Hinweisgeberschutz Datenschutz

Hinweisgeberschutz Datenschutz: Aktuelle Infos zur Umsetzung mit DSGVO-Praxistipps

13. Mai 2024

Das Hinweisgeberschutzgesetz (kurz: HinSchG) ist am 2. Juli 2023 in Kraft getreten. Unternehmen müssen entsprechende Vorkehrungen treffen und die Vorgaben wirksam umsetzen. Was es mit dem Hinweisgeberschutz Datenschutz auf sich hat und was Unternehmen jetzt tun müssen, erfahren Sie im nachfolgenden Artikel.

Hinweisgeberschutz: Was ist das?

Hinweisgeberschutz bedeutet, dass Einzelpersonen (Hinweisgeber bzw. Whistleblower), die mit einer Meldung illegale Missstände aufdecken, vor Benachteiligungen oder arbeitsrechtlichen Repressalien geschützt werden. Bspw. bemerkt ein Mitarbeiter, dass das Unternehmen Umweltauflagen missachtet und unrechtmäßig Abfälle entsorgt oder ein Angestellter in der Buchhaltung entdeckt Unregelmäßigkeiten in den Buchführungsunterlagen, die auf einen möglichen Finanzbetrug der Geschäftsführer hindeuten. Beide stehen vor der gleichen Überlegung: Sollen sie den Vorfall melden und damit möglicherweise ihre berufliche Zukunft in Gefahr bringen? An diesem Punkt setzt das Hinweisgeberschutzgesetz an: Es soll hinweisgebende Personen vor arbeitsrechtlichen Konsequenzen schützen.

Wer kommt als Hinweisgeber bzw. Whistleblower in Betracht?

Als hinweisgebende Personen bzw. Whistleblower kommen Arbeitnehmer, Beamte, Leiharbeitnehmern, Werkstudenten und Praktikanten, aber auch Dienstleister, Lieferanten und Kunden in Betracht.

Welche Verstöße können gemeldet werden?

Hinweisgeber bzw. Whistleblower können Verstöße gegen das nationale Recht oder EU-Rechtsakte melden. Dazu gehören beispielsweise Gesetze in den Bereichen:

  • Geldwäsche und Terrorismusfinanzierung
  • Beförderung gefährlicher Güter
  • Umwelt- und Strahlenschutz
  • Qualitäts- und Sicherheitsvorschriften bei Arzneimitteln und Medizinprodukten
  • Produktsicherheit
  • Verkehrssicherheit
  • Verbraucherschutz
  • Lebensmittel- und Futtermittelsicherheit
  • Datenschutz und der Sicherheit in der Informationstechnik
  • Vergaberecht
  • Rechnungslegung und Steuerrecht
  • Wettbewerbsrecht
  • Straftaten im Sinne des Strafgesetzbuches
  • Bestimmte Ordnungswidrigkeiten
  • Etc.

Voraussetzung ist aber immer, dass sich der Verstoß auf das Unternehmen – im Gesetz als Beschäftigungsgeber bezeichnet – bezieht. 

Welche Unternehmen müssen die Vorgaben umsetzen? 

Unternehmen mit mind. 250 Mitarbeitern müssen seit Inkrafttreten des Gesetzes mittels interner Meldestellen sicherstellen, dass eine Meldung zu jederzeit eingereicht werden kann. In Unternehmen mit mind. 50 Mitarbeitern muss es ab dem 17. Dezember 2023 möglich sein, einen Verstoß via interner Meldekanäle melden zu können

Hinweisgeberschutzgesetz: Was Unternehmen umsetzen müssen

Das Hinweisgeberschutzgesetz gewährleistet den Schutz von Hinweisgebern bzw. Whistleblowern. Zu diesem Zweck sieht das Gesetz folgende organisatorische Maßnahmen vor:

  • Unternehmen müssen ein internes Meldesystem bzw. Hinweisgebersysteme etablieren.
  • Es ist eine unabhängige Vertrauensperson zu benennen.
  • Interne Meldungen sind von der im Unternehmen bestellten Vertrauensperson entgegenzunehmen.
  • Die Entgegennahme und Bearbeitungen von Meldungen muss vertraulich erfolgen. Es dürfen auch Meldekanäle für die anonyme Abgabe von Meldungen umgesetzt werden.
  • Die Identität einer hinweisgebenden Person sowie der in den Meldungen genannten betroffenen Personen müssen vor unbefugter Offenlegung geschützt werden.
  • Hinweisgeber bzw. Whistleblower können Hinweise schriftlich, mündlich oder persönlich einreichen.
  • Innerhalb von 7 Tagen muss das Unternehmen den den meldenden Personen eine Eingangsbestätigung ausstellen.
  • Innerhalb von drei Monaten muss der Hinweisgeber bzw. der Whistleblower über ergriffene Maßnahmen und weitere rechtliche Schritte informiert werden.
  • Auch anonyme Hinweise sollten geprüft werden.

Hinweisgeberschutzgesetz und DSGVO: Was hat Whistleblowing mit Datenschutz zu tun?

Bei der Entgegennahme von Meldungen werden im Hinweisgebersystem in der Regel personenbezogene Daten des Hinweisgebers und des Beschuldigten verarbeitet. Deshalb ist auch im Zusammenhang mit dem Hinweisgeberschutz auch der Datenschutz zu wahren. Deshalb sollten Unternehmen folgende DSGVO-Praxistipps umsetzen:

  • Ergänzung des Geschäftsprozesses über interne Meldekanäle im Verzeichnis der Verarbeitungstätigkeiten ist erforderlich.
  • Erstellung und Einbindung einer Datenschutzerklärung für Hinweisgeber.
  • Bei der Einführung eines IT-gestützten Hinweisgebersystems (z. B. SaaS) ist regelmäßig der Abschluss eines Auftragsverarbeitungsvertrages notwendig.
  • Online-Meldeformulare zur Entgegennahme von Meldungen sollten eine verschlüsselte Datenübermittlung ermöglichen.
  • Das HinschG sieht für Meldungen und zugehöriger Dokumente eine regelmäßige Aufbewahrungsfrist von drei Jahren vor, sodass entsprechende Löschregeln zu definieren sind.
  • Datenschutz-Folgeabschätzungen durchführen und dokumentieren.
  • Benennung eines internen oder externen Datenschutzbeauftragten und frühzeitige Einbeziehung.
  • Beachtung der Beteiligungs- und Mitbestimmungsrechte des Betriebsrats (§ 80 Abs. 2, gemäß § 87 I Nr. 1 und 6 BetrVG).

Weitere Informationen zum Hinweisgeberschutz und Beschäftigtendatenschutz finden Sie in der Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines.

Fazit zum Hinweisgeberschutzgesetz

Unternehmen müssen mit geeigneten internen Meldestellen dafür sorgen, dass zu jederzeit eine Meldung eingehen kann und bei der Umsetzung eines Hinweisgebersystems die datenschutzrechtlichen Auswirkungen berücksichtigen. Da auch das Nichtbereitstellen erforderlicher Meldekanäle mit Sanktionen bis zu 50.000 € belegt ist, sollten Sie diese rechtzeitig einrichten und Prozesse zum Umgang mit eingehenden Meldungen definieren.

Der Umgang mit Meldungen über Rechtsverstöße stellt für Unternehmen oft eine ungewohnte Herausforderung dar. Um sicherzustellen, dass Ihr Unternehmen die Anforderungen des Hinweisgeberschutzgesetzes rechtskonform umsetzt, bieten wir fachkundige Unterstützung für den Aufbau Ihrer internen Meldestelle an. Zögern Sie nicht, unsere Datenschutzberater unverbindlich zu kontaktieren und Ihren gesetzlichen Pflichten nachzukommen.

FAQ zum Hinweisgeberschutz Datenschutz

Was ist das Hinweisgeberschutzgesetz?

Mit dem Hinweisgeberschutzgesetz (HinSchG) handelt es sich um die deutsche Umsetzung der sog. EU-Whistleblower-Richtlinie.  Ziel ist es, dass Personen (Hinweisgebende bzw. Whistleblower), die mit einer Meldung illegale Missstände in Unternehmen aufdecken, vor Benachteiligungen oder arbeitsrechtlichen Repressalien geschützt werden.

Seit wann gilt das Hinweisgeberschutzgesetz?

Das Hinweisgeberschutzgesetz (kurz: HinschG) ist am 02. Juli 2023 in Kraft getreten. Die Pflicht zur Einrichtung der internen Meldekanäle besteht für Unternehmen mit mindestens 250 Mitarbeitern seit Inkrafttreten des HinSchG. Für Unternehmen mit mind. 50 Mitarbeitern besteht diese gesetzliche Verpflichtung erst seit dem 17. Dezember 2023.

Welche Vorfälle dürfen durch das Hinweisgeberschutzgesetz gemeldet werden?

Die Whistleblower Richtlinie erleichtert die Meldungvon Missständen und Verstößen gegen Gesetze, Compliance-Richtlinien, Korruption, Datenschutzgesetze, Wettbewerbsvorschriften und andere rechtliche Vorgaben der Europäischen Union.

Wo können Hinweisgeber bzw. Whistleblower Meldungen einreichen?

Es gibt sowohl interne als auch externe Meldestellen: Unternehmen müssen eine interne Meldestelle etablieren. Hierfür besteht die Möglichkeit, spezielle Systeme wie eine Online-Meldestelle zu implementieren, interne Ansprechpartner zu benennen oder Dritte, wie beispielsweise Beratungsgesellschaften, mit der Betreuung der Meldestelle zu beauftragen. Zusätzlich richtet der Staat und einzelne Behörden externe Meldestellen ein. So gibt es auch spezialisierte externe Meldestellen: Für Verstöße in der Finanzwirtschaft bleibt die Meldestelle bestehen, die von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) eingerichtet wurde. Ein weiteres Beispiel ist die externe Meldestelle des Bundeskartellamts, die Meldungen bei Verstößen gegen das Kartellrecht aufnimmt.

Können die Meldungen anonym abgegeben werden?

Hinweisgeber bzw. Whistleblower dürfen anonym Meldungen einreichen. Die gesetzliche Pflicht zur Einrichtung von anonymen Meldekanälen gibt es nicht. Aber Unternehmen werden gesetzlich dazu angehalten, auch anonymen eingehenden Hinweisen nachzugehen.

Was ist eine interne Meldestelle?

In einer internen Meldestelle haben Angestellte innerhalb einer Organisation die Möglichkeit, Verstöße oder ethische Bedenken zu melden. Bei der meldenden Person handelt es sich um einen Mitarbeiter der Organisation. Die Aufgaben dieser internen Stelle umfassen die Entgegennahme der Meldungen, die Durchführung interner Untersuchungen und die Umsetzung angemessener Maßnahmen zum Schutz der Integrität und des Wohlergehens der Organisation sowie ihrer Mitarbeiter.

Kann der Betriebsrat bei der Einführung des Hinweisgeberschutzsystems mitbestimmen?

Einerseits ist der Betriebsrat frühzeitig zu informieren ((§ 80 Abs. 2 BetrVG), andererseits ist er aufgrund seiner Mitbestimmungsrechte in Bezug auf die Ordnung des Betriebs und das Verhalten der Beschäftigten im Betrieb zu beteiligen (§ 87 I Nr. 1 und 6 BetrVG).

Sind anonyme Meldungen verpflichtend?

Das HinSchG legt nicht ausdrücklich fest, dass Unternehmen dazu verpflichtet sind, anonyme Meldungen zu ermöglichen. Es fordert jedoch, dass Unternehmen solche Meldungen ermöglichen und bearbeiten „sollen“. Allerdings wird  empfohlen, Anonymität zu gewährleisten, um die betroffene Person bestmöglich zu schützen.

UNVERBINDLICHES UND KOSTENLOSES ERSTGESPRÄCH VEREINBAREN

ÜBER DEN AUTOR

Yanick Röhricht

Yanick Röhricht ist Senior Consultant bei ALPHATECH Consulting. Als Berater unterstützt er Unternehmen bei der Umsetzung gesetzlicher Datenschutzvorgaben sowie beim Aufbau eines Informationssicherheits-Managements. Als Wirtschaftsjurist (LL.M.) und mit Zertifizierungen als Datenschutzbeauftragter (TÜV) und IT-Sicherheitsbeauftragter (DGI) verfügt er über fundierte Fachkenntnisse und langjährige Erfahrung in diesem Bereich.

Mehr zu diesem Thema erfahren

Verwandte Blogbeiträge

Kontaktieren Sie uns!
Gerne beantworten wir Ihre Fragen zum Thema Datenschutz und IT-Sicherheit.

Ihr Ansprechpartner

Yanick Röhricht LL.M.

Zertifizierter Datenschutzbeauftragter (TÜV), zertifizierter Informationssicherheitsbeauftragter (DGI)

ALPHATECH
Consulting GmbH

Querstraße 2
65203 Wiesbaden

Telefon

+49 611 445 010 04

Wir arbeiten zertifiziert

Social Media