Whistleblowing: Die wichtigsten 8 Fragen zum Hinweisgeberschutzgesetz beantwortet!

Nach langem Warten ist das Hinweisgeberschutzgesetz nunmehr in Kraft getreten und auch Unternehmen ab 50 Mitarbeiter*innen sind ab Dezember 2023 betroffen! Während einige Unternehmen schon passende Meldekanäle eingerichtet haben, befinden sich andere noch in der Entscheidungs- oder Implementierungsphase.

Um diese Unternehmen zu unterstützen, beantworten wir Ihnen in unserem heutigen Newsletter die wichtigsten Fragen zu Whistleblowing und dem Hinweisgeberschutzgesetz:

1. Was versteht man unter Whistleblowing?
2. Was ist das Hinweisgeberschutzgesetz?
3. An wen richtet sich das Hinweisgeberschutzgesetz?
4. Wer ist zur Einrichtung einer internen Meldestelle verpflichtet?
5. Welche Meldeverfahren gibt es?
6. Warum wird ein webbasiertes Hinweisgebersystem empfohlen?
7. Welche Strafen drohen bei Nichtumsetzung des Hinweisgeberschutzgesetzes?
8. Welche datenschutzrechtlichen Vorgaben sollten beachtet werden?

1. Was versteht man unter Whistleblowing?

“Whistleblowing“ bezeichnet hinweisgebende Personen, die für die Öffentlichkeit wichtige Informationen aus Unternehmen, einer Organisation oder einer Regierungsstelle veröffentlichen oder Missstände aufdecken.

2. Was ist das Hinweisgeberschutzgesetz?

Das Hinweisgeberschutzgesetz regelt den Schutz natürlicher Personen, die im Rahmen ihrer beruflichen Tätigkeit Informationen über Verstöße erlangt haben und diese an eine hierfür eingerichtete Meldestelle weitergeben.

3. An wen richtet sich das Hinweisgeberschutzgesetz?

Das Gesetz hat einen umfangreichen persönlichen Geltungsbereich und schließt alle ein, die in ihrer beruflichen Rolle Kenntnis von Vergehen erlangt haben. Dazu zählen nicht nur aktuelle und ehemalige Mitarbeiter*innen, sondern auch Bewerber*innen, Praktikanten, Zeitarbeiter*innen, Selbständige, die berufliche Dienste anbieten, sowie Freiberufler, Auftragnehmer und sogar Lieferanten und deren Angestellte.

4. Wer ist zur Einrichtung einer internen Meldestelle verpflichtet?

Zur Einrichtung einer internen Meldestelle sind verpflichtet:

• Unternehmen & Organisationen mit 50 bis 249 Beschäftigten (ab 17.12.2023).
• Unternehmen & Organisationen ab 250 Beschäftigten (seit 02.07.2023).
• Unternehmen & Organisationen der Finanzbranche (bspw. Wertpapierdienstleister oder Kapitalverwalter) – unabhängig von der Beschäftigtenanzahl (seit 02.07.2023).

Beim Schwellenwert gilt das Kopfprinzip. Daher zählen Teilzeitkräfte und Zeitarbeitskräfte vollwertig mit.

5. Welche Meldeverfahren gibt es?

Um einen Missstand zu melden, stehen zwei gleichrangige Verfahren zur Auswahl: Ein internes oder ein externes Meldesystem. Unternehmen und Organisationen sind verpflichtet, ein internes Meldesystem einzurichten, falls dies noch nicht vorhanden ist. Hierbei kommen in der Regel webbasierte Hinweisgebersysteme zum Einsatz. Zusätzlich gibt es beim Bundesamt für Justiz eine externe Anlaufstelle für Meldungen. Solange die internen Meldewege nicht vollends vertrauenswürdig sind, ist die freie Wahlmöglichkeit für den Hinweisgeber von enormer Bedeutung (s. §§ 7, 19 Abs. 1 HinSchG).

6. Warum wird ein webbasiertes Hinweisgebersystem empfohlen?

• Keine aufwändige Systemintegration in Ihre eigene IT-Umgebung.
• Die gesetzlichen Anforderungen lassen sich schnell, einfach, sicher und kostengünstig umsetzen.
• Die Schulung von Mitarbeiter*innen oder das Abstellen eines Compliance-Beauftragten ist nicht notwendig.
• Intuitiver und einfacher Meldeprozess.
• Möglichkeit von Graphischen Auswertungen von Meldestatistiken (Systemabhängig).
• Geringere Hürde zur Meldung durch eine/n Mitarbeiter*in und ein Gefühl der Sicherheit, wodurch das Unternehmen und die Mitarbeiter*innen profitieren

7. Welche Strafen drohen bei Nichtumsetzung des Hinweisgeberschutzgesetzes?

Wenn betroffene Unternehmen und Organisationen ihre gesetzliche Verpflichtung zur Etablierung einer internen Meldestelle nicht erfüllen, besteht ab dem 01. Dezember 2023 das Risiko eines Bußgeldes in Höhe von bis zu 20.000 Euro.

Wir empfehlen daher dringend, sich zeitnah auf die Umsetzung dieser Vorgaben vorzubereiten. Es ist zu beachten, dass eine beträchtliche Anzahl von Unternehmen und Institutionen von dieser Regelung betroffen ist und ab Dezember 2023 sein wird. Mit der Verabschiedung steigt auch die Nachfrage nach webbasierten Hinweisgebersystemen auf einem begrenzten Anbietermarkt. 

Berücksichtigen Sie bei der Planung Ihres Vorgehens auch die Tatsache, dass ein derartiges Verfahren in der Regel der Mitbestimmung unterliegt. Damit sind die entsprechenden Mitbestimmungsgremien in den Planungsprozess mit einzubeziehen.

Unternehmen ab 50 Mitarbeiter*innen, welche die neue Gesetzgebung gegen Ende des Jahres umsetzen müssen, sind daher angehalten früh genug mit Ihren Planungen zu beginnen.

8. Welche datenschutzrechtlichen Vorgaben sollten beachtet werden?

Zu den wichtigsten Aspekten zum Whistleblowing aus Sicht des Datenschutzes zählen :

• Die Identitäten aller von einer Meldung betroffenen Personen sind vertraulich zu behandeln (Vertraulichkeitsgebot).
• Informationspflichten über die Datenverarbeitungen bestehen grundsätzlich gegenüber allen Personen, deren personenbezogene Daten verarbeitet werden. Insoweit besteht hier ein Spannungsfeld zwischen Betroffenenrechte und Vertraulichkeitsgebot: Werden im Rahmen einer Meldung personenbezogene Daten ohne Kenntnis der betroffenen Personen erhoben, besteht grundsätzlich die Pflicht, die betroffene Person umfassend über die Datenverarbeitung zu informieren, insbesondere über die Quelle, aus der die Informationen stammen. Dies würde den Inhalt einer Meldung als auch die Identität des Whistleblowers offenlegen. Über § 29 Abs. 1 S. 1 Bundesdatenschutzgesetz (BDSG) oder Art. 14 Abs. 5 lit. b) Datenschutzgrundverordnung (DSGVO) muss im Einzelfall versucht werden, die bestehenden Pflichten und Interessen in Einklang zu bringen. Erst hierdurch kann der weitreichende Schutz der hinweisgebenden Person geschützt werden, ohne zugleich die Interessen der betroffenen Person zu vernachlässigen. Insbesondere ist zu beachten, dass bei solchen Vorgängen mögliche Verstöße gegen das Hinweisgeberschutzgesetz als auch die DSGVO jeweils isoliert bußgeldbewehrt sein können. Dieses Risiko gilt es daher zu vermeiden.
• Auch im Auskunftsverfahren kann die Auskunft über die Herkunft der Daten (Art. 15 Abs. 1 lit. g) DSGVO) widerstreitende Interessen begründen und die Regelung des § 29 Abs. 1 S. 2 BDSG erforderlich machen.
• Die Durchführung einer Datenschutz-Folgenabschätzung kann erforderlich sein.
• Werden externe Dritte bspw. im Zusammenhang mit einer Software für ein Hinweisgebersystem beauftragt, sind die Vorgaben zur Auftragsverarbeitung zu beachten.

Sie möchten schnellstmöglich & unkompliziert eine interne Meldestelle einrichten?

Wir von der Kanzlei Krüger ermöglichen Ihnen, ein volldigitales, anonymes und datenschutzsicheres Hinweisgebersystem innerhalb kürzester Zeit zur Verfügung zu stellen. Wir bieten Ihnen hierbei nicht nur die passende Hinweisgeberlösung für Ihr Unternehmen, sondern übernehmen in Ihrem Auftrag mit unseren Experten alle anfallenden Meldungen und bearbeiten diese für Sie.

Sie möchten mehr erfahren? Kontaktieren Sie uns ganz einfach über unser Kontaktformular.