365 Tage Hinweisgeberschutzgesetz – Was ist bisher geschehen?

Data Privacy von Chantal Nußbaum

365 Tage Hinweisgeberschutzgesetz
shutterstock.com

Das Hinweisgeberschutzgesetz (HinSchG) trat am 2. Juli 2023 in Kraft – auf den Tag genau vor 365 Tagen. Wir ziehen aus unserer Perspektive ein Fazit.

Das Gesetz verpflichtet Unternehmen dazu, Hinweisgebersysteme einzurichten, damit hinweisgebende Personen Meldungen über Verstöße gegen bestehende Gesetze, Sicherheitsvorkehrungen, Geldwäsche oder auch Terrorismus sicher und anonym abgeben können. Das HinSchG setzt die EU-Whistleblower-Richtlinie in deutsches Recht um und hat zum Ziel, Personen, die Hinweise auf Missstände geben, besser vor Repressalien zu schützen. Das HinSchG gilt für alle Unternehmen ab 50 Beschäftigten.

In den vergangenen Monaten sahen sich Unternehmen vor die Herausforderung gestellt, geeignete Meldewege zu etablieren, die den jeweiligen Unternehmensstrukturen, der DS-GVO und weiteren Gesetzen gerecht werden.

Aktueller Stand der Umsetzung

Manche Unternehmen stellten bis zur finalen Umsetzungsfrist (17.12.2023) fest, dass sie keine innerbetrieblichen Meldewege abbilden können. Hauptgründe sind häufig die Interessenskonflikte, die bei der Bearbeitung von Meldungen entstehen würden, personelle Ressourcen für die Betreuung der Meldewege oder technische Umsetzungsmöglichkeiten zur Wahrung der Frist für die Eingangsbestätigung innerhalb von 7 Tagen. Hier konnte durch die Auslagerung an externe Ombudspersonen und die Bereitstellung eines Hinweisgebersystems Abhilfe geschaffen werden.

Andere Unternehmen haben wiederum das HinSchG noch nicht umgesetzt. Hier bestehen oftmals Unklarheiten über die Betreuung der Meldewege oder es fehlt an zeitlichen Kapazitäten, um sich mit dem HinSchG auseinander zusetzen.

Hohe Bußgeldstrafen bei Nicht-Umsetzung

Dennoch darf dieses Thema nicht unter den Tisch fallen. Setzen Unternehmen die Regelungen zur Einrichtung einer internen Meldestelle nicht gesetzeskonform um, drohen Bußgelder von bis zu 20.000 €. Unter bestimmten Voraussetzungen sieht das Gesetz sogar Bußgelder von bis zu 50.000 € vor. Darüber hinaus können Geschäftsführer für Bußgelder persönlich in Regress genommen werden und haften somit auch mit ihrem Privatvermögen.

Wie kann eine gesetzeskonforme Umsetzung realisiert werden?

  • Prüfung geeigneter Meldewege (z.B. über ein Hinweisgebersystem wie die ETES Hinweisgeber-Meldestelle, per E-Mail, telefonisch o.ä.)
  • Prüfung der benötigten Ressourcen und Kompetenzen: Sind im Unternehmen fachkundige Personen und können diese für die Betreuung der Meldewege eingesetzt werden?
  • Einführung eines Meldeweges, der für die Unternehmensstruktur geeignet ist
  • Information der Mitarbeiter nach Art. 13 und Art. 14 DS-GVO
  • Anpassung der Datenschutzerklärung
  • Ergänzung des Verarbeitungsverzeichnisses (VVT)
  • Sofern Dienstleister eingesetzt werden: Prüfen, ob vertragliche Regelungen getroffen werden müssen (Auftragsverarbeitung, gemeinsame Verantwortlichkeit)
  • Betreuung der Meldewege
  • Gewährleistung der Eingangsbestätigung innerhalb von 7 Tagen
  • Gewährleistung einer Rückmeldung zum Sachverhalt innerhalb von 3 Monaten
  • Einhaltung der Löschfrist

Wann kommt ein Hinweisgebersystem in Frage?

  • Interne Mitarbeiter können in einen Interessenskonflikt geraten, wenn sie eingehende Meldungen bearbeiten. Wann es zu einem Interessenskonflikt kommen kann, haben wir in diesem Blogpost zusammengefasst.
  • Die geforderten Kompetenzen liegen im Unternehmen nicht vor. Für die Bearbeitung eingehender Meldungen muss eine entsprechende Fachkunde vorliegen, sodass hinweisgebende Personen als auch Personen, die Gegenstand einer Meldung sind, nach den gesetzlichen Forderungen geschützt und Datenschutzverstöße verhindert werden.
  • Personelle Kapazitäten stehen nicht zur Verfügung. Im Unternehmen stehen für die Betreuung der Meldewege keine Personen zur Verfügung.
  • Der bisherige Meldeweg eignet sich nicht. Der Meldeweg kann beispielsweise keine fristgerechte Eingangsbestätigung für die Meldung abbilden.
  • Die gewünschte Anonymität kann nicht gewahrt werden. Wenn eine Meldung per E-Mail abgegeben wird, ist diese nicht anonym. E-Mails werden auf die jeweiligen E-Mail-Eingangsserver (z.B. Exchange-Server) empfangen und erst anschließend auf die jeweiligen Postfächer durch diesen verteilt. Personen, die auf diese Mail-Server Zugriff haben, können somit potenziell Kenntnis von den Meldungen erlangen, obwohl sie nichts mit dem eigentlichen sensibel zu behandelnden Hinweisgeberprozess zu tun haben.

Gerne betrachten wir mit Ihnen Ihre Unternehmenssituation und beraten Sie zu einem möglichen Lösungsweg. Wir stellen Ihnen gerne unsere Ombudspersonen und unser Hinweisgebersystem vor. Mit unserer Dienstleistung als externe Meldestelle sind wir in der Lage, Ihnen eine zuverlässige und interessenkonfliktfreie Lösung zu bieten.

Wir freuen uns über Ihre Kontaktaufnahme.

Kontaktieren Sie uns

Sie sind Ihrer digitalen Souveränität bereits einen großen Schritt näher gekommen.

Wir freuen uns auf Ihr Interesse und Ihre Fragen.

Bitte addieren Sie 8 und 3.
Diese Anfrage ist für Sie unverbindlich und keine Zahlungsmittel sind notwendig.
eteslogo4

Autoren

Markus Espenhain

Unser Geschäfts­führer und Gründer ist für die Strategie und den Kontakt zu Kunden & Partnern verantwortlich. Im Blog stellt er Ihnen neue Partnerschaften und Unternehmens-News vor.

Markus Espenhain Portrait

Ioannis Dimas

Datenschutz und Informationssicherheit sind seine Herzensangelegenheit. Er berät Unternehmen zu diesen Themen und kann viel dazu berichten.

Ioannis Dimas Portrait

Chantal Nußbaum

In den Bereichen Datenschutz und Informationssicherheit liegt ihr Schwerpunkt. Durch Fortbildungen ist sie immer auf dem neusten Stand der Gesetze.

Christian Gleich

Sein Schwerpunkt liegt in dem Kontakt zu Kunden. Durch seine tägliche Arbeit mit unserem gesamten Produktportfolio landen Neuigkeiten immer zuerst bei ihm.