Regina Mühlich - AdOrga Solutions GmbH Datenschutz

adorgasolutions

Um­set­zung der Whist­le­b­lo­wing Richt­li­nie ent­schie­den –  Hin­weis­ge­ber­schutz­ge­setz ist (endlich) da
Die Richt­li­nie (EU) 2019/1937 des Eu­ro­päi­schen Par­la­ments und Rates vom 23.10.2019 zum „Schutz von Per­so­nen, die Ver­stö­ßen gegen das Uni­on­recht melden“[1], sog. Whis­t­­le­­b­­lower-Rich­t­­li­­nie, ist am 16.12.2019 in Kraft getreten.
Die Ziele der EU-Whis­t­­le­­b­­lo­­wing-Rich­t­­li­­nie sind unter anderem:

  • Ver­stö­ße aufdecken
  • Prä­ven­ti­on (!)
  • Rechts­durch­set­zung verbessern
  • Hin­weis­ge­ben­de Per­so­nen vor Re­pres­sa­li­en schützen

Das deut­sche Hin­weis­ge­ber­schutz­ge­setz (HinSchG) tritt am 02.07.2023 in Kraft. Es will einen um­fas­sen­den Schutz von Whist­le­b­lo­wern sicherstellen.

Es war ein langer Weg…

Ein Ge­set­zes­ent­wurf zum Hin­weis­ge­ber­schutz­ge­setz wird Anfang 2021 vom da­ma­li­gen Jus­tiz­mi­nis­te­ri­um (SPD) vor­ge­legt. Der Entwurf wird ins­be­son­de­re von der CDU/CSU ab­ge­lehnt. Im De­zem­ber 2021 lief die Um­set­zungs­frist der EU für ein na­tio­na­les Hin­weis­ge­ber­schutz­ge­setz ab. Die EU leitet dar­auf­hin im Februar 2022 ein Ver­trags­ver­let­zungs­ver­fah­ren wegen Über­schrei­tung der Um­set­zungs­frist gegen Deutsch­land ein. Im Juli 2022 ver­öf­fent­licht die Bun­des­re­gie­rung einen kon­kre­ten Ge­setz­ent­wurf, über den Bun­des­tag und Bun­des­rat im Sep­tem­ber 2022 beraten.

Am 19.10.2022 wurde der Ge­setz­ent­wurf im Rahmen einer öf­fent­li­chen An­hö­rung im Rechts­aus­schuss dis­ku­tiert. Die Sach­ver­stän­di­gen be­für­wor­te­ten grund­sätz­lich den Entwurf, der noch Ver­bes­se­rungs­po­ten­zi­al habe, ins­be­son­de­re weil er Hin­weis­ge­ber noch nicht aus­rei­chend schütze. Auch der un­zu­rei­chen­de Schutz von zu Unrecht Be­schul­dig­ten wurde viel­fach kri­ti­siert. Ins­be­son­de­re die AfD-Frak­­ti­on äußerte sich sehr kri­tisch zu dem Gesetzentwurf.

Der Deut­sche Bun­des­tag ver­ab­schie­de­te das Hin­weis­ge­ber­schutz­ge­setz am 16.12.2022. Der Bun­des­rat blo­ckier­te das Hin­weis­ge­ber­schutz­ge­setz jedoch. Am 10.02.2023 wurde dem Gesetz ent­ge­gen vieler Er­war­tun­gen nicht zu­ge­stimmt. Ins­be­son­de­re die CDU/CSU stand dem Gesetz ab­leh­nend gegenüber.

Am 09.05.2023 hat sich der Ver­mitt­lungs­aus­schuss von Bun­des­tag und Bun­des­rat auf Än­de­run­gen am Hin­weis­ge­ber­schutz­ge­setz ge­ei­nigt. Der Bun­des­tag ver­ab­schie­de­te das Gesetz am 11.05.2023 und der Bun­des­rat stimmte am 12.05.2023 zu.

Das Hin­weis­ge­ber­schutz­ge­setz (HinSchG) wurde am 11.05.2023 vom Bun­des­tag ver­ab­schie­det und einen Tag später vom Bun­des­rat ge­bil­ligt. Damit hatte das ewige Gezerre um die Um­set­zung der EU-Whis­t­­le­­b­­lo­­wing-Rich­t­­li­­nie ein Ende. Nach der Aus­fer­ti­gung durch den Bun­des­prä­si­den­ten wurde das Gesetz am 02.06.2023 im Bun­des­ge­setz­blatt ver­kün­det (BGBl. I Nr. 140 vom 02.06.2023)[2]. Es ist im We­sent­li­chen am 02.07.2023 in Kraft ge­tre­ten (vgl. Art. 10 Abs. 2).

Die wich­tigs­ten Punkte

  • Ab 02.07.2023 müssen Un­ter­neh­men re­gu­lier­ter In­dus­trien oder mit min­des­tens 250 Be­schäf­tig­ten eine interne Mel­de­stel­le im­ple­men­tiert haben.
    Ab 17.12.2023 müssen Un­ter­neh­men ab 50 Be­schäf­tig­te eine interne Mel­de­stel­le ein­ge­rich­tet haben.
    Für Be­trie­be mit weniger als 50 Be­schäf­tig­ten besteht keine Ver­pflich­tung zur Ein­rich­tung einer in­ter­nen Mel­de­stel­le gemäß § 12 HinSchG. Dennoch ist die Ein­hal­tung des HinSchG si­cher­zu­stel­len und es sind ent­spre­chen­de Mel­de­we­ge ein­zu­rich­ten. Ent­spre­chen­de Pro­zes­se und Ver­fah­ren zur Annahme und Be­ar­bei­tun­gen von In­for­ma­tio­nen (§ 3 Abs. 3 HinSchG) sowie Maß­nah­men zum Schutz der hin­weis­ge­ben­den Person sind zu implementieren.
  • Anonyme Mel­dun­gen sind möglich, al­ler­dings besteht keine Pflicht für anonyme Mel­de­ka­nä­le. Die Be­ar­bei­tung von an­ony­men Mel­dun­gen ist keine Pflicht (eine sog. „Soll-Vor­­­schrift“, soll heißen „sie sollten be­ar­bei­tet und nicht igno­riert werden).
  • Lösch­pflicht: Die Do­ku­men­ta­ti­on ist drei Jahre nach Ab­schluss des Ver­fah­rens zu löschen. Diese kann länger auf­be­wahrt werden, solange dies er­for­der­lich und ver­hält­nis­mä­ßig ist (§ 11 Abs. 5 HinSchG; Hinweis: im Entwurf waren es zwei Jahre).
  • Buß­geld­vor­schrif­ten sind in § 40 HinSchG ge­re­gelt. Das Fehlen einer in­ter­nen Mel­de­stel­le wird mit bis zu 20.000 EUR sank­tio­niert. Die Buß­geld­vor­schrif­ten gelten ab 01.12.2023 (§ 42 Abs. 2 HinSchG).

Be­griffs­be­stim­mun­gen

Whist­le­b­lower (zu deutsch zu­neh­mend Hin­weis­ge­ber, Ent­hül­ler oder Auf­de­cker) ist der An­gli­zis­mus für eine Person, die für die Öf­fent­lich­keit wich­ti­ge In­for­ma­tio­nen aus einem ge­hei­men oder ge­schütz­ten Zu­sam­men­hang ver­öf­fent­licht.[3] Das HinSchG ver­wen­det den Begriff „hin­weis­ge­ben­de Person“. Und was im Da­ten­schutz­recht der Ver­ant­wort­li­che ist, ist im Hin­weis­ge­ber­schutz­ge­setz der Be­schäf­ti­gungs­ge­ber.

Ver­stö­ße (§ 3 Abs. 2 HinSchG) sind Hand­lun­gen oder Un­ter­las­sun­gen im Rahmen einer be­ruf­li­chen, un­ter­neh­me­ri­schen oder dienst­li­chen Tä­tig­keit, die rechts­wid­rig sind und Vor­schrif­ten oder Rechts­ge­bie­te betreffen […].

In­for­ma­tio­nen über Ver­stö­ße sind be­grün­de­te Ver­dachts­mo­men­te oder Wissen über tat­säch­li­che oder mög­li­che Ver­stö­ße, […] (§ 3 Abs. 3 HinSchG).

§ 3 Abs. 8 HinSchG de­fi­niert den Begriff Be­schäf­tig­te. Die De­fi­ni­ti­on ist mit § 26 Abs. 8 BDSG vergleichbar.

Auf­ga­ben einer in­ter­nen Meldestelle

Die Pflicht zur Ein­rich­tung einer in­ter­nen Mel­de­stel­le ergibt sich für den Be­schäf­ti­gungs­ge­ber aus § 12 HinSchG. Die Auf­ga­ben der in­ter­nen Mel­de­stel­len sind in § 13 HinSchG ge­re­gelt: Die in­ter­nen Mel­de­stel­len be­trei­ben Mel­de­ka­nä­le nach § 16 HinSchG, führen das Ver­fah­ren nach § 17 HinSchG und er­grei­fen Fol­ge­maß­nah­men nach § 18 HinSchG.

Dem­zu­fol­ge sind die Auf­ga­ben u.a.:

  • Be­trei­ben von in­ter­nen Mel­de­ka­nä­len (§ 16 HinSchG): 
    • Münd­lich, d.h. Mel­dun­gen müssen per Telefon oder mittels einer anderen Art der Sprach­über­mitt­lung möglich sein;
    • Meldung in Text­form, z.B. per E-Mail;
    • Per­sön­lich auf Er­su­chen der hin­weis­ge­ben­den Person.
  • § 17 HinSchG regelt das Ver­fah­ren bei in­ter­nen Mel­dun­gen, wie z.B. die Be­stä­ti­gung des Mel­de­ein­gangs an die hin­weis­ge­ben­de Person binnen sieben Tagen wie auch die Rück­mel­dung nach drei Monaten (Art. 17 Abs. 2 HinSchG).
  • Als Fol­ge­maß­nah­men kann die interne Mel­de­stel­le (§ 18 HinSchG) z.B.
    • interne Un­ter­su­chun­gen durch­füh­ren und be­trof­fe­ne Per­so­nen kontaktieren;
    • das Ver­fah­ren aus Mangel an Be­wei­sen oder aus anderen Gründen abschließen;
    • das Ver­fah­ren zwecks wei­te­rer Un­ter­su­chung abgeben an z.B. eine zu­stän­di­ge Behörde.

Per­so­nen, die be­ab­sich­ti­gen In­for­ma­tio­nen über einen Verstoß zu melden, können wählen, ob sie sich an eine interne Mel­de­stel­le oder eine externe Mel­de­stel­le wenden. Wobei gemäß § 7 Abs. 1 Satz 2 HinSchG die interne Mel­de­stel­le zu be­vor­zu­gen ist, d.h. Be­schäf­ti­gungs­ge­ber sollen hier auch Anreize schaf­fen, dass die hin­weis­ge­ben­de Per­so­nen diesen Kanal wählt (was nur zum Vorteil des Un­ter­neh­mens ist!).

Grund­sätz­lich kann eine interne Mel­de­stel­le an einen Dienst­leis­ter out­ges­our­ced werden. Bei vielen klein- und mit­tel­stän­di­schen Un­ter­neh­men wird dies auch ein sinn­vol­ler und ein­fa­cher Weg sein, u.a. auch zur Ver­mei­dung von In­ter­es­sens­kon­flik­ten. Es bleibt dabei wei­ter­hin „eine interne Meldestelle“.
Externe Mel­de­stel­len (§§ 22 ff. HinSchG) werden recht­zei­tig zum In­kraft­tre­ten des Hin­weis­ge­ber­schutz­ge­set­zes am 02.07.2023 auf der Web­sei­te des Bun­des­amt für Justiz ver­öf­fent­licht, über die sich hin­weis­ge­ben­de Per­so­nen an die externe Mel­de­stel­le des Bundes wenden können.

An­wen­dungs­be­reich

Der per­sön­li­che An­wen­dungs­be­reich ist in § 1 HinSchG ge­re­gelt. Das Gesetz regelt den Schutz von na­tür­li­chen Per­so­nen als hin­weis­ge­ben­de Person (Abs. 1) sowie den Schutz von Per­so­nen, die Ge­gen­stand einer Meldung oder Of­fen­le­gung sind (Abs. 2).

Der sach­li­che An­wen­dungs­be­reich ist in § 2 HinSchG de­fi­niert. Das Gesetz gilt für die Meldung (§ 3 Abs. 4 HinSchG) und die Of­fen­le­gung (§ 3 Abs. 5 HinSchG) von In­for­ma­tio­nen über

  1. Ver­stö­ße, die straf­be­wehrt sind,
  2. Ver­stö­ße, die buß­geld­be­wehrt sind, soweit die ver­letz­te Vor­schrift dem Schutz von leben, Leib oder Ge­sund­heit oder dem Schutz der Rechte von Be­schäf­tig­ten oder ihrer Ver­tre­tungs­or­ga­ne dient,
  3. Sons­ti­ge Ver­stö­ße gegen Rechts­vor­schrif­ten des Bundes und der Länder sowie un­mit­tel­ba­re gel­ten­de Rechts­ak­te der Eu­ro­päi­schen Union […] (lit. a – s).

Dabei umfasst lit. o) den Schutz der Pri­vat­sphä­re in der elek­tro­ni­schen Kom­mu­ni­ka­ti­on, dem Schutz der Ver­trau­lich­keit der Kom­mu­ni­ka­ti­on, den Schutz per­so­nen­be­zo­ge­nen Daten im Bereich der elek­tro­ni­schen Kommunikation, […].

Lit. p) umfasst ex­pli­zit den Schutz per­so­nen­be­zo­ge­ner Daten im An­wen­dungs­be­reich der Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DSGVO).

Daten­schutz

Nach Art. 9 Whis­t­­le­­b­­lower-Rich­t­­li­­nie müssen die in­ter­nen Mel­de­ka­nä­le so sicher kon­zi­piert sein, dass die Ver­trau­lich­keit der Iden­ti­tät des Hin­weis­ge­bers und Dritter, die in der Meldung erwähnt werden, gewahrt bleibt. Es gelten grund­sätz­lich die Vor­ga­ben der Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DSGVO).

Da­ten­­­schutz-Fol­­gen­a­b­­schä­t­­zung

Unter Geltung der DSGVO gehört es zu den Pflich­ten des Ver­ant­wort­li­chen, bei Formen der Ver­ar­bei­tung, die ein hohes Risiko für die Rechte und Frei­hei­ten na­tür­li­cher Per­so­nen zur Folge haben, eine Da­ten­­­schutz-Fol­­gen­a­b­­schä­t­­zung (DSFA) durch­zu­füh­ren.

Auf­grund des (mög­li­chen) hohen Risikos für die Rechte und Frei­hei­ten na­tür­li­cher Per­so­nen, welches sich bei einer Meldung von Miss­stän­den ergibt, ist eine DSFA (Art. 35 Abs. 1 DSGVO) durch­zu­füh­ren. Dies vor allem im Hin­blick auf die Ver­ar­bei­tung von kri­ti­schen und sen­si­blen Daten (z.B. Art. 9 DSGVO) durch die interne Meldestelle.

Durch­zu­füh­ren ist eine DSFA vor allem beim Einsatz einer Sof­t­­wa­re-Lösung. Mit der DSFA steht den für die Da­ten­ver­ar­bei­tung Ver­ant­wort­li­chen eine nützliche Methode zur Verfügung, mit der sie Da­ten­ver­ar­bei­tungs­sys­te­me im­ple­men­tie­ren können, die im Ein­klang mit der DSGVO stehen und für einige Arten von Verarbeitungsvorgängen ob­li­ga­to­risch sind. Ver­ant­wort­li­che sollten die Durchführung einer DSFA als nützliche und po­si­ti­ve Tätigkeit sehen, die die Ein­hal­tung ge­setz­li­cher Vor­ga­ben er­leich­tert.[4]

Eine DSFA sollte hier noch mehr als sonst als Chance ver­stan­den werden, alles zu be­leuch­ten, (neue) Pro­zes­se zu im­ple­men­tie­ren und auf recht­li­che An­for­de­run­gen abzustimmen.

Dies auch vor dem Hin­ter­grund, dass die ita­lie­ni­sche Da­ten­schutz­be­hör­de bereits im April 2022 eine Geld­stra­fe in Höhe von 40.000 EUR wegen feh­len­der DSFA beim Einsatz einer Whis­t­­le­­b­­lower-Sof­t­­wa­re ver­hängt hat.[5]

Welche Rechts­grund­la­ge aus Datenschutzsicht?

Art. 6 Abs. 1 lit. c DSGVO („die Ver­ar­bei­tung ist zur Er­fül­lung einer recht­li­chen Ver­pflich­tung er­for­der­lich, der der Ver­ant­wort­li­che un­ter­liegt“) in Ver­bin­dung mit

  • § 10 Satz 1 HinSchG i.V.m. §§ 16, 17, 18 HinSchG;
  • § 11 HinSchG (Do­ku­men­ta­ti­ons­pflich­ten);
  • Art. 32 DSGVO und Re­ge­lun­gen zu Betroffenenrechten;
  • Art. 9 Abs. 2 lit. g DSGVO i.V.m. § 10 Satz 2 HinSchG;
  • Art. 6 Abs. 1 lit. a DSGVO für Fällen, in denen eine Ein­wil­li­gung der hin­weis­ge­ben­den Person für eine Hand­lung er­for­der­lich ist wie z.B. für eine Telefonaufzeichnung.
Weitere da­ten­schutz­recht­li­che Anforderungen

Die Grund­sät­ze der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten (Art. 5 Abs. 1 DSGVO) wie u.a. Zweck­bin­dung, Da­ten­mi­ni­mie­rung und Trans­pa­renz sowie die Re­chen­schafts­pflicht (Abs. 2) sind selbst­ver­ständ­lich ein­zu­hal­ten und zu gewährleisten.

Gemäß Art. 15 DSGVO besteht ein Aus­kunfts­recht des Be­trof­fe­nen. Gemäß Art. 14 DSGVO (In­for­ma­ti­ons­pflicht) sind Un­ter­neh­men ver­pflich­tet, Be­trof­fe­ne über die Da­ten­ver­ar­bei­tung, Eingang einer ihre Person be­tref­fen­de Whis­t­­le­­b­­lo­­wing-Meldung, zu informieren.

Es sind ge­eig­ne­te tech­­nisch-or­­ga­­ni­­sa­­to­ri­­sche Maß­nah­men (Artt. 32, 25 DSGVO) zu treffen. Ein Zugriff von Un­be­fug­ten ist aus­zu­schlie­ßen und die Iden­ti­tät jeder von einer Meldung be­trof­fe­nen Person muss ge­schützt sein. Ein Be­rech­ti­gungs­kon­zept („need-to-know-Prinzip), die Pro­to­kol­lie­rung von Da­tei­en­ga­ben sowie eine ab­ruf­ba­re Do­ku­men­ta­ti­on ist si­cher­zu­stel­len wie auch Löschkonzepte.

Die Ver­ar­bei­tun­gen sind im Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten (Art. 30 DSGVO) zu dokumentieren.

Analog der Re­chen­schafts­pflicht des Art. 5 Abs. 2 der DSGVO gilt auch beim HinSchG, dass die Or­ga­ni­sa­ti­on die Ein­hal­tung nach­wei­sen können muss. Vor allem ist es emp­feh­lens­wert – und ei­gent­lich zwin­gend er­for­der­lich – die Pro­zes­se für die hin­weis­ge­ben­de Person trans­pa­rent darzulegen.

Für Be­trie­be mit weniger als 50 Be­schäf­tig­ten besteht keine Ver­pflich­tung zur Ein­rich­tung einer in­ter­nen Mel­de­stel­le. Die hin­weis­ge­ben­de Person hat ein Wahl­recht, ob es an eine interne oder eine externe Stelle des Bundes meldet. Un­ter­neh­men sollten Anreize schaf­fen (§ 7 Abs. 3 Satz 1 HinSchG), dass sich die hin­weis­ge­ben­de Person vor einer Meldung an eine externe Mel­de­stel­le zu­nächst an den Be­schäf­ti­gungs­ge­ber wendet. Dies sollte ei­gent­lich per se im In­ter­es­se eines Un­ter­neh­mens sein!

Der Datenschutz­beauftragte sollte hier früh­zei­tig in die un­ter­neh­me­ri­sche Planung und für die Be­wer­tung der da­ten­schutz­re­le­van­ten An­for­de­run­gen ein­be­zo­gen werden.

Fazit

Nicht nur Un­ter­neh­men und Or­ga­ni­sa­tio­nen, die zur Ein­rich­tung einer in­ter­nen Mel­de­stel­le ver­pflich­tet sind, sollten sich recht­zei­tig auf die Um­set­zung vor­be­rei­ten. Es ist zu be­den­ken, dass viele Un­ter­neh­men be­trof­fen sind und die Nach­fra­ge an Be­ra­tung, ex­ter­nen Mel­de­stel­len sowie nach IT-ge­­stüt­z­­ten Hin­weis­ge­ber­sys­te­men mit der Ein­füh­rung des Ge­set­zes deut­lich steigen wird.

Wir un­ter­stüt­zen Sie bei der Im­ple­men­tie­rung des Hin­weis­ge­ber­schutz­ge­set­zes – d.h. nicht nur bei der Ein­rich­tung, sondern auch beim Betrieb der in­ter­nen Mel­de­stel­le. Auf Wunsch bieten wir auch die Ab­wick­lung mit einem IT-ge­­stü­t­­zen Hin­weis­ge­ber­sys­tem  – sofern dies für Ihr Un­ter­neh­men sinn­voll ist. 

Wir bieten Ihnen eine Komplett-Lösung:
– Wir un­ter­stüt­zen Sie und Ihren Da­ten­schutz­be­auf­trag­ten bei der da­ten­schutz­recht­li­chen Be­wer­tung sowie der Er­stel­lung von Dokumenten.
– Wir un­ter­stüt­zen bei der Im­ple­men­tie­rung da­ten­schutz­recht­li­cher An­for­de­run­gen, wie z.B. Prozess für Be­trof­fe­nen­rech­te, DSFA, etc.
– Wir be­trei­ben und be­treu­en für Ihr Un­ter­neh­men die interne Meldestelle.
Wir un­ter­stüt­zen Sie bei der Kom­mu­ni­ka­ti­on des Hin­weis­ge­ber­sys­tems in Ihrem Unternehmen. 
Wir hand­ha­ben alles – Sie haben einen mi­ni­ma­len Aufwand im Fall einer be­grün­de­ten Meldung.

Ihre Ex­per­ten für Daten­schutz und Com­pli­ance – wir über­neh­men für Ihr Un­ter­neh­men die Funk­ti­on der in­ter­nen Meldestelle.
Ver­ein­ba­ren Sie ein Ex­per­ten­ge­spräch Tel.-Nr. +49 173 8198864 oder schrei­ben Sie an consulting@adorgasolutions.de.
Wir be­spre­chen mit Ihnen dann die in­di­vi­du­el­le und prag­ma­ti­sche Lösung für Ihre Organisation.

Weitere In­for­ma­tio­nen zur in­ter­nen Mel­de­stel­le: https://www.adorgasolutions.de/hinweisgeberschutzgesetz-externe-ombudsperson/
Link-Tipps:


[1] https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32019L1937&from=DE
[2] https://www.recht.bund.de/bgbl/1/2023/140/VO
[3] vgl. https://de.wikipedia.org/wiki/Whistleblower
[4] Vgl. Da­ten­schutz­grup­pe nach Artikel 29, WP248 Rev.01 https://www.datenschutzkonferenz-online.de/media/wp/20171004_wp248_rev01.pdf
[5] https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_(Italy)_-_9685922&mtc=today
Alles Links wurde zuletzt am 12.06.2023 aufgerufen.

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!