Icon Compliance
Compliance

Der Gesetzentwurf zur Umsetzung der EU-Whistleblower-Richtlinie

Arne Wolff
Verfasst von: Arne Wolff
Berater für Datenschutz und IT-Sicherheit

Am 27. Juli 2022, hat das Bundeskabinett seinen Entwurf zur Umsetzung der EU-Whistleblower-Richtlinie beschlossen – höchste Zeit also, sich mit dem kommenden Hinweisgeberschutzgesetz (HinSchG) auseinanderzusetzen.

Bis zum Herbst soll der Entwurf sowohl Bundestag als auch Bundesrat passiert haben – spätestens dann stehen auch private Unternehmen und Organisationen in der Pflicht, auf die die EU-Richtlinie nicht direkte Wirkung entfaltet.  

Bin ich betroffen? 

Ja. Das HinSchG wird für praktisch alle öffentlichen und privaten Organisationen gelten, wobei aber nur für alle Beschäftigungsgeber mit mindestens 50 Mitarbeitenden die Einrichtung einer internen Meldestelle verpflichtend vorgesehen ist; dabei werden Personen gezählt, nicht die Arbeitszeit – Teilzeitstellen zählen also voll mit. Für private Beschäftigungsgeber mit 50 bis 249 Mitarbeitenden wird es eine Übergangfrist bis zum 16.12.2023 geben; diese können für die Entgegennahme von Meldungen und für die weiteren Maßnahmen auch eine gemeinsame Stelle einrichten und betreiben. Die Pflicht, Maßnahmen zu ergreifen, um den Verstoß abzustellen, und die Pflicht zur Rückmeldung an die hinweisgebende Person bleiben aber bei dem einzelnen Beschäftigungsgeber. 

Was muss ich tun? 

Beschäftigungsgeber mit mindestens 50 Mitarbeitenden müssen eine interne Meldestelle einrichten, die  

  • Meldekanäle betreibt, 
  • Informationen über externe Meldeverfahren zur Verfügung stellt, 
  • spätestens nach sieben Tagen der hinweisgebenden Person den Eingang einer Meldung bestätigt, 
  • mit der hinweisgebenden Person Kontakt hält, 
  • die Stichhaltigkeit der eingegangenen Meldung prüft, 
  • bei der hinweisgebenden Person erforderlichenfalls weitere Informationen einholt, 
  • angemessene Folgemaßnahmen ergreift, 
  • spätestens drei Monate nach Meldungseingang eine Rückmeldung über die ergriffenen Maßnahmen an die meldende Person gibt und 
  • alle eingehenden Meldungen dokumentiert. 

Die Personen, die die Aufgaben einer internen Meldestelle ausführen, sind bei der Ausübung ihrer Tätigkeit unabhängig. Sie dürfen neben dieser Tätigkeit aber auch andere Aufgaben und Pflichten wahrnehmen, wenn diese nicht zu Interessenkonflikten führen. Die Beschäftigungsgeber sorgen dafür, dass die notwendige Fachkunde vorhanden ist. 

Was muss ich nicht tun (sollte ich aber)? 

Meldungen auch anonym abzugeben zu können, ist nicht vorgeschrieben, aber sehr sinnvoll, um die Hemmschwelle niedrig zu halten und so viele Meldungen wie möglich zu erhalten. Gleiches gilt für das Öffnen der Meldekanäle auch für organisationsfremde Personen – vorausgesetzt, sie stehen mit der Organisation in beruflichem Kontakt.  

Und schließlich sollten auch Meldungen zugelassen werden, die andere Missstände betreffen als die explizit im Gesetz genannten. Dort sind vor allem Gesetzesverstöße gelistet, aber Hinweisgebersysteme sind auch hervorragend dazu geeignet, andere Abweichungen in der Organisation zu aufzuzeigen, zum Beispiel nichteingehaltene Regelwerke und Arbeitsanweisungen – wichtig auch für die Wirksamkeitskontrolle. Schlussendlich kann es durchaus vorteilhaft sein, freiwillig eine interne Meldestelle einzurichten, da sonst Hinweisgebende gezwungen sind, sich an eine externe zu wenden – es ist in der Regel angenehmer, einen Missstand intern zu beheben. 

Übrigens… 

Auch im Rahmen des kommenden Lieferkettensorgfaltsgesetz (LkSG) – spätestens Anfang 2023 für große Organisationen ab 3000 Mitarbeitende und 2024 für solche ab 1000 Mitarbeitende – wird ein Hinweisgebersystem gefordert. Aber auch auf Zulieferer, die nicht direkt unter das LkSG fallen, werden die Pflichten der größeren Organisationen ausstrahlen. 

Unser Rat 

Von zentraler Bedeutung für die Akzeptanz ist die Wahl des Meldekanals. Als besonders vorteilhaft stellen sich treuhänderisch betriebene, digitale Hinweisgebersysteme wie das von Althammer & Kill angebotene dar; insbesondere wegen der vermittelten Glaubwürdigkeit und Anonymität, aber auch wegen Features wie Mehrsprachigkeit, Plausibilitätsprüfung, Skalierbarkeit und Vermeidung von Mehraufwand für Dokumentation und technische Administration. Sprechen Sie uns an! 

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.