Nach langem Hin und Her wurde das Hinweisgeberschutzgesetz (HinSchG) nun final verabschiedet und verkündet. Bis zum Inkrafttreten am 2. Juli 2023 müssen Unternehmen ab 250 Mitarbeitern interne Meldewege etablieren. Firmen mit 50 bis 249 Mitarbeitenden haben eine Übergangszeit bis zum 17. Dezember 2023.

Die eingerichteten Verfahren der Meldungsabgabe dienen der Anzeige von Missständen und Gesetzesverstößen im Unternehmen durch Mitarbeiter, Kunden, Dienstleister, Geschäftspartner und anderen Personen im dienstlichen Kontext. Unternehmen müssen die Identität der Hinweisgebenden schützen und DSGVO-Vorgaben einhalten.

Hinweisgeberschutz bedeutet, dass Personen (Hinweisgebende beziehungsweise Whistleblower), die mit einer Meldung Missstände aufdecken und damit die Gesellschaft unterstützen, vor Repressalien durch ein Gesetz geschützt sind. Zum Beispiel die Mitarbeiterin, die beobachtet, dass ein Vorgesetzter bestimmte Mitarbeiter aufgrund von Geschlecht, Rasse oder anderen diskriminierenden Gründen benachteiligt. Der Chemikant, der merkt, dass der Produktionsleiter zur Kosteneinsparung umweltschädliche Substanzen verwendet– beide stellen sich vermutlich die gleiche Frage: Sollen sie den Missstand melden und so ihre Zukunft gefährden?

Genau hier will das neue Gesetz ansetzen: Es soll Whistleblower zukünftig vor Repressalien wie Kündigung, Abmahnung, Verweigerung einer Beförderung, Rufschädigung, Diskriminierung und Mobbing schützen.

Als Hinweisgeber beziehungsweise Whistleblower kommen neben Mitarbeitern auch Kunden, Dienstleister, Lieferanten oder Anteilseigner in Betracht.

Die EU-Richtlinie sieht vor, dass Whistleblower geschützt werden, die Verstöße gegen das nationale und das EU-Recht melden. Dazu gehören Gesetzesvorgaben in den folgenden Bereichen:

• Arbeitsschutz
• Gesundheitsschutz
• Umweltschutz
• Datenschutz
• Wettbewerbsrecht
• Informationstechnik
• Geldwäsche
• Produktsicherheit
• Rechnungslegung
• Beförderung gefährlicher Güter
• Qualitäts- und Sicherheitsstandards bei Arzneimitteln und Medizinprodukten
• Sonstige Bußgeld- und Strafvorschriften

Unternehmen mit mindestens 250 Beschäftigten müssen sofort nach Inkrafttreten des Gesetzes die Vorgaben des Gesetzes umsetzen. Für Unternehmen mit 50 bis 249 Beschäftigten gilt eine Umsetzungsfrist bis zum 17. Dezember 2023.

Unternehmen müssen interne Meldekanäle einrichten, die Meldungen in mündlicher oder in Textform sowie auf Wunsch in persönlicher Weise ermöglichen. Bei allen Meldewegen soll die Vertraulichkeit des Hinweisgebers sowie Dritter geschützt sein.

Unternehmen müssen zudem mindestens einen Meldestellen-Beauftragten benennen. Dieser nimmt die Meldungen entgegen und bestätigt dem Whistleblower den Eingang der Meldung innerhalb der Sieben-Tage-Frist. Der Meldestellen-Beauftragte prüft die Meldung und informiert den Whistleblower innerhalb von drei Monaten über ergriffene Folgemaßnahmen.

Die Meldungen des Whistleblowers enthalten regelmäßig personenbezogene Daten in Form von Vor- und Nachnamen des Beschuldigten. Dies begründet eine Datenverarbeitung im Sinne der Datenschutzgrundverordnung. Vor diesem Hintergrund sollten Unternehmen folgende Datenschutz-Praxistipps beachten:

• Der Geschäftsprozess über interne Meldewege ist im Verzeichnis von Verarbeitungstätigkeiten zu ergänzen.
• Eine Datenschutzinformation für Hinweisgeber muss erstellt und die Kenntnisnahme ermöglicht werden.
• Bei der Nutzung eines externen IT-gestützten Hinweisgebersystems (zum Beispiel SaaS) ist regelmäßig der Abschluss eines Auftragsverarbeitungsvertrages erforderlich.
• Aufbewahrungs-/Löschfristen müssen festgelegt werden.
• Eine Datenschutz-Folgeabschätzung wird in den meisten Fällen erforderlich sein.
• Es sind geeignete technische und organisatorische Datensicherheitsmaßnahmen festzulegen.
• Es empfiehlt sich die frühzeitige Einbindung des (externen) Datenschutzbeauftragten, um Fragen zu klären. Weitere Informationen liefert die Orientierungshilfe der Datenschutzkonferenz.

Auch der Betriebsrat ist bei der Einführung des Hinweisgebersystems frühzeitig einzubeziehen. Es sind Mitbestimmungsrechte wegen Fragen der Ordnung des Betriebs und des Verhaltens der Beschäftigten im Betrieb betroffen. Im Rahmen der Einführung eines IT-gestützten Hinweisgebersystems ist zudem das Mitbestimmungsrecht wegen der Einführung und Anwendung von technischen Einrichtungen betroffen (vgl. § 87 I Nr. 1 und 6 BetrVG ).