Das Hinweisgeberschutzgesetz
Die Schaffung eines Meldekanals für Hinweisgeber ist nach dem „Whistleblower-Gesetz“ seit 2023 für fast alle Unternehmen verpflichtend. Ein Hinweisgeberschutzsystem als Ombudsstelle zu etablieren, ist der richtige Ansatz, um Ihrer Pflicht nachzukommen. Was schreibt das Hinweisgeberschutzgesetz aktuell vor, und was müssen Sie als Unternehmer tun, um alle Vorschriften möglichst unkompliziert einzuhalten? Lesen Sie mehr und erfahren Sie, wie wir als Datenschutzexperten Ihnen dabei helfen.
Das Hinweisgeberschutzgesetz oder warum jetzt alle ein Meldesystem brauchen
Seit Mitte Juli 2023 gilt das sogenannte Whistleblower Gesetz, genauer gesagt die EU-Whistleblower-Richtlinie EU 2019/1937.
Sie hat das Ziel, Personen zu schützen, die Regelverstöße oder Verdachtsmomente innerhalb des Unternehmens melden. Wer Hinweise auf Verstöße im eigenen Unternehmen gibt, hat nicht selten Angst vor Repressalien unterschiedlichster Art. Davor schützt eine interne Meldestelle, die auch anonym eingerichtet werden kann und sollte. Je nach Organisation hat es diese Meldestelle teilweise auch schon vorher gegeben – doch seit Inkrafttreten der Richtlinie ist es für die meisten Unternehmen Pflicht, ein geeignetes Whistleblowing System anzubieten.
Die Vorgabe macht Arbeit und schafft eine Verpflichtung, doch sie lässt sich auch als Chance nutzen. Sie können ein bestehendes System auf den Prüfstand stellen. Neu eingerichtet, sorgt die interne Meldestelle mit Whistleblower-Software für transparente Prozesse, angemessene Datenverarbeitung und effizientere Abläufe im Fall von Whistleblower-Meldungen.
Das Hinweisgeberschutzsystem im Unternehmen Definition
Worum geht es nun genau? Das Hinweisgeberschutzgesetz oder kurz HinSchG verpflichtete zunächst Unternehmen und öffentliche Stellen mit über 250 Beschäftigten dazu, ein internes Hinweisgebersystem einzurichten.
Für Unternehmen von 50 bis 249 Beschäftigten galt anfangs eine Übergangsfrist bis Mitte Dezember 2023. Spätestens seitdem aber sind alle mittelständischen und großen Unternehmen in der Pflicht und müssen ein geeignetes Whistleblower System vorweisen.
Angesprochen von der Pflicht sind
- Unternehmen aus der freien Wirtschaft
- Gebietskörperschaften wie Landkreise, Gemeinden und kreisfreie Städte
- öffentliche Einrichtungen wie Anstalten, Stiftungen und Behörden
Zweck des HinSchG
Das Hinweisgeberschutzgesetz ist die nationale Vorschrift, mit der die EU-Whistleblower-Richtlinie in nationales Recht umgewandelt wird. Sie dient dem Schutz der hinweisgebenden Person, gemeinhin Whistleblower genannt. Damit wurde der bis dahin nicht ausreichende Schutz von Whistleblowern verbessert. Die Maßnahmen sollen sicherstellen, dass niemand, der Verstöße und Verdachtsmomente eines Unternehmens meldet, mit persönlichen Benachteiligungen konfrontiert wird.
In Deutschland gab es bis zum Inkrafttreten des HinSchG kein umfassendes Hinweisgeberschutzsystem. Da aber solche Hinweisgeber eine wertvolle Quelle für eventuell vorliegende Verstöße sind, die andernfalls nicht nach außen dringen würden, wurde die EU-Richtlinie erstellt und mit dem HinSchG dann auch für Deutschland umgesetzt.
Wen schützt das Whistleblower Gesetz?
Das Gesetz umfasst sowohl den Hinweisgeber selbst als auch Personen, die ihn eventuell unterstützen. Außerdem auch Personen, die Gegenstand der gemachten Whistleblower-Meldung sind oder sonstige Personen, die in einer solchen Meldung genannt werden.
Dem Schutz der Meldenden dient auch der § 36 HinSchG, eine Regelung zur Beweislastumkehr. Dort heißt es, dass Arbeitgeber nun beweisen müssen, dass Maßnahmen gegen Arbeitnehmer nicht mit der Aufdeckung von Missständen zusammenhängen – früher lag die Beweislast dafür beim Betroffenen.
Geschützt wird der Whistleblower im Fall einer internen oder externen Meldung, in manchen Fällen auch bei einer Offenlegung.
Die Informationen müssen Verstöße betreffen, die in den Anwendungsbereich des Gesetzes fallen – dazu lesen Sie mehr weiter unten. Zumindest aber muss der Whistleblower zum Zeitpunkt der Whistleblower-Meldung hinreichend Grund zur Annahme haben, dass der Verstoß in den Anwendungsbereich fällt.
Warum braucht es das Hinweisgeberschutzgesetz?
Da in der Vergangenheit immer wieder Fälle auftraten, in denen Whistleblower für sich selbst Nachteile erfahren hatten, sobald sie Vorfälle aufdeckten, wurde der Schutz solcher hinweisgebenden Personen dringend benötigt.
Welche Arten von Fehlverhalten dürfen gemeldet werden?
Eine ganze Reihe von Verstößen aus unterschiedlichsten Bereichen fallen unter das Hinweisgeberschutzgesetz. So melden Personen etwa Hinweise auf Verstöße gegen Strafvorschriften, Bußgeldverstöße, Regelverstöße aus dem Arbeits- und Gesundheitsschutz oder gegen das Mindestlohngesetz. Wer die Vorgaben des Arbeitnehmerüberlassungsgesetzes nicht einhält, kann ebenso mit einer Whistleblower-Meldung konfrontiert sein wie Unternehmen, die die Rechtsnormen bezüglich europäischer Regelungen nicht einhalten.
Hier geht es beispielsweise um Regelungen zu den Themen Produktsicherheit, Geldwäsche, Umweltschutz, Datenschutz oder Verbraucherschutz.
Das HinSchG greift, wenn die gemeldeten Vergehen von dem Beschäftigungsgeber des Whistleblowers oder einer anderen Stelle, mit der der Hinweisgeber beruflich im Kontakt stand, begangen wurden.
Die gesamte Liste der Rechtsnormen ist in der EU Whistleblower-Richtlinie im HinSchG enthalten, die folgende Aufzählung gibt einen groben Überblick
- Straftaten nach dem Strafgesetzbuch
- bestimmte Ordnungswidrigkeiten
- Unternehmensbesteuerung/Geldwäsche
- Datenschutz
- öffentliches Auftragswesen
- Finanzdienstleistungen
- Produkt- und Verkehrssicherheit
- nukleare Sicherheit
- öffentliche Gesundheit
- Missstände beim Verbraucherschutz
Ombudsstelle – was ist das genau?
Die Ombudsstelle, auch als Ombudsmann oder Ombudsfrau bezeichnet, beschreibt allgemein eine Schlichtungsstelle. Fühlen sich Interessenten in einem Recht verletzt oder bringen andere Anliegen mit, die eine persönliche oder rechtliche Auseinandersetzung mit sich ziehen, ist der Gang zu einer Schlichtungsstelle eine sinnvolle Alternative.
In unserem konkreten Fall meinen wir mit Ombudsstelle die Anlaufstelle für Whistleblower, die beobachtete Vergehen im Rahmen des HinSchGs melden wollen.
Die Pflicht zur Einführung eines Hinweisgeberschutzsystems – was genau wird verlangt?
Das Hinweisgeberschutzgesetz verlangt die Einführung einer sicheren, internen Meldemöglichkeit. Das können Sie als Unternehmer etwa in Form eines Hinweisgebersystems mit Whistleblower-Software tun.
Zu den Vorgaben des HinSchG gehört: Das Unternehmen muss Maßnahmen ergreifen, um jede Form von negativen Konsequenzen oder Repressalien für den Whistleblower zu vermeiden. Folgen wie etwa Einschüchterung, Rufschädigungen oder gar fristlose Kündigungen sind in jedem Fall zu verhindern.
Jeder Mitarbeiter bekommt mit einem Hinweisgeberschutzsystem die Möglichkeit, jederzeit einen Verstoß melden zu können, ohne damit negative Konsequenzen für sich selbst heraufzubeschwören.
Whistleblower-Meldungen gemäß dem HinSchG können die Mitarbeitenden schriftlich, mündlich oder persönlich einreichen. Damit das möglich ist, braucht es ein passendes Verfahren und sichere Prozesse im Hinweisgebersystem – mitsamt geeigneten Meldekanälen, über die die Whistleblower-Meldung eingereicht werden kann.
Was ist ein Meldekanal nach dem Hinweisgeberschutzgesetz?
Das Hinweisgeberschutzgesetz verpflichtet Sie als Unternehmer, geeignete Meldekanäle einzurichten, damit Mitarbeiter und andere Betroffene Hinweise melden können.
IT-gestützte Lösungen, etwa Whistleblowing-Systeme mit Einbeziehung einer Whistleblower- Software, bieten sich in aller Regel als die effizienteste Lösung einer internen Meldestelle an, vor allem mit Blick auf den vorgeschriebenen Datenschutz.
Interne und externe Meldestellen
Wir unterscheiden bei den vorgeschriebenen Meldestellen zwischen externen und internen, wobei Hinweisgeber grundsätzlich gehalten sind, die interne Meldestelle zu bevorzugen. Die Wahl liegt aber letzten Endes beim Whistleblower.
Für Whistleblower-Meldungen über einen internen Meldekanal muss es innerhalb des Unternehmens eine dafür bestimmte Vertrauensperson geben. Da diese Person unabhängig und frei von Interessenkonflikten sein muss, kann hier beispielsweise der externe Beauftragte für Datenschutz die richtige Lösung sein.
Unternehmen, die mehr als 50 Angestellte haben, müssen geeignete Meldekanäle und Verfahren einrichten, damit die Hinweisgeber solcher Meldungen geschützt sind. Das Verfahren zur Entgegennahme von Meldungen muss vertraulich sein, die Identität von Whistleblower und Personen, die in der Whistleblower-Meldung genannt werden, dürfen nicht unbefugt offengelegt werden.
Jede eingehende Meldung muss dem Whistleblower innerhalb von sieben Tagen bestätigt werden. Eine Rückmeldung muss dann innerhalb von drei Monaten folgen.
Whistleblower-Meldungen über einen externen Meldekanal gehen beispielsweise an staatliche Stellen, zum Beispiel an eine dafür vorgesehene Behörde. Auch Behörden müssen Meldekanäle bereitstellen, damit dort externen Hinweise eingereicht werden können. Zuständig sind, je nach Inhalt der Einreichungen, in Deutschland etwa das Bundesministerium für Justiz, die Bundesanstalt für Finanzdienstleistungsaufsicht und das Bundeskartellamt.
Die externe Meldestelle dokumentiert ebenfalls und muss, genau wie die interne Meldestelle, eine Bestätigung innerhalb einer Woche sowie eine Rückmeldung innerhalb von drei Monaten erbringen.
Das Hinweisgeberschutzgesetz verlangt, dass die externe Meldestelle den Mitarbeitenden online zur Verfügung steht: Hinweisgeber müssen ihre Informationen also über geeignete Meldekanäle online einreichen können – auf diese Weise soll die externe Meldestelle besser zugänglich sein.
Warum nutzt Ihrem Unternehmen ein Whistleblowing-System?
Ein Hinweisgeberschutzsystem dient einer offenen und transparenten Firmenkultur. Mit einer professionellen Lösung auf diesem Gebiet schaffen Sie zudem Vertrauen: Für Personal, Kundschaft und im Kontakt mit Stakeholdern zeigt sich im Umgang mit Whistleblowing Ihre Transparenz und Vertrauenswürdigkeit.
Für größere Unternehmen ist es verpflichtend, ein Hinweisgeberschutzsystem als Ombudsstelle einzurichten. Hier informieren wir Sie, wie Sie das Hinweisgebersystem als internen Meldekanal sinnvoll umsetzen können.
Mit unserem Service als Ombudsstelle für Hamburg und Umgebung haben Sie nicht nur die Sicherheit, eventuelle Auflagen des Gesetzgebers zu erfüllen. Vielmehr vermitteln Sie auch nach außen, dass Sie mit der Einhaltung der gesetzlichen Vorgaben für Ihre Hinweisgebersysteme mit professioneller Hilfe ein vertrauenswürdiger Partner für Kunden und Mitarbeitende gleichermaßen sind.
Nicht zuletzt drohen Sanktionen, wenn die Umsetzung der Vorschriften zum Hinweisgebersystem nicht oder nur unvollständig gelingt – auch das sollten Sie im eigenen Interesse vermeiden.
Das Hinweisgeberschutzgesetz und der Datenschutz
Datenschutz ist gerade im Zusammenhang mit der Whistleblower-Meldung von Verstößen ein sensibles Thema. Entsprechend gravierend sind die Folgen, falls hier Datenschutzverstöße auftreten.
Mit jeder Meldung, sofern sie nicht anonym erfolgt, kommen personenbezogene Daten herein, die verarbeitet werden. Die folgenden Vorgaben regeln den Umgang mit den Daten
- Externe Dienstleister müssen eine Garantie zur Wahrung von Geheimhaltung und Datenschutz geben.
- Vertrauenspersonen von internen Meldestellen dürfen keinen Interessenkonflikt haben, sondern müssen stattdessen Integrität, Vertraulichkeit und Unabhängigkeit mitbringen (in puncto Interessenkonflikt und Unabhängigkeit empfehlen wir von FK-Datenschutz die Verlagerung der Vertrauensperson zum externen Datenschutzbeauftragten).
- Die Vorgaben der DSGVO, Art. 25 zur Technikgestaltung und zu datenschutzfreundlichen Voreinstellungen müssen eingehalten werden.
- Online-Meldekanäle und E-Mail-Meldungen müssen mit Ende-zu-Ende-Verschlüsselung angeboten werden.
- Der Whistleblower muss vor missbräuchlicher Ausnutzung von DSGVO-Betroffenenrechten, wie vor der Offenlegung seines Namens und seiner Daten durch ein Auskunftsersuchen, geschützt werden.
Wir von FK-Datenschutz bringen hierfür die nötige Expertise mit und erstellen Ihnen auch im Hinblick auf den Datenschutz ein gesetzeskonformes, absolut sicheres und effizientes Hinweisgebersystem.
Übrigens gilt inzwischen eine neue Regelung bezüglich anonymer Hinweise: Sowohl externe als auch interne Meldestellen müssen diese inzwischen verpflichtend bearbeiten. Darum müssen auch entsprechende Maßnahmen getroffen werden, damit eine anonyme Nachricht überhaupt möglich ist. Zu dieser Neuregelung gilt aktuell eine Übergangsvorschrift bis zum 31. Dezember 2024, damit die Unternehmen, die die anonyme Meldung bisher nicht angeboten haben, ihre Hinweisgeberschutzsysteme entsprechend aufrüsten können.
Warum kann ein externer Datenschutzexperte als Meldestelle für Hinweisgeber auftreten?
Noch sind viele Unternehmen mit dem notwendigen Meldekanal nach dem Hinweisgeberschutzgesetz nicht vertraut. Mit Einführung des „Whistleblower-Gesetzes“ im Jahr 2023 hat der EU-Gesetzgeber einen Rahmen geschaffen, in dem die Mitarbeitenden sicher und ohne Angst vor persönlichen Konsequenzen aufgedeckte Verstöße aller Art melden können.
Das Gesetz sieht ausdrücklich die Möglichkeit vor, dass Sie zur Einrichtung einer internen Meldestelle einen externen Dienstleister beauftragen.
Da bis Dezember 2023 eine Übergangsfrist für Unternehmen mit 50 bis 249 Mitarbeitenden galt, sind aktuell noch viele kleinere und mittelständische Betriebe recht „neu im Thema“.
Der externe Datenschutzexperte liefert hier die nötigen Informationen zur Einarbeitung.
Neben der Sensibilisierung für das Thema stehen wir Ihnen konkret bei der Erarbeitung und Einrichtung Ihrer Hinweisgebersysteme zur Seite.
Zeigen Sie mit uns als Ombudsmann im Unternehmen, dass Ihnen Offenheit in der Kommunikation, Compliance und ein souveräner Umgang mit der Meldung von Fehlverhalten am Herzen liegen.
Ombudsstelle in Hamburg und Umgebung gesucht – und gefunden!
Eine Ombudsstelle im Sinne des Hinweisgeberschutzsystems ist der vertrauliche Ansprechpartner für Whistleblower-Meldungen, die unter das HinSchG fallen. Wir bieten mit unseren Leistungen einen solchen Meldekanal für Ihr Unternehmen. Als externe Datenschutzbeauftragte sind wir neutral und unterliegen keinem Interessenkonflikt – so, wie es das Gesetz vorschreibt. Damit erfüllen Sie ganz unkompliziert die gesetzlichen Auflagen zum Hinweisgeberschutzsystem.
Für Unternehmen in Hamburg und Umgebung bieten wir von FK-Datenschutz die Ombudsstelle in einem internen Meldekanal an und stellen die gesetzlich vorgeschriebenen Auflagen sicher.
Unsere Leistungen als Ombudsstelle
Wir bieten als internen Meldekanal prinzipiell alle Meldewege an: Meldungen über Verdachtsmomente und Regelverstöße können telefonisch, per Brief, persönlich oder als E-Mail abgegeben werden. Priorisiert wird dabei die Meldung via Whistleblower-Software im Web.
Wir verwenden für das Verfahren eine professionelle Whistleblower-Software. Dies ist für die Meldungen aus mehreren Gründen die beste Wahl, denn sie ermöglicht eine einfache Dokumentation und sichere Verarbeitung aller Daten. Hierüber werden dann auch alle Fristen und Prozess-Teilschritte protokolliert. Eingehende Hinweise können absolut anonym gegeben werden.
Das System kann für Mitarbeiter, Kunden und Lieferanten getrennt betrieben werden.
Wir übernehmen als Ombudsstelle folgende Aufgaben
- Stichhaltigkeitsprüfung
- Fristeneinhaltung
- Kommunikation mit der Meldeperson
- Nachfassen von Meldungen
- Einleiten von weiteren, gesetzlich vorgeschriebenen Maßnahmen
- Vergütung der Ombudsperson nach Aufwand
Was kostet die interne Meldestelle bzw. mein Hinweisgeberschutzsystem?
Die Kosten setzen sich aus mehreren Faktoren zusammen. Sie können ein Gesamtpaket buchen, das monatlich abgerechnet wird. Enthalten sind die Whistleblower-Software und die Anlage von eingehenden Meldungen. Hinzu kommen Kosten für den anfallenden Aufwand, der im 15min.-Takt auf Stunden-Basis abgerechnet wird.
Das Gesamtpaket bieten wir für 99,-€ monatlich an.
Anfallender Aufwand wird mit 120,-€/Std (netto) berechnet.
Jetzt mehr zum Thema Hinweisgeberschutzsystem erfahren
Der Gesamtkomplex Whistleblowing ist nicht zu unterschätzen. Der Schutz von Hinweisgebenden ist verpflichtend – und zieht empfindliche Folgen nach sich, wenn hier nicht ausreichend geschützt wird. Die Richtlinie sieht auch den Aufbau von sicheren Meldesystemen vor.
Regelverstöße und Verdachtsmomente sind idealerweise selten im Unternehmen, aber wenn, dann ist ein professionelles Hinweisgebersystem plötzlich dringend gefragt. Die interne Meldestelle bieten wir als Full-Service-Lösung an. Nicht jedes Unternehmen hat sich bereits umfassend mit diesem noch recht neuen Hinweisgeberschutzgesetz befasst.
Das ist aber unbedingt nötig: Schon wenn Sie die erforderlichen Meldekanäle nicht zur Verfügung stellen, müssen Sie mit Sanktionen rechnen. Auch die verschiedenen Prozesse zum Umgang mit Meldungen müssen vorab definiert werden.
Befassen Sie sich also zeitig damit, eine entsprechende Meldestelle einzurichten. Die nötigen Informationen dazu bekommen Sie direkt bei uns. Egal, ob Sie sich erstmals mit dem Thema befassen oder weiterführende Beratung zur Einführung eines Schutzsystems brauchen: Melden Sie sich gerne.