Ebertz Datenschutz | Ihr Datenschutzberater für Hinweisgeberschutz und Whistleblowing
Was bedeutet die fehlende Umsetzung für die betroffenen Unternehmen, Behörden und Whistleblower?
Einzelne Vorgaben der Richtlinie sind trotzdem unmittelbar anwendbar, auch wenn sie regierungsseitig nicht oder noch nicht ordnungsgemäß umgesetzt wurden. Unternehmen sollte auf keinen Fall bis zur offiziellen Umsetzung eines Hinweisgeberschutzgesetzes warten. Sinnvoll ist es, die gewonnene Zeit für die Einführung geeigneter Prozesse und Verfahren zum Umgang mit Hinweisen nutzen. Die Anforderungen sind komplex und erfordern Know-how und ein wenig Vorlauf.
Der öffentliche Sektor ist trotz fehlender Umstzung durch den Gesetzgeber seit Dezember 2021 betroffen: Seit dem 18. Dezember 2021 sind staatliche Stellen dazu verpflichtet, interne Hinweisgebersysteme anzubieten. Lediglich Kommunen mit weniger als 10.000 Einwohnern haben hier noch ein wenig Spielraum.
Am 17.12.21 ist Stichtag für die sogenannte EU-Whistleblowing Richtlinie. Das bedeutet: Ab diesem Tag sollen die sogenannten Hinweisgeber im Unternehmen zusätzlichen Schutz erhalten. Das Hinweisgeberschutzgesetz (HinSchG) ist die deutsche Umsetzung der EU-“Whistleblowing”- Richtlinie. Es ist davon auszugehen, dass der deutsche Gesetzgeber für das kommende Hinweisgeberschutzgesetz (HinSchg) die wesentlichen Anforderungen der Richtlinie des Europäischen Parlaments übernehmen wird. Sollte der deutsche Gesetzentwurf nicht bis zur Deadline verabschiedet werden, dann gilt die EU-Richtlinie ohne nationale Anpassung 1:1. Es kommen also einige Herausforderungen auf uns alle zu!
Hintergrund der EU-Whistleblowing-Richtlinie
Hinweisgeber sind für den Erhalt einer offenen und transparenten Gesellschaft besonders wichtig, da sie mit ihren Meldungen Missstände aufdecken. Häufig wird unter „Whistleblowing“ noch unerwünschtes Denunziantentum verstanden. Dabei ist ein Hinweisgebersystem einer der grundlegenden Bausteine eines funktionierenden Compliance Management Systems. Mit dem frühzeitigen Aufdecken von Verstößen sollen Hinweisgeber ihren Arbeitgebern helfen, Strafzahlungen sowie Sanktionen zu verringern oder gar ganz zu vermeiden. Hinweisgeber machen es den Unternehmen überhaupt erst möglich, Risiken zu identifizieren und Probleme frühzeitig auszuräumen – so viel erstmal zum Grundgedanken des neuen Gesetzes.
Ziel der neuen Richtlinie ist es,
Einrichtung eines Hinweisgebersystems wird Pflicht
Der deutsche Umsetzungsentwurf schreibt vor, dass sämtliche Unternehmen
künftig verpflichtet sind, ein internes Meldesystem für Arbeitnehmerinnen und Arbeitnehmer zu errichten und bereitzustellen.
Die Frist läuft für Unternehmen ab 250 Mitarbeitern schon zum 31.12.2021 aus, Unternehmen zwischen 50 und 250 Mitarbeitern haben eine Übergangsfrist. Warum man aber trotzdem schon tätig werden sollte und warum auch Arbeitgeber unter 50 Beschäftigten die ein Meldesystem einführen sollte beschreibe ich im weiteren Kontext.
Was kann alles gemeldet werden?
Gemeldet werden können alle Missstände und Verstöße aus den Bereichen
Wer kann alles Hinweisgeber sein?
Der Anwendungsbereich der EU-Whistleblower-Richtlinie wurde bewusst sehr weit gefasst. Hinweisgeber können z. B. sein:
Was bedeutet das Hinweisgeberschutzgesetz für Unternehmen?
Unabhängig vom deutschen Gesetzentwurf sollten Unternehmen bereits jetzt auf das kommende Hinweisgeberschutzgesetz reagieren und sich aktiv darauf vorbereiten, schnellstmöglich Meldesysteme einzuführen und anzubieten, da die EU-Richtlinie auf jeden Fall Rechtskraft erhält. Findet ein Hinweisgeber intern kein geeignetes Meldesystem vor, darf und wird er sich aus Mangel an Alternativen direkt an die zuständigen Behörden oder die Öffentlichkeit wenden. Behörden sind dabei verpflichtet, etwaige Missstände weiter zu melden (Bsp. Strafverfolgung, Finanzbehörde…)!
Unternehmen mit über 50 Mitarbeitern müssen sichere, interne Hinweisgebersysteme einführen. Kleinere Unternehmen sollten dies ebenfalls tun, denn der Anwendungsbereich der Richtlinie gilt auch für Mitarbeiter von Unternehmen mit weniger als 50 Arbeitnehmern.
Was ist bei der Einführung eines Systems zu beachten?
Unternehmen müssen ein internes Meldesystem einrichten. Der Hinweisgeber hat grundsätzlich zwei Möglichkeiten: eine interne Meldung über das intern eingerichtete Meldesystem oder eine externe Meldung an die zuständige Behörde (die sogenannte externe Meldestelle). Wichtig zu wissen ist, dass der Hinweisgeber nicht zur Einhaltung einer bestimmten Hierarchie verpflichtet ist. Aufgrund der Möglichkeit einer Meldung auch bei einer externen Meldestelle, sollten interne Meldestellen besonders attraktiv und einfach erreichbar gestaltet werden. Schließlich wird es im Sinne jedes Unternehmers sein, Verstöße zunächst intern aufklären zu können, ohne dass eine Behörde eingeschaltet wird.
Das interne Hinweisgebersystem muss dabei gewisse Mindestvorgaben erfüllen. Hierzu gehören unter anderem:
Es gilt folgender Ablauf: Vorfall wird über sichere Meldestelle (z.B. über ein Online-Portal an den beauftragten Ombudsmann) gemeldet ð Meldestelle nimmt den Vorgang auf, bestätigt innerhalb 7 Tage den Eingang der Meldung an den Hinweisgeber ð gibt sie an vereinbarte Fachbereiche bzw. Geschäftsleitung weiter ð Analyse des Vorgangs und Rückmeldung an Hinweisgeber innerhalb einer Frist von 3 Monaten über den Status.
Vergeltungsmaßnahmen sind verboten
Ziel der Richtlinie ist der Schutz von Personen, die auf Missstände in Unternehmen und Behörden aufmerksam machen. Hierfür enthält die Richtlinie eine Vielzahl von unzulässigen Vergeltungsmaßnahmen gegenüber dem Hinweisgeber wie etwa:
Sobald die Voraussetzungen (Einhaltung des Verfahrens und wahrheitsgemäße Information) vorliegen, ist ein Hinweisgeber vor Repressalien geschützt.
Das neue Gesetz und der Datenschutz
Da durch Hinweisgeber Daten weitergegeben werden, spielt hierbei auch der Datenschutz eine wichtige Rolle:
Warum ist es wichtig, schon jetzt etwas zu tun, obwohl das Gesetz noch nicht verabschiedet ist
Die Deadline der EU endet am 17.12.21 und falls die EU-Richtlinie bis dahin nicht in deutsches Recht umgesetzt wurde, kann sich der Hinweisgeber auf die EU-Richtlinie beziehen. Der 17.12.2021 ist somit ein fester Termin!