Die 5 wichtigsten Fakten zur EU Whistleblowing Richtlinie (Hinweisgeberschutzgesetz)

Whistleblowing Richtlinie - Hinweisgeberschutzgesetz

Wir sind gerade erst dabei, das TTDSG zu verdauen – und schon geht es weiter. Am 17.12.21 ist Stichtag für die sogenannten EU Whistleblowing Richtlinie. Das bedeutet: Ab diesem Tag sollen die Whistleblower (= Hinweisgeber) im Unternehmen zusätzlichen Schutz erhalten.

Beschäftigte haben eine elementare Funktion im Unternehmen beim Erkennen und Melden von Missständen. Leider haben diese Meldungen bisher in der Praxis zu oft dazu geführt, dass die Melder am Ende die Benachteiligten waren. Um den Hinweisgebern zukünftig einen besseren Schutz zu ermöglichen, will die EU dies nun in ihren Mitgliedsstaaten gesetzlich einfordern.

In diesem Artikel möchte ich Ihnen einen Überblick über die Anforderungen der EU Whistleblowing Richtlinie und des daraus abgeleiteten Entwurfs des Hinweisgeberschutzgesetzes geben. Was das für Sie als Unternehmen bedeutet und wie Sie die geforderten Meldestellen umsetzen können, erfahren Sie ebenfalls in diesem Beitrag.

Verschweigen möchten wir natürlich auch nicht, dass wir Ihnen ein Whistleblowing Portal der Datenbeschützerin anbieten, welches die notwendigen Anforderungen abdeckt.

Inhaltsverzeichnis

Auf den Punkt gebracht: EU Whistleblowing Richtlinie – Hinweisgeberschutzgesetz

Auf den Punkt gebracht: Datenübermittlung in Drittländer

EU Whistleblowing Richtlinie und das nationale Gesetz

Ende 2019 wurde die EU-Richtlinie mit der nüchternen Bezeichnung 2019/1937 verabschiedet. Es geht um den Schutz von Personen, die Verstöße gegen das Unionsrecht melden. Laut EU-Richtlinie müssen ihre Inhalte bis 17. Dezember 2021 in nationales Recht überführt worden sein.

In Deutschland gibt es bereits einen Referentenentwurf des Hinweisgeberschutzgesetzes HinSchG. Ob der allerdings fristgerecht bis zum 17.12.21 verabschiedet wird, ist unwahrscheinlich. In diesem Fall können sich Beschäftigte direkt auf die EU-Richtlinie berufen.

Egal, ob das Gesetz rechtzeitig verabschiedet wird oder nicht. Die Unternehmen und Behörden haben nichtsdestotrotz die Verpflichtung, Hinweisgeber, also die Melder von Vorfällen, gegen Repressalien zu schützen.

Das Hinweisgeberschutzgesetz (HinSchG) soll Meldende von Vorfällen gegen Repressalien schützen

Kurz gesagt:

Die Beschäftigten müssen eine Möglichkeit haben, Vorfälle zu melden. Die Empfänger der Meldungen müssen einerseits die Vertraulichkeit des Melders im Unternehmen wahren und andererseits die weitere Vorgehensweise abstimmen.

Es muss klar sein, dass dem Melder keinerlei Nachteile durch die Meldung entstehen dürfen.

Exemplarischer einfacher Prozessflow zur Einhaltung des geplanten Hinweisgeberschutzgesetzes

exemplarischer Prozessablauf zur Einhaltung der Whistleblowing Richtlinie - Hinweisgeberschutzgesetz
exemplarischer Prozessablauf zur Einhaltung der Whistleblowing Richtlinie – Hinweisgeberschutzgesetz

Wer ist überhaupt ein Melder / Hinweisgeber?

Im Gesetzesentwurf heißt es, dass Meldesysteme für Beschäftigte angeboten werden müssen. Darunter fallen – grob gesagt – alle, die einer nicht selbständigen Tätigkeit nachgehen. Im Detail fallen nach dem Referentenentwurf des Hinweisgeberschutzgesetzes folgende Gruppen unter die Bezeichnung Beschäftigte:

  • Arbeitnehmer/innen
  • Beschäftigte im Rahmen der Berufsbildung
  • Beamtinnen und Beamte (Ausnahme Ehrenbeamte/innen)
  • Tarifbeschäftigte
  • Richter/innen (aber keine, die das Amt ehrenamtlich erfüllen)
  • Berufssoldaten/innen und solche auf Zeit
  • arbeitnehmerähnliche Personen, z.b. Beschäftigte in Heimarbeit und die ihnen Gleichgestellten

Was sind Vorfälle, die gemeldet werden?

Der Referentenentwurf definiert Verstöße als Handlungen oder Unterlassungen, die

  • rechtswidrig sind und in den sachlichen Anwendungsbereich des Gesetzes fallen (siehe nachfolgenden)
  • missbräuchlich sind, weil sie den Regelungen / Vorschriften des sachlichen Anwendungsbereichs des Gesetzes zuwiderlaufen.

Ein ganz wichtiger Punkt bei den Informationen über Verstößen ist folgende Definition aus § 3 Begriffsbestimmungen des Referentenentwurfs:

Informationen über Verstöße sind begründete Verdachtsmomente oder Wissen über tatsächliche oder mögliche Verstöße sowie über Versuche der Verschleierung solcher Verstöße, die bereits begangen wurden oder sehr wahrscheinlich erfolgen werden.

Referentenentwurf HinSchG §3 Begriffsbestimmungen

Damit wird nämlich klar gemacht, dass Falschmeldungen (z.B. um den Kollegen zu ärgern oder aus anderen Gründen) nicht darunter fallen und strafbar sind.

In § 9 steht klar, dass „die Identität einer hinweisgebenden Person, die vorsätzlich oder grob fahrlässig unrichtige Informationen über Verstöße meldet, nicht nach dem Gesetz geschützt wird.“

Sachlicher Anwendungsbereich – welche Inhalte sollen gemeldet werden?

Gerade haben wir zusammen gefasst, was ein Verstoß ist – im Sinne dieser Referentenentwurf. Jetzt wollen wir hier noch kurz einen Überblick über die sachlichen Inhalte geben, bei denen Verstöße auftreten können und die gemeldet werden dürfen.

Letztendlich darf / soll jeder Verstoß gemeldet werden, der begründet ist oder über den der Meldende Bescheid weiß. Trotzdem hier noch ein Auszug (nicht vollständig) des sachlichen Anwendungsbereichs des Gesetzesentwurfs:

  • Verstöße, die straf- oder bußgeldbewehrt sind
  • Verstöße gegen Gesetze, Rechtsverordnungen, sonstige Vorschriften des Landes und der EU
  • Auffälligkeiten beim Thema Terrorismusfinanzierung
  • Verstöße gegen die Vorgaben der Produktsicherheit und -konformität
  • Verstöße gegen Vorgaben zur Sicherheit auf allen Verkehrswegen und bei der Beförderung gefährlicher Güter
  • Verstöße aus den Bereichen Umwelt-, Strahlenschutz und Rechtsvorschriften in diesem Gebiet
  • Verstöße zum Schutz der Privatsphäre und personenbezogenen Daten sowie zur Sicherheit von Netz- und Informationssystemen
  • ……

Diese Liste ist ist wie gesagt nicht abschließend, gibt aber einen Einblick, dass schlussendlich alle möglichen Verstöße gemeldet werden sollen, die ein Beschäftigter kennt oder auf die viele Tatsachen hindeuten.

Wie können die hinweisgebenden Personen geschützt werden?

Vertraulichkeitsgebot

§ 8 des Referentenentwurfs bezieht sich auf das Vertraulichkeitsgebot. Der Paragraph sagt aus, dass Meldestellen die Vertraulichkeit der Identität der folgenden Personen zu wahren haben:

  • Hinweisgebende Person
  • Personen, die Gegenstand der Meldung sind
  • sonstige in der Meldung genannten Personen

Nur die Meldestelle darf die Identitäten der Personen kennen oder die Stelle, die für das Ergreifen von Folgemaßnahmen zuständig ist.

Das ist natürlich eine heikle Sache. Irgendjemand muss sich um dieses Meldesystem intern kümmern und diese Person(en) hat/haben Kenntnis von den Hinweisgebern. Um hier den Meldern den bestmöglichen Schutz zu bieten, haben wir lange überlegt, wie ein solches Meldesystem aussehen könnte. Zum Einen muss es praktikabel bleiben, zum Anderen aber auch ausreichend Schutz bieten.

Aber bevor wir hier ins Detail gehen, noch ein paar Punkte, wann es zu Ausnahmen des Vertraulichkeitsgebots laut Gesetzesentwurf kommen kann.

Ausnahmen vom Vertraulichkeitsgebot

  • wenn es sich um vorsätzliche oder grob fahrlässige Falschmeldungen handelt (wie oben genannt)
  • auf Verlangen der Strafverfolgungsbehörden in Strafverfahren
  • aufgrund einer gerichtlichen Entscheidung oder Anordnung in einem Verwaltungsverfahren

Vor der Weitergabe muss die hinweisgebende Person über die Weitergabe der Daten informiert werden, sofern dies nicht die Ermittlungen gefährden würde.

Weitere Gründe für Ausnahmen sind:

  • eine Weitergabe, wenn diese für Folgemaßnahmen erforderlich ist (aus unserer Sicht ein heikler Punkt – wer entscheidet das?) oder
  • die hinweisgebende Person hat der Weitergabe zugestimmt

Wie kann ein Meldesystem im Sinne der Whistleblowing Richtlinie aussehen?

„Meldesystem“ und wir denken sofort in Anwendungen, Software, Tools…. Ein Meldesystem, welches die gesetzlichen Anforderungen erfüllt, kann aber auch ganz trivial abgebildet werden. Es muss nicht immer hoch technisiert sein.

Ein Hinweisgeber kann eine Meldung mündlich oder in Textform abgeben. Das heißt, die Person kann anrufen, um einen persönlichen Termin mit der Meldestelle bitten oder einen Brief (ganz old school auf Papier) mit der Meldung abgeben. Die digitale Meldung über ein (Online-)Portal ist nur eine der Möglichkeiten.

Aus meiner Sicht ist es das wichtigste – egal, wie der Meldeweg aussieht – dass Sie klar beschreiben, wie der Mitarbeiter seinen Vorfall melden kann. Diese Beschreibung muss jedem Mitarbeiter zugänglich sein. Wenn Sie bereits ein QM-System oder ein Intranet haben, ist es relativ einfach, hier ein zusätzliches Verfahren mit aufzunehmen. Eine grobe Ablaufbeschreibung finden Sie weiter unten im Beitrag.

Dokumentation der Meldungen

Die Meldung des Hinweisgebers muss dokumentiert werden. Erfolgt die Meldung in mündlicher Form oder als Tonaufzeichnung, muss dies in einem Protokoll dokumentiert werden. Der Melder muss das Protokoll prüfen und freigeben (unterschriftlich bestätigen) oder vorher Änderungen veranlassen. Die Tonaufzeichnung darf nach Erstellung des Protokolls nur mit Einwilligung des Melders aufbewahrt werden. Anderweitig muss die Tonaufzeichnung gelöscht werden.

Der Datenschützer denkt jetzt gleich an einen Eintrag ins Verfahrensverzeichnis. Hier ist auch noch wichtig zu wissen, wie lange die dokumentierte Meldung aufbewahrt werden darf / muss. Hier gibt der Gesetzesentwurf eine klare Vorgabe. Die Dokumentation muss gelöscht werden, sobald das Verfahren abgeschlossen ist.

Meldestellen für Hinweisgeber in der Praxis

Laut EU-Whistleblowing-Richtlinie soll es interne und externe Meldestellen geben. Der Beschäftige kann frei wählen, ob er die interne oder externe Meldestelle wählt.

Externe Meldestelle des Bundes nach dem Hinweisgeberschutzgesetz

Die externe Meldestelle des Bundes ist beim Bundesdatenschutzbeauftragten angesiedelt. Darüber hinaus können die Länder entscheiden, ob Sie für ihre Dienststellen eigene externe Meldestelle implementieren wollen. Auf die Beschaffenheit und die weiteren Vorgaben, welche die externen Meldestellen beachten müssen, möchte ich an dieser Stelle nicht weiter eingehen.

Viel interessanter für Sie wird wahrscheinlich die Anforderung an die interne Meldestelle sein.

Interne Meldestelle

Unternehmen mit mindestens 50 Mitarbeitern müssen ihren Beschäftigten ein Meldesystem bieten. Darüber hinaus gibt es ein paar Branchen, die unabhängig von der Mitarbeiteranzahl ein Meldesystem bieten müssen. Grob zusammen gefasst, handelt es sich dabei vorwiegend um Unternehmen im Finanzbereich.

Wer ist die interne Meldestelle?

Dies wird eine neue Stelle / Rolle im Unternehmen sein, die von der Unternehmensleitung / Dienststellenleitung damit betraut wird. Wichtig ist, dass die Stelle auch die notwendigen Befugnisse erhält, um die Aufgaben wahrzunehmen.

Geeignete Stellen für die interne Meldestellen

Die EU-Whistleblowing-Richtlinie weist darauf hin, dass die geeignete Person / Stelle natürlich von der Struktur des Unternehmens abhängt. Trotzdem ist es wichtig, dass ihre Unabhängigkeit gewährleistet wird und Interessenskonflikte ausgeschlossen werden. Ein paar Beispiele nennt die Richtlinie auch ganz konkret:

  • die Person muss in dieser Funktion direkt der Unternehmensleitung berichten können
  • z.B. Leiter der Compliance- oder Personalabteilung
  • oder ein Integritätsbeauftragter
  • oder ein Rechts- oder Datenschutzbeauftragter
  • ein Vorstandsmitglied,
  • ein Auditverantwortlicher….

Nicht geeignete Stellen für die Annahme von Meldungen

Darüber schweigt sich die Richtlinie zwar aus, aber wir möchten Ihnen dennoch ein paar Beispiele an die Hand geben, welche Stellen unserer Meinung nach nicht für diese Aufgabe geeignet sind.

Der IT-Leiter genießt in der Praxis (zum Glück) meist ein hohes Vertrauen der Leitung. Es liegt beim einen oder anderen Unternehmen daher wohl nahe, den IT-Leiter mit der internen Meldestelle zu betrauen. Wir sehen hier einen großen Konflikt bei der Wahrung der Unabhängigkeit. Folgemaßnahmen ziehen sehr wahrscheinlich IT-technische Untersuchungen nach sich.

Auf der einen Seite ist der IT-Leiter verantwortlich, die Identität des Melders zu wahren, auf der anderen Seite sollte er Folgemaßnahmen planen und umsetzen, die ggf. zu Lasten den Melders gehen. Wir raten Ihnen, den IT-Leiter vor dieser unglücklichen Situation zu bewahren und ihn nicht als Meldestelle zu beauftragen.

Des Weiteren sehen wir es problematisch, wenn z.B. eine leitende Führungskraft des operativen Bereichs (Fertigung, Entwicklung…) mit der zusätzlichen Aufgabe der Meldestelle beauftragt wird. In vielen Punkten wird er die Unabhängigkeit und Vertraulichkeit gewährleisten können. Aufgrund seines komplett anders ausgerichteten Tagesgeschäfts wird eine Vereinbarung von beiden Tätigkeiten jedoch in der Praxis schwer gelingen.

Dritte als erste Anlaufstelle zur Realisierung der internen Meldestelle

Aber auch Dritte können durch die Unternehmensleitung ermächtigt werden, die Meldungen entgegen zu nehmen. Wichtig ist die Wahrung der Unabhängigkeit und der Vertraulichkeit, des Datenschutzes und der Geheimhaltung.

Es ist natürlich im Sinne des Unternehmens, wenn der Mitarbeiter als erste Anlaufstelle die interne Meldestelle wählt und nicht die externe Stelle. Dies wird er nur tun, wenn der Hinweisgeber sicher sein kann, dass seine Identität geschützt bleibt. Und wer könnte diesen Schutz besser gewährleisten als ein komplett unparteiischer Dritter?

Der Dritte stellt die externe Meldestelle z.B. im Rahmen eines „Postkastens“, einer Telefon-Hotline oder eines Online-Portals. Natürlich braucht es trotzdem im Unternehmen einen Ansprechpartner für die weitere Planung und Durchführung der Folgemaßnahmen. Allerdings können Sie sicherstellen, dass die Identität des Melders trotzdem geschützt bleibt und nur bei weiteren notwendigen Schritten (siehe oben) dem Unternehmen bekannt gemacht wird. Für den Hinweisgeber ist diese Vorgehensweise ein weiteres positives Kriterium, dass seine Identität durch einen Ombudsmann zusätzlich geschützt bleibt.

So implementieren Sie eine interne Meldestelle

Nachdem das Hinweisgeberschutzgesetz die externe Meldestelle dem Bundesdatenschutzbeauftragten und Beauftragten für die Informationssicherheit „aufs Auge gedrückt hat“, sehen wir es naheliegend, dass auch die interne Meldestelle in vielen Organisationen beim Datenschutzbeauftragten liegen wird.

Daher ist für uns als Datenbeschützerin klar: Als Datenschutzbeauftragte und Informationssicherheitsbeauftragte müssen wir hier ein Meldesystem anbieten, mit welchem unsere Kunden die Anforderungen des Hinweisgeberschutzgesetzes und damit der EU Whistleblowing Richtlinie erfüllen.

Kleiner Werbeblock: Whistleblowing Portal der Datenbeschützerin

Mit unserem Whistleblowing Portal bieten wir Ihnen eine einfache und kostengünstige Möglichkeit, die Anforderungen der Whistleblowing Richtlinie und des Hinweisgeberschutzgesetzes (HinSchG) zu erfüllen und allem voran die Vertraulichkeit der Identität des Hinweisgebers zu wahren.

Whistleblowing Portal der Datenbeschützerin
Meldeprozess mit dem Portal der Datenbeschützerin
Meldeprozess mit dem Portal der Datenbeschützerin

Mehr über das Whistleblowing-Portal der Datenbeschützerin erfahren

Hört sich das interessant für Sie an?

In 5 Schritten zur internen Meldestelle

So, nun aber endlich zu den konkreten Vorschlägen zur weiteren Vorgehensweise – denn darum lesen Sie ja diesen Blogartikel:

  1. Interne(n) Ansprechpartner beauftragen
  2. Zum Unternehmen passende Meldekanäle wählen
  3. Meldeprozess definieren
  4. Meldekanäle implementieren, z.B.
    1. Briefkästen (wichtig! Für alle Mitarbeiter zugänglich, Vertraulichkeit gewährleisten)
    2. Telefonische Meldewege
    3. Online-Portal
  5. Meldeprozess beschreiben, für alle Mitarbeiter zugänglich machen und im Unternehmen kommunizieren

Internen Ansprechpartner beauftragen

Egal ob Sie einen externen Dienstleister beauftragen, der Ihnen ein Portal oder ein Meldesystem zur Verfügung steht, einen internen Ansprechpartner müssen Sie immer benennen. Wie schon oben geschrieben, ist diese Stelle mit Bedacht zu wählen. Es muss sich um eine extrem integere Person / Stelle handeln, und die Meldestelle soll nicht mit deren Tagesgeschäft schwer vereinbar oder sogar unvereinbar sein.

Der Aufwand für diese Stelle wird schätzungsweise nicht kontinuierlich hoch sein. Man kann davon ausgehen, dass die Meldungen nicht täglich eintreffen werden. Wenn allerdings eine Meldung eingeht, muss diese auch mit der entsprechenden Zeit und Sorgfalt bearbeitet werden können.

Ein direkter Draht zur Geschäftsführung muss in diesem Fall unkompliziert möglich sein.

Passende Meldekanäle auswählen

Ein Onlineportal ist sicherlich das einfachste System, um die Meldungen abzudecken. Briefkästen im Unternehmen, also interne „Kummerkästen“ sind auch eine Möglichkeit, diese Anforderung zu realisieren. Bedenken Sie aber, dass für manche Mitarbeiter der Weg zum Briefkasten eine innere Hürde darstellen kann. Auch verschiedene Standorte oder verschiedene Gebäude auf einem Werksgelände sollten bedacht werden.

Meldeprozess definieren

Jetzt wissen Sie, welches technische oder organisatorische System Sie für Ihr Unternehmen ausgewählt haben. Als nächstes geht es daran, zu definieren, wie genau der Ablauf erfolgt, wenn eine Meldung eingeht.

  • Wer wird wann informiert?
  • Welche externen Stellen (Anwälte, Behörden…) werden ggf. hinzugezogen und wer koordiniert die Beauftragung?
  • Welche Informationen erhält der Hinweisgeber zurück?
  • Wie kann über den gesamten Prozess der höchste Schutz des Hinweisgebers gewährleistet werden?

Meldekanäle implementieren

Jetzt erst geht es an die praktische Umsetzung und Implementierung des Meldesystems.

  • Installation von Briefkästen
  • Schalten einer eigenen Telefonnummer
  • Beauftragen einer Hotline / telefonisches Service Center
  • Konfigurieren eines Online-Meldeportals

Meldeprozess kommunizieren

Der letzte Punkt ist mindestens genauso wichtig wie die Auswahl sicherer Kanäle. Wie sollten Personen etwas melden können, wenn sie nicht wissen, wie und wo?

Viele Unternehmen haben bereits ein Intranet oder ein Managementsystem, über dessen Kanäle den Mitarbeitern Informationen und Prozessabläufe zur Verfügung gestellt werden. Informieren Sie auch in Schulungen oder über Team-Sitzungen, welche Möglichkeiten den Beschäftigten zur Verfügung stehen, um Vorfälle zu melden und wie sie trotzdem geschützt bleiben.

Whistleblowing Richtlinie - Hinweisgeberschutzgesetz
Whistleblowing Richtlinie – Hinweisgeberschutzgesetz

Vermeidung „falscher“ Meldungen

Wie kann sich das Unternehmen schützen, um Falschmeldungen zu vermeiden?

Der Schutz von Hinweisgebern könnte natürlich den einen oder anderen dazu verleiten, Meldungen abzusetzen, die frei erfunden sind. Nur mit dem Ziel, jemand anderen zu schaden.

Hier sagt das Gesetz und die EU Richtlinie aber auch ganz klar, dass diese Personen keinen Schutz erhalten. Zudem werden grob fahrlässige und wissentliche Falschmeldungen geahndet. Darauf ist besonders in den Schulungen der Mitarbeiter hinzuweisen.

Wie kann verhindert werden, dass ein Beschäftigter in falschem Namen meldet?

Darüber haben wir auch lange nachgedacht. Hundertprozentig kann das wahrscheinlich nicht ausgeschlossen werden. Mit einem intelligenten System unseres Whistleblowing-Portals erfolgt aber eine doppelte Identifizierung für die Richtigkeit der Meldung. Auf der anderen Seite bleibt der Melder trotzdem geschützt und seine Identität gewahrt.

So ganz pauschal kann man hier keine Vorgabe machen. Dieser Aspekt hängt sehr vom Meldesystem und der internen Meldestelle ab.

Die Whistleblowing Richtlinie und das Hinweisgeberschutzgesetz (HinSchG) – eine Zusammenfassung

Wie man es dreht und wendet, der Schutz des Hinweisgebers ist so gut wie die interne Meldestelle, bei der die Meldungen ungefiltert eingehen. Zudem darf man das Thema „Misstrauen in die IT-Abteilung“ nicht unterschätzen. Dieser Aspekt hat sich in mehreren Gesprächen, die wir bei den Vorbereitungen zu diesem Thema geführt haben, bestätigt.

Natürlich soll das nicht heißen, dass die Mitarbeiter der IT-Abteilung in jedem Unternehmen kritisch gegenüber stehen. Aber doch ist das immer wieder und (noch) in vielen Firmen der Fall.

Das bedeutet letztendlich: Ein guter Prozess, der Meldungen ermöglicht und fördert, muss die folgenden zwei wichtigsten Aspekte abdecken:

  1. Die interne Meldestelle ist entweder so extrem vertrauenswürdig bei den Mitarbeitern oder sie erhält die Meldungen auch nur gefiltert (also ohne Daten des Hinweisgebers).
  2. Bei elektronischen Meldungen kann nicht nachvollzogen werden, dass ein Mitarbeiter eine Meldung am Portal abgesetzt hat. Selbst wenn sich die IT-Mitarbeiter rechtmäßig oder unrechtmäßig Einblick in die E-Mails des Hinweisgebers verschaffen, darf nicht erkennbar sein, dass eine Meldung abgegeben wurde oder Kommunikation mit dem Meldeportal erfolgt ist.

Komplizierte Umsetzung, um die EU Vorgaben zu erfüllen?

Na ja, man kann alles immer kompliziert machen. Aber grundsätzlich kann man die Vorgaben auch mit recht einfachen und pragmatischen Mitteln erfüllen. Wie schon mehrmals erwähnt, reicht sogar ein Kummerkasten im Unternehmen.

Ob das die beste Lösung ist, steht auf einem anderen Blatt. Es gibt auch mehrere Anbieter, die professionelle Meldesysteme für diesen Zweck anbieten. Dies verursacht zunächst Kosten. Auf der anderen Seite sind diese Systeme überschaubar und sparen Ihnen auch Geld, weil Ihre interne Meldestelle erst im zweiten Schritt hinzugezogen wird.

So kompliziert, aufwändig und kostenintensiv ist es also nicht, diese Vorgaben zu erfüllen.

Aber das Hinweisgeberschutzgesetz ist doch in der Form noch gar nicht verabschiedet, warum muss ich dann schon aktiv werden?

Richtig, das Gesetz ist noch nicht verabschiedet. Es kann sich auch nochmal etwas im Referentenentwurf ändern, auf den wir uns hier an manchen Stellen beziehen.

Trotzdem, die Deadline der EU endet am 17.12.21. Wenn die EU Richtlinie bis dahin nicht in nationales Recht umgewandelt wurde, kann sich der Mitarbeiter direkt auf die EU Richtlinie berufen. Das heißt, egal, ob das Gesetz verabschiedet wurde oder nicht – ab 17.12.21 greifen diese Vorgaben.

Und auch wenn im Referentenentwurf noch Änderungen erfolgen werden, werden diese nicht so extrem ausfallen. Viele Punkte, auf die wir hier referenzierten, kommen direkt aus der EU Richtlinie.

Wie wollen Sie das Thema Whistleblowing-Schutz anpacken?

Proaktiv einen Meldeprozess anbieten? Warten, bis es Urteile gibt? Oder gar nichts tun? Vielleicht haben Sie ja auch schon eine gute Lösung implementiert.

Schreiben Sie uns einen Kommentar, wie Sie zu dem Thema stehen.

Quellen:

Diesen Beitrag teilen

Wie hilfreich war der Artikel?
Danke!
Regina Stoiber

Seit über 10 Jahren bin ich nun im Bereich Informationssicherheit und Datenschutz tätig. Mit Begeisterung für das Thema bin ich seit einigen Jahren nun selbständig. Ich unterstütze Sie, beim Schützen Ihrer Daten. Praxisorientiert, strukturiert und persönlich.

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.