Whistleblowing

Welche Unternehmen müssen zu welchem Zeitpunkt interne Meldekanäle einrichten?

• Unternehmen mit mindestens 250 Beschäftigten müssen spätestens innerhalb von drei Monaten nach Verkündung des Hinweisgeberschutzgesetzes interne Meldekanäle eingerichtet haben und betreiben.
• Für Unternehmen mit 50 bis 249 Beschäftigten sieht der HinSchG eine verlängerte Einrichtungsfrist bis zum 17. Dezember 2023 vor. Diesen Unternehmen ist nach dem HinSchG zudem erlaubt, Ressourcen zu teilen und mit anderen Unternehmen eine „gemeinsame Meldestelle“ zu betreiben.
• Öffentliche Stellen sind bereits seit dem 18. Dezember 2021 verpflichtet, interne Meldestellen vorzuhalten, weil die EU-Whistleblower Richtlinie schon seit Ablauf der Umsetzungsfrist für die öffentliche Verwaltung unmittelbar gilt.

Was ist bei der Einrichtung und beim Betrieb interner Meldekanäle zu beachten?

1. Die internen Meldekanäle sollten Meldungen in mündlicher, schriftlicher oder auch in persönlicher Weise ermöglichen.

• Schriftliche Meldekanäle können sein: IT-gestütztes Hinweisgebersystem wie etwa eine Plattform im Internet oder Intranet, eine eigens für die Entgegennahme und Bearbeitung von Hinweisen eingerichtete E-Mail-Adresse, Beschwerde-Briefkasten oder Meldungen über den Postweg
• Mündliche Meldekanäle können sein: Whistleblower-Hotline, Anrufbeantwortersystem
• Auf Wunsch des Hinweisgebers sollte es über diese Kanäle auch möglich sein, innerhalb eines angemessenen Zeitraums Hinweise in einem persönlichen Treffen zu besprechen

2. Bei allen Meldewegen muss die Vertraulichkeit des Hinweisgebers sowie Dritter geschützt sein.

• Die internen Meldekanäle müssen so konzipiert sein, dass die Vertraulichkeit der Integrität des Hinweisgebers und Dritter, die in der Meldung erwähnt werden, gewahrt bleibt und nicht befugten Mitarbeitern der Zugriff darauf verwehrt wird.
• Vertraulichkeit bedeutet, dass die Integrität des Hinweisgebers ohne dessen ausdrückliche Zustimmung grundsätzlich keinen anderen Personen als gegenüber den befugten Mitarbeitern, die für die Entgegennahme von Meldungen oder für das Ergreifen von Folgemaßnahmen zu Meldungen zuständig sind, offengelegt werden darf.
• Anonymität: Beschäftigungsgeber müssen die Abgabe anonymer Meldungen ermöglichen. Für die Umsetzung der Anonymität im Meldeverfahren gilt eine zusätzliche Umsetzungsfrist bis zum 1. Januar 2025.

3. Bestimmung der Zuständigkeit innerhalb des Unternehmens mit einer sehr eingeschränkten Zugriffsrechte-Zuweisung

• Innerhalb des Unternehmens müssen „Meldestellen-Beauftragte“ bestimmt werden (eine/mehrere Person/en oder Abteilung), die die Meldungen entgegennehmen, dem Hinweisgeber innerhalb der 7-Tage-Frist den Eingang der Meldung bestätigen, die Meldung prüfen, entsprechende Folgemaßnahmen in die Wege leiten und dem Hinweisgeber innerhalb von 3 Monaten über ergriffene Folgemaßnahmen informieren.
• Konkrete Vorgaben gibt es nicht. Maßgeblich ist die jeweilige Organisationsstruktur, Größe und Art der ausgeübten Unternehmenstätigkeit.
• Diese Personen können insbesondere sein: Compliance-Leiter, Legal Councel, Datenschutzbeauftragter, Finanzdirektor, Auditverantwortlicher.
• Diese Personen können neben ihrer Tätigkeit für die interne Meldestelle andere Aufgaben und Pflichten wahrnehmen. Wichtig ist aber, sicherzustellen, dass derartige Aufgaben und Pflichten nicht zu Interessenskonflikten führen und diese Personen unabhängig handeln können und die notwendige Fachkunde besitzen. Hierzu wird es in der Regel erforderlich sein, die betreffenden Personen im Hinblick auf die mit der Übernahme der Funktion verbundene Verantwortung zu schulen.

4. Bei (internationalen) Konzernstrukturen

5. Von der im Unternehmen zuständigen Person oder Abteilung müssen ordnungsgemäße Folgemaßnahmen ergriffen werden, diese können beispielsweise sein

• Einleitung interner Nachforschungen
• Mögliche Maßnahmen zur Behebung des Problems
• Verweis auf andere Kanäle oder Verfahren bei Meldungen
• Abschluss des Verfahrens aufgrund mangelnder Beweise oder anderer Gründe
• Befassung einer zuständigen Behörde

6. Bearbeitungsfristen müssen beachtet werden

• Innerhalb von sieben Tagen muss dem Hinweisgeber bestätigt werden, dass seine Meldung eingegangen ist.
• Innerhalb von spätestens drei Monaten nach der Bestätigung des Eingangs der Meldung muss der Hinweisgeber über geplante oder bereits ergriffene Folgemaßnahmen sowie die Gründe für diese informiert werden.

• Alle eingehenden Meldungen müssen im Einklang mit den Vertraulichkeitspflichten dokumentiert werden.
• Wie die Meldungen dokumentiert werden müssen, hängt davon ab, über welchen Kanal die Meldung eingegangen ist.
• Das gewählte Meldesystem sollte entsprechende Anwendungen haben, dass Meldungen und Folgemaßnahmen so dokumentiert werden, dass sie gegebenenfalls als Beweismittel verwendet werden können.
• Löschfrist: 3 Jahre

• Unternehmen müssen Informationen über den internen Meldeprozess und über alternative externe Meldeverfahren an die jeweils zuständigen Behörden bereitstellen.
• Diese Informationen müssen leicht verständlich und zugänglich sein, zum Beispiel über die Unternehmens-Website, im Intranet oder am Schwarzen Brett.
• Außerdem sollen explizit Anreize für eine interne Meldung gesetzt werden, externe Meldungen aber gleichzeitig nicht erschwert werden.

• Im Hinweisgebersystem werden personenbezogene Daten verarbeitet. Bei der Einrichtung und Durchführung des internen Meldeverfahrens sind alle rechtlichen Bedingungen des Datenschutzes einzuhalten. Alle personenbezogenen Daten, sowohl die des Hinweisgebers als auch etwaiger beschuldigter Personen, müssen im Einklang mit der EU-Datenschutzgrundverordnung sowie des Bundesdatenschutzgesetzes verarbeitet werden.
• Aufbewahrungs-/Löschfristen müssen festgelegt werden (siehe hierzu Punkt 7).
• Die Erstellung einer Datenschutzerklärung für Hinweisgeber wird erforderlich sein.
• Wenn externe Anbieter als interne Meldestellen beauftragt werden, wird der Abschluss einer Auftragsdatenverarbeitung erforderlich sein.
• Der Prozess über den internen Meldekanal muss im Verzeichnis der Verarbeitungstätigkeiten aufgenommen werden.
• In der Regel wird die Durchführung einer Datenschutz-Folgeabschätzung erforderlich sein.
• Eine sichere Datenverarbeitung verlangt geeignete technische und organisatorische Maßnahmen.
• Der (externe) Datenschutzbeauftragte sollte daher frühzeitig eingebunden werden. Zur Klärung von Zweifelsfragen stehen auch die Datenschutzbehörden zur Verfügung.