Gilt das Hinweisgeberschutzgesetz (HinSchG) auch für mein Unternehmen?
Das Hinweisgeberschutzgesetz dient der Umsetzung der EU Whistleblower- Richtlinie und bezweckt den Schutz von Personen, die in ihrem beruflichen Umfeld auf Missstände aufmerksam machen (sogenannte Whistleblower). Das Gesetz zielt darauf ab, Arbeitnehmer, Dienstleister und Unternehmensangehörige vor Repressalien wie Abmahnungen, Kündigungen oder Schadensersatzforderungen zu schützen, sofern sie Verfehlungen innerhalb des Unternehmens offenlegen. Schon seit dem 2. Juli 2023 müssen große Unternehmen mit 250 oder mehr Mitarbeitern sowie Einrichtungen im Finanz- und Versicherungssektor die Bestimmungen des HinSchG umsetzen.
Für mittelständische Unternehmen mit 50 bis 249 Angestellten gilt eine letzte Übergangsfrist bis zum 17. Dezember 2023. Nach Ablauf dieser Fristen können Unternehmen, die keine Meldestelle eingerichtet haben oder den Betrieb einer solchen vernachlässigen, mit Bußgeldern bis zu 20.000 Euro belangt werden. Für die Behinderung von Meldungen, die Verletzung der Vertraulichkeit oder die Benachteiligung von Whistleblowern können Strafen bis zu 50.000 Euro verhängt werden.
Welche Verstöße sollen nach dem HinSchG gemeldet werden können?
Es sollen jegliche rechtswidrige Handlungen oder Unterlassungen gemeldet werden können, die im Rahmen beruflicher Aktivitäten stattfinden. Dazu gehören Verstöße gegen strafrechtliche Bestimmungen (wie Betrug oder Erpressung), Ordnungswidrigkeiten (etwa Verstöße gegen das Allgemeine Gleichbehandlungsgesetz) sowie Verstöße gegen andere relevante Bundes- und Landesgesetze (beispielsweise im Bereich der Geldwäscheprävention, des Umweltschutzes oder des Datenschutzes). Persönliche Beschwerden von Mitarbeitern, wie Konflikte mit Kollegen oder arbeitsrechtliche Unstimmigkeiten (zum Beispiel Verstöße gegen das Kündigungsschutzgesetz oder gegen Betriebsvereinbarungen und Tarifverträge), sind in der Regel nicht von öffentlichem Interesse und sollten daher nicht unter das Hinweisgeberschutzgesetz fallen. Solche Angelegenheiten sind stattdessen an die Personalabteilung zu richten.
Häufige Whistleblowing-Fälle beinhalten Korruption, Diskriminierung und Belästigung am Arbeitsplatz, Gesetzesverstöße und Straftaten, Menschenrechtsverletzungen, Bestechlichkeit, Missstände oder Missmanagement, Insiderhandel und Datenmissbrauch. Eine Meldung ist dann zulässig, wenn begründeter Verdacht oder Kenntnis über aktuelle oder potenzielle Verstöße vorliegt. Die Verstöße müssen entweder bereits begangen sein (z.B. Bilanzfälschung) oder mit hoher Wahrscheinlichkeit bevorstehen (z.B. folgende Steuerhinterziehung). Auch die Verdachtsmomente auf eine Verschleierung von Verstößen können gemeldet werden.
Die Whistleblowing-Meldekanäle – Auf welchem Wege haben Meldungen zu erfolgen?
Die meldende Person hat die Wahl, die Missstände entweder über interne Meldestellen im Unternehmen oder über externe Meldestellen bei offiziellen Behörden zu berichten. In Ausnahmefällen, wenn keine angemessenen Maßnahmen nach einer internen oder externen Meldung ergriffen wurden, kann die Information auch an die Öffentlichkeit weitergegeben werden. Unternehmen müssen mindestens eine Meldestelle für interne Meldungen einrichten und betreiben. Die Meldestelle muss so gestaltet sein, dass sie allen Unternehmensangehörigen – einschließlich Festangestellten und Leiharbeitnehmer – offensteht. Sie muss sowohl mündliche Meldungen (Telefon oder andere Sprachübermittlung) sowie schriftliche Meldungen und auf Wunsch auch persönliche Meldungen entgegennehmen können. Dabei ist die Vertraulichkeit und die Regelungen zur Verarbeitung personenbezogenen Daten zu beachten. Dafür sind Maßnahmen wie Berechtigungsregelungen und Zugriffsschutz zu gewährleisten. Die DataGAP GmbH bietet in Zusammenarbeit mit der Legalcore AG eine High-Tech Lösung für interne Meldestellen, die sämtliche gesetzlichen Anforderungen abdeckt.
Die primären Aufgaben der internen Meldestelle umfassen die Dokumentation aller eingehenden Meldungen und deren Aufbewahrung für eine Dauer von drei Jahren. Innerhalb einer Woche nach Eingang einer Meldung ist dem Hinweisgeber eine Eingangsbestätigung zu übermitteln.
Die Meldestelle ist verantwortlich für die Prüfung der Meldung und die Aufrechterhaltung der Kommunikation mit der hinweisgebenden Person, insbesondere zum Einholen weiterer Informationen. Daraufhin leitet sie geeignete Schritte ein, beispielsweise die Durchführung interner Untersuchungen oder die Weiterleitung der Angelegenheit an zuständige Behörden. Innerhalb von drei Monaten nach der Eingangsbestätigung ist dem Hinweisgeber Rückmeldung über die eingeleiteten oder geplanten Maßnahmen zu geben, es sei denn, dies würde die Untersuchung oder Ermittlung beeinträchtigen.
Die interne Meldestelle kann entweder von einem oder mehreren Beschäftigten des Unternehmens oder von einem externen Dienstleister (sogenannte Ombudsperson) betreut werden.
Die anwaltliche Ombudsperson – Der sicherste und günstigste Weg
Die für die Meldestelle beauftragten Personen müssen in ihrer Tätigkeit unabhängig und frei von Interessenskonflikten agieren können. Darüber hinaus ist der Arbeitgeber dafür verantwortlich, dass diese Personen über die erforderliche Fachkenntnis verfügen. Der Wissensstand der zuständigen Mitarbeiter muss laufend aktuell gehalten werden, weshalb immer wieder Schulungen und Weiterbildungen vom Arbeitgeber ermöglicht und finanziert werden müssen. Zudem muss dem Mitarbeiter während seiner Arbeitszeit genügend Zeit für die Erfüllung seiner Aufgaben eingeräumt werden. Der konkrete Zeitbedarf kann hier je nach Unternehmensart und -größe stark schwanken. In seiner Tätigkeit ist der Mitarbeiter nicht weisungsgebunden und kann einen besonderen Kündigungsschutz genießen, ähnlich wie Betriebsratsmitglieder. Um einen Interessenkonflikt zu vermeiden, darf der Geschäftsführer oder eine Person in einer vergleichbaren Position nicht für solche Aufgaben zuständig sein.
Ein externer Dienstleister als anwaltliche Ombudperson ist bereits entsprechend ausgebildet und selbst für seine Weiterbildung verantwortlich. Er ist neutral und kann eingehende Meldungen unmittelbar bewerten, mit der Geschäftsführung und den zuständigen Abteilungen kommunizieren sowie entsprechend zu der weiteren Vorgehensweise beraten.
In der Regel ist es deutlich günstiger und sicherer, eine anwaltliche Ombudsperson mit dieser Aufgabe zu betrauen – so sparen Sie nicht nur unnötige Kosten, sondern sorgen für unternehmensinternen Frieden und zeigen Ihren Mitarbeitern, dass Sie das Thema sehr ernst nehmen. Die DataGAP GmbH stellt nicht nur die technische Lösung für Ihre Meldekanäle, sondern sorgt mit ausgebildeten und TÜV/DGI-zertifizierten Datenschutzbeauftragten und spezialisierten Rechtsanwälten für eine lückenlose und rechtssichere Verwaltung, Prüfung und Verfolgung eingehender Whistleblowing-Meldungen nach dem HinSchG.
Jetzt Datenschutz und Whistleblowing aus einer Hand sichern.
Weitere Artikel von Alex Goldberg:
Das anwaltliche Datenschutz-Audit Der DSGVO-Rundum-Schutz von Bußgeldern und AbmahnungenDatenschutz ist wie Steuern: Keiner will, aber jeder muss! In dieser Aufzeichnung erfahren Sie, wie ein DSGVO-Audit vor Abmahungen und Bußgeldern schützt. |
ChatGPT im Einsatz Wie Sie das KI-Tool im Alltag rechtskonform einsetzen könnenDie Verwendung von ChatGPT im Marketing, z. B. für die Erstellung von Texten für Newsletter, Instagram und Google Ads, ist grundsätzlich akzeptabel. Es ist jedoch wichtig, die Richtigkeit der KI-generierten Inhalte zu überprüfen. Aus urheberrechtlichen Gründen sollten die Produkte des AI-Tools nur als Inspiration für eigene Texte dienen. Eine direkte Übernahme von Texten ist nicht ratsam, da Sie nicht als Urheber gelten und kein Urheberrecht beanspruchen können. |
Datenschutzverstöße diesen Sommer Millionenschwere Bußgelder treffen Spotify, Amazon und weitere Unternehmen!Diesen Sommer wurden bedeutsame Bußgelder gegen mehrere namhafte Unternehmen verhängt, die Datenschutzverstöße begangen hatten. Die Strafen fielen im Millionenbereich aus und wurden von den Datenschutzbehörden wegen unzureichender Auskunftserteilung, fehlender Abmeldemöglichkeiten, und Verstößen bei der Datennutzung verhängt. |
Datentransfer in die USA Verbesserter Datenschutz bringt mehr Rechtssicherheit für Unternehmen!Am 10. Juli 2023 hat die EU-Kommission den Angemessenheitsbeschluss zum EU-US Data Privacy Framework (EU-US DPF) veröffentlicht. Das bedeutet, dass bei der Übermittlung von Daten an ein zertifiziertes US-Unternehmen ein angemessenes Datenschutzniveau in den USA gegeben ist. |
Rekordstrafe für Facebook 1,2 Milliarden Euro Bußgeld wegen Datenschutz-VerstößenSeit Inkrafttreten der Europäischen Datenschutz-Grundverordnung vor fünf Jahren hat Meta mehr Bußgelder kassiert als jedes andere Internetunternehmen. Der Facebook-Mutterkonzern steht nun erneut vor einer Rekordstrafe. |
Den Datenschutz und die DSGVO schnell umsetzen Ein Leitfaden in 6 einfachen SchrittenDie Beachtung des Datenschutzes auf Ihrer Website ist von entscheidender Bedeutung und bildet die Grundlage für einen rechtssicheren Auftritt. Die Webseite ist nämlich öffentlich und auch die Behörden können darauf zugreifen. Es gibt hier zahlreiche Aspekte, die berücksichtigt werden müssen. |
Die 7 größten Abmahnrisiken auf Ihrer Webseite Rechtsanwälte klären aufFalsch bezeichnete Bildrechte, fehlerhafte Datenschutzerklärungen, irreführende Werbeaussagen etc. etc. Die Erfahrung zeigt, dass sich kaum jemand frühzeitig um die rechtliche Absicherung der Webseite kümmert. Erst wenn die erste Abmahnung, das erste Gerichtsverfahren oder das erste Bußgeld kommt, geht einem ein Licht auf. Dann ist es aber meistens schon zu spät – es drohen im Ernstfall nämlich Kosten von mehreren 10.000 Euro. |
Die 7 gefährlichsten Abmahnfallen auf Webseiten Webinar von Alex Goldberg75 % der Firmen haben die gesetzlichen Vorschriften noch nicht richtig umgesetzt. Wo die teuersten Abmahnfallen sind, zeigt Rechtsanwalt Alex Goldberg in diesem Vortrag. |
Der Datenschutzbeauftragte Wann brauche ich einen?In vielen Unternehmen Unsicherheit: Wann macht die Benennung eines Datenschutzbeauftragten Sinn? Besteht vielleicht sogar die gesetzliche Verpflichtung, einen Datenschutzbeauftragten zu benennen? Und was sind eigentlich die Aufgaben des Datenschutzbeauftragten? |
DSGVO: Das Verarbeitungsverzeichnis Tipps vom Datenschutz-AnwaltWer als Unternehmer personenbezogene Daten verarbeitet, also im Grunde jeder Unternehmer,muss ein Verarbeitungsverzeichnis nach Art. 30 DSGVO führen. Erfahren Sie hier, warum sich ein ordentlich gepflegtes Verarbeitungsverzeichnis lohnt. |