Hinweisgeber
System

FAQ HINWEISGEBERSYSTEM

Wer muss eine interne Meldestelle einrichten?

Beschäftigungsgeber (u.a. natürliche o. juristische Personen des Privatrechts, jur. Personen des öffentl. Rechts, also vorr. auch die evangelische und katholische Kirche mit ihren Kirchengemeinden etc.)

    • mit 50 bis 249 Beschäftigten ab 17. Dezember 2023
    • mit 250 oder mehr Beschäftigten ab dem 02. Juli 2023 (Achtung: Verkündung des Gesetzes erfolgte am 02. Juni 2023)
Wer ist durch das Hinweisgeberschutzgesetz geschützt?

Natürliche Personen, die Informationen über Verstöße erlangt haben, die sich auf den Beschäftigungsgeber oder eine andere Stelle beziehen, mit der sie aufgrund
ihrer beruflichen Tätigkeit im Kontakt stehen oder standen und diese an die nach diesem Gesetz vorgesehenen Meldestellen melden.

Das sind insbesondere eigene Beschäftigte, Beschäftigte von Lieferanten und Auftragnehmern, Anteilseigner und Personen, die dem Verwaltungs‐, Leitungs‐ oder Aufsichtsorgan eines Unternehmens angehören und die im Zusammenhang mit ihrer beruflichen Tätigkeit Informationen über Verstöße gegen EU-Recht erlangt haben und diese melden.

Wer muss Zugang zum Meldesystem haben?

Mindestens die eigenen Beschäftigten sowie Leiharbeitnehmende – ob Sie das System auch den o.g. Gruppen zugänglich machen wollen, bleibt Ihre Entscheidung.

Was ist der Unterschied zwischen einer internen und einer externen Meldestelle?

Interne Meldestellen sind am bzw. im Unternehmen angesiedelt. Die Biehn & Professionals wird dabei als Auftragsverarbeiter mit in die Sphäre Ihres Unternehmens gezogen und gilt somit als Teil der internen Meldestelle. Demgegenüber sind externe Meldestellen Bundes- und Landesbehörden. Hinweisgebende Personen können frei entscheiden, ob sie sich zunächst an die unternehmensinterne Meldestelle oder direkt an die externe Stelle wenden.

Sie sollen jedoch laut des jüngsten Gesetzeswortlauts vorrangig intern melden, wenn so wirksam gegen den gemeldeten Verstoß vorgegangen werden kann. Sie als Beschäftigungsgeber können und sollen hierfür Anreize schaffen.

Was sind die wesentlichen Anforderungen an die interne Meldestelle?
  • Zugang mindestens für Beschäftigte und Leiharbeitnehmende
  • Meldeweg mündlich oder in Textform (auch digital)
  • Unabhängigkeit und Fachkunde der die Meldestelle betreibenden Personen
  • Wahrung des Vertraulichkeitsgebots
  • Dokumentation eingehender Meldungen unter Beachtung des Vertraulichkeitsgebots
  • Einhaltung von Verfahrensvorgaben, insb. Eingangsbestätigung innerhalb von 7 Tagen und Rückmeldung über getroffene Maßnahmen nach 3 Monaten
  • Prüfung der Zulässigkeit des Meldegegenstands und der Stichhaltigkeit der Meldung
  • Ergreifen von Folgemaßnahmen
  • Klare und leicht zugängliche Information der Beschäftigten über externe Meldeverfahren
  • Sicherstellung der leichten Erreichbarkeit
  • Rückmeldung über geplante sowie bereits ergriffene Folgemaßnahmen innerhalb von 3 Monaten ab Eingangsbestätigung
Welche datenschutzrechtlichen Aspekte sind zu beachten?
  • Rechtsgrundlagen für die Verarbeitung der enthaltenen, personenbezogenen Daten
  • Umsetzung der Informationspflichten bzw. Identifikation von Ausnahmen
  • Umsetzung der Betroffenenrechte, wie z.B. des Auskunftsrechts sowie Identifikation von Ausnahmen
  • Erfüllen der Löschpflichten des Verantwortlichen
  • Durchführung einer Datenschutzfolgenabschätzung
  • Ergänzung des Verarbeitungsverzeichnisses
Sind Hinweisgebende bis zum Inkrafttreten des Hinweisgeberschutzgesetzes überhaupt nicht geschützt?

Doch! Bis dahin gelten die bekannten Anforderungen der DSGVO und des BDSG. Sie brauchen also immer eine Rechtsgrundlage für die Erhebung, Speicherung, Verwendung und die Weitergabe der Daten innerhalb des Unternehmens oder an Dritte, die Rückschlüsse auf die involvierten Personen zulassen. Zudem müssen geeignete, technische und organisatorische Maßnahmen getroffen werden, um zu verhindern, dass Unberechtigte Zugriff auf die Daten nehmen können.

Müssen wir eine anonyme Meldung ermöglichen?

Nein, auch wenn es zwischenzeitig danach aussah. Der finale Gesetzestext enthält keine Pflicht zur Ermöglichung anonymer Meldungen und auch keine Pflicht zu deren Bearbeitung, falls solche eingehen. Verwechseln Sie aber nicht Anonymität und Vertraulichkeit – Letztere muss natürlich auch sichergestellt werden, wenn die hinweisgebende Person ihre Identität preisgeben muss. Die Anforderungen an das Vertraulichkeitsgebot sind hoch und ein Verstoß dagegen ist nach HinSchG bußgeldbewehrt. Auch die nachfolgend genannten Anforderungen an die Meldestelle müssen weiterhin vollständig umgesetzt werden.

Können wir nicht einfach eine E-Mail-Adresse als Meldekanal einrichten?

Diese Möglichkeit besteht, aber dadurch setzen Sie Ihr Unternehmen und Ihre Beschäftigten unnötig großen Risiken aus. Bitte bedenken Sie – Meldungen möglicher Gesetzesverstöße enthalten oftmals hochsensible, personenbezogene Daten. Hierbei ist das Risiko für die Rechte und Freiheiten der Betroffenen, also die hinweisgebende, aber auch die gemeldete Person sowie etwaig genannte Zeugen, extrem hoch. Als Verantwortlicher sind Sie nach Art. 32 DSGVO stets verpflichtet, ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Fordern Sie nun also Hinweisgebende auf, sich aktiv per E-Mail an Sie zu wenden, antworten Sie diesen per E-Mail (und dazu sind Sie verpflichtet!) und nehmen Sie auch noch Dateien (Fotos etc.) entgegen, sind die Sicherheitsanforderungen extrem hoch und kaum umsetzbar. Die Orientierungshilfe der Datenschutzkonferenz führt diese näher aus. Bitte denken Sie daran: Eine Unterschreitung des erforderlichen Sicherheitsniveaus kann, spätestens bei einer dadurch verursachten Datenpanne, ein hohes Bußgeld nach der DSGVO zur Folge habe.

Damit ist es aber noch nicht getan – Sie müssen neben den datenschutzrechtlichen Anforderungen auch die weiteren Anforderungen des Hinweisgeberschutzgesetzes an die Bearbeitung von Meldungen erfüllen und dieses auch nachweisen können. Dazu gehören eine saubere Protokollierung und die vollständige Kontrolle darüber, wer auf Informationen über die Identität der hinweisgebenden und sonstigen beteiligten Personen Zugriff hat. Gehen Meldungen per E-Mail bei Ihnen ein, passiert es schnell, dass die Hinweismail im Unternehmen von A nach B weitergeleitet wird und möglicherweise eine unberechtigte Person Zugriff auf die enthaltenen Informationen erhält. Auch Personen mit Adminrechten sind in der Lage, sich (unberechtigt) Zugriff auf diese e-Mails zu verschaffen.

In diesem Fall kann eine Verletzung des Vertraulichkeitsgebots nach § 8 HinSchG vorliegen, bei der schon bei leichtfertiger Begehung mit Bußgeldern bis zu 50.000 € zu rechnen ist.

safe!hints Hinweisgebersystem für Meldestellen im Unternehmen

Mit dem digitale Hinweisgebersysteme safe!hints von B&P lassen sich Anforderungen an den Meldekanal problemlos einhalten. Ein rechtskonformer Umgang mit Hinweisen wird funktional umgesetzt.

Gespräch anfragen
Jetzt Kontakt aufnehmen