Umsetzung des Hinweisgeberschutzgesetzes

 

Um was geht es?
Unser Angebot
Deine To Do´s
Kunden-FAQ
Downloads

 

Dein Unternehmen möchte ein Whistleblower-System etablieren oder ist nach dem neuen Hinweisgeberschutzgesetz sogar dazu verpflichtet? Doch wie ist das eigentlich möglich? Was gibt es dabei zu beachten? Was sind die Ziele von Hinweisgebersystemen? Und wie gestaltet man den Ablauf einer Meldung möglichst rechtskonform? Wenn sich deinem Unternehmen diese Fragen stellen, bist du bei uns genau richtig!

Um was geht es?

Am 02.Juli 2023 ist das deutsche Hinweisgeberschutzgesetz (HinSchG) in Kraft getreten und hat die EU-Whistleblower-Richtlinie in deutsches Recht umgesetzt. Nach mehreren Anläufen haben sich Bundestag und Bundesrat nach Anrufung eines Vermittlungsausschusses auf einen Entwurf zum HinSchG einigen können.

Die Richtlinie betrifft Unternehmen mit in der Regel mindestens 50 Mitarbeiter*innen und verpflichtet diese zur Einrichtung interner Meldestellen für Hinweisgebende. Behörden und Kommunen sind ebenfalls verpflichtet, entsprechende Meldekanäle einzurichten. In Deutschland sind nach dem neuen Hinweisgeberschutzgesetz Unternehmen mit in der Regel zwischen 50 und 249 Beschäftigten erst ab dem 17.12.2023 verpflichtet, eine solche interne Meldestelle einzurichten. Unternehmen mit in der Regel mindestens 250 Beschäftigten müssen bereits ab Inkrafttreten des Gesetzes interne Meldekanäle betreiben. Außerdem kann das Landesrecht Ausnahmen für Gemeinden mit weniger als 10.000 Einwohner*innen vorsehen.

Jetzt Infomappe anfordern!

Das bieten wir dir!

 

Unser Angebot

Die sichere und rechtskonforme Einrichtung sowie der Betrieb einer internen Meldestelle erfordern zunächst einige vorbereitende Schritte: sowohl aus der rechtlichen Perspektive – insbesondere bezüglich der notwendigen arbeits- und datenschutzrechtlichen Rahmenbedingungen – als auch in technischer Hinsicht. Wir unterstützen dich dabei, die Vorgaben der Aufsichtsbehörden und Gerichte umzusetzen – und zwar sowohl auf der rechtlichen Ebene als auch in der technisch-operativen Umsetzung!

 

Service Packages

Datenschutz-Paket I
  • Erstellung der notwendigen datenschutzrechtlichen Pflichtinformationen für die Nutzung der internen Meldestelle
  • Besprechungstermin (digital) zur Erläuterung der Herangehensweise und Beantwortung etwaiger Fragen (ca. 30min)
Datenschutz-Paket II
  • Durchführung und Erstellung der Datenschutzfolgenabschätzung für die Einrichtung und den Betrieb der internen Meldestelle
  • Aufarbeitung der dazu notwendigen Daten und Prozesse
  • Erarbeitung von Maßnahmen zum Schutz der Persönlichkeitsrechte der betroffenen Personen
  • Risikoanalyse und Risikokartierung
  • Besprechungstermin (digital) zur Datenschutzfolgenabschätzung (ca. 2h)
Mitbestimmungspaket
  • Entwurf einer Betriebsvereinbarung über die Einführung und den Betrieb einer internen Meldestelle
  • Herausarbeitung der unternehmensbezogenen Ziele der Vereinbarung mit dem Betriebsrat
  • Abstimmung und Ausgestaltung der Meldewege
  • Hinweise und Vorgaben an die interne Meldestelle
  • Sicherstellung der Vertraulichkeit
  • Besprechungstermin (digital) zur Erläuterung der Herangehensweise und Beantwortung etwaiger Fragen (ca. 60min)
Optional | Betroffenenanfragenpaket
  • Konzeption einer ausführlichen betrieblichen Anweisung zum Umgang mit Betroffenenanfragen inkl. Erläuterungen zu rechtlichen Rahmenbedingungen und häufig vorkommenden Datenschutzanfragen (z. B. Aufforderung zur Löschung, Widerspruch gegen Direktwerbung)
  • Kurzeinführung in die notwendigen Muster-Prozesse anhand von formularmäßigen Antwortschreiben
  • Besprechungstermin (digital) zur Erläuterung der Herangehensweise und Beantwortung etwaiger Fragen (ca. 30min)

 

Das folgende Package ist eine Leistung von morgenstern-privacy.com

Hinweisgeber-Compliance-Paket
  • Betrieb der internen Meldestelle (telefonisch, per E-Mail oder persönlich)
  • Hochkompetente Prüfung eingehender Hinweise
  • 100% kostenfrei für Hinweisgebende
  • Dokumentation eingehender Meldungen inklusive
  • Vertraulich und kompetent, auch anonyme Meldungen sind möglich

Downloads

Deine To Do´s

Zunächst gilt es, für jede Organisation individuell zu prüfen, ob und ab wann sie verpflichtet ist, eine interne Meldestelle einzurichten. Nach dem neuen Hinweisgeberschutzgesetz sind Unternehmen mit in der Regel zwischen 50 und 249 Beschäftigten verpflichtet, ab dem 17.12.2023 eine interne Meldestelle für Hinweisgebende einzurichten. Unternehmen mit in der Regel mindestens 250 Beschäftigten müssen bereits ab Inkrafttreten des Gesetzes am 02.07.2023 interne Meldekanäle betreiben.
 
Wenn dein Unternehmen verpflichtet ist, eine interne Meldestelle einzurichten, solltest du prüfen, welche Form der Umsetzung am besten zu dir passt. Wir haben dir hier mal die wichtigsten Schritte aufgelistet.

Schritt 1 | Kapazitäten prüfen

Hat dein Unternehmen die personellen Ressourcen, die Meldestelle selbst einzurichten oder soll ein*e Dritte*r mit dieser Aufgabe beauftragt werden?

Schritt 2 | ggf. externe Unternehmen beauftragen

Soll ein externes Unternehmen beauftragt werden, solltest du Angebote einholen und dich beraten lassen. Auch unser Partnerunternehmen morgenstern-privacy.com bietet solche Dienstleistungen an – Frag gerne mal nach.

Schritt 3 | Eigene oder gemeinsame Meldestelle?

Prüfe, ob du gemeinsam mit einem anderen Unternehmen oder einer Tochtergesellschaft eine interne Meldestelle einrichten kannst, oder ob du eine eigene Meldestelle betreiben musst.

Schritt 4 | Arbeitsrechtliche Rahmenbedingungen schaffen

Prüfe, ob für die Einrichtung der internen Meldestelle eine Beteiligung des Betriebs- oder Personalrats erforderlich ist.

Schritt 5 | Datenschutzrechtliche Rahmenbedingungen schaffen

Vor Einrichtung einer Whistleblower-Hotline ist zwingend eine Datenschutzfolgenabschätzung durchzuführen. Beachte dabei die von den Aufsichtsbehörden dafür festgelegten Rahmenbedingungen.
Beziehe frühzeitig betriebliche Datenschutzbeauftragte mit ein.

Schritt 6 | Verantwortliche im Unternehmen bestimmen und schulen

Prüfe, wer in deinem Unternehmen dazu geeignet ist, Meldungen entgegenzunehmen und Folgemaßnahmen zu ergreifen. Wer dafür in Frage kommt, hängt von der Struktur deines Unternehmens ab. Es muss gewährleistet sein, dass die zuständige Person unabhängig und frei von Interessenkonflikten agieren kann. Stelle sicher, dass die zuständige Person entsprechend geschult ist.

Kunden-FAQ

 

Welche Unternehmen sind verpflichtet, eine interne Meldestelle nach den Vorgaben des HinSchG einzurichten?

Unternehmen mit in der Regel mindestens 250 Beschäftigten müssen bereits ab Inkrafttreten des Gesetzes am 02.07.2023 eine interne Meldestelle für Hinweisgebende betreiben. Für Unternehmen mit 50 bis 249 Beschäftigten gilt diese Pflicht ab dem 17.12.2023.

Unternehmen mit einer Mitarbeiteranzahl zwischen 50 und 249 Mitarbeitenden können eine gemeinsame Meldestelle betreiben.

Welche Gemeinden und Gemeindeverbände verpflichtet sind, einen internen Meldekanal einzurichten, richtet sich nach dem jeweiligen Landesrecht. Dieses kann vorsehen, dass Gemeinden und Gemeindeverbände mit weniger als 10.000 Einwohnern von der Pflicht zur Einrichtung interner Meldestellen ausgenommen sind.

Welche verschiedenen Möglichkeiten gibt es für Unternehmen des privaten Sektors mit Blick auf die Einrichtung einer internen Meldestelle?

Grundsätzlich sind interne und externe Lösungen möglich. Intern kann etwa der oder die Leiter*in der Compliance- oder Personalabteilung oder der bzw. die Datenschutzbeauftragte mit der Entgegennahme und Bearbeitung von Meldungen betraut werden. Als externe Lösungen kommen Anbieter*innen von Meldeplattformen oder externe Berater*innen in Betracht.

Reicht es aus, wenn ich eine interne telefonische Hotline oder E-Mail-Adresse einrichte?

Leider nein. Das Hauptproblem bei internen Lösungen ist, dass oft nur schwer sichergestellt werden kann, dass wirklich nur die zur Entgegennahme von Meldungen befugte Person Zugang zu diesen sensiblen Informationen hat. Das bedeutet im Umkehrschluss, dass auch die interne IT keinen Zugriff haben darf. Bei der Einrichtung einer internen Hotline oder Mail-Adresse kann das nicht gewährleistet werden. Empfohlen wird daher die Einrichtung eines IT-gestützten Hinweisgebersystems, mit dem eine vollumfängliche Erfüllung der Anforderungen der EU-Whistleblower-Richtlinie möglich ist.

Führt die Einführung eines IT-Systems für die Umsetzung des HinSchG nicht zu einem erheblichen Mehraufwand?

Im Gegenteil: Durch die Einrichtung eines IT-gestützten Hinweisgebersystems über einen qualifizierten Anbieter kann die Erfüllung der Anforderungen der Richtlinie bzw. des HinSchG sichergestellt werden und gleichzeitig der personelle und finanzielle Aufwand des Unternehmens verringert werden. In diesem Fall ist auch keine Schulung der Mitarbeiter*innen notwendig.

Muss ich sicherstellen, dass die interne Meldestelle so ausgestaltet ist, dass auch anonyme Meldungen abgegeben werden können?

Nein, nach dem neuen Hinweisgeberschutzgesetz sollen Unternehmen nun nicht mehr verpflichtet sein, die Meldekanäle so zu gestalten, dass sie auch die Bearbeitung anonymer Meldungen ermöglichen. Gleiches gilt für externe Meldestellen wie Behörden. Es besteht lediglich noch die Pflicht, auch anonym eingehende Meldungen zu bearbeiten.

Aber Achtung! Auch wenn eine Ausgestaltung der Meldestelle zur Entgegennahme anonymer Meldungen im zukünftigen HinSchG nicht verpflichtend sein sollte: einige ISO-Normen (ISO 37301, ISO 37001) verlangen, dass die Entgegennahme anonymer Hinweise möglich ist. Sollte eine Zertifizierung nach diesen Normen beabsichtigt sein, muss eine Entgegennahme anonymer Meldungen sichergestellt werden. Das ist durch interne Lösungen nur schwer umsetzbar.

Downloads

Melde dich jetzt für unseren Newsletter rund um IT-Recht, Datenschutz und Digitalisierung an und downloade direkt dein Whitepaper "Umsetzung der Whistleblower-Richtlinien".

Ich möchte den E-Mail-Newsletter von MORGENSTERN mit aktuellen Informationen und Veranstaltungseinladungen erhalten. Diese Einwilligung kann ich jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen gemäß Art. 13 DS-GVO findest du in unserer Datenschutzerklärung.