Umsetzung der Whistleblowing Richtlinie entschieden – Hinweisgeberschutzgesetz ist (endlich) da
Die Richtlinie (EU) 2019/1937 des Europäischen Parlaments und Rates vom 23.10.2019 zum „Schutz von Personen, die Verstößen gegen das Unionrecht melden“[1], sog. Whistleblower-Richtlinie, ist am 16.12.2019 in Kraft getreten.
Die Ziele der EU-Whistleblowing-Richtlinie sind unter anderem:
- Verstöße aufdecken
- Prävention (!)
- Rechtsdurchsetzung verbessern
- Hinweisgebende Personen vor Repressalien schützen
Das deutsche Hinweisgeberschutzgesetz (HinSchG) tritt am 02.07.2023 in Kraft. Es will einen umfassenden Schutz von Whistleblowern sicherstellen.
Es war ein langer Weg…
Ein Gesetzesentwurf zum Hinweisgeberschutzgesetz wird Anfang 2021 vom damaligen Justizministerium (SPD) vorgelegt. Der Entwurf wird insbesondere von der CDU/CSU abgelehnt. Im Dezember 2021 lief die Umsetzungsfrist der EU für ein nationales Hinweisgeberschutzgesetz ab. Die EU leitet daraufhin im Februar 2022 ein Vertragsverletzungsverfahren wegen Überschreitung der Umsetzungsfrist gegen Deutschland ein. Im Juli 2022 veröffentlicht die Bundesregierung einen konkreten Gesetzentwurf, über den Bundestag und Bundesrat im September 2022 beraten.
Am 19.10.2022 wurde der Gesetzentwurf im Rahmen einer öffentlichen Anhörung im Rechtsausschuss diskutiert. Die Sachverständigen befürworteten grundsätzlich den Entwurf, der noch Verbesserungspotenzial habe, insbesondere weil er Hinweisgeber noch nicht ausreichend schütze. Auch der unzureichende Schutz von zu Unrecht Beschuldigten wurde vielfach kritisiert. Insbesondere die AfD-Fraktion äußerte sich sehr kritisch zu dem Gesetzentwurf.
Der Deutsche Bundestag verabschiedete das Hinweisgeberschutzgesetz am 16.12.2022. Der Bundesrat blockierte das Hinweisgeberschutzgesetz jedoch. Am 10.02.2023 wurde dem Gesetz entgegen vieler Erwartungen nicht zugestimmt. Insbesondere die CDU/CSU stand dem Gesetz ablehnend gegenüber.
Am 09.05.2023 hat sich der Vermittlungsausschuss von Bundestag und Bundesrat auf Änderungen am Hinweisgeberschutzgesetz geeinigt. Der Bundestag verabschiedete das Gesetz am 11.05.2023 und der Bundesrat stimmte am 12.05.2023 zu.
Das Hinweisgeberschutzgesetz (HinSchG) wurde am 11.05.2023 vom Bundestag verabschiedet und einen Tag später vom Bundesrat gebilligt. Damit hatte das ewige Gezerre um die Umsetzung der EU-Whistleblowing-Richtlinie ein Ende. Nach der Ausfertigung durch den Bundespräsidenten wurde das Gesetz am 02.06.2023 im Bundesgesetzblatt verkündet (BGBl. I Nr. 140 vom 02.06.2023)[2]. Es ist im Wesentlichen am 02.07.2023 in Kraft getreten (vgl. Art. 10 Abs. 2).
Die wichtigsten Punkte
- Ab 02.07.2023 müssen Unternehmen regulierter Industrien oder mit mindestens 250 Beschäftigten eine interne Meldestelle implementiert haben.
Ab 17.12.2023 müssen Unternehmen ab 50 Beschäftigte eine interne Meldestelle eingerichtet haben.
Für Betriebe mit weniger als 50 Beschäftigten besteht keine Verpflichtung zur Einrichtung einer internen Meldestelle gemäß § 12 HinSchG. Dennoch ist die Einhaltung des HinSchG sicherzustellen und es sind entsprechende Meldewege einzurichten. Entsprechende Prozesse und Verfahren zur Annahme und Bearbeitungen von Informationen (§ 3 Abs. 3 HinSchG) sowie Maßnahmen zum Schutz der hinweisgebenden Person sind zu implementieren.
- Anonyme Meldungen sind möglich, allerdings besteht keine Pflicht für anonyme Meldekanäle. Die Bearbeitung von anonymen Meldungen ist keine Pflicht (eine sog. „Soll-Vorschrift“, soll heißen „sie sollten bearbeitet und nicht ignoriert werden).
- Löschpflicht: Die Dokumentation ist drei Jahre nach Abschluss des Verfahrens zu löschen. Diese kann länger aufbewahrt werden, solange dies erforderlich und verhältnismäßig ist (§ 11 Abs. 5 HinSchG; Hinweis: im Entwurf waren es zwei Jahre).
- Bußgeldvorschriften sind in § 40 HinSchG geregelt. Das Fehlen einer internen Meldestelle wird mit bis zu 20.000 EUR sanktioniert. Die Bußgeldvorschriften gelten ab 01.12.2023 (§ 42 Abs. 2 HinSchG).
Begriffsbestimmungen
Whistleblower (zu deutsch zunehmend Hinweisgeber, Enthüller oder Aufdecker) ist der Anglizismus für eine Person, die für die Öffentlichkeit wichtige Informationen aus einem geheimen oder geschützten Zusammenhang veröffentlicht.[3] Das HinSchG verwendet den Begriff „hinweisgebende Person“. Und was im Datenschutzrecht der Verantwortliche ist, ist im Hinweisgeberschutzgesetz der Beschäftigungsgeber.
Verstöße (§ 3 Abs. 2 HinSchG) sind Handlungen oder Unterlassungen im Rahmen einer beruflichen, unternehmerischen oder dienstlichen Tätigkeit, die rechtswidrig sind und Vorschriften oder Rechtsgebiete betreffen […].
Informationen über Verstöße sind begründete Verdachtsmomente oder Wissen über tatsächliche oder mögliche Verstöße, […] (§ 3 Abs. 3 HinSchG).
§ 3 Abs. 8 HinSchG definiert den Begriff Beschäftigte. Die Definition ist mit § 26 Abs. 8 BDSG vergleichbar.
Aufgaben einer internen Meldestelle
Die Pflicht zur Einrichtung einer internen Meldestelle ergibt sich für den Beschäftigungsgeber aus § 12 HinSchG. Die Aufgaben der internen Meldestellen sind in § 13 HinSchG geregelt: Die internen Meldestellen betreiben Meldekanäle nach § 16 HinSchG, führen das Verfahren nach § 17 HinSchG und ergreifen Folgemaßnahmen nach § 18 HinSchG.
Demzufolge sind die Aufgaben u.a.:
- Betreiben von internen Meldekanälen (§ 16 HinSchG):
- Mündlich, d.h. Meldungen müssen per Telefon oder mittels einer anderen Art der Sprachübermittlung möglich sein;
- Meldung in Textform, z.B. per E-Mail;
- Persönlich auf Ersuchen der hinweisgebenden Person.
- § 17 HinSchG regelt das Verfahren bei internen Meldungen, wie z.B. die Bestätigung des Meldeeingangs an die hinweisgebende Person binnen sieben Tagen wie auch die Rückmeldung nach drei Monaten (Art. 17 Abs. 2 HinSchG).
- Als Folgemaßnahmen kann die interne Meldestelle (§ 18 HinSchG) z.B.
- interne Untersuchungen durchführen und betroffene Personen kontaktieren;
- das Verfahren aus Mangel an Beweisen oder aus anderen Gründen abschließen;
- das Verfahren zwecks weiterer Untersuchung abgeben an z.B. eine zuständige Behörde.
Personen, die beabsichtigen Informationen über einen Verstoß zu melden, können wählen, ob sie sich an eine interne Meldestelle oder eine externe Meldestelle wenden. Wobei gemäß § 7 Abs. 1 Satz 2 HinSchG die interne Meldestelle zu bevorzugen ist, d.h. Beschäftigungsgeber sollen hier auch Anreize schaffen, dass die hinweisgebende Personen diesen Kanal wählt (was nur zum Vorteil des Unternehmens ist!).
Grundsätzlich kann eine interne Meldestelle an einen Dienstleister outgesourced werden. Bei vielen klein- und mittelständischen Unternehmen wird dies auch ein sinnvoller und einfacher Weg sein, u.a. auch zur Vermeidung von Interessenskonflikten. Es bleibt dabei weiterhin „eine interne Meldestelle“.
Externe Meldestellen (§§ 22 ff. HinSchG) werden rechtzeitig zum Inkrafttreten des Hinweisgeberschutzgesetzes am 02.07.2023 auf der Webseite des Bundesamt für Justiz veröffentlicht, über die sich hinweisgebende Personen an die externe Meldestelle des Bundes wenden können.
Anwendungsbereich
Der persönliche Anwendungsbereich ist in § 1 HinSchG geregelt. Das Gesetz regelt den Schutz von natürlichen Personen als hinweisgebende Person (Abs. 1) sowie den Schutz von Personen, die Gegenstand einer Meldung oder Offenlegung sind (Abs. 2).
Der sachliche Anwendungsbereich ist in § 2 HinSchG definiert. Das Gesetz gilt für die Meldung (§ 3 Abs. 4 HinSchG) und die Offenlegung (§ 3 Abs. 5 HinSchG) von Informationen über
- Verstöße, die strafbewehrt sind,
- Verstöße, die bußgeldbewehrt sind, soweit die verletzte Vorschrift dem Schutz von leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient,
- Sonstige Verstöße gegen Rechtsvorschriften des Bundes und der Länder sowie unmittelbare geltende Rechtsakte der Europäischen Union […] (lit. a – s).
Dabei umfasst lit. o) den Schutz der Privatsphäre in der elektronischen Kommunikation, dem Schutz der Vertraulichkeit der Kommunikation, den Schutz personenbezogenen Daten im Bereich der elektronischen Kommunikation, […].
Lit. p) umfasst explizit den Schutz personenbezogener Daten im Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO).
Datenschutz
Nach Art. 9 Whistleblower-Richtlinie müssen die internen Meldekanäle so sicher konzipiert sein, dass die Vertraulichkeit der Identität des Hinweisgebers und Dritter, die in der Meldung erwähnt werden, gewahrt bleibt. Es gelten grundsätzlich die Vorgaben der Datenschutz-Grundverordnung (DSGVO).
Datenschutz-Folgenabschätzung
Unter Geltung der DSGVO gehört es zu den Pflichten des Verantwortlichen, bei Formen der Verarbeitung, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen.
Aufgrund des (möglichen) hohen Risikos für die Rechte und Freiheiten natürlicher Personen, welches sich bei einer Meldung von Missständen ergibt, ist eine DSFA (Art. 35 Abs. 1 DSGVO) durchzuführen. Dies vor allem im Hinblick auf die Verarbeitung von kritischen und sensiblen Daten (z.B. Art. 9 DSGVO) durch die interne Meldestelle.
Durchzuführen ist eine DSFA vor allem beim Einsatz einer Software-Lösung. Mit der DSFA steht den für die Datenverarbeitung Verantwortlichen eine nützliche Methode zur Verfügung, mit der sie Datenverarbeitungssysteme implementieren können, die im Einklang mit der DSGVO stehen und für einige Arten von Verarbeitungsvorgängen obligatorisch sind. Verantwortliche sollten die Durchführung einer DSFA als nützliche und positive Tätigkeit sehen, die die Einhaltung gesetzlicher Vorgaben erleichtert.[4]
Eine DSFA sollte hier noch mehr als sonst als Chance verstanden werden, alles zu beleuchten, (neue) Prozesse zu implementieren und auf rechtliche Anforderungen abzustimmen.
Dies auch vor dem Hintergrund, dass die italienische Datenschutzbehörde bereits im April 2022 eine Geldstrafe in Höhe von 40.000 EUR wegen fehlender DSFA beim Einsatz einer Whistleblower-Software verhängt hat.[5]
Welche Rechtsgrundlage aus Datenschutzsicht?
Art. 6 Abs. 1 lit. c DSGVO („die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt“) in Verbindung mit
- § 10 Satz 1 HinSchG i.V.m. §§ 16, 17, 18 HinSchG;
- § 11 HinSchG (Dokumentationspflichten);
- Art. 32 DSGVO und Regelungen zu Betroffenenrechten;
- Art. 9 Abs. 2 lit. g DSGVO i.V.m. § 10 Satz 2 HinSchG;
- Art. 6 Abs. 1 lit. a DSGVO für Fällen, in denen eine Einwilligung der hinweisgebenden Person für eine Handlung erforderlich ist wie z.B. für eine Telefonaufzeichnung.
Weitere datenschutzrechtliche Anforderungen
Die Grundsätze der Verarbeitung personenbezogener Daten (Art. 5 Abs. 1 DSGVO) wie u.a. Zweckbindung, Datenminimierung und Transparenz sowie die Rechenschaftspflicht (Abs. 2) sind selbstverständlich einzuhalten und zu gewährleisten.
Gemäß Art. 15 DSGVO besteht ein Auskunftsrecht des Betroffenen. Gemäß Art. 14 DSGVO (Informationspflicht) sind Unternehmen verpflichtet, Betroffene über die Datenverarbeitung, Eingang einer ihre Person betreffende Whistleblowing-Meldung, zu informieren.
Es sind geeignete technisch-organisatorische Maßnahmen (Artt. 32, 25 DSGVO) zu treffen. Ein Zugriff von Unbefugten ist auszuschließen und die Identität jeder von einer Meldung betroffenen Person muss geschützt sein. Ein Berechtigungskonzept („need-to-know-Prinzip), die Protokollierung von Dateiengaben sowie eine abrufbare Dokumentation ist sicherzustellen wie auch Löschkonzepte.
Die Verarbeitungen sind im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) zu dokumentieren.
Analog der Rechenschaftspflicht des Art. 5 Abs. 2 der DSGVO gilt auch beim HinSchG, dass die Organisation die Einhaltung nachweisen können muss. Vor allem ist es empfehlenswert – und eigentlich zwingend erforderlich – die Prozesse für die hinweisgebende Person transparent darzulegen.
Für Betriebe mit weniger als 50 Beschäftigten besteht keine Verpflichtung zur Einrichtung einer internen Meldestelle. Die hinweisgebende Person hat ein Wahlrecht, ob es an eine interne oder eine externe Stelle des Bundes meldet. Unternehmen sollten Anreize schaffen (§ 7 Abs. 3 Satz 1 HinSchG), dass sich die hinweisgebende Person vor einer Meldung an eine externe Meldestelle zunächst an den Beschäftigungsgeber wendet. Dies sollte eigentlich per se im Interesse eines Unternehmens sein!
Der Datenschutzbeauftragte sollte hier frühzeitig in die unternehmerische Planung und für die Bewertung der datenschutzrelevanten Anforderungen einbezogen werden.
Fazit
Nicht nur Unternehmen und Organisationen, die zur Einrichtung einer internen Meldestelle verpflichtet sind, sollten sich rechtzeitig auf die Umsetzung vorbereiten. Es ist zu bedenken, dass viele Unternehmen betroffen sind und die Nachfrage an Beratung, externen Meldestellen sowie nach IT-gestützten Hinweisgebersystemen mit der Einführung des Gesetzes deutlich steigen wird.
Wir unterstützen Sie bei der Implementierung des Hinweisgeberschutzgesetzes – d.h. nicht nur bei der Einrichtung, sondern auch beim Betrieb der internen Meldestelle. Auf Wunsch bieten wir auch die Abwicklung mit einem IT-gestützen Hinweisgebersystem – sofern dies für Ihr Unternehmen sinnvoll ist.
Wir bieten Ihnen eine Komplett-Lösung:
– Wir unterstützen Sie und Ihren Datenschutzbeauftragten bei der datenschutzrechtlichen Bewertung sowie der Erstellung von Dokumenten.
– Wir unterstützen bei der Implementierung datenschutzrechtlicher Anforderungen, wie z.B. Prozess für Betroffenenrechte, DSFA, etc.
– Wir betreiben und betreuen für Ihr Unternehmen die interne Meldestelle.
– Wir unterstützen Sie bei der Kommunikation des Hinweisgebersystems in Ihrem Unternehmen.
– Wir handhaben alles – Sie haben einen minimalen Aufwand im Fall einer begründeten Meldung.
Ihre Experten für Datenschutz und Compliance – wir übernehmen für Ihr Unternehmen die Funktion der internen Meldestelle.
Vereinbaren Sie ein Expertengespräch Tel.-Nr. +49 173 8198864 oder schreiben Sie an consulting@adorgasolutions.de.
Wir besprechen mit Ihnen dann die individuelle und pragmatische Lösung für Ihre Organisation.
Weitere Informationen zur internen Meldestelle: https://www.adorgasolutions.de/hinweisgeberschutzgesetz-externe-ombudsperson/
Link-Tipps:
- EDSB: Leitlinien zur Verarbeitung personenbezogener Daten im Rahmen eines Verfahrens zur Meldung von Missständen („Whistleblowing“), Dezember 2019
https://edps.europa.eu/system/files/2021-07/19-12-17_whisteblowing_guidelines_en_195_de.pdf - DSK: Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines: Firmeninterne Warnsysteme und Beschäftigtendatenschutz (14.11.2018)
https://www.datenschutzkonferenz-online.de/media/oh/20181114_oh_whistleblowing_hotlines.pdf - BayLfD: Datenschutz-Folgenabschätzung https://www.datenschutz-bayern.de/dsfa/
- GMDS e.V.: Praxishilfe und Vorlage für Transfer Impact Assessment
https://gesundheitsdatenschutz.org/html/tia.php - Unser Blog: https://www.adorgasolutions.de/hinweisgeberschutzgesetz-was-ist-jetzt-zu-tun/
Whitepaper Sept. 2021: https://www.adorgasolutions.de/wp-content/uploads/2023/05/WP_HinSchG_v20.pdf - Das Hinweisgeberschutzgesetz ist da – und jetzt? (07.08.2023): https://www.portalderwirtschaft.de/pressemitteilung/375791/das-hinweisgeberschutzgesetz-ist-da-und-jetzt.html
- Umsetzung der Whistleblower-Richtlinie, das Hinschweisgeberschutzgesetz ist da (27.07.2023): https://www.baugewerbe-magazin.de/rechtstipp/umsetzung-der-eu-whistleblower-richtlinie—das-hinweisgeberschutzgesetz-ist-da.htm
[1] https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32019L1937&from=DE
[2] https://www.recht.bund.de/bgbl/1/2023/140/VO
[3] vgl. https://de.wikipedia.org/wiki/Whistleblower
[4] Vgl. Datenschutzgruppe nach Artikel 29, WP248 Rev.01 https://www.datenschutzkonferenz-online.de/media/wp/20171004_wp248_rev01.pdf
[5] https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_(Italy)_-_9685922&mtc=today
Alles Links wurde zuletzt am 12.06.2023 aufgerufen.