.
Die Datenschutzkonzept GmbH
Adelsweg 13
53909 Zülpich
Tel. 02225 – 9953 9950 | Mobil 0170 – 802 6396
Oder senden eine Nachricht über unser Kontaktformular.
