Hinweisgeberschutzgesetz verabschiedet
Wir haben in den letzten Wochen und Monaten ein neues Geschäftsmodell entwickelt. Die Frau meines Kollegen nennt es unsere „Petzer-Hotline“, aber, mit Verlaub, das trifft es nicht ganz. Die formale Bezeichnung ist „Meldestelle nach Hinweisgeberschutzgesetz“. Die Pflicht zur Einrichtung einer solchen findet sich in dem Hinweisgeberschutzgesetz (HinSchG), das vor ein paar Tagen vom Bundestag verabschiedet wurde. Das Gesetz dient der lange überfälligen Umsetzung der „EU-Whistleblower-Richtlinie“ in deutsches Recht. Die Zustimmung des Bundesrats steht derzeit noch aus, aber trotzdem ging die Verabschiedung nun viel schneller als allgemein erwartet.
Worum geht es genau?
Es hat sich die Erkenntnis durchgesetzt, dass „Petzen“ in Unternehmen und Behörden ein erwünschter Vorgang sein kann, wenn er interne Missstände in den Blick rückt, die vorher nicht bekannt waren – oder die vielleicht bekannt waren, aber unter den sprichwörtlichen Teppich gekehrt werden sollten. Diejenigen, die in Unternehmen und Behörden Fehlentwicklungen, Gesetzesverstöße, Risiken und auch Straftaten melden, sollen mit dem HinSchG besser geschützt werden, beispielsweise vor Kündigungen oder Abmahnungen, die auf die Meldung eines Vorfalls zurückzuführen sind. Besser geschützt werden sollen aber auch die, die von den hinweisgebenden Personen beschuldigt werden. Die Meldungen sollen durch die Einrichtung entsprechender interner Prozesse aufgearbeitet und einer Lösung zugeführt werden.
Was müssen Unternehmen jetzt tun?
Mit der Verkündung des Gesetzes voraussichtlich im Februar 2023 haben Arbeitgeber mit 250 oder mehr Beschäftigen drei Monate Zeit, die Vorgaben des HinSchG umzusetzen und interne oder externe Meldestellen aufzubauen. Unternehmen mit 50 bis 249 Beschäftigten haben länger Zeit für die Umsetzung: sie müssen bis zum 17. Dezember 2023 fertig sein. Öffentliche Stellen sind bereits seit dem 18. Dezember 2021 verpflichtet, interne Meldestellen vorzuhalten, weil die EU-Whistleblower-Richtlinie seit dem Ablauf der Umsetzungsfrist für die öffentliche Verwaltung unmittelbar gilt.
Risikomanagement im Unternehmen
Bei genauerem Hinsehen zeigt sich, dass das Gesetz ein weiterer Baustein der Compliance und des Risikomanagements in Unternehmen ist. Dort sind dann auch die Schnittstellen zum Datenschutz und zur Informationssicherheit zu verorten. Als Datenschutzbeauftragte und Manager von Informationssicherheit sind wir täglich und ständig mit Risikobewertung und Compliancefragen befasst. Hier wie dort geht es um die Frage der guten Unternehmensführung durch Einhaltung der gesetzlichen Vorgaben und Etablierung angemessener interner Prozesse.
Deshalb empfehlen wir auch, diese neuen Vorgaben nicht nur als eine weitere lästige Pflicht zu betrachten, die der Gesetzgeber den Unternehmen ärgerlicherweise auferlegt, sondern sie für die Fortentwicklung des Unternehmens und der Unternehmenskultur positiv zu nutzen.
Darüber hinaus stellen sich bei der Einrichtung einer solchen Meldestelle, wie sie das Gesetz jetzt verpflichtend macht, zahlreiche Datenschutzfragen. Sie reichen von der Sicherstellung der Anonymität einer hinweisgegebenden Person (sofern gewünscht) über die Umsetzung der Löschfristen bis zur Erstellung einer Datenschutz-Folgenabschätzung für das Verfahren.
Was können wir für Sie tun?
Wir unterstützen Sie bei der Einrichtung der Meldestelle und beraten Sie zu allen damit einhergehenden Fragen. Sie können uns auch als externe Beauftragte für den Betrieb Ihrer Meldestelle beauftragen. Wir sind eine Kooperation mit LegalTegrity eingegangen und setzen die schon langjährig erprobte LegalTegrity Software für die Bearbeitung der Meldungen ein. Sprechen Sie uns gerne an und vereinbaren einen Termin.
Weitere, detaillierte Informationen finden Sie auch in diesem Beitrag von LegalTegrity: