Hinweisgeberschutzgesetz… Haben Sie alles erledigt?

Viele folgenreiche Enthüllungen der letzten Jahre wurden von Whistleblowern (hinweisgebenden Personen) ausgelöst. Obwohl es oft Erkenntnisse mit gesellschaftsverändernden Auswirkungen waren, hatten die Enthüllungen immer massive Einschnitte für die Hinweisgeber:innen zur Folge; denken Sie zum Beispiel an Edward Snowden. Mit der EU-Whistleblower-Richtlinie (WBRL) sollen Informant:innen besser vor Repressalien geschützt werden und seit dem 02.07.2023 ist in Deutschland das entsprechende Gesetz in Kraft getreten, das Hinweisgeberschutzgesetz (HinSchG) oder mit vollem Namen das „Gesetz für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden.“ 

Von Beginn an mussten zunächst Unternehmen ab 250 Mitarbeitenden aktiv werden und ab 17.12.2023 ist dieses Gesetz auch von mittleren Unternehmen ab 50 Beschäftigten umzusetzen.  

Kernelement ist die Einrichtung einer Meldestelle, die ein Unternehmen sowohl in- als auch extern organisieren kann. Mögliche Rechtsverstöße können dort ggf. auch anonym gemeldet und dann untersucht, verfolgt und unterbunden werden. Zudem richtet die öffentliche Hand behördliche Meldestellen ein, zum Beispiel das Bundesamt für Justiz oder die Bundesanstalt für Finanzdienstleistungsaufsicht. Alle verantwortlichen Unternehmen müssen Prozessabläufe organisieren, die geeignet sind, die Hinweisgeber:innen zu schützen und trotzdem die Meldung und den weiteren Verlauf zu dokumentieren. Hinweisgebende sollen binnen sieben Tagen eine Eingangsbestätigung und innerhalb von 3 Monaten danach eine inhaltliche Stellungnahme erhalten.  

Die Anforderungen an personelle Ressourcen und an die technische Umsetzung sind nicht ganz ohne. In vielen Unternehmen wird darum die Wahl auf einen externen Dienstleister fallen. Die EU-Verordnung schlägt aber auch Datenschutzbeauftragte, Compliance- oder Personalverantwortliche usw. für diese Funktion vor, solange Interessenskonflikte auszuschließen sind.  

Bitte achten Sie in allen Fällen darauf, dass die IT-Sicherheit und die Vorgaben der DSGVO gewahrt werden. So sollte die elektronische Übermittlung der Meldungen per E-Mail oder Online-Meldeformular Ende-zu-Ende verschlüsselt sein. Ein externer Dienstleister sollte auf Basis eines Vertrages zur Auftragsverarbeitung eingesetzt werden. Alle beteiligten Personen müssen zur Vertraulichkeit verpflichtet sein und sind regelmäßig zu sensibilisieren. Über datenschutzfreundliche Voreinstellungen muss u.a. gewährleistet werden, dass eine Aufbewahrungsfrist von drei Jahren (regelm. Verjährung nach dem BGB) und eine anschließende Löschung, aber auch alle Pflichten auf Auskunft usw. gegenüber Betroffenen umsetzbar sind. Sofern Sie das betrifft, ist auch der Betriebsrat hinzuzuziehen. 

Bei Missachtung des Gesetzes drohen Bußgelder von bis zu 50.000 Euro, wenn kein System eingerichtet wird oder betroffene Personen an einer Meldung gehindert oder sogar dadurch beeinträchtigt werden oder wenn ihre Identität bekannt wird. Im Gegenzug können aber auch Personen mit bis zu 20.000 Euro sanktioniert werden, die falsche Anschuldigungen verbreiten. 

Sollten Sie Fragen zur technischen oder organisatorischen Umsetzung, also zu IT-Sicherheit und Datenschutz haben, melden Sie sich gerne für ein Orientierungsgespräch an.