Schutz von Hinweisgebern – Gesetz ist beschlossen

Das Gesetz zum Schutz von Hinweisgebern vor möglichen Sanktionen nach ihrer Meldung von Gesetzesverstößen in ihrer beruflichen Umgebung wurde sowohl vom Bundestag als auch vom Bundesrat verabschiedet.

Beschluss des Gesetzes zum Schutz von Hinweisgebern

Der Deutsche Bundestag billigte das Gesetz am 16.12.2022, während der Bundesrat dem Gesetz am 10.02.2023 nicht zustimmte. Nach Änderungen am 09.05.2023 wurde der überarbeitete Entwurf im Vermittlungsausschuss diskutiert, und es wurde eine Einigung über diese Änderungen erzielt.

1. Interne wie externe Meldestellen sollen auch anonymisierte Meldungen entgegennehmen. Es besteht allerdings keine Verpflichtung, die Meldekanäle so zu gestalten, dass sie die Abgabe anonymer Meldungen ermöglichen.
2. Hinweisgebende sollen in Fällen, in denen intern wirksam gegen Verstöße vorgegangen werden kann, bevorzugt die Meldung an eine interne Meldestelle geben.
3. Informationen über Verstöße sollen nach dem Kompromiss zudem nur noch in den Anwendungsbereich dieses Gesetzes fallen, wenn sie sich auf den Arbeitgebenden oder eine andere Stelle, mit der die hinweisgebende Person beruflich im Kontakt stand, beziehen.
4. Inkrafttreten des überwiegenden Teils des Gesetzes bereits 1 Monat nach Inkrafttreten des Gesetzes.

Der Bundestag akzeptierte diesen Kompromissvorschlag am 11.05.2023, der Bundesrat am 12.05.2023. Nach Unterzeichnung des Gesetzes durch den Bundespräsidenten und seiner Verkündung im Bundesgesetzblatt wird es innerhalb eines Monats in Kraft treten. Voraussichtlich wird dies Mitte bis Ende Juni 2023 geschehen.

Anwendungsbereich des HinSchG

Das Gesetz zum Schutz von Hinweisgebern gilt für die Meldung von Verstößen innerhalb

• eines Unternehmens,
• in Behörden,
• in Anstalten,
• in Einrichtungen und Gemeinden der evangelischen oder katholischen Kirche und weiteren Religionsgemeinschaften (Arbeitgebende).

Es gilt nur für Verstöße gegen

• Strafrechtsnormen,
• Bußgeldvorschriften, die dem Schutz von Leben, Leib, Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dienen, sowie
• sonstige Rechtsvorschriften des Bundes und der Länder sowie unmittelbar geltende Rechtsakte der Europäischen Union und der Europäischen Atomgemeinschaft.

Unmittelbare Konsequenzen für Arbeitgeber

Das Gesetz sieht vor, dass Arbeitgeber mit mindestens 50 Mitarbeitenden eine interne Meldestelle einrichten müssen. Für Arbeitgeber mit mehr als 249 Mitarbeitenden muss diese interne Meldestelle spätestens drei Monate nach Inkrafttreten des Gesetzes eingerichtet werden.

In bestimmten Branchen, wie z. B. Wertpapierdienstleistungsunternehmen oder Kapitalverwaltungsgesellschaften, besteht ab Inkrafttreten des Gesetzes sofort die Pflicht zur Einrichtung einer internen Meldestelle.

Besonders hervorzuheben sind die datenschutzrechtlichen Auswirkungen des Gesetzes.

1. Auch anonym abgegebene Meldungen sollen vertraulich in internen Meldestellen bearbeitet werden.
2. Mit einem externen Meldestellenbeauftragten für eine interne Meldestelle ist vorab ein Auftragsverarbeitungsvertrag abzuschließen.
3. Wurden bereits vor Inkrafttreten des HinSchG Auftragsverarbeitungsverträge mit externen Meldestellenbeauftragten abgeschlossen, ist zu prüfen, ob sich aus dem HinSchG ein Anpassungsbedarf ergibt.

1. Sollte dieser externe Meldestellenbeauftragte seinen Sitz außerhalb des Europäischen Wirtschaftsraums (Drittland) haben, ist bzgl. dieser Datenübermittlung in ein Drittland das Vorhandensein eines angemessenen Datenschutzniveaus gem. Art. 44 ff. DSVO zu prüfen.
2. Vor Beginn der Verarbeitung der im Rahmen des Meldeverfahrens zu erhebenden personenbezogenen Daten sind die Mitarbeitenden (potentielle Hinweisgeber, Zeugen und Beschuldigte) gem. Art. 13 DSGVO über die mögliche Verarbeitung ihrer personenbezogenen Daten im Meldeverfahren zu informieren.
3. Auch die Externen (Kunden, Lieferanten, Dienstleister, potentielle Zeugen etc.) sind gem. Art. 13 DSGVO über die mögliche Verarbeitung ihrer Daten im Rahmen des Meldeverfahrens zu informieren.
4. Die Verarbeitung von personenbezogenen Daten im jeweiligen Meldeverfahren ist zu dokumentieren. Dies gilt insbesondere für mündliche Meldungen. Diese dürfen nur mit Einwilligung der hinweisgebenden Person aufgezeichnet werden.
5. Der hinweisgebenden Person ist Gelegenheit zu geben, das Protokoll zu ihrer Meldung zu überprüfen. Es bedarf ihrer Bestätigung.
6. Die Verarbeitung von personenbezogenen Daten im Rahmen des Meldeverfahrens ist in den Verarbeitungsverzeichnissen gem. Art. 30 DSGVO zu berücksichtigen.
7. Es sind Maßnahmen zur Gewährleistung des vertraulichen Umgangs mit Meldungen zum Schutz der Meldenden, der Beschuldigten und Zeugen, insbesondere regelmäßige Schulung der Verantwortlichen in internen Meldestellen, zu ergreifen. Die Identität der im jeweiligen Meldeverfahren beteiligten Personen darf beim Arbeitgebenden ausschließlich den Personen, die für die Entgegennahme von Meldungen oder für das Ergreifen von Folgemaßnahmen zuständig sind, sowie den sie bei der Erfüllung dieser Aufgaben unterstützenden Personen bekannt werden.
8. Zur Wahrung der Vertraulichkeit (vorstehende Ziff.) sind in einem Berechtigungskonzept nur die notwendigerweise beim Arbeitgebenden zugriffsberechtigten Personen aufzuführen.
9. Führt die Meldung zu Ermittlungen der Strafverfolgungsbehörden, zuständigen Behörden oder Gerichten, können personenbezogene Daten der am Meldeverfahren beteiligten Personen an die für die Ermittlungen zuständigen Stellen weitergegeben werden. Die meldende Person soll darüber vorher informiert werden, wenn dadurch der Ermittlungserfolg nicht gefährdet wird.
10. Die Dokumentation einer Meldung ist drei Jahre lang aufzubewahren.
11. Für die im Rahmen des Meldeverfahrens verarbeiteten personenbezogenen Daten sind geeignete technische und organisatorische Maßnahmen zum Schutz gem. Art. 32 DSGVO zu ergreifen.
    Arbeitgeber sollten nun umgehend einen internen Meldekanal einrichten und dabei die datenschutzrechtlichen Vorschriften berücksichtigen.

Fazit

Um den internen Meldekanal entsprechend der datenschutzrechtlichen Anforderungen einzurichten, können Arbeitgeber mit mehr als 49 Mitarbeitenden unsere Unterstützung in Anspruch nehmen.

Wir helfen Ihnen dabei, die technischen und rechtlichen Anforderungen des HinSchG qualifiziert umzusetzen. Sprechen Sie uns einfach an, um mehr Informationen zu erhalten.