Das Hinweisgeberschutzgesetz kommt
Die Abgeordneten des Deutschen Bundestages haben am Freitag, den 16. Dezember 2022, das Hinweisgeberschutzgesetz (HinSchG) beschlossen.
Das Gesetz soll einen besseren Schutz hinweisgebender Personen im beruflichen Umfeld gewährleisten und regeln.
Mit diesem Gesetz soll zunächst dafür gesorgt werden, dass Missstände intern angegangen werden, bevor sich Hinweisgeber an die Öffentlichkeit wenden und ein Imageverlust für das Unternehmen droht.
Bevor das Gesetz in Kraft tritt, muss der Bundesrat noch zustimmen (voraussichtlich im Februar 2023).
Gesetzesentwurf der Bundesregierung sowie Beschlussempfehlung und Bericht des Rechtsausschusses vom 14. Dezember 2022, sind hier abrufbar.
Wer muss ein Hinweisgeberschutzsystem einrichten?
Grundsätzlich sind Arbeitgeber mit einer Beschäftigtenanzahl ab 50 Mitarbeitern verpflichtet, mindestens eine interne Meldestelle ab 2023 zu etablieren.
Die Einführungsverpflichtung ist gestaffelt:
- Ab Inkrafttreten des Gesetzes (voraussichtlich Q2/2023) müssen Arbeitgeber ab einer Beschäftigtenanzahl von 250 Mitarbeitern mindestens eine interne Meldestelle
- Für private Arbeitgeber, die zwischen 50 und 249 Mitarbeiter beschäftigen, besteht eine Übergangsfrist bis zum 17. Dezember 2023, um ein Hinweisgeberschutzsystem zu etablieren.
- Arbeitgeber mit weniger als 50 Beschäftigten, sind nicht verpflichtet, interne Meldekanäle einzurichten.
Ausnahme: Unternehmen aus dem Finanzsektor. Diese müssen bereits ab Inkrafttreten des Gesetzes einen internen Meldekanal einrichten; unabhängig von der Anzahl ihrer Beschäftigten.
Interne und externe Meldestellen
Das Gesetz differenziert zwischen internen und externen Meldestellen.
Im Unternehmen kann die interne Meldestelle beispielsweise innerhalb der Compliance-Abteilung oder aber auch über einen beauftragten Dienstleister (z.B. auch über ITs als Vermittler eines Dienstleister/Onlineportals) eingerichtet werden.
In diesem Fall muss dann vom Verantwortlichen ein Vertrag zur Auftragsverarbeitung gem. Art. 28 DSGVO abgeschlossen werden.
Externe Meldestellen werden durch den Bund (Bundesamt für Justiz), die Länder, die BaFin und das Bundeskartellamt eingerichtet. Die hinweisgebende Person kann wählen, ob sie sich an eine interne oder externe Meldestelle wendet.
Was müssen Verantwortliche interner Meldestellen weiter beachten?
Interne Meldestellen müssen zwingend (auch) anonyme Meldungen entgegennehmen, bearbeiten und eine weitere Kommunikation in anonymer Form ermöglichen. Für die Eingangsbestätigungen gelten Fristen, die eingehalten werden müssen.
Sieben Tage für die Eingangsbestätigung. Innerhalb von drei Monaten nach Eingangsbestätigung muss eine Rückmeldung über die ergriffenen Folgemaßnahmen erfolgen.
Aus datenschutzrechtlicher Sicht ist zu beachten, dass die Einrichtung einer internen Meldestelle in das Verzeichnis von Verarbeitungstätigkeiten mitaufzunehmen ist (Art. 30 DSGVO). Außerdem ist vor der Einführung des Verfahrens eine Datenschutzfolgenabschätzung durchzuführen (Art. 35 DSGVO).
Die Datenschutzhinweise sind entsprechend zur Verfügung zu stellen (Art. 13 DSGVO).
Sofern ein Betriebsrat vorhanden ist, ist dieser in den Prozess mit einzubeziehen und eine Betriebsvereinbarung abzuschießen.
Fazit
Wir empfehlen allen Unternehmen sich frühzeitig mit dem Thema auseinander zu setzen und die Fristen zur Einrichtung von internen Meldestellen zu beachten. Unternehmen handeln bei Nichtbeachtung ordnungswidrig und riskieren ein Bußgeld in Höhe von bis zu zwanzigtausend Euro; in Einzelfällen ggf. deutlich mehr.
Wird einem intern gemeldeten Hinweis nicht abgeholfen, kann sich die hinweisgebende Person an eine externe Meldestelle wenden.
Final kann die Einrichtung eines Hinweisgebergesetz auch als Chance für Unternehmen gesehen werden, eine transparente Unternehmenskultur zu entwickeln und Verstöße sowie Missstände sofort zu untersuchen und zu beheben.