Mehr Schutz von Hinweisgebern
Geschrieben von Christiane Eichholz, veröffentlicht am 23.05.2023Das Gesetz zum Schutz von Hinweisgebern vor Konsequenzen aufgrund einer von ihnen gemachten Meldung eines Gesetzesverstoßes in ihrem beruflichen Umfeld wurde von Bundestag und Bundesrat beschlossen. Es war ein langer Weg.
Beschluss des Gesetzes zum Schutz von Hinweisgebern
Der Deutsche Bundestag hatte am 16.12.2022 das Gesetz für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der EU-Richtlinie 2019/1937 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (HinSchG), beschlossen. Der Bundesrat stimmte am 10.02.2023 dem Gesetz jedoch nicht zu. Der Entwurf wurde nach Änderungen am 09.05.2023 im Vermittlungsausschuss diskutiert und dort wurde sich auf diese Änderungen des Entwurfstextes verständigt:
- Interne wie externe Meldestellen sollen auch anonymisierte Meldungen entgegennehmen. Es besteht allerdings keine Verpflichtung, die Meldekanäle so zu gestalten, dass sie die Abgabe anonymer Meldungen ermöglichen.
- Hinweisgebende sollen in Fällen, in denen intern wirksam gegen Verstöße vorgegangen werden kann, bevorzugt die Meldung an eine interne Meldestelle geben.
- Informationen über Verstöße sollen nach dem Kompromiss zudem nur noch in den Anwendungsbereich dieses Gesetzes fallen, wenn sie sich auf den Arbeitgebenden oder eine andere Stelle, mit der die hinweisgebende Person beruflich im Kontakt stand, beziehen.
- Inkrafttreten des überwiegenden Teils des Gesetzes bereits 1 Monat nach Inkrafttreten des Gesetzes.
Der Bundestag hat diesen Einigungsvorschlag am 11.05.2023, der Bundesrat am 12.05.2023, angenommen. Nach Unterzeichnung des Gesetzes durch den Bundespräsidenten und der Verkündung im Bundesgesetzblatt wird es innerhalb eines Monats in Kraft treten. Voraussichtlich wird dies Mitte bis Ende Juni 2023 geschehen sein.
Anwendungsbereich des HinSchG
Mit diesem Gesetz werden Hinweisgeberinnen und Hinweisgeber im beruflichen Umfeld künftig umfassender als bisher geschützt.
Das HinSchG gilt für die Meldung von Verstößen
- im Unternehmen,
- in einer Behörde,
- in Anstalten,
- in Einrichtungen und Gemeinden der evangelischen oder katholischen Kirche und weiteren Religionsgemeinschaften (Arbeitgebende).
Das HinSchG gilt nur für Verstöße gegen
- Strafrechtsnormen,
- Bußgeldvorschriften, die dem Schutz von Leben, Leib, Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient und
- sonstige Rechtsvorschriften des Bundes und der Länder sowie unmittelbar geltende Rechtsakte der Europäischen Union und der Europäischen Atomgemeinschaft (hierzu gibt es einen umfangreichen Katalog zur Anwendbarkeit des HinSchG).
Unmittelbare Konsequenzen für Arbeitgebende
Das HinSchG sieht vor, dass Arbeitgebende mit mindestens 50 Mitarbeitenden eine interne Meldestelle betreiben müssen. Für diese Stelle kann auch ein externer Meldestellenbeauftragter bestellt werden. Dies muss bis zum 17.12.2023 geschehen. Bei mehr als 249 Mitarbeitenden ist eine solche interne Meldestelle spätestens drei Monate nach Inkrafttreten des HinSchG einzurichten.
Unabhängig von der Beschäftigtenzahl ist in manchen Branchen (z.B. Wertpapierdienstleistungsunternehmen oder Kapitalverwaltungsgesellschaften) eine interne Meldestelle einzurichten, die mit einem externen Meldestellenbeauftragten oder eigenen Mitarbeitenden besetzt werden kann. Für diese Branchen besteht sofort mit Inkrafttreten des HinSchG die Pflicht zur Einrichtung der internen Meldestelle.
Insbesondere die datenschutzrechtlichen Konsequenzen des HinSchG:
- Auch anonym abgegebene Meldungen sollen vertraulich in internen Meldestellen bearbeitet werden.
- Mit einem externen Meldestellenbeauftragten für eine interne Meldestelle ist vorab ein Auftragsverarbeitungsvertrag abzuschließen.
- Wurden bereits vor Inkrafttreten des HinSchG Auftragsverarbeitungsverträge mit externen Meldestellenbeauftragten abgeschlossen, ist zu prüfen, ob sich aus dem HinSchG ein Anpassungsbedarf ergibt.
- Sollte dieser externe Meldestellenbeauftragte seinen Sitz außerhalb des Europäischen Wirtschaftsraums (Drittland) haben, ist bzgl. dieser Datenübermittlung in ein Drittland das Vorhandensein eines angemessenen Datenschutzniveaus gem. Art. 44 ff. DSVO zu prüfen.
- Vor Beginn der Verarbeitung der im Rahmen des Meldeverfahrens zu erhebenden personenbezogenen Daten sind die Mitarbeitenden (potentielle Hinweisgeber, Zeugen und Beschuldigte) gem. Art. 13 DSGVO über die mögliche Verarbeitung ihrer personenbezogenen Daten im Meldeverfahren zu informieren.
- Auch die Externen (Kunden, Lieferanten, Dienstleister, potentielle Zeugen etc.) sind gem. Art. 13 DSGVO über die mögliche Verarbeitung ihrer Daten im Rahmen des Meldeverfahrens zu informieren.
- Die Verarbeitung von personenbezogenen Daten im jeweiligen Meldeverfahren ist zu dokumentieren. Dies gilt insbesondere für mündliche Meldungen. Diese dürfen nur mit Einwilligung der hinweisgebenden Person aufgezeichnet werden.
- Der hinweisgebenden Person ist Gelegenheit zu geben, das Protokoll zu ihrer Meldung zu überprüfen. Es bedarf ihrer Bestätigung.
- Die Verarbeitung von personenbezogenen Daten im Rahmen des Meldeverfahrens ist in den Verarbeitungsverzeichnissen gem. Art. 30 DSGVO zu berücksichtigen.
- Es sind Maßnahmen zur Gewährleistung des vertraulichen Umgangs mit Meldungen zum Schutz der Meldenden, der Beschuldigten und Zeugen, insbesondere regelmäßige Schulung der Verantwortlichen in internen Meldestellen, zu ergreifen. Die Identität der im jeweiligen Meldeverfahren beteiligten Personen darf beim Arbeitgebenden ausschließlich den Personen, die für die Entgegennahme von Meldungen oder für das Ergreifen von Folgemaßnahmen zuständig sind, sowie den sie bei der Erfüllung dieser Aufgaben unterstützenden Personen bekannt werden.
- Zur Wahrung der Vertraulichkeit (vorstehende Ziff.) sind in einem Berechtigungskonzept nur die notwendigerweise beim Arbeitgebenden zugriffsberechtigten Personen aufzuführen.
- Führt die Meldung zu Ermittlungen der Strafverfolgungsbehörden, zuständigen Behörden oder Gerichten, können personenbezogene Daten der am Meldeverfahren beteiligten Personen an die für die Ermittlungen zuständigen Stellen weitergegeben werden. Die meldende Person soll darüber vorher informiert werden, wenn dadurch der Ermittlungserfolg nicht gefährdet wird.
- Die Dokumentation einer Meldung ist drei Jahre lang aufzubewahren.
- Für die im Rahmen des Meldeverfahrens verarbeiteten personenbezogenen Daten sind geeignete technische und organisatorische Maßnahmen zum Schutz gem. Art. 32 DSGVO zu ergreifen.
Fazit
Arbeitgebende mit mehr als 49 Mitarbeitenden müssen jetzt schnell innerhalb der vorgegebenen Frist einen internen Meldekanal errichten und hierbei die datenschutzrechtlichen Anforderungen beachten.
Gerne unterstützen wir Sie bei der qualifizierten Umsetzung der technischen und rechtlichen Anforderungen des HinSchG – sprechen Sie uns einfach an.