Das Hinweisgeberschutzgesetz ist beschlossen

Die Abgeordneten des Deutschen Bundestages haben am Freitag, den 16. Dezember 2022, das Hinweisgeberschutzgesetz (HinSchG) beschlossen. Ziel des Gesetzes ist ein besserer Schutz hinweisgebender Personen im beruflichen Umfeld. Durch das Gesetz sollen vor allem Hinweisgeber vor Repressalien geschützt werden. Zugleich soll das Gesetz aber auch dafür sorgen, dass Missstände zunächst intern angegangen werden, bevor sich Hinweisgeber an die Öffentlichkeit wenden und ein Imageverlust für das Unternehmen droht. Durch den Gesetzesbeschluss wird mit einem Jahr Verspätung die Richtlinie (EU) 2019/1937 (Whistleblowing-Richtlinie) umgesetzt. Bevor das Gesetz in Kraft tritt, muss der Bundesrat noch zustimmen, die nächst Sitzung findet am 10. Februar 2023 statt. Gesetzesentwurf der Bundesregierung sowie Beschlussempfehlung und Bericht des Rechtsausschusses vom 14. Dezember 2022, sind hier abrufbar.

Der Beitrag verschafft einen Überblick darüber, was Arbeitgeber bei der Einrichtung interner Meldestellen aus datenschutzrechtlicher Sicht zu beachten haben.

Wer muss ein Hinweisgeberschutzsystem einrichten?

Grundsätzlich sind Arbeitgeber mit einer Beschäftigtenanzahl ab 50 Mitarbeitern verpflichtet, mindestens eine interne Meldestelle ab 2023 zu etablieren. Das Gesetz gibt eine gestaffelte Einführungsverpflichtung vor.

Ab Inkrafttreten des Gesetzes, womit voraussichtlich im 2. Quartal 2023 zu rechnen ist, müssen Arbeitgeber ab einer Beschäftigtenanzahl von 250 Mitarbeitern mindestens eine interne Meldestelle einrichten.
Für private Arbeitgeber, die zwischen 50 und 249 Mitarbeiter beschäftigen, besteht eine Übergangsfrist bis zum 17. Dezember 2023, um ein Hinweisgeberschutzsysteme zu etablieren.
Arbeitgeber mit weniger als 50 Beschäftigten, sind nicht verpflichtet, interne Meldekanäle einzurichten.

Das gilt jedoch nicht für Unternehmen aus dem Finanzsektor. Diese müssen bereits ab Inkrafttreten des Gesetzes einen internen Meldekanal implementieren und zwar unabhängig von der Anzahl ihrer Beschäftigten. Deshalb sind auch kleinere Wertpapierdienstleistungsunternehmen, die weniger als 50 Mitarbeitern beschäftigen, betroffen.

Interne und externe Meldestellen

Das Gesetz differenziert zwischen internen und externen Meldestellen. Für Unternehmen sind insbesondere interne Meldestellen relevant. Betroffene Unternehmen müssen mindestens eine interne Meldestelle einrichten, an welche sich Beschäftigte wenden können. Im Unternehmen kann die interne Meldestelle beispielsweise innerhalb der Compliance-Abteilung eingerichtet werden. Das Gesetz sieht jedoch auch die Möglichkeit vor, Dritte mit dem Betrieb einer internen Meldestelle zu betrauen. Das sind in der Regel Consulting-Unternehmen oder Rechtsanwälte, die als Ombudspersonen eingesetzt werden. Diese handeln als Verantwortliche im Sinne des Art. 4 Ziff. 7 DSGVO. Der Verantwortliche eines internen Meldekanals (Arbeitgeber und/oder Ombudsperson) kann sich eines Dienstleisters bedienen, der eine Anwendung zur Entgegennahme von Hinweisen und zur weiteren Kommunikation bereitstellt. In diesem Fall muss ein Vertrag zur Auftragsverarbeitung gem. Art. 28 DSGVO abgeschlossen werden.

Externe Meldestellen werden durch den Bund (Bundesamt für Justiz), die Länder, die BaFin und das Bundeskartellamt eingerichtet. Die hinweisgebende Person kann wählen, ob sie sich an eine interne oder externe Meldestelle wendet.

Was müssen Verantwortliche interner Meldestellen weiter beachten?

Interne Meldestellen müssen auch anonyme Meldungen entgegennehmen, bearbeiten und eine weitere Kommunikation in anonymer Form ermöglichen. Die Verpflichtung zur Ermöglichung anonymer Hinweise soll jedoch erst zum 1. Januar 2025 in Kraft treten.

Die hinweisgebende Person muss innerhalb von sieben Tagen eine Eingangsbestätigung erhalten und innerhalb von drei Monaten nach Eingangsbestätigung eine Rückmeldung über ergriffene sowie geplante Folgemaßnahmen. Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist Art. 6 Abs. 1 lit.c DSGVO in Verbindung mit § 10 HinSchG. Dabei umfasst die Norm auch die Verarbeitung besonderer Kategorien personenbezogener Daten aus Art. 9 DSGVO. Die Meldung ist zu dokumentiert und die Dokumentation muss drei Jahre nach Abschluss des Verfahrens gelöscht werden.

Aus datenschutzrechtlicher Sicht ist weiter zu beachten, dass die Einrichtung einer internen Meldestelle in das Verzeichnis von Verarbeitungstätigkeiten mitaufzunehmen ist (Art. 30 DSGVO), vor Einführung des Verfahrens, ist eine Datenschutzfolgenabschätzung durchzuführen (Art. 35 DSGVO), außerdem muss der Verantwortliche der hinweisgebenden Person Datenschutzhinweise zur Verfügung stellen (Art. 13 DSGVO). Sofern ein Betriebsrat vorhanden ist, ist dieser in den Prozess mit einzubeziehen und eine Betriebsvereinbarung abzuschießen.

Fazit

Unternehmen sind gut beraten tätig zu werden und fristgemäß interne Meldestellen einzurichten. Wer trotz Verpflichtung keine interne Meldestelle einrichtet und betreibt, handelt ordnungswidrig und riskiert ein Bußgeld in Höhe von bis zu zwanzigtausend Euro. Wird einem intern gemeldeten Hinweis nicht abgeholfen, kann sich die hinweisgebende Person an eine externe Meldestelle wenden.

Update 10.02.2023

Der Bundesrat hat am 10. Februar 2023 dem Gesetz zum Whistleblowerschutz in seiner aktuellen Entwurfsfassung nicht zugestimmt (vgl. hier). Für Bundesregierung und Bundestag besteht nun die Möglichkeit des Vermittlungsverfahrens, dabei wird der Vermittlungsausschuss angerufen, um mit den Ländern über eine Kompromisslösung zu sprechen. Währenddessen läuft das Vertragsverletzungsverfahren der Europäische Kommission weiter, weil Deutschland die EU-Whistleblowing-Richtlinie nicht fristgerecht umgesetzt hat.

Juliane Olga Moulganova | 16. Januar 2023 | Allgemein | EU Whistleblower Directive, HinSchG, Hinweisgeberschutzgesetz, interne Meldestelle, Ombudsperson, Whistleblowing

7 Comments

DrDatenschutz
10. Februar 2023 @ 12:02

In der heutigen 1030. Sitzung des Bundesrates wurde über das Inkrafttreten des deutschen Hinweisgeberschutzgesetzes entschieden und abgestimmt.

Der Bundestagsbeschluss zum Schutz von so genannten Whistleblowern hat am 10. Februar 2023 nicht die erforderliche Zustimmung im Bundesrat erhalten. Es kann daher nicht in Kraft treten.
- Daniela Windelband
  10. Februar 2023 @ 15:05
  
  Lieber Leser,
  vielen Dank für Ihren Kommentar. Natürlich haben auch wir die heutige Abstimmung im Bundesrat mit Spannung verfolgt. Vor wenigen Minuten haben wir den Artikel auch um ein Update ergänzt.
  Wir werden Sie zu dem Thema weiterhin auf dem Laufenden halten.
  Mit freundlichen Grüßen
  Ihre Blogredaktion
Ecovis Neumann, Karsten |
19. Januar 2023 @ 13:59

Mit welchem Argument kommen Sie zu der Aussage: “Sofern ein Betriebsrat vorhanden ist, ist dieser in den Prozess mit einzubeziehen und eine Betriebsvereinbarung abzuschießen.”? §87 (1) Nr. 1 oder 6 BetrVG – das wäre doch etwas weit, oder?
- Juliane Olga Moulganova
  19. Januar 2023 @ 15:59
  
  Guten Tag, genau an diese Norm hatte ich gedacht. Ich halte es für vertretbar anzunehmen, dass die Einrichtung eines Meldekanals darauf gerichtet ist, das Verhalten der Arbeitnehmer zu steuern und die Ordnung des Betriebs zu gewährleisten, im Sinne des § 87 Abs. 1 Nr. 1 BetrVG. Durch das Meldeverhalten ist die Gemeinschaft der Beschäftigten im Betrieb betroffen.
  Ferner halte ich es für vertretbar, die Implementierung eines plattformgestützten Hinweisgebersystems als eine technische Einrichtung anzusehen, die dazu geeignet ist das Verhalten der Arbeitnehmer zu überwachen, im Sinne des § 87 Abs. 1 Nr. 6 BetrVG.
  Viele Grüße
  Juliane Olga Moulganova
N.N.
16. Januar 2023 @ 11:26

Wie ist der derzeitige Meinungsstand zu Informationspflichten nach Art. 14 DS-GVO bzw. Auskunftspflicht nach Art 15 DS-GVO gegenüber einem in der Meldung Beschuldigten, im Hinblick auf die Offenlegung der Identität des Meldenden? Kann eine solche Offenlegung über Art. 14 Abs. 5 lit. c) DS-GVO in Verbindung mit Art. 29 Abs. 1, Satz 1 BDSG abgelehnt werden?
- Postkartenverehrer
  17. Januar 2023 @ 12:01
  
  Hallo N.N.,
  eine schöne Frage. Ohne die Antwort zu wissen, ungefragt meine Gedanken dazu:
  Es gab mal ein BGH Urteil (leider weiß ich die Daten nicht mehr) über einen Sachverhalt in dem ein Mieter in einem Gebäude einen anderen Mieter beim Vermieter beschuldigt hat, dass die Wohnung des Beschuldigten komplett vergammelt. Der Vermieter ist rein und stellt fest, dem ist nicht so. Darauf hat der Beschuldigte den Vermieter gebeten Auskunft über den hinweisgebenden Mieter erbeten. Dahingehend hat das Gericht entschieden, dass das Auskunftsrecht nach Art. 15 nicht soweit geht, dass die Person des Offenbarers vom Vermieter genannt werden muss, AUßER es handelt sich um unwahre Tatsachen.
  In diese Richtung würde ich also auch Ihre Frage beantworten.
  
  Darüber hinaus wäre noch an Art. 23 DSGVO zu denken. Eine einschlägige Litera lässt sich sicher finden.
  
  Ein so weitgehendes Auskunftsrecht nach Art. 15 würde ja dann den Schutz der Hinweisgebenden Person untergraben.
  
  Viele Grüße
  - Juliane Olga Moulganova
    19. Januar 2023 @ 14:58
    
    Guten Tag N.N., das ist eine spannende Frage. Denkbar wäre eine Ausnahme von der Informationspflicht über Art. 14 Abs. 5 lit. b DSGVO. Sofern damit zu rechnen ist, dass die Benachrichtigung der betroffenen Person, das durch die Meldung verfolgte Ziele zumindest ernsthaft beeinträchtigen würde. Zu Ausnahmen von der Informations- und Auskunftspflicht äußert sich die Datenschutzkonferenz (DSK) auf Seite 10 f. in der Orientierungshilfe zu Whistleblowing-Hotlines vom 14.11.2018.
    
    Viele Grüße
    Juliane Olga Moulganova