Whistleblowing: Hinweisgeberschutzgesetz und was zu tun ist

Unternehmen ab 50 Beschäftigten haben bis zum 17. Dezember 2023 eine interne Meldestelle für Hinweisgeber bereitzustellen.

Am 02. Juli 2023 ist das nach einem lanegen Gesetzgebungsverfahren das deutsche Hinweisgeberschutzgesetz in Kraft getreten, als Umsetzungsakt der Europäischen Hinweisgeberrichtlinie (EU) 2019/1937. Seitdem müssen Unternehmen ab 250 Beschäftigten und je nach Landesgesetzgebung auch öffentliche Arbeitgeber eine interne Meldestelle für Hinweisgeber bereitstellen. Kleinere Unternehmen zwischen 50 und 249 Beschäftigte haben noch eine Übergangsfrist bis zum 17. Dezember 2023.

Dieser Beitrag fast die wichtigsten Regelungen des HinSchG zusammen, zeigt auf, welche Pflichten zum Schutz von Whistleblowern von Unternehmen und öffentlichen Arbeitgebern in Deutschland berücksichtigt werden müssen und ordnet die Umsetzungsverpflichtungen auch den Anforderungen aus dem Datenschutz und der Datenschutz-Grundverordnung zu.

An wen richtet sich das Hinweisgeberschutzgesetz?

Das Hinweisgeberschutzgesetz zielt darauf ab, Personen im beruflichen Kontext zu schützen, die auf Regelverstöße aufmerksam werden. Dies umfasst jene, die im Rahmen ihrer Arbeit oder in Vorbereitung darauf relevante Informationen aufdecken und diese an die vorgesehenen Meldestellen weitergeben. Der Schutz erstreckt sich auch auf Personen, die in diesen Meldungen erwähnt werden, sei es als Zeugen oder als in anderer Weise Betroffene. Das Gesetz legt daher sowohl für Unternehmen als auch für Behörden spezifische Pflichten fest, um einen effektiven Schutz für Hinweisgeber zu gewährleisten, vgl. § 1 HinSchG.

Welche Verstöße können nach dem Hinweisgeberschutzgesetz gemeldet werden?

Nach dem Hinweisgeberschutzgesetz können eine Vielzahl von Verstößen gemeldet werden, wie in § 2 HinSchG aufgeführt. Dies beinhaltet sowohl straf- als auch bußgeldbewehrte Verstöße, insbesondere wenn sie wichtige Bereiche wie den Schutz von Gesundheit, Sicherheit oder die Rechte von Arbeitnehmern betreffen z.B. zum Umweltschutz, die Verkehrssicherheit, die Produktsicherheit, den Datenschutz oder das Kartellrecht.

Welche Pflichten legt das Hinweisgeberschutzgesetz öffentlichen und nichtöffentlichen Stellen auf?

Das Hinweisgeberschutzgesetz stellt bestimmte Anforderungen an öffentliche und private Organisationen. Der wichtigste Punkt ist die Einrichtung einer internen Meldestelle, nach § 12 Absatz 1 HinSchG. Dies gilt für alle Arbeitgeber mit mindestens 50 Mitarbeitern. Für öffentliche Einrichtungen, wie Gemeinden und deren Unternehmen, gelten spezielle Regelungen nach Landesrecht. Private Arbeitgeber mit 50 bis 249 Mitarbeitern müssen ihre Meldestellen bis zum 17. Dezember 2023 einrichten, gemäß § 42 Absatz 1 des HinSchG. Unabhängig von der Mitarbeiterzahl sind jegliche Repressalien gegen Hinweisgeber verboten. Zudem dürfen externe Meldestellen bei Bedarf Informationen von den Arbeitgebern einholen, um die Meldungen zu überprüfen.

Nach welcher Rechtsgrundlage darf eine interne Meldestelle die personenbezogenen Daten der Meldenden und der in den Meldungen genannten Personen verarbeiten?

Interne Meldestellen, die im Rahmen des Hinweisgeberschutzgesetzes eingerichtet werden, dürfen personenbezogene Daten verarbeiten, um ihren rechtlichen Pflichten nachzukommen. Dies basiert auf Art. 6 Abs. 1 c der Datenschutz-Grundverordnung (DS-GVO) in Verbindung mit insbesondere §§ 10 und 12 HinSchG.

Welche Voraussetzungen muss eine interne Meldestelle nach § 12 HinSchG erfüllen?

Eine interne Meldestelle kann eine bei dem jeweiligen Arbeitgeber oder bei der jeweiligen Organisationseinheit beschäftigte Person, eine aus mehreren beschäftigten Personen bestehende Arbeitseinheit oder ein mit den Aufgaben einer internen Meldestelle betrauter externer Dritter sein (§ 14 Abs. 1 Satz 1 HinSchG). Mehrere private Arbeitgeber mit in der Regel 50 bis 249 Beschäftigten können für die Entgegennahme von Meldungen und für die weiteren nach diesem Gesetz vorgesehenen Maßnahmen eine gemeinsame Stelle einrichten und betreiben. Die mit den Aufgaben einer internen Meldestelle betrauten Personen müssen unabhängig sein. Wenn sie neben der Aufgabe der internen Meldestelle andere Aufgaben wahrnehmen, darf dies nicht zu Interessenkonflikten führen. Die Personen müssen zudem über die entsprechende Fachkunde verfügen. Sie müssen über Funktion, Kompetenzen und Unabhängigkeit der Meldestelle Bescheid wissen und den sachlichen Anwendungsbereich des Hinweisgeberschutzes und das Vertraulichkeitsgebot kennen.

Interne Meldekanäle müssen die Möglichkeit bieten, Meldungen entweder mündlich oder schriftlich einzureichen. Für mündliche Meldungen sollte eine Option über das Telefon oder eine andere Form der Sprachübermittlung zur Verfügung stehen. Wenn die Person, die einen Hinweis gibt, dies wünscht, muss innerhalb einer angemessenen Frist ein persönliches Treffen mit einer zuständigen Person der internen Meldestelle organisiert werden können. Mit Zustimmung der hinweisgebenden Person kann dieses Treffen auch über Video- und Audioübertragung abgehalten werden.

Können auch externe Dritte mit der Einrichtung und dem Betreiben der internen Meldestelle beauftragt werden?

Ja, externe Dritte können mit der Einrichtung und dem Betrieb der internen Meldestelle beauftragt werden. Dies entspricht der aktuellen Praxis, in der beispielsweise externe Ombudspersonen solche Aufgaben übernehmen. Diese Möglichkeit zur Beauftragung externer Fachkräfte, wie Anwälte, Berater, Prüfer, Gewerkschafts- oder Arbeitnehmervertreter, ermöglicht eine flexible und fachkundige Handhabung der internen Meldestellen.
Wichtig ist, dass dieselben strengen Anforderungen an den Schutz der Hinweisgeber auch bei Einschaltung externer Dritter zu gewährleisten sind. Dies schließt sowohl private als auch öffentliche Einrichtungen ein. Unabhängig davon, ob eine Meldestelle intern geführt oder extern betrieben wird, müssen die gleichen hohen Standards an Vertraulichkeit und Effektivität eingehalten werden, um den rechtlichen Anforderungen gerecht zu werden.

Müssen bzw. dürfen auch anonyme Meldungen verarbeitet werden?

Es besteht nach § 16 Abs. 1 Satz 5 HinSchG keine Verpflichtung, die Meldekanäle so zu gestalten, dass sie die Abgabe anonymer Meldungen ermöglichen. Nach § 16 Abs. 1 Satz 4 HinSchG sollte eine interne Meldestelle auch anonym eingehende Meldungen bearbeiten.

Braucht es einen Auftragsverarbeitungsvertrag oder eine Vereinbarung zur gemeinsamen Verantwortung, wenn ein externer Dritter mit dem Betrieb der internen Meldestelle beauftragt werden soll?

Wenn ein externer Dritter mit dem Betrieb einer internen Meldestelle beauftragt wird, stellt sich die Frage, ob ein Auftragsverarbeitungsvertrag oder eine Vereinbarung zur gemeinsamen Verantwortung erforderlich ist. Da das Hinweisgeberschutzgesetz die Unabhängigkeit solcher Meldestellen betont, erscheint es zunächst schwierig, diese als weisungsgebundene Auftragsverarbeiter des Unternehmens zu sehen, besonders im Hinblick auf die Wahrung der Vertraulichkeit.
Trotzdem lässt die Gesetzgebung eine solche Beauftragung als Auftragsverarbeitung zu. In Bezug auf die gemeinsame Verantwortlichkeit, die in der Datenschutz-Grundverordnung (DS-GVO) festgelegt ist, liegt diese vor, wenn sowohl der Arbeitgeber als auch der externe Betreiber der Meldestelle gemeinsam über die Verarbeitung der Daten entscheiden. Die Gesetzesgrundlage geht davon aus, dass externe Dritte, die die Meldestelle betreiben, dadurch nicht automatisch Teil des verantwortlichen Unternehmens werden. Dies bedeutet, dass die rechtliche Strukturierung solcher Vereinbarungen genau überdacht werden muss, um den Datenschutz und die Unabhängigkeit der Meldestelle zu gewährleisten.

Kann ein betrieblicher Datenschutzbeauftragter interne Meldestelle im Sinne von § 12 HinSchG sein?

Ein betrieblicher Datenschutzbeauftragter darf auch als interne Meldestelle im Sinne des § 12 Hinweisgeberschutzgesetz fungieren. Es ist möglich, dass Personen, die für die interne Meldestelle zuständig sind, auch andere Aufgaben und Pflichten übernehmen, vorausgesetzt, es entstehen keine Interessenkonflikte. Dies gilt auch für Datenschutzbeauftragte. Bei diesen kann das vorhandene Wissen im Bereich Datenschutz und Vertraulichkeit zur Beurteilung der Fachkenntnis eingebracht werden.
Die Vielfalt der möglichen Rollen, die als interne Meldestelle dienen können, zeigt die Flexibilität des Gesetzes, solange die Anforderungen an Unabhängigkeit und Vertraulichkeit eingehalten werden. Art. 38 Abs. 6 der DS-GVO bestätigt, dass ein Datenschutzbeauftragter zusätzliche Aufgaben übernehmen kann, solange keine Interessenkonflikte entstehen.

Wie ist die Vertraulichkeit der hinweisgebenden Personen und der in den Meldungen genannten Personen sicherzustellen?

Das Hinweisgeberschutzgesetz legt großen Wert auf die Vertraulichkeit der Identität von Personen, die Hinweise geben oder in den Meldungen genannt werden. Gemäß § 8 HinSchG müssen Meldestellen die Identität der hinweisgebenden Person sowie der in der Meldung genannten Personen schützen, sofern die gemeldeten Informationen in den Geltungsbereich des Gesetzes fallen oder die meldende Person vernünftigerweise annahm, dass dies der Fall ist. Die Identität darf nur den Personen bekannt sein, die für die Entgegennahme von Meldungen oder das Ergreifen von Folgemaßnahmen zuständig sind, sowie ihren Hilfskräften.
Es gibt jedoch Ausnahmen von dieser Vertraulichkeitspflicht. Wenn jemand vorsätzlich oder grob fahrlässig falsche Informationen meldet, wird dessen Identität nicht geschützt. Darüber hinaus können Informationen über die Identität einer hinweisgebenden Person oder Umstände, die Rückschlüsse auf deren Identität zulassen, unter bestimmten Bedingungen auch ohne deren Zustimmung weitergegeben werden. Ebenso kann die Identität von Personen, die Gegenstand einer Meldung sind, oder von anderen genannten Personen unter bestimmten Voraussetzungen weitergegeben werden.

Ist beim Einrichten einer internen Meldestelle eine Datenschutz-Folgenabschätzung durchzuführen?

Beim Einrichten einer internen Meldestelle ist es aufgrund der Sensibilität der dabei verarbeiteten Daten und der möglichen schwerwiegenden Auswirkungen auf die Reputation und Karriere der betroffenen Personen ratsam, eine Datenschutz-Folgenabschätzung durchzuführen. Dies wird von der Datenschutzkonferenz verlangt, wie in ihrer Orientierungshilfe zu Whistleblowing-Hotlines vom 14. November 2018 dargelegt.

Wie gewohnt, unterstützen wir Sie bei Fragen zum Datenschutz schnell und praxisorientiert.

Darüber hinaus beraten wir Sie auch zur Implementierung eines Hinweisgebersystems, dass alle gesetzlichen Anforderungen adressiert und darüber hinaus keinen unverhätlnismäßigen Raum in Ihrerer Organisaiton einnimmt. Zögern Sie nicht und nehmen Sie Kontakt zu uns auf.

Volle Kraft für das was wirklich zählt: Ihr Geschäft. Den Rest erledigen Wir!

weiterführende Fragen zum Thema?

Sprechen Sie uns an

Weitere Themen

Wenn Du Dich bewerben möchtest oder Fragen zu der angebotenen Stelle hast, freuen wir uns über eine E-Mail oder einen Anruf von Dir.

Telefon: +49 3594 77 76 70 6

E-Mail: willkommen@patronus-datenservice.de

Wir kontaktieren Sie gern!

Vom Blatt zur Datei

Durch den professionellen Scanservice von Patronus digitalisieren Sie ihre Dokumente und machen diese immer und überall verfügbar. Einmal digitalisiert, sind die wertvollen Inhalte vor einem dauerhaften Verlust durch äußere Einwirkungen geschützt – egal ob Feuer, Wasser oder Sturm. Das Scannen von Unterlagen bietet darüber hinaus auch die Vorteile Platz und damit Kosten zu sparen sowie ihre Dokumente zu strukturieren. Wir unterstützen Sie gerne dabei Ihre Organisation modern und effizient zu führen. Von der Quittung bis zum Format A0 und sogar darüber hinaus, unterstützen wir Sie mit unserer modernen Hardware.

Sicher Vernichten

Wir vernichten Ihre Dokumente und Datenträger sicher und nach aktuellen Standards der  DS-GVO und der DIN 66399. Dabei stehen wir für die einmalige Aktenvernichtungen an Ihrer Seite oder auch für eine Dauerstellung. Sollten Sie beim Beräumen Unterstützung benötigen, können Sie uns auch gerne hierzu ansprechen. Neben Buchhaltungsunterlagen, Personalakten, Mandantenakten, CD´s, USB-Sticks und vielen anderen Datenträgern, vernichten wir auch Ihre Festplatten. Diese werden durch uns im Streifenschnitt geschreddert. Hierbei richten wir uns wieder nach Schutzklassen und Sicherheitsstufen der DIN 66399 und natürlich der DS-GVO.

Kompakte Aktenverwahrung

Die externe Aktenarchivierung spart Raum- und Personalkosten und hilft Ihnen sich zu 100% auf ihr Kerngeschäft zu konzentrieren. Patronus Datenservice sorgt für Sicherheit, Lagerung und Pflege ihrer Akten. 

Durch unsere Archiv-Lösungen optimieren Sie nicht nur Ihr Dokumentenmanagement und ebnen den Weg zum „papierlosen Büro“, sondern wissen Ihre Dokumente auch umfassend gegen unberechtigten Zugriff, Diebstahl, Feuer und Wasserschäden geschützt. Dabei behalten wir für Sie mit unserem eigenen ERP stets alle Fristen und Archivierungsanforderungen im Blick.

Wie in jedem Projekt mit Patronus, erarbeiten wir die für Sie passgenaue Lösung heraus und scheuen auch nicht davor, unkonventionelle Wege zu beschreiten bzw. über unseren Tellerrand hinaus zu denken.

Sicher und Gut Beraten

Die Umsetzung der unzähligen Anforderungen aus dem Datenschutz in den verschieden Organisationen von Unternehmen über Vereine und Kommunen bis hin zu Forschungseinrichtungen und medizinischen Organisationen stellt noch immer viele vor große Herausforderungen. Hier unterstützen wir von Patronus mit unserer jahrelangen juristischen und IT-Expertise ganzheitlich von der Datenschutzberatung und der Stellung des externen Datenschutzbeauftragten bis zur Datenschutzschulung. In einer immer digitaler werdenden Welt versuchen wir den richtigen Weg und Ausgleich zwischen der Bewahrung der Freiheiten des Einzelnen und den Möglichkeiten der freien Unternehmens/Organisationsentwicklung sowie Entfaltung von Innovationen mit Ihnen auszuloten. Dabei stehen wir mit unseren Partnern immer an Ihrer Seite.