Das Hinweisgeberschutzgesetz bezieht sich auf das Melden von Missständen mit Bezug auf EU-Recht, wie etwa Steuerbetrug, Geldwäsche oder Delikte im Zusammenhang mit öffentlichen Aufträgen, Produkt- und Verkehrssicherheit, Umweltschutz, öffentlicher Gesundheit sowie Verbraucher- und Datenschutz.
Kleine und große Unternehmen ab 50 Mitarbeitenden, Einrichtungen des öffentlichen Sektors, Behörden sowie Gemeinden ab 10.000 Einwohnerinnen und Einwohnern müssen EU-weit künftig sichere interne Meldekanäle für Hinweisgeber bereitstellen. Für Unternehmen ab 250 Mitarbeitenden gilt diese Pflicht eigentlich bereits seit Dezember 2021, für Unternehmen zwischen 50 und 249 Mitarbeitenden gilt eine Übergangsfrist von zwei Jahren.
Die Grundlagen hierfür liegen in der am 16. Dezember 2019 in Kraft getreten EU-Direktive 2019/1937 des EU-Parlaments zum Schutz von Whistleblowern. Diese Direktive musste aber noch in nationales Recht überführt werden.
Am 12. Mai 2023 wurde nun das deutsche Hinweisgeberschutzgesetz (HinSchG) vom Bundesrat verabschiedet. Das neue Gesetz tritt Mitte Juni 2023 in Kraft.
Das Gesetz musste mehrere Anläufe nehmen. Ein bereits im Dezember 2022 vom Bundestag verabschiedeter Entwurf erhielt Februar 2023 im Bundesrat keine mehrheitliche Zustimmung. Daraufhin musste der Vermittlungsausschuss zusammenkommen. Dieser konnte sich Anfang Mai einigen, kurz darauf passierte das Gesetz Bundestag und Bundesrat. Nach der Verkündung im Bundesgesetzblatt tritt das Gesetz vier Wochen später in Kraft.
Welche Punkte sollten Unternehmen nun zum Hinweisgeberschutzgesetz beachten:
Meldewege:
Hinweisgeber sollen die Möglichkeit erhalten, Meldungen entweder schriftlich über ein Online-System, einen Briefkasten oder per Postweg abzugeben oder mündlich per Telefonhotline oder Anrufbeantwortersystem. Auf Verlangen des Hinweisgebers soll auch ein persönliches Treffen ermöglicht werden. Bei allen Meldewegen muss die Vertraulichkeit des Whistleblowers geschützt sein.
Datenschutz:
Alle personenbezogenen Daten dürfen nur DSGVO-konform verarbeitet werden.
Alle eingegangenen Meldungen müssen sicher aufbewahrt werden, damit sie gegebenenfalls als Beweismaterial verwendbar sind.
Zuständigkeit im Unternehmen:
Innerhalb des Unternehmens soll die „am besten geeignete“ Person zum Erhalt und Nachverfolgen der Meldungen bestimmt werden. Laut EU könnten das sein:
Compliance Officer, Personalleiter, Unternehmensjurist, Chief Financial Officer (CFO)/Finanzdirektor, Mitglied des Vorstands oder der Geschäftsführung
Unternehmen können die Bearbeitung von Hinweisen auch auslagern, z. Bsp. an eine Ombudsperson.
Bearbeitungsfristen:
Innerhalb von sieben Tagen muss das Unternehmen der hinweisgebenden Person bestätigen, dass die Meldung eingegangen ist. Innerhalb von drei Monaten müssen Hinweisgebende über ergriffene Maßnahmen, den Stand der internen Ermittlung und deren Ergebnis informiert werden.
Informationspflicht:
Unternehmen müssen ihren Mitarbeitenden Informationen über den unternehmensinternen Meldeprozess und über alternative Meldewege an die zuständigen Behörden bereitstellen. Diese Informationen müssen leicht verständlich und zugänglich sein, nicht nur für Mitarbeitende, sondern auch für Zulieferer, Dienstleister und Geschäftspartner.
Sanktionen:
In der EU-Richtlinie sind auch Sanktionen vorgesehen. So müssen Unternehmen, die das Melden von Missständen behindern oder zu behindern versuchen, mit Strafen rechnen. Gleiches gilt, wenn Unternehmen die Identität des Hinweisgebers nicht vertraulich behandeln. Ebenso sollen Vergeltungsmaßnahmen gegen Whistleblower geahndet werden. Wie hoch diese Sanktionen ausfallen werden, ist Sache der nationalen Gesetzgeber.
Stand Mai 2023
Was Sie noch interessieren könnte…
UNSER MÄRZ NEWSLETTER 2023 (PDF)
Die Themen dieser Ausgabe sind:
HinweisgeberSchutzGesetz (HinSchG)
MDM – Das Universalwerkzeug für Mobilgeräte
NIS 2 Richtline steht in den Startlöchern
Informationssicherheits-Awareness neu denken
DS-GVO und Office365, eine never ending Story
