Compliance

Hinweisgeberschutzgesetz – Einrichten einer internen Meldestelle


Compliance |

Nach langem hin und her ist am 02.07.2023 nun endlich das Hinweisgeberschutzgesetz inkraftgetreten. Für viele Unternehmen bedeutet das jetzt Handlungsbedarf.
Denn bei Nichtumsetzung drohen Bußgelder, allerdings erst ab dem 01.12.2023.

Welche Schritte müssen jetzt eingeleitet werden?

 

 

1.   Zunächst muss geprüft werden ob das Unternehmen vom Anwendungsbereich des Hinweisgeberschutzgesetzes betroffen ist

Interne Meldestellen müssen errichten:
⦁    Unternehmen ab 50 Mitarbeitern, § 12 Abs. 2 HinSchG und unabhängig von der Mitarbeiterzahl bestimmte Unternehmen (z. B. Kapitalverwaltungsgesellschaften oder Versicherungsunternehmen) nach § 12 Abs. 3 HinSchG
⦁    Kleinere Unternehmen mit 50 bis 249 Mitarbeitern müssen erst ab dem 17.12.2023 interne Meldestellen errichten, § 42 HinSchG
⦁    Für Beschäftigungsgeber mit mehr als 250 Mitarbeitende gilt die Pflicht zum Betreiben einer internen Meldestelle sofort nach Inkrafttreten des Gesetzes, also ab dem 02. Juli 2023

 

 

2.    Sollte das Unternehmen unter den oben beschriebenen Anwendungsbereich fallen, muss man sich bewusst werden, welche Anforderungen an eine interne Meldestelle gestellt werden

Die Meldestelle kann aus einer Person bestehen, die im Unternehmen beschäftigt ist § 14 Abs.1 HinSchG. Diese muss in der Ausübung Ihrer Tätigkeit aber unabhängig sein, keine Interessenkonflikte mit anderen Aufgaben und Pflichten im Unternehmen haben und muss über die notwendige Fachkunde verfügen § 15 HinSchG. Es ist aber auch möglich einen externen Dritten mit der Betreuung der Meldestelle zu Beauftragen.
Insbesondere die notwendige Fachkunde dürfte viele Unternehmen vor eine Herausforderung stellen. Aufgabe der internen Meldestelle ist unter anderem auch die Prüfung ob der gemeldete Verstoß unter § 2 HinSchG fällt und ob eine Meldung an zuständige Behörden notwendig ist. § 2 HinSchG umfasst eine große Menge an Rechtsgebieten die ein breit gefächertes Fachwissen fordern.

Meldekanäle müssen zusätzlich so gestaltet werden, dass nur die für die Entgegennahme und Bearbeitung der Meldungen zuständigen Personen sowie die sie bei der Erfüllung dieser Aufgaben unterstützenden Personen auf die Meldungen zugreifen können. Bei elektronischen Meldekanälen (z.B. E-Mail) darf auch ein Zugriff der IT nicht möglich sein). Meldekanäle müssen Meldungen in mündlicher oder in Textform ermöglichen.
Es ist immer zu beachten: Der Schutz der Vertraulichkeit der Identität der hinweisgebenden Person ist von großer Bedeutung!

Daher werden sehr hohe Anforderungen an die Meldesysteme gestellt. Diese können im Moment fast ausschließliche von einem softwaregestützten Meldesystem erfüllt werden, da bei anderen Meldekanälen eine ausreichende Vertraulichkeit kaum gewährleistet werden kann. Insbesondere interne Briefkästen oder die Einrichtung einer internen E-Mail-Adresse begegnen hier großen Bedenken.

Unternehmen müssen nach § 13 Absatz 2 HinSchG Informationen über den internen Meldeprozess sowie über alternative externe Meldeverfahren an die jeweils zuständigen Behörden sowie über einschlägige Meldeverfahren von Organen, Einrichtungen oder sonstigen Stellen der Europäischen Union bereitstellen. Diese Informationen müssen leicht verständlich und zugänglich sein, zum Beispiel über die Unternehmens-Website, im Intranet oder am Schwarzen Brett.

Mittelgroße Beschäftigungsgeber mit 50 bis 249 Beschäftigten dürfen eine gemeinsame Meldestelle errichten und betreiben. Die Pflicht, Maßnahmen zu ergreifen, um den Verstoß abzustellen, und die Pflicht zur Rückmeldung an die hinweisgebende Person verbleiben jedoch bei dem einzelnen Unternehmen.

Ähnliches gilt auch für Konzerne: Liegt die Mitarbeiterzahl der Muttergesellschaft zwischen 50 und 249 Mitarbeitern ist eine interne Meldestelle ab dem 17.12.2023 verpflichtend. Hier kann man sich aber auch mit anderen Unternehmen zusammenschließen (siehe oben).
Hat die Muttergesellschaft mehr als 250 Mitarbeiter und die Tochtergesellschaft weniger als 50 reicht eine interne Meldestelle für die Muttergesellschaft aus. Liegt die Mitarbeiterzahl der Tochtergesellschaft zwischen 50 und 249 ist eine interne Meldestelle der Muttergesellschaft verpflichtend. Die Tochtergesellschaft kann sich an dem Verfahren der Muttergesellschaft beteiligen.
Liegt die Mitarbeiterzahlt der Tochtergesellschaft ebenfalls bei mehr als 250 ist eine interne Meldestelle für die Muttergesellschaft verpflichtend. Die Tochtergesellschaft benötigt ein eigenes System, kann jedoch die Muttergesellschaft mit dem Betrieb der internen Meldestelle beauftragen. Die Bearbeitung des Hinweises muss aber weiterhin bei der Tochtergesellschaft erfolgen.

 

3.   Weiter sollte an eine rechtskonforme Dokumentation der Meldungen gedacht werden

Alle eingehenden Meldungen müssen nach § 11 HinSchG im Einklang mit den Vertraulichkeitspflichten dokumentiert werden. Wie die Meldungen dokumentiert werden müssen, hängt davon ab, über welchen Kanal die Meldung eingegangen ist.
Das gewählte Meldesystem sollte entsprechende Anwendungen haben, dass Meldungen und Folgemaßnahmen so dokumentiert werden, dass sie gegebenenfalls als Beweismittel verwendet werden können.
Die Dokumentationen müssen 3 Jahre nach Abschluss des Verfahrens gelöscht werden. Ausnahmsweise können die Dokumentationen auch länger als 3 Jahre aufbewahrt werden, um die Anforderungen nach dem HinSchG oder nach anderen Rechtsvorschriften zu erfüllen, solange dies erforderlich und verhältnismäßig ist.

 

 

4.    Zusätzlich sollte man sich immer bewusst sein, dass auch die DSGVO weiter neben dem Hinweisgeberschutzgesetz gilt.

Im Hinweisgebersystem werden personenbezogene Daten verarbeitet. Bei der Einrichtung und Durchführung des internen Meldeverfahrens sind alle rechtlichen Bedingungen des Datenschutzes einzuhalten. Alle personenbezogenen Daten, sowohl die des Hinweisgebers als auch etwaiger beschuldigter Personen, müssen im Einklang mit der EU-Datenschutzgrundverordnung sowie des Bundesdatenschutzgesetzes verarbeitet werden.
Aufbewahrungs-/Löschfristen müssen festgelegt werden (siehe hierzu oben unter 3.). Die Erstellung einer Datenschutzerklärung für Hinweisgeber wird erforderlich sein.
Wenn externe Anbieter als interne Meldestellen beauftragt werden, wird der Abschluss einer AVV erforderlich sein.
Der Prozess über den internen Meldekanal muss im Verzeichnis der Verarbeitungstätigkeiten aufgenommen werden.
Zusätzlich kann eine Datenschutzfolgeabschätzung notwendig sein.

In jedem Fall sollte der Datenschutzbeauftragte so früh wie möglich in den Prozess involviert werden.

Sollten Sie noch Fragen zu diesem Thema haben, beraten wir Sie gerne!
Gerne unterstützen wir Sie auch bei der Errichtung einer internen Meldestelle, die wir für Sie betreiben. Wir stellen Ihnen dabei ein softwaregestütztes Meldesystem zur Verfügung, das die Anforderungen des Hinweisgeberschutzgesetzes erfüllt.