Hinweisgeberschutz: So setzt ihr das neue Whistleblower-Gesetz um
Unternehmen müssen die Identität der Hinweisgebenden schützen und DSGVO-Vorgaben einhalten. (Foto: RikoBest / shutterstock)
Nach langem Hin und Her wurde das Hinweisgeberschutzgesetz (HinSchG) nun final verabschiedet und verkündet. Bis zum Inkrafttreten am 2. Juli 2023 müssen Unternehmen ab 250 Mitarbeitern interne Meldewege etablieren. Firmen mit 50 bis 249 Mitarbeitenden haben eine Übergangszeit bis zum 17. Dezember 2023.
Die eingerichteten Verfahren der Meldungsabgabe dienen der Anzeige von Missständen und Gesetzesverstößen im Unternehmen durch Mitarbeiter, Kunden, Dienstleister, Geschäftspartner und anderen Personen im dienstlichen Kontext. Unternehmen müssen die Identität der Hinweisgebenden schützen und DSGVO-Vorgaben einhalten.
Was bedeutet Hinweisgeberschutz?
Hinweisgeberschutz bedeutet, dass Personen (Hinweisgebende beziehungsweise Whistleblower), die mit einer Meldung Missstände aufdecken und damit die Gesellschaft unterstützen, vor Repressalien durch ein Gesetz geschützt sind. Zum Beispiel die Mitarbeiterin, die beobachtet, dass ein Vorgesetzter bestimmte Mitarbeiter aufgrund von Geschlecht, Rasse oder anderen diskriminierenden Gründen benachteiligt. Der Chemikant, der merkt, dass der Produktionsleiter zur Kosteneinsparung umweltschädliche Substanzen verwendet– beide stellen sich vermutlich die gleiche Frage: Sollen sie den Missstand melden und so ihre Zukunft gefährden?
Genau hier will das neue Gesetz ansetzen: Es soll Whistleblower zukünftig vor Repressalien wie Kündigung, Abmahnung, Verweigerung einer Beförderung, Rufschädigung, Diskriminierung und Mobbing schützen.
Wer kann Hinweisgeber beziehungsweise Whistleblower sein?
Als Hinweisgeber beziehungsweise Whistleblower kommen neben Mitarbeitern auch Kunden, Dienstleister, Lieferanten oder Anteilseigner in Betracht.
Welche Verstöße können von Hinweisgebern gemeldet werden?
Die EU-Richtlinie sieht vor, dass Whistleblower geschützt werden, die Verstöße gegen das nationale und das EU-Recht melden. Dazu gehören Gesetzesvorgaben in den folgenden Bereichen:
- Arbeitsschutz
- Gesundheitsschutz
- Umweltschutz
- Datenschutz
- Wettbewerbsrecht
- Informationstechnik
- Geldwäsche
- Produktsicherheit
- Rechnungslegung
- Beförderung gefährlicher Güter
- Qualitäts- und Sicherheitsstandards bei Arzneimitteln und Medizinprodukten
- Sonstige Bußgeld- und Strafvorschriften
Welche Unternehmen sind betroffen?
Unternehmen mit mindestens 250 Beschäftigten müssen sofort nach Inkrafttreten des Gesetzes die Vorgaben des Gesetzes umsetzen. Für Unternehmen mit 50 bis 249 Beschäftigten gilt eine Umsetzungsfrist bis zum 17. Dezember 2023.
Welche Pflichten trifft die Unternehmen?
Unternehmen müssen interne Meldekanäle einrichten, die Meldungen in mündlicher oder in Textform sowie auf Wunsch in persönlicher Weise ermöglichen. Bei allen Meldewegen soll die Vertraulichkeit des Hinweisgebers sowie Dritter geschützt sein.
Unternehmen müssen zudem mindestens einen Meldestellen-Beauftragten benennen. Dieser nimmt die Meldungen entgegen und bestätigt dem Whistleblower den Eingang der Meldung innerhalb der Sieben-Tage-Frist. Der Meldestellen-Beauftragte prüft die Meldung und informiert den Whistleblower innerhalb von drei Monaten über ergriffene Folgemaßnahmen.
Was hat Hinweisgeberschutz mit Datenschutz zu tun?
Die Meldungen des Whistleblowers enthalten regelmäßig personenbezogene Daten in Form von Vor- und Nachnamen des Beschuldigten. Dies begründet eine Datenverarbeitung im Sinne der Datenschutzgrundverordnung. Vor diesem Hintergrund sollten Unternehmen folgende Datenschutz-Praxistipps beachten:
- Der Geschäftsprozess über interne Meldewege ist im Verzeichnis von Verarbeitungstätigkeiten zu ergänzen.
- Eine Datenschutzinformation für Hinweisgeber muss erstellt und die Kenntnisnahme ermöglicht werden.
- Bei der Nutzung eines externen IT-gestützten Hinweisgebersystems (zum Beispiel SaaS) ist regelmäßig der Abschluss eines Auftragsverarbeitungsvertrages erforderlich.
- Aufbewahrungs-/Löschfristen müssen festgelegt werden.
- Eine Datenschutz-Folgeabschätzung wird in den meisten Fällen erforderlich sein.
- Es sind geeignete technische und organisatorische Datensicherheitsmaßnahmen festzulegen.
- Es empfiehlt sich die frühzeitige Einbindung des (externen) Datenschutzbeauftragten, um Fragen zu klären. Weitere Informationen liefert die Orientierungshilfe der Datenschutzkonferenz.
Auch der Betriebsrat ist bei der Einführung des Hinweisgebersystems frühzeitig einzubeziehen. Es sind Mitbestimmungsrechte wegen Fragen der Ordnung des Betriebs und des Verhaltens der Beschäftigten im Betrieb betroffen. Im Rahmen der Einführung eines IT-gestützten Hinweisgebersystems ist zudem das Mitbestimmungsrecht wegen der Einführung und Anwendung von technischen Einrichtungen betroffen (vgl. § 87 I Nr. 1 und 6 BetrVG ).
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team
Die Wiedergeburt der Informellen Mitarbeiter, oder?