+49 99 21 / 88 22 9000 info@datenbeschuetzerin.de

Die 5 wichtigsten Fakten zur EU Whistleblowing Richtlinie (Hinweisgeberschutzgesetz)

von | Okt 5, 2021 | Datenschutz, Informationssicherheit | 2 Kommentare

Whistleblowing Richtlinie - Hinweisgeberschutzgesetz

Wir sind gerade erst dabei, das TTDSG zu verdauen – und schon geht es weiter. Am 17.12.21 war Stichtag für die sogenannten EU Whistleblowing Richtlinie. Das bedeutet: Ab diesem Tag sollten die Whistleblower (= Hinweisgeber) im Unternehmen zusätzlichen Schutz erhalten. Wie das in den einzelnen Ländern umgesetzt wurde, kann abweichen. Deutschland hat mit dem Hinweisgeberschutzgesetz erst Mitte 2023 ein Gesetz verabschiedet.

Beschäftigte haben eine elementare Funktion im Unternehmen beim Erkennen und Melden von Missständen. Leider haben diese Meldungen bisher in der Praxis zu oft dazu geführt, dass die Melder am Ende die Benachteiligten waren. Um den Hinweisgebern zukünftig einen besseren Schutz zu ermöglichen, will die EU dies nun in ihren Mitgliedsstaaten gesetzlich einfordern.

In diesem Artikel möchte ich Ihnen einen Überblick über die Anforderungen der EU Whistleblowing Richtlinie und des daraus abgeleiteten Entwurfs des Hinweisgeberschutzgesetzes geben. Was das für Sie als Unternehmen bedeutet und wie Sie die geforderten Meldestellen umsetzen können, erfahren Sie ebenfalls in diesem Beitrag.

Verschweigen möchten wir natürlich auch nicht, dass wir Ihnen ein Whistleblowing Portal der Datenbeschützerin anbieten, welches die notwendigen Anforderungen abdeckt.

Inhaltsverzeichnis

Auf den Punkt gebracht: EU Whistleblowing Richtlinie – Hinweisgeberschutzgesetz

Auf den Punkt gebracht: Datenübermittlung in Drittländer
  • Die EU Whistleblowing Richtlinie 2019/1937 dient dem Schutz der Hinweisgeber, also aller Personen, die auf einen Missstand oder einen Vorfall hinweisen.
  • In Deutschland wurde das Hinweisgeberschutzgesetz dazu verabschiedet (Inkrafttreten Juni 2023).
  • Die Meldung kann durch den Hinweisgeber an eine interne oder externe Meldestelle erfolgen.
  • Unternehmen ab 50 Mitarbeiter müssen eine interne Meldestelle anbieten.
  • Die interne Meldestelle kann auch durch einen beauftragten Dritten (z.B. den externen Datenschutzbeauftragten – sofern er diese Dienstleistung anbietet) realisiert werden.
  • Wir bieten Ihnen eine Möglichkeit, diese interne Meldestelle für Ihr Unternehmen kostengünstig und vertraulich zu realisieren.

EU Whistleblowing Richtlinie und das nationale Gesetz

Ende 2019 wurde die EU-Richtlinie mit der nüchternen Bezeichnung 2019/1937 verabschiedet. Es geht um den Schutz von Personen, die Verstöße gegen das Unionsrecht melden. Laut EU-Richtlinie müssen ihre Inhalte bis 17. Dezember 2021 in nationales Recht überführt worden sein.

In Deutschland gibt es wie bereist oben erwähnt, das Hinweisgeberschutzgesetz.

Die Unternehmen und Behörden haben damit die Verpflichtung, Hinweisgeber, also die Melder von Vorfällen, gegen Repressalien zu schützen.

Update: Am 27.07.2022 wurde der Entwurf des HinSchG vom Bundeskabinett beschlossen. Dieser entspricht weitgehend dem Referentenentwurf vom April 2022. Ergänzend sollen in Zukunft auch Verstöße gegen nationales Kartellrecht erfasst werden. Außerdem sollen interne und externe Meldestellen auch anonyme Meldungen bearbeiten, vorausgesetzt, dass dadurch die Bearbeitung nicht anonymer Meldungen nicht beeinträchtigt wird.

Update Februar 2023: Der Bundestag hat das neue Gesetz im Dezember in zweiter und dritter Lesung verabschiedet. Allerdings hat der Bundesrat dem HinSchG am 10. Februar 2023 nicht zugestimmt. Wie geht es jetzt weiter? Das Gesetz geht nun zum Vermittlungsausschuss. Dieser hat die Aufgabe, eine zustimmungsfähige Kompromisslösung zu erarbeiten.

Update Mai 2023: Der Bundestag hat am 11.05.2023 das Hinweisgeberschutzgesetz beschlossen. Am 12.Mai 2023 wurde es im Bundesrat verabschiedet.

Das Hinweisgeberschutzgesetz (HinSchG) soll Meldende von Vorfällen gegen Repressalien schützen

Kurz gesagt:

Die Beschäftigten müssen eine Möglichkeit haben, Vorfälle zu melden. Die Empfänger der Meldungen müssen einerseits die Vertraulichkeit des Melders im Unternehmen wahren und andererseits die weitere Vorgehensweise abstimmen.

Es muss klar sein, dass dem Melder keinerlei Nachteile durch die Meldung entstehen dürfen.

Exemplarischer einfacher Prozessflow zur Einhaltung des geplanten Hinweisgeberschutzgesetzes

exemplarischer Prozessablauf zur Einhaltung der Whistleblowing Richtlinie - Hinweisgeberschutzgesetz
exemplarischer Prozessablauf zur Einhaltung der Whistleblowing Richtlinie – Hinweisgeberschutzgesetz

Wer ist überhaupt ein Melder / Hinweisgeber?

Im Gesetzesentwurf heißt es, dass Meldesysteme für Beschäftigte angeboten werden müssen. Darunter fallen – grob gesagt – alle, die einer nicht selbständigen Tätigkeit nachgehen. Im Detail fallen nach dem Referentenentwurf des Hinweisgeberschutzgesetzes folgende Gruppen unter die Bezeichnung Beschäftigte:

  • Arbeitnehmer/innen
  • Beschäftigte im Rahmen der Berufsbildung
  • Beamtinnen und Beamte (Ausnahme Ehrenbeamte/innen)
  • Tarifbeschäftigte
  • Richter/innen (aber keine, die das Amt ehrenamtlich erfüllen)
  • Berufssoldaten/innen und solche auf Zeit
  • arbeitnehmerähnliche Personen, z.b. Beschäftigte in Heimarbeit und die ihnen Gleichgestellten

Was sind Vorfälle, die gemeldet werden?

Der Referentenentwurf definiert Verstöße als Handlungen oder Unterlassungen, die

  • rechtswidrig sind und in den sachlichen Anwendungsbereich des Gesetzes fallen (siehe nachfolgenden)
  • missbräuchlich sind, weil sie den Regelungen / Vorschriften des sachlichen Anwendungsbereichs des Gesetzes zuwiderlaufen.

Ein ganz wichtiger Punkt bei den Informationen über Verstößen ist folgende Definition aus § 3 Begriffsbestimmungen des Referentenentwurfs:

Informationen über Verstöße sind begründete Verdachtsmomente oder Wissen über tatsächliche oder mögliche Verstöße sowie über Versuche der Verschleierung solcher Verstöße, die bereits begangen wurden oder sehr wahrscheinlich erfolgen werden.

Referentenentwurf HinSchG §3 Begriffsbestimmungen

Damit wird nämlich klar gemacht, dass Falschmeldungen (z.B. um den Kollegen zu ärgern oder aus anderen Gründen) nicht darunter fallen und strafbar sind.

In § 9 steht klar, dass „die Identität einer hinweisgebenden Person, die vorsätzlich oder grob fahrlässig unrichtige Informationen über Verstöße meldet, nicht nach dem Gesetz geschützt wird.“

Sachlicher Anwendungsbereich – welche Inhalte sollen gemeldet werden?

Gerade haben wir zusammen gefasst, was ein Verstoß ist – im Sinne dieser Referentenentwurf. Jetzt wollen wir hier noch kurz einen Überblick über die sachlichen Inhalte geben, bei denen Verstöße auftreten können und die gemeldet werden dürfen.

Letztendlich darf / soll jeder Verstoß gemeldet werden, der begründet ist oder über den der Meldende Bescheid weiß. Trotzdem hier noch ein Auszug (nicht vollständig) des sachlichen Anwendungsbereichs des Gesetzesentwurfs:

  • Verstöße, die straf- oder bußgeldbewehrt sind
  • Verstöße gegen Gesetze, Rechtsverordnungen, sonstige Vorschriften des Landes und der EU
  • Auffälligkeiten beim Thema Terrorismusfinanzierung
  • Verstöße gegen die Vorgaben der Produktsicherheit und -konformität
  • Verstöße gegen Vorgaben zur Sicherheit auf allen Verkehrswegen und bei der Beförderung gefährlicher Güter
  • Verstöße aus den Bereichen Umwelt-, Strahlenschutz und Rechtsvorschriften in diesem Gebiet
  • Verstöße zum Schutz der Privatsphäre und personenbezogenen Daten sowie zur Sicherheit von Netz- und Informationssystemen
  • ……

Diese Liste ist ist wie gesagt nicht abschließend, gibt aber einen Einblick, dass schlussendlich alle möglichen Verstöße gemeldet werden sollen, die ein Beschäftigter kennt oder auf die viele Tatsachen hindeuten.

Wie können die hinweisgebenden Personen geschützt werden?

Vertraulichkeitsgebot

§ 8 des Referentenentwurfs bezieht sich auf das Vertraulichkeitsgebot. Der Paragraph sagt aus, dass Meldestellen die Vertraulichkeit der Identität der folgenden Personen zu wahren haben:

  • Hinweisgebende Person
  • Personen, die Gegenstand der Meldung sind
  • sonstige in der Meldung genannten Personen

Nur die Meldestelle darf die Identitäten der Personen kennen oder die Stelle, die für das Ergreifen von Folgemaßnahmen zuständig ist.

Das ist natürlich eine heikle Sache. Irgendjemand muss sich um dieses Meldesystem intern kümmern und diese Person(en) hat/haben Kenntnis von den Hinweisgebern. Um hier den Meldern den bestmöglichen Schutz zu bieten, haben wir lange überlegt, wie ein solches Meldesystem aussehen könnte. Zum Einen muss es praktikabel bleiben, zum Anderen aber auch ausreichend Schutz bieten.

Aber bevor wir hier ins Detail gehen, noch ein paar Punkte, wann es zu Ausnahmen des Vertraulichkeitsgebots laut Gesetzesentwurf kommen kann.

Ausnahmen vom Vertraulichkeitsgebot

  • wenn es sich um vorsätzliche oder grob fahrlässige Falschmeldungen handelt (wie oben genannt)
  • auf Verlangen der Strafverfolgungsbehörden in Strafverfahren
  • aufgrund einer gerichtlichen Entscheidung oder Anordnung in einem Verwaltungsverfahren

Vor der Weitergabe muss die hinweisgebende Person über die Weitergabe der Daten informiert werden, sofern dies nicht die Ermittlungen gefährden würde.

Weitere Gründe für Ausnahmen sind:

  • eine Weitergabe, wenn diese für Folgemaßnahmen erforderlich ist (aus unserer Sicht ein heikler Punkt – wer entscheidet das?) oder
  • die hinweisgebende Person hat der Weitergabe zugestimmt

Wie kann ein Meldesystem im Sinne der Whistleblowing Richtlinie aussehen?

„Meldesystem“ und wir denken sofort in Anwendungen, Software, Tools…. Ein Meldesystem, welches die gesetzlichen Anforderungen erfüllt, kann aber auch ganz trivial abgebildet werden. Es muss nicht immer hoch technisiert sein.

Ein Hinweisgeber kann eine Meldung mündlich oder in Textform abgeben. Das heißt, die Person kann anrufen, um einen persönlichen Termin mit der Meldestelle bitten oder einen Brief (ganz old school auf Papier) mit der Meldung abgeben. Die digitale Meldung über ein (Online-)Portal ist nur eine der Möglichkeiten.

Aus meiner Sicht ist es das wichtigste – egal, wie der Meldeweg aussieht – dass Sie klar beschreiben, wie der Mitarbeiter seinen Vorfall melden kann. Diese Beschreibung muss jedem Mitarbeiter zugänglich sein. Wenn Sie bereits ein QM-System oder ein Intranet haben, ist es relativ einfach, hier ein zusätzliches Verfahren mit aufzunehmen. Eine grobe Ablaufbeschreibung finden Sie weiter unten im Beitrag.

Dokumentation der Meldungen

Die Meldung des Hinweisgebers muss dokumentiert werden. Erfolgt die Meldung in mündlicher Form oder als Tonaufzeichnung, muss dies in einem Protokoll dokumentiert werden. Der Melder muss das Protokoll prüfen und freigeben (unterschriftlich bestätigen) oder vorher Änderungen veranlassen. Die Tonaufzeichnung darf nach Erstellung des Protokolls nur mit Einwilligung des Melders aufbewahrt werden. Anderweitig muss die Tonaufzeichnung gelöscht werden.

Der Datenschützer denkt jetzt gleich an einen Eintrag ins Verfahrensverzeichnis. Hier ist auch noch wichtig zu wissen, wie lange die dokumentierte Meldung aufbewahrt werden darf / muss. Hier gibt der Gesetzesentwurf eine klare Vorgabe. Die Dokumentation muss gelöscht werden, sobald das Verfahren abgeschlossen ist.

Meldestellen für Hinweisgeber in der Praxis

Laut EU-Whistleblowing-Richtlinie soll es interne und externe Meldestellen geben. Der Beschäftige kann frei wählen, ob er die interne oder externe Meldestelle wählt.

Externe Meldestelle des Bundes nach dem Hinweisgeberschutzgesetz

Die externe Meldestelle des Bundes ist beim Bundesdatenschutzbeauftragten angesiedelt. Darüber hinaus können die Länder entscheiden, ob Sie für ihre Dienststellen eigene externe Meldestelle implementieren wollen. Auf die Beschaffenheit und die weiteren Vorgaben, welche die externen Meldestellen beachten müssen, möchte ich an dieser Stelle nicht weiter eingehen.

Viel interessanter für Sie wird wahrscheinlich die Anforderung an die interne Meldestelle sein.

Interne Meldestelle

Unternehmen mit mindestens 50 Mitarbeitern müssen ihren Beschäftigten ein Meldesystem bieten. Darüber hinaus gibt es ein paar Branchen, die unabhängig von der Mitarbeiteranzahl ein Meldesystem bieten müssen. Grob zusammen gefasst, handelt es sich dabei vorwiegend um Unternehmen im Finanzbereich.

Wer ist die interne Meldestelle?

Dies wird eine neue Stelle / Rolle im Unternehmen sein, die von der Unternehmensleitung / Dienststellenleitung damit betraut wird. Wichtig ist, dass die Stelle auch die notwendigen Befugnisse erhält, um die Aufgaben wahrzunehmen.

Geeignete Stellen für die interne Meldestellen

Die EU-Whistleblowing-Richtlinie weist darauf hin, dass die geeignete Person / Stelle natürlich von der Struktur des Unternehmens abhängt. Trotzdem ist es wichtig, dass ihre Unabhängigkeit gewährleistet wird und Interessenskonflikte ausgeschlossen werden. Ein paar Beispiele nennt die Richtlinie auch ganz konkret:

  • die Person muss in dieser Funktion direkt der Unternehmensleitung berichten können
  • z.B. Leiter der Compliance- oder Personalabteilung
  • oder ein Integritätsbeauftragter
  • oder ein Rechts- oder Datenschutzbeauftragter
  • ein Vorstandsmitglied,
  • ein Auditverantwortlicher….

Nicht geeignete Stellen für die Annahme von Meldungen

Darüber schweigt sich die Richtlinie zwar aus, aber wir möchten Ihnen dennoch ein paar Beispiele an die Hand geben, welche Stellen unserer Meinung nach nicht für diese Aufgabe geeignet sind.

Der IT-Leiter genießt in der Praxis (zum Glück) meist ein hohes Vertrauen der Leitung. Es liegt beim einen oder anderen Unternehmen daher wohl nahe, den IT-Leiter mit der internen Meldestelle zu betrauen. Wir sehen hier einen großen Konflikt bei der Wahrung der Unabhängigkeit. Folgemaßnahmen ziehen sehr wahrscheinlich IT-technische Untersuchungen nach sich.

Auf der einen Seite ist der IT-Leiter verantwortlich, die Identität des Melders zu wahren, auf der anderen Seite sollte er Folgemaßnahmen planen und umsetzen, die ggf. zu Lasten den Melders gehen. Wir raten Ihnen, den IT-Leiter vor dieser unglücklichen Situation zu bewahren und ihn nicht als Meldestelle zu beauftragen.

Des Weiteren sehen wir es problematisch, wenn z.B. eine leitende Führungskraft des operativen Bereichs (Fertigung, Entwicklung…) mit der zusätzlichen Aufgabe der Meldestelle beauftragt wird. In vielen Punkten wird er die Unabhängigkeit und Vertraulichkeit gewährleisten können. Aufgrund seines komplett anders ausgerichteten Tagesgeschäfts wird eine Vereinbarung von beiden Tätigkeiten jedoch in der Praxis schwer gelingen.

Dritte als erste Anlaufstelle zur Realisierung der internen Meldestelle

Aber auch Dritte können durch die Unternehmensleitung ermächtigt werden, die Meldungen entgegen zu nehmen. Wichtig ist die Wahrung der Unabhängigkeit und der Vertraulichkeit, des Datenschutzes und der Geheimhaltung.

Es ist natürlich im Sinne des Unternehmens, wenn der Mitarbeiter als erste Anlaufstelle die interne Meldestelle wählt und nicht die externe Stelle. Dies wird er nur tun, wenn der Hinweisgeber sicher sein kann, dass seine Identität geschützt bleibt. Und wer könnte diesen Schutz besser gewährleisten als ein komplett unparteiischer Dritter?

Der Dritte stellt die externe Meldestelle z.B. im Rahmen eines „Postkastens“, einer Telefon-Hotline oder eines Online-Portals. Natürlich braucht es trotzdem im Unternehmen einen Ansprechpartner für die weitere Planung und Durchführung der Folgemaßnahmen. Allerdings können Sie sicherstellen, dass die Identität des Melders trotzdem geschützt bleibt und nur bei weiteren notwendigen Schritten (siehe oben) dem Unternehmen bekannt gemacht wird. Für den Hinweisgeber ist diese Vorgehensweise ein weiteres positives Kriterium, dass seine Identität durch einen Ombudsmann zusätzlich geschützt bleibt.

So implementieren Sie eine interne Meldestelle

Nachdem das Hinweisgeberschutzgesetz die externe Meldestelle dem Bundesdatenschutzbeauftragten und Beauftragten für die Informationssicherheit „aufs Auge gedrückt hat“, sehen wir es naheliegend, dass auch die interne Meldestelle in vielen Organisationen beim Datenschutzbeauftragten liegen wird.

Daher ist für uns als Datenbeschützerin klar: Als Datenschutzbeauftragte und Informationssicherheitsbeauftragte müssen wir hier ein Meldesystem anbieten, mit welchem unsere Kunden die Anforderungen des Hinweisgeberschutzgesetzes und damit der EU Whistleblowing Richtlinie erfüllen.

Kleiner Werbeblock: Whistleblowing Portal der Datenbeschützerin

Mit unserem Whistleblowing Portal bieten wir Ihnen eine einfache und kostengünstige Möglichkeit, die Anforderungen der Whistleblowing Richtlinie und des Hinweisgeberschutzgesetzes (HinSchG) zu erfüllen und allem voran die Vertraulichkeit der Identität des Hinweisgebers zu wahren.

Whistleblowing Portal der Datenbeschützerin
Meldeprozess mit dem Portal der Datenbeschützerin
Meldeprozess mit dem Portal der Datenbeschützerin

Mehr über das Whistleblowing-Portal der Datenbeschützerin erfahren

Hört sich das interessant für Sie an?

Hier finden Sie weitere Informationen zum Whistleblowing-Portal

In 5 Schritten zur internen Meldestelle

So, nun aber endlich zu den konkreten Vorschlägen zur weiteren Vorgehensweise – denn darum lesen Sie ja diesen Blogartikel:

  1. Interne(n) Ansprechpartner beauftragen
  2. Zum Unternehmen passende Meldekanäle wählen
  3. Meldeprozess definieren
  4. Meldekanäle implementieren, z.B.
    1. Briefkästen (wichtig! Für alle Mitarbeiter zugänglich, Vertraulichkeit gewährleisten)
    2. Telefonische Meldewege
    3. Online-Portal
  5. Meldeprozess beschreiben, für alle Mitarbeiter zugänglich machen und im Unternehmen kommunizieren

Internen Ansprechpartner beauftragen

Egal ob Sie einen externen Dienstleister beauftragen, der Ihnen ein Portal oder ein Meldesystem zur Verfügung steht, einen internen Ansprechpartner müssen Sie immer benennen. Wie schon oben geschrieben, ist diese Stelle mit Bedacht zu wählen. Es muss sich um eine extrem integere Person / Stelle handeln, und die Meldestelle soll nicht mit deren Tagesgeschäft schwer vereinbar oder sogar unvereinbar sein.

Der Aufwand für diese Stelle wird schätzungsweise nicht kontinuierlich hoch sein. Man kann davon ausgehen, dass die Meldungen nicht täglich eintreffen werden. Wenn allerdings eine Meldung eingeht, muss diese auch mit der entsprechenden Zeit und Sorgfalt bearbeitet werden können.

Ein direkter Draht zur Geschäftsführung muss in diesem Fall unkompliziert möglich sein.

Passende Meldekanäle auswählen

Ein Onlineportal ist sicherlich das einfachste System, um die Meldungen abzudecken. Briefkästen im Unternehmen, also interne „Kummerkästen“ sind auch eine Möglichkeit, diese Anforderung zu realisieren. Bedenken Sie aber, dass für manche Mitarbeiter der Weg zum Briefkasten eine innere Hürde darstellen kann. Auch verschiedene Standorte oder verschiedene Gebäude auf einem Werksgelände sollten bedacht werden.

Meldeprozess definieren

Jetzt wissen Sie, welches technische oder organisatorische System Sie für Ihr Unternehmen ausgewählt haben. Als nächstes geht es daran, zu definieren, wie genau der Ablauf erfolgt, wenn eine Meldung eingeht.

  • Wer wird wann informiert?
  • Welche externen Stellen (Anwälte, Behörden…) werden ggf. hinzugezogen und wer koordiniert die Beauftragung?
  • Welche Informationen erhält der Hinweisgeber zurück?
  • Wie kann über den gesamten Prozess der höchste Schutz des Hinweisgebers gewährleistet werden?

Meldekanäle implementieren

Jetzt erst geht es an die praktische Umsetzung und Implementierung des Meldesystems.

  • Installation von Briefkästen
  • Schalten einer eigenen Telefonnummer
  • Beauftragen einer Hotline / telefonisches Service Center
  • Konfigurieren eines Online-Meldeportals

Meldeprozess kommunizieren

Der letzte Punkt ist mindestens genauso wichtig wie die Auswahl sicherer Kanäle. Wie sollten Personen etwas melden können, wenn sie nicht wissen, wie und wo?

Viele Unternehmen haben bereits ein Intranet oder ein Managementsystem, über dessen Kanäle den Mitarbeitern Informationen und Prozessabläufe zur Verfügung gestellt werden. Informieren Sie auch in Schulungen oder über Team-Sitzungen, welche Möglichkeiten den Beschäftigten zur Verfügung stehen, um Vorfälle zu melden und wie sie trotzdem geschützt bleiben.

Whistleblowing Richtlinie - Hinweisgeberschutzgesetz
Whistleblowing Richtlinie – Hinweisgeberschutzgesetz

Vermeidung „falscher“ Meldungen

Wie kann sich das Unternehmen schützen, um Falschmeldungen zu vermeiden?

Der Schutz von Hinweisgebern könnte natürlich den einen oder anderen dazu verleiten, Meldungen abzusetzen, die frei erfunden sind. Nur mit dem Ziel, jemand anderen zu schaden.

Hier sagt das Gesetz und die EU Richtlinie aber auch ganz klar, dass diese Personen keinen Schutz erhalten. Zudem werden grob fahrlässige und wissentliche Falschmeldungen geahndet. Darauf ist besonders in den Schulungen der Mitarbeiter hinzuweisen.

Wie kann verhindert werden, dass ein Beschäftigter in falschem Namen meldet?

Darüber haben wir auch lange nachgedacht. Hundertprozentig kann das wahrscheinlich nicht ausgeschlossen werden. Mit einem intelligenten System unseres Whistleblowing-Portals erfolgt aber eine doppelte Identifizierung für die Richtigkeit der Meldung. Auf der anderen Seite bleibt der Melder trotzdem geschützt und seine Identität gewahrt.

So ganz pauschal kann man hier keine Vorgabe machen. Dieser Aspekt hängt sehr vom Meldesystem und der internen Meldestelle ab.

Die Whistleblowing Richtlinie und das Hinweisgeberschutzgesetz (HinSchG) – eine Zusammenfassung

Wie man es dreht und wendet, der Schutz des Hinweisgebers ist so gut wie die interne Meldestelle, bei der die Meldungen ungefiltert eingehen. Zudem darf man das Thema „Misstrauen in die IT-Abteilung“ nicht unterschätzen. Dieser Aspekt hat sich in mehreren Gesprächen, die wir bei den Vorbereitungen zu diesem Thema geführt haben, bestätigt.

Natürlich soll das nicht heißen, dass die Mitarbeiter der IT-Abteilung in jedem Unternehmen kritisch gegenüber stehen. Aber doch ist das immer wieder und (noch) in vielen Firmen der Fall.

Das bedeutet letztendlich: Ein guter Prozess, der Meldungen ermöglicht und fördert, muss die folgenden zwei wichtigsten Aspekte abdecken:

  1. Die interne Meldestelle ist entweder so extrem vertrauenswürdig bei den Mitarbeitern oder sie erhält die Meldungen auch nur gefiltert (also ohne Daten des Hinweisgebers).
  2. Bei elektronischen Meldungen kann nicht nachvollzogen werden, dass ein Mitarbeiter eine Meldung am Portal abgesetzt hat. Selbst wenn sich die IT-Mitarbeiter rechtmäßig oder unrechtmäßig Einblick in die E-Mails des Hinweisgebers verschaffen, darf nicht erkennbar sein, dass eine Meldung abgegeben wurde oder Kommunikation mit dem Meldeportal erfolgt ist.

Komplizierte Umsetzung, um die EU Vorgaben zu erfüllen?

Na ja, man kann alles immer kompliziert machen. Aber grundsätzlich kann man die Vorgaben auch mit recht einfachen und pragmatischen Mitteln erfüllen. Wie schon mehrmals erwähnt, reicht sogar ein Kummerkasten im Unternehmen.

Ob das die beste Lösung ist, steht auf einem anderen Blatt. Es gibt auch mehrere Anbieter, die professionelle Meldesysteme für diesen Zweck anbieten. Dies verursacht zunächst Kosten. Auf der anderen Seite sind diese Systeme überschaubar und sparen Ihnen auch Geld, weil Ihre interne Meldestelle erst im zweiten Schritt hinzugezogen wird.

So kompliziert, aufwändig und kostenintensiv ist es also nicht, diese Vorgaben zu erfüllen.

Wie wollen Sie das Thema Whistleblowing-Schutz anpacken?

Proaktiv einen Meldeprozess anbieten? Warten, bis es Urteile gibt? Oder gar nichts tun? Vielleicht haben Sie ja auch schon eine gute Lösung implementiert.

Schreiben Sie uns einen Kommentar, wie Sie zu dem Thema stehen.

Quellen:

Diesen Beitrag teilen

Das ist sicher auch interessant für Sie

2 Kommentare

  1. Kurt Sieber am 25. Oktober 2023 um 10:30

    Hmm, spannend, aber wie passt eigentlich ein Portal einer Datenbeschützerin mit dem Betrieb eines Hinweisgeberschutzsystems zusammen? Ist man da nicht mit Interessenskonflikten konfrontiert?

    Antworten
    • Regina Stoiber am 25. Oktober 2023 um 10:55

      Hallo Herr Sieber,

      danke für die Rückmeldung.
      Ganz ehrlich: Nicht im geringsten. Wo hätten Sie Bedenken, dass ein Interessenkonflikt auftreten kann?

      Wenn sogar die zentrale Meldestelle beim Bundesdatenschutzbeauftragten aufläuft, wieso soll dann bei uns als Unternehmen, dass Datenschutz und Informationssicherheit anbietet ein Interessenkonflikt auftreten? Das erst mal grundsätzlich.

      Zudem haben wir bei uns intern die „interne Meldestelle“ personell getrennt und damit ebenfalls ein restriktives Berechtigungskonzept.
      Ich kann keinen Interessenskonflikt erkennen.
      Bin aber gern an Ihrer Meinung interessiert.

      Herzliche Grüße
      Regina

      Antworten

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert