Umsetzung des Hinweisgeberschutzgesetzes

Um was geht es?
Unser Angebot
Deine To Do´s
Kunden-FAQ
Downloads

Dein Unternehmen möchte ein Whistleblower-System etablieren oder ist nach dem neuen Hinweisgeberschutzgesetz sogar dazu verpflichtet? Doch wie ist das eigentlich möglich? Was gibt es dabei zu beachten? Was sind die Ziele von Hinweisgebersystemen? Und wie gestaltet man den Ablauf einer Meldung möglichst rechtskonform? Wenn sich deinem Unternehmen diese Fragen stellen, bist du bei uns genau richtig!

Um was geht es?

Am 02.Juli 2023 ist das deutsche Hinweisgeberschutzgesetz (HinSchG) in Kraft getreten und hat die EU-Whistleblower-Richtlinie in deutsches Recht umgesetzt. Nach mehreren Anläufen haben sich Bundestag und Bundesrat nach Anrufung eines Vermittlungsausschusses auf einen Entwurf zum HinSchG einigen können.

Die Richtlinie betrifft Unternehmen mit in der Regel mindestens 50 Mitarbeiter*innen und verpflichtet diese zur Einrichtung interner Meldestellen für Hinweisgebende. Behörden und Kommunen sind ebenfalls verpﬂichtet, entsprechende Meldekanäle einzurichten. In Deutschland sind nach dem neuen Hinweisgeberschutzgesetz Unternehmen mit in der Regel zwischen 50 und 249 Beschäftigten erst ab dem 17.12.2023 verpﬂichtet, eine solche interne Meldestelle einzurichten. Unternehmen mit in der Regel mindestens 250 Beschäftigten müssen bereits ab Inkrafttreten des Gesetzes interne Meldekanäle betreiben. Außerdem kann das Landesrecht Ausnahmen für Gemeinden mit weniger als 10.000 Einwohner*innen vorsehen.

Jetzt Infomappe anfordern!

Das bieten wir dir!

Unser Angebot

Die sichere und rechtskonforme Einrichtung sowie der Betrieb einer internen Meldestelle erfordern zunächst einige vorbereitende Schritte: sowohl aus der rechtlichen Perspektive – insbesondere bezüglich der notwendigen arbeits- und datenschutzrechtlichen Rahmenbedingungen – als auch in technischer Hinsicht. Wir unterstützen dich dabei, die Vorgaben der Aufsichtsbehörden und Gerichte umzusetzen – und zwar sowohl auf der rechtlichen Ebene als auch in der technisch-operativen Umsetzung!

Service Packages

Datenschutz-Paket I

Erstellung der notwendigen datenschutzrechtlichen Pflichtinformationen für die Nutzung der internen Meldestelle
Besprechungstermin (digital) zur Erläuterung der Herangehensweise und Beantwortung etwaiger Fragen (ca. 30min)

Datenschutz-Paket II

Durchführung und Erstellung der Datenschutzfolgenabschätzung für die Einrichtung und den Betrieb der internen Meldestelle
Aufarbeitung der dazu notwendigen Daten und Prozesse
Erarbeitung von Maßnahmen zum Schutz der Persönlichkeitsrechte der betroffenen Personen
Risikoanalyse und Risikokartierung
Besprechungstermin (digital) zur Datenschutzfolgenabschätzung (ca. 2h)

Mitbestimmungspaket

Entwurf einer Betriebsvereinbarung über die Einführung und den Betrieb einer internen Meldestelle
Herausarbeitung der unternehmensbezogenen Ziele der Vereinbarung mit dem Betriebsrat
Abstimmung und Ausgestaltung der Meldewege
Hinweise und Vorgaben an die interne Meldestelle
Sicherstellung der Vertraulichkeit
Besprechungstermin (digital) zur Erläuterung der Herangehensweise und Beantwortung etwaiger Fragen (ca. 60min)

Optional | Betroffenenanfragenpaket

Konzeption einer ausführlichen betrieblichen Anweisung zum Umgang mit Betroffenenanfragen inkl. Erläuterungen zu rechtlichen Rahmenbedingungen und häufig vorkommenden Datenschutzanfragen (z. B. Aufforderung zur Löschung, Widerspruch gegen Direktwerbung)
Kurzeinführung in die notwendigen Muster-Prozesse anhand von formularmäßigen Antwortschreiben
Besprechungstermin (digital) zur Erläuterung der Herangehensweise und Beantwortung etwaiger Fragen (ca. 30min)

Das folgende Package wird in Kooperation mit der MORGENSTERN consecom GmbH umgesetzt.

Hinweisgeber-Compliance-Paket

Betrieb der internen Meldestelle (telefonisch, per E-Mail oder persönlich)
Hochkompetente Prüfung eingehender Hinweise
100% kostenfrei für Hinweisgebende
Dokumentation eingehender Meldungen inklusive
Vertraulich und kompetent, auch anonyme Meldungen sind möglich

Downloads

Deine To Do´s

Zunächst gilt es, für jede Organisation individuell zu prüfen, ob und ab wann sie verpflichtet ist, eine interne Meldestelle einzurichten. Nach dem neuen Hinweisgeberschutzgesetz sind Unternehmen mit in der Regel zwischen 50 und 249 Beschäftigten verpflichtet, ab dem 17.12.2023 eine interne Meldestelle für Hinweisgebende einzurichten. Unternehmen mit in der Regel mindestens 250 Beschäftigten müssen bereits ab Inkrafttreten des Gesetzes am 02.07.2023 interne Meldekanäle betreiben.

Wenn dein Unternehmen verpflichtet ist, eine interne Meldestelle einzurichten, solltest du prüfen, welche Form der Umsetzung am besten zu dir passt. Wir haben dir hier mal die wichtigsten Schritte aufgelistet.

Schritt 1 | Kapazitäten prüfen

Hat dein Unternehmen die personellen Ressourcen, die Meldestelle selbst einzurichten oder soll ein*e Dritte*r mit dieser Aufgabe beauftragt werden?

Schritt 2 | ggf. externe Unternehmen beauftragen

Soll ein externes Unternehmen beauftragt werden, solltest du Angebote einholen und dich beraten lassen. Auch unser Partnerunternehmen morgenstern-privacy.com bietet solche Dienstleistungen an – Frag gerne mal nach.

Schritt 3 | Eigene oder gemeinsame Meldestelle?

Prüfe, ob du gemeinsam mit einem anderen Unternehmen oder einer Tochtergesellschaft eine interne Meldestelle einrichten kannst, oder ob du eine eigene Meldestelle betreiben musst.

Schritt 4 | Arbeitsrechtliche Rahmenbedingungen schaffen

Prüfe, ob für die Einrichtung der internen Meldestelle eine Beteiligung des Betriebs- oder Personalrats erforderlich ist.

Schritt 5 | Datenschutzrechtliche Rahmenbedingungen schaffen

Vor Einrichtung einer Whistleblower-Hotline ist zwingend eine Datenschutzfolgenabschätzung durchzuführen. Beachte dabei die von den Aufsichtsbehörden dafür festgelegten Rahmenbedingungen.
Beziehe frühzeitig betriebliche Datenschutzbeauftragte mit ein.

Schritt 6 | Verantwortliche im Unternehmen bestimmen und schulen

Prüfe, wer in deinem Unternehmen dazu geeignet ist, Meldungen entgegenzunehmen und Folgemaßnahmen zu ergreifen. Wer dafür in Frage kommt, hängt von der Struktur deines Unternehmens ab. Es muss gewährleistet sein, dass die zuständige Person unabhängig und frei von Interessenkonflikten agieren kann. Stelle sicher, dass die zuständige Person entsprechend geschult ist.

Kunden-FAQ

Welche Unternehmen sind verpflichtet, eine interne Meldestelle nach den Vorgaben des HinSchG einzurichten?

Unternehmen mit in der Regel mindestens 250 Beschäftigten müssen bereits ab Inkrafttreten des Gesetzes am 02.07.2023 eine interne Meldestelle für Hinweisgebende betreiben. Für Unternehmen mit 50 bis 249 Beschäftigten gilt diese Pflicht ab dem 17.12.2023.

Unternehmen mit einer Mitarbeiteranzahl zwischen 50 und 249 Mitarbeitenden können eine gemeinsame Meldestelle betreiben.

Welche Gemeinden und Gemeindeverbände verpflichtet sind, einen internen Meldekanal einzurichten, richtet sich nach dem jeweiligen Landesrecht. Dieses kann vorsehen, dass Gemeinden und Gemeindeverbände mit weniger als 10.000 Einwohnern von der Pflicht zur Einrichtung interner Meldestellen ausgenommen sind.

Welche verschiedenen Möglichkeiten gibt es für Unternehmen des privaten Sektors mit Blick auf die Einrichtung einer internen Meldestelle?

Grundsätzlich sind interne und externe Lösungen möglich. Intern kann etwa der oder die Leiter*in der Compliance- oder Personalabteilung oder der bzw. die Datenschutzbeauftragte mit der Entgegennahme und Bearbeitung von Meldungen betraut werden. Als externe Lösungen kommen Anbieter*innen von Meldeplattformen oder externe Berater*innen in Betracht.

Reicht es aus, wenn ich eine interne telefonische Hotline oder E-Mail-Adresse einrichte?

Leider nein. Das Hauptproblem bei internen Lösungen ist, dass oft nur schwer sichergestellt werden kann, dass wirklich nur die zur Entgegennahme von Meldungen befugte Person Zugang zu diesen sensiblen Informationen hat. Das bedeutet im Umkehrschluss, dass auch die interne IT keinen Zugriff haben darf. Bei der Einrichtung einer internen Hotline oder Mail-Adresse kann das nicht gewährleistet werden. Empfohlen wird daher die Einrichtung eines IT-gestützten Hinweisgebersystems, mit dem eine vollumfängliche Erfüllung der Anforderungen der EU-Whistleblower-Richtlinie möglich ist.

Führt die Einführung eines IT-Systems für die Umsetzung des HinSchG nicht zu einem erheblichen Mehraufwand?

Im Gegenteil: Durch die Einrichtung eines IT-gestützten Hinweisgebersystems über einen qualifizierten Anbieter kann die Erfüllung der Anforderungen der Richtlinie bzw. des HinSchG sichergestellt werden und gleichzeitig der personelle und finanzielle Aufwand des Unternehmens verringert werden. In diesem Fall ist auch keine Schulung der Mitarbeiter*innen notwendig.

Muss ich sicherstellen, dass die interne Meldestelle so ausgestaltet ist, dass auch anonyme Meldungen abgegeben werden können?

Nein, nach dem neuen Hinweisgeberschutzgesetz sollen Unternehmen nun nicht mehr verpflichtet sein, die Meldekanäle so zu gestalten, dass sie auch die Bearbeitung anonymer Meldungen ermöglichen. Gleiches gilt für externe Meldestellen wie Behörden. Es besteht lediglich noch die Pflicht, auch anonym eingehende Meldungen zu bearbeiten.

Aber Achtung! Auch wenn eine Ausgestaltung der Meldestelle zur Entgegennahme anonymer Meldungen im zukünftigen HinSchG nicht verpflichtend sein sollte: einige ISO-Normen (ISO 37301, ISO 37001) verlangen, dass die Entgegennahme anonymer Hinweise möglich ist. Sollte eine Zertifizierung nach diesen Normen beabsichtigt sein, muss eine Entgegennahme anonymer Meldungen sichergestellt werden. Das ist durch interne Lösungen nur schwer umsetzbar.