Die Abgeordneten des Deutschen Bundestages haben am Freitag, den 16. Dezember 2022, das Hinweisgeberschutzgesetz (HinSchG) beschlossen. Ziel des Gesetzes ist ein besserer Schutz hinweisgebender Personen im beruflichen Umfeld. Durch das Gesetz sollen vor allem Hinweisgeber vor Repressalien geschützt werden. Zugleich soll das Gesetz aber auch dafür sorgen, dass Missstände zunächst intern angegangen werden, bevor sich Hinweisgeber an die Öffentlichkeit wenden und ein Imageverlust für das Unternehmen droht. Durch den Gesetzesbeschluss wird mit einem Jahr Verspätung die Richtlinie (EU) 2019/1937 (Whistleblowing-Richtlinie) umgesetzt. Bevor das Gesetz in Kraft tritt, muss der Bundesrat noch zustimmen, die nächst Sitzung findet am 10. Februar 2023 statt. Gesetzesentwurf der Bundesregierung sowie Beschlussempfehlung und Bericht des Rechtsausschusses vom 14. Dezember 2022, sind hier abrufbar.

Der Beitrag verschafft einen Überblick darüber, was Arbeitgeber bei der Einrichtung interner Meldestellen aus datenschutzrechtlicher Sicht zu beachten haben.

Wer muss ein Hinweisgeberschutzsystem einrichten?

Grundsätzlich sind Arbeitgeber mit einer Beschäftigtenanzahl ab 50 Mitarbeitern verpflichtet, mindestens eine interne Meldestelle ab 2023 zu etablieren. Das Gesetz gibt eine gestaffelte Einführungsverpflichtung vor.

  • Ab Inkrafttreten des Gesetzes, womit voraussichtlich im 2. Quartal 2023 zu rechnen ist, müssen Arbeitgeber ab einer Beschäftigtenanzahl von 250 Mitarbeitern mindestens eine interne Meldestelle einrichten.
  • Für private Arbeitgeber, die zwischen 50 und 249 Mitarbeiter beschäftigen, besteht eine Übergangsfrist bis zum 17. Dezember 2023, um ein Hinweisgeberschutzsysteme zu etablieren.
  • Arbeitgeber mit weniger als 50 Beschäftigten, sind nicht verpflichtet, interne Meldekanäle einzurichten.

Das gilt jedoch nicht für Unternehmen aus dem Finanzsektor. Diese müssen bereits ab Inkrafttreten des Gesetzes einen internen Meldekanal implementieren und zwar unabhängig von der Anzahl ihrer Beschäftigten. Deshalb sind auch kleinere Wertpapierdienstleistungsunternehmen, die weniger als 50 Mitarbeitern beschäftigen, betroffen.

Interne und externe Meldestellen

Das Gesetz differenziert zwischen internen und externen Meldestellen. Für Unternehmen sind insbesondere interne Meldestellen relevant. Betroffene Unternehmen müssen mindestens eine interne Meldestelle einrichten, an welche sich Beschäftigte wenden können. Im Unternehmen kann die interne Meldestelle beispielsweise innerhalb der Compliance-Abteilung eingerichtet werden. Das Gesetz sieht jedoch auch die Möglichkeit vor, Dritte mit dem Betrieb einer internen Meldestelle zu betrauen. Das sind in der Regel Consulting-Unternehmen oder Rechtsanwälte, die als Ombudspersonen eingesetzt werden. Diese handeln als Verantwortliche im Sinne des Art. 4 Ziff. 7 DSGVO. Der Verantwortliche eines internen Meldekanals (Arbeitgeber und/oder Ombudsperson) kann sich eines Dienstleisters bedienen, der eine Anwendung zur Entgegennahme von Hinweisen und zur weiteren Kommunikation bereitstellt. In diesem Fall muss ein Vertrag zur Auftragsverarbeitung gem. Art. 28 DSGVO abgeschlossen werden.

Externe Meldestellen werden durch den Bund (Bundesamt für Justiz), die Länder, die BaFin und das Bundeskartellamt eingerichtet. Die hinweisgebende Person kann wählen, ob sie sich an eine interne oder externe Meldestelle wendet.

Was müssen Verantwortliche interner Meldestellen weiter beachten?

Interne Meldestellen müssen auch anonyme Meldungen entgegennehmen, bearbeiten und eine weitere Kommunikation in anonymer Form ermöglichen. Die Verpflichtung zur Ermöglichung anonymer Hinweise soll jedoch erst zum 1. Januar 2025 in Kraft treten.

Die hinweisgebende Person muss innerhalb von sieben Tagen eine Eingangsbestätigung erhalten und innerhalb von drei Monaten nach Eingangsbestätigung eine Rückmeldung über ergriffene sowie geplante Folgemaßnahmen. Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist Art. 6 Abs. 1 lit.c DSGVO in Verbindung mit § 10 HinSchG. Dabei umfasst die Norm auch die Verarbeitung besonderer Kategorien personenbezogener Daten aus Art. 9 DSGVO. Die Meldung ist zu dokumentiert und die Dokumentation muss drei Jahre nach Abschluss des Verfahrens gelöscht werden.

Aus datenschutzrechtlicher Sicht ist weiter zu beachten, dass die Einrichtung einer internen Meldestelle in das Verzeichnis von Verarbeitungstätigkeiten mitaufzunehmen ist (Art. 30 DSGVO), vor Einführung des Verfahrens, ist eine Datenschutzfolgenabschätzung durchzuführen (Art. 35 DSGVO), außerdem muss der Verantwortliche der hinweisgebenden Person Datenschutzhinweise zur Verfügung stellen (Art. 13 DSGVO). Sofern ein Betriebsrat vorhanden ist, ist dieser in den Prozess mit einzubeziehen und eine Betriebsvereinbarung abzuschießen.

Fazit

Unternehmen sind gut beraten tätig zu werden und fristgemäß interne Meldestellen einzurichten. Wer trotz Verpflichtung keine interne Meldestelle einrichtet und betreibt, handelt ordnungswidrig und riskiert ein Bußgeld in Höhe von bis zu zwanzigtausend Euro. Wird einem intern gemeldeten Hinweis nicht abgeholfen, kann sich die hinweisgebende Person an eine externe Meldestelle wenden.

 

Update 10.02.2023

Der Bundesrat hat am 10. Februar 2023 dem Gesetz zum Whistleblowerschutz in seiner aktuellen Entwurfsfassung nicht zugestimmt (vgl. hier). Für Bundesregierung und Bundestag besteht nun die Möglichkeit des Vermittlungsverfahrens, dabei wird der Vermittlungsausschuss angerufen, um mit den Ländern über eine Kompromisslösung zu sprechen. Währenddessen läuft das Vertragsverletzungsverfahren der Europäische Kommission weiter, weil Deutschland die EU-Whistleblowing-Richtlinie nicht fristgerecht umgesetzt hat.