Whistleblowing
Seit 2023 ist das Hinweisgeberschutzgesetz (HinSchG) in Kraft. Welche Pflichten daraus für Sie entstehen und wie Sie diese im Unternehmensalltag umsetzen, erfahren Sie hier.
- Einrichtung interner Meldekanäle
Welche Unternehmen müssen zu welchem Zeitpunkt interne Meldekanäle einrichten?
Nach der EU -Richtlinie sind Unternehmen, die 50 und mehr Mitarbeiter beschäftigten oder im Finanzdienstleistungsbereich tätig sind sowie öffentliche Arbeitgeber verpflichtet, ein internes Meldekanal einzurichten.- Unternehmen mit mindestens 250 Beschäftigten müssen spätestens innerhalb von drei Monaten nach Verkündung des Hinweisgeberschutzgesetzes interne Meldekanäle eingerichtet haben und betreiben.
- Für Unternehmen mit 50 bis 249 Beschäftigten sieht der HinSchG eine verlängerte Einrichtungsfrist bis zum 17. Dezember 2023 vor. Diesen Unternehmen ist nach dem HinSchG zudem erlaubt, Ressourcen zu teilen und mit anderen Unternehmen eine „gemeinsame Meldestelle“ zu betreiben.
- Öffentliche Stellen sind bereits seit dem 18. Dezember 2021 verpflichtet, interne Meldestellen vorzuhalten, weil die EU-Whistleblower Richtlinie schon seit Ablauf der Umsetzungsfrist für die öffentliche Verwaltung unmittelbar gilt.
Was ist bei der Einrichtung und beim Betrieb interner Meldekanäle zu beachten?
Folgende Punkte sollten berücksichtigt werden:1. Die internen Meldekanäle sollten Meldungen in mündlicher, schriftlicher oder auch in persönlicher Weise ermöglichen.
- Schriftliche Meldekanäle können sein: IT-gestütztes Hinweisgebersystem wie etwa eine Plattform im Internet oder Intranet, eine eigens für die Entgegennahme und Bearbeitung von Hinweisen eingerichtete E-Mail-Adresse, Beschwerde-Briefkasten oder Meldungen über den Postweg
- Mündliche Meldekanäle können sein: Whistleblower-Hotline, Anrufbeantwortersystem
- Auf Wunsch des Hinweisgebers sollte es über diese Kanäle auch möglich sein, innerhalb eines angemessenen Zeitraums Hinweise in einem persönlichen Treffen zu besprechen
Für die Abgabe von Meldungen können die Unternehmen mehrere Kanäle zur Verfügung stellen.2. Bei allen Meldewegen muss die Vertraulichkeit des Hinweisgebers sowie Dritter geschützt sein.
- Die internen Meldekanäle müssen so konzipiert sein, dass die Vertraulichkeit der Integrität des Hinweisgebers und Dritter, die in der Meldung erwähnt werden, gewahrt bleibt und nicht befugten Mitarbeitern der Zugriff darauf verwehrt wird.
- Vertraulichkeit bedeutet, dass die Integrität des Hinweisgebers ohne dessen ausdrückliche Zustimmung grundsätzlich keinen anderen Personen als gegenüber den befugten Mitarbeitern, die für die Entgegennahme von Meldungen oder für das Ergreifen von Folgemaßnahmen zu Meldungen zuständig sind, offengelegt werden darf.
- Anonymität: Beschäftigungsgeber müssen die Abgabe anonymer Meldungen ermöglichen. Für die Umsetzung der Anonymität im Meldeverfahren gilt eine zusätzliche Umsetzungsfrist bis zum 1. Januar 2025.
3. Bestimmung der Zuständigkeit innerhalb des Unternehmens mit einer sehr eingeschränkten Zugriffsrechte-Zuweisung
- Innerhalb des Unternehmens müssen „Meldestellen-Beauftragte“ bestimmt werden (eine/mehrere Person/en oder Abteilung), die die Meldungen entgegennehmen, dem Hinweisgeber innerhalb der 7-Tage-Frist den Eingang der Meldung bestätigen, die Meldung prüfen, entsprechende Folgemaßnahmen in die Wege leiten und dem Hinweisgeber innerhalb von 3 Monaten über ergriffene Folgemaßnahmen informieren.
- Konkrete Vorgaben gibt es nicht. Maßgeblich ist die jeweilige Organisationsstruktur, Größe und Art der ausgeübten Unternehmenstätigkeit.
- Diese Personen können insbesondere sein: Compliance-Leiter, Legal Councel, Datenschutzbeauftragter, Finanzdirektor, Auditverantwortlicher.
- Diese Personen können neben ihrer Tätigkeit für die interne Meldestelle andere Aufgaben und Pflichten wahrnehmen. Wichtig ist aber, sicherzustellen, dass derartige Aufgaben und Pflichten nicht zu Interessenskonflikten führen und diese Personen unabhängig handeln können und die notwendige Fachkunde besitzen. Hierzu wird es in der Regel erforderlich sein, die betreffenden Personen im Hinblick auf die mit der Übernahme der Funktion verbundene Verantwortung zu schulen.
Alternative: Auch Dritte können als interne Meldestellen beauftragt werden. Die Entgegennahme und Bearbeitung von Hinweisen kann auch auf externe Anbieter von Meldeplattformen bzw. auf Ombudspersonen (etwa Rechtsanwälten) ausgelagert werden, sofern diese entsprechende Garantien für die Wahrung der Unabhängigkeit und Vertraulichkeit, des Datenschutzes und der Geheimhaltung bieten.4. Bei (internationalen) Konzernstrukturen
Im Konzern sind verschiedene Gestaltungsmöglichkeiten denkbar. Zum einen eine lokale Organisation, in der jedes Konzernunternehmen ein eigenes Hinweisgeberschutzsystem unterhält. Denkbar ist auch eine regionale Organisation in der Form, dass einzelne Konzerngesellschaften für eine bestimmte Region ein Hinweisgebersystem betreiben. Auch eine zentrale Lösung kommt in Betracht in der Form, dass die Meldestelle zentral in einer Einheit (in der Regel bei der Konzernmutter) angesiedelt ist.Der HinSchG erlaubt es, auch einen „Dritten“ mit der Aufgabe einer internen Meldestelle zu beauftragen. Es kann auch bei einer anderen Konzerngesellschaft (zum Beispiel Mutter-, Schwester-, oder Tochtergesellschaft) eine unabhängige und vertrauliche Stelle als „Dritter“ eingerichtet werden, die auch für mehrere selbstständige Unternehmen in dem Konzern tätig sein kann. Dabei ist es aber notwendig, dass die originäre Verantwortung dafür, einen festgestellten Verstoß zu beheben und weiterzuverfolgen, immer bei dem jeweiligen beauftragenden Unternehmen verbleibt.5. Von der im Unternehmen zuständigen Person oder Abteilung müssen ordnungsgemäße Folgemaßnahmen ergriffen werden, diese können beispielsweise sein
- Einleitung interner Nachforschungen
- Mögliche Maßnahmen zur Behebung des Problems
- Verweis auf andere Kanäle oder Verfahren bei Meldungen
- Abschluss des Verfahrens aufgrund mangelnder Beweise oder anderer Gründe
- Befassung einer zuständigen Behörde
6. Bearbeitungsfristen müssen beachtet werden
- Innerhalb von sieben Tagen muss dem Hinweisgeber bestätigt werden, dass seine Meldung eingegangen ist.
- Innerhalb von spätestens drei Monaten nach der Bestätigung des Eingangs der Meldung muss der Hinweisgeber über geplante oder bereits ergriffene Folgemaßnahmen sowie die Gründe für diese informiert werden.
- Dokumentation der Meldungen und Datenaufbewahrung
- Alle eingehenden Meldungen müssen im Einklang mit den Vertraulichkeitspflichten dokumentiert werden.
- Wie die Meldungen dokumentiert werden müssen, hängt davon ab, über welchen Kanal die Meldung eingegangen ist.
- Das gewählte Meldesystem sollte entsprechende Anwendungen haben, dass Meldungen und Folgemaßnahmen so dokumentiert werden, dass sie gegebenenfalls als Beweismittel verwendet werden können.
- Löschfrist: 3 Jahre
- Information über das Meldeverfahren
- Unternehmen müssen Informationen über den internen Meldeprozess und über alternative externe Meldeverfahren an die jeweils zuständigen Behörden bereitstellen.
- Diese Informationen müssen leicht verständlich und zugänglich sein, zum Beispiel über die Unternehmens-Website, im Intranet oder am Schwarzen Brett.
- Außerdem sollen explizit Anreize für eine interne Meldung gesetzt werden, externe Meldungen aber gleichzeitig nicht erschwert werden.
- Datenschutzrechtliche Pflichten
- Im Hinweisgebersystem werden personenbezogene Daten verarbeitet. Bei der Einrichtung und Durchführung des internen Meldeverfahrens sind alle rechtlichen Bedingungen des Datenschutzes einzuhalten. Alle personenbezogenen Daten, sowohl die des Hinweisgebers als auch etwaiger beschuldigter Personen, müssen im Einklang mit der EU-Datenschutzgrundverordnung sowie des Bundesdatenschutzgesetzes verarbeitet werden.
- Aufbewahrungs-/Löschfristen müssen festgelegt werden (siehe hierzu Punkt 7).
- Die Erstellung einer Datenschutzerklärung für Hinweisgeber wird erforderlich sein.
- Wenn externe Anbieter als interne Meldestellen beauftragt werden, wird der Abschluss einer Auftragsdatenverarbeitung erforderlich sein.
- Der Prozess über den internen Meldekanal muss im Verzeichnis der Verarbeitungstätigkeiten aufgenommen werden.
- In der Regel wird die Durchführung einer Datenschutz-Folgeabschätzung erforderlich sein.
- Eine sichere Datenverarbeitung verlangt geeignete technische und organisatorische Maßnahmen.
- Der (externe) Datenschutzbeauftragte sollte daher frühzeitig eingebunden werden. Zur Klärung von Zweifelsfragen stehen auch die Datenschutzbehörden zur Verfügung.
Diese Informationen können ebenfalls helfen:
In diesem Beitrag finden Sie Informationen, Hilfestellungen und weitere Details rund um Bürokratie zum Thema Whistleblowing und HinSchG.
Kontakt

Daniel Tänzer