Angebot einholen
Logo Barth Datenschutz
Angebot einholen

Hinweisgeberschutz in Unternehmen - Jetzt handeln und 2023 gesetzliche Pflicht einhalten!

Hinweisgeberschutz in Unternehmen2022-11-21T09:10:35+01:00

Spätestens ab dem 2. Quartal 2023 kommen auf Unternehmen und Behörden neue Vorgaben zu

Das neue Hinweisgeberschutzgesetz fordert das Einrichten eines Meldesystems für Rechtsverstöße. Es verpflichtet Unternehmen und Organisationen, eine interne Meldestelle (Hinweisgebersystem) für die Meldung von Compliance-Verstößen einzurichten. Unternehmen können unabhängige Dritte als interne Meldestelle (Ombudsstelle) beauftragen. Da die Ombudsstelle eine unabhängige, neutrale Person sein muss, ist die Beauftragung einer fachkundigen externen Person zu empfehlen. Die Hinweisgeberschutz-Richtlinie gilt für alle Unternehmen mit einer Größe ab 50 Beschäftigten oder alternativ mit einem Jahresgesamtumsatz von mehr als 10 Millionen Euro. Um Unternehmen nicht übermäßig zu belasten, gilt für Unternehmen mit einer Größe zwischen 50 und 249 Mitarbeitern eine Übergangsfrist bis 17.12.2023.

Gerne unterstütze ich Sie mit verschiedenen Leistungspaketen als externer Meldestellen-Beauftragter und helfe Ihnen so, Ihre gesetzliche Pflicht ganz einfach zu erfüllen.

3 Probleme, die Sie mit Barth Datenschutz lösen

Datenschutz mit gesundem Menschenverstand: Anstelle langer Listen möchte ich Ihnen nur drei eindeutige Argumente nennen, warum sich unsere Zusammenarbeit für Sie lohnt.

1.

Sie verstehen, was passiert.

Als gelernter Betriebswirt arbeite ich gerne in klaren Strukturen. Deshalb erhalten Sie zu Beginn einen individuellen Projektplan und eine verständliche Einführung ins Thema. Unsere Zusammenarbeit basiert auf dem Motto „Echtes Datenschutz-Grundverständnis“ – damit die DSGVO und die nötigen Maßnahmen für Sie kein Buch mit sieben Siegeln sind! Haben Sie Fragen, beantworte ich diese verständlich und nachvollziehbar.

2.

Wir setzen nur sinnvolle Maßnahmen um.

Mit Kanonen auf Spatzen schießen: So könnte man wohl viele Herangehensweisen an die Datenschutz-Umsetzung bezeichnen. Ich bevorzuge einen anderen Ansatz: Nur das, was für Ihr Unternehmen nötig und sinnvoll ist, denn jedes Unternehmen ist individuell. So fügt sich das Thema Datenschutz praxisnah in Ihre Prozesse ein, ohne diese zu behindern.

3.

Ich entscheide in Ihrem Interesse.

Aus jahrelanger Erfahrung im Umgang mit Behörden weiß ich, was zu tun ist, wenn diese mit Ihrem Datenschutz nicht einverstanden sind. Kompetenz zeigt sich auch darin, sich Behördenmeinungen nicht sofort zu beugen. Ich kenne die Feinheiten der DSGVO, kann differenzieren und Konflikte so ganz in Ihrem Interesse lösen.

Aufbau und Ablauf des elektronischen Hinweisgebersystems in Ihrem Unternehmen

Wie Sie Ihr Unternehmen am besten auf das Hinweisgeberschutzgesetz vorbereiten:

Beauftragen Sie einen Meldestellen-Beauftragten und richten Sie einen Meldekanal ein, über den auch grundsätzlich anonyme Meldungen möglich sind. Die Vorgaben aus der EU-Whistleblower-Richtlinie sind zwingend: Unternehmen, die sich nicht daranhalten, müssen mit Sanktionen wie Geldbußen in empfindlicher Höhe rechnen. Wichtig ist in diesem Zusammenhang, dass Unternehmen zeitnah mit den Vorbereitungen auf das Hinweisgeberschutzgesetz beginnen. Hierzu müssen nicht nur die rechtlichen Grundlagen geklärt sein, sondern auch die Rahmenbedingungen und technischen Voraussetzungen für die rechtssichere Einrichtung des Hinweisgebersystems.

So sieht unsere Zusammenarbeit aus:

  1. Sie geben mir den Auftrag für den Betrieb Ihrer internen Meldestelle als Meldestellen-Beauftragter. Damit erfüllen Sie die gesetzliche Pflicht gemäß dem Hinweisgeberschutzgesetz (HinSchG).
  2. Ich individualisiere und integriere das elektronische Hinweisgebersystem und stellen alle benötigen Unterlagen zur Verfügung. Im Grunde erhalten Sie eine  auf Ihr Unternehmen angepasste Richtlinie für das Hinweisgebersystem, Betriebsvereinbarungen, Datenschutz-Informationen sowie eine umfassende Beratung zum Hinweisgeberschutzgesetz.
  3. Interne Ressourcen wie Datenschutz-Beauftragter, Compliance-Abteilung oder Informationssicherheits-Beauftragter erhalten Unterstützung.
  4. Ihre Führungskräfte und Mitarbeiter erhalten eine Online-Unterweisung zum Hinweisgebersystem und Compliance allgemein.
  5. Sobald ein Hinweis eingeht, führe ich eine Plausibilitätsprüfung (sachlicher Anwendungsbereich des Gesetzes, Ernsthaftigkeit und Verwertbarkeit) durch und bestätige dem Hinweisgeber innerhalb der gesetzlichen Frist den Eingang seiner Meldung.
  6. Sie erhalten eine Information über den Eingang der Meldung und das vorläufige Prüfergebnis.
  7. Unter Wahrung der Vertraulichkeit und der gesetzlichen Fristen kommuniziere ich mit dem Hinweisgeber.
  8. Mit regelmäßigen Berichten informiere ich Sie über meine Arbeit.
  9. Optional: Ich unterstützen Sie bei den internen Ermittlungen und berate Sie zum weiteren Vorgehen. Sie können mich dazu separat nach Eingang eines Hinweises beauftragen.
  10. Optional: Wenn Sie gemäß dem Lieferkettensorgfaltspflichtengesetz (LkSG) verpflichtet sind, die Anforderungen zu erfüllen, können wir das Hinweisgebersystem erweitern und einen Meldekanal (Beschwerdemechanismus) für das Lieferkettengesetz bereitstellen.

Holen Sie sich jetzt ein Angebot ein oder vereinbaren Sie ein persönliches Beratungsgespräch!

Leistungspakete als externer Meldestellen-Beauftragter

Jetzt Angebot anfordern
Details S M L
Geeignet für

Unternehmen, die ausschließlich eine Software-Lösung wünschen und die Meldestelle mit eigenem Personal betreiben

Unternehmen bis 499 Beschäftigte

Unternehmen mit mehr als 500 Beschäftigten

Preis

ab 99,00 € pro Monat*

ab 200,00 € pro Monat*

ab 300,00 € pro Monat*

+Einführungsprojekt und Einrichtung

ab 500 €**

ab 500 €**

ab 500 €**

Individualisierung des elektronischen Hinweisgeberportals und Einrichtung des Meldekanals
Projektplanung und Durchführung
Erstellung der internen Unternehmensrichtlinie
Schulung der Führungskräfte (vor Ort oder Online)
Online-Schulung der Beschäftigten (über Lernplattform)
Kommunikation mit internen Anspruchsgruppen (DSB, ISB, Legal, Betriebsrat)
Elektronisches Hinweisgeberportal
+Dienstleistung Betrieb der internen Meldestelle gemäß §12 HinSchG
Betreuung eines elektronischen Hinweisgeberportals 24/7
Anonymität für Hinweisgeber
Erfüllung der Aufgaben gemäß §17 HinSchG
Entgegennahme von eingehenden Hinweisen und neutrale Bewertung (sachlicher Anwendungsbereich gemäß $2 HinSchG)
Kommunikation mit den Hinweisgebern und ggf. Zeugen
Prüfen der Stichhaltigkeit der eingegangen Meldungen
Einhaltung der gesetzlichen Fristen nach Eingang des Hinweises
Dokumentation der Meldung gemäß $11 HinSchG
Kommunikation mit internen Stellen
Abschlussbericht
regelmaßiges allgemeines Reporting (Tätigkeitsbericht)
Folgemaßnahmen der internen Meldestelle gemäß $18 HinSchG
Sie bleiben stets informiert über Gesetze und Urteile
+Optionale Leistungen
Interne Ermittlungen / Unterstützung interner Abteilung nach eingegangenen Hinweisen
Erweiterung des Meldekanals zur Erfüllung der Pflichten aus dem Lieferkettensorgfaltspflichtengesetz
Bereitstellung telefonischer Meldekanal
Mitwirkung bei der Erstellung einer Betriebsvereinbarung
zusätzlich Übernahme der Funktion des externen Datenschutzbeauftragten
Erstellen einer Datenschutzfolgenabschätzung und der notwendigen Datenschutzdokumentation für den Betrieb der Meldestelle (Verzeichnis technischer Datenschutz, Informationsnflichten Motenschutzkonzent)
Angebot einholen Angebot einholen Angebot einholen

Mit einem gelben Haken markierte Leistungen können Sie optional hinzubuchen.

* Mit dem Kauf des jeweiligen Pakets fällt die einmalige Einführungspauschale an. Für den Betrieb und Sicherstellung der internen Meldestelle und der Dienstleistung des Meldestellenbeauftragten zahlen Sie darüber hinaus eine monatliche Pauschale. Preise exkl. MwSt. Die Laufzeit beträgt 24 Monate. Sie können mit einer Frist von 3 Monaten zum Vertragsende kündigen. Wenn Sie nicht kündigen, verlängert sich die Laufzeit erneut um 24 Monate.
** Einführungsprojekt und Einrichtung fallen einmalig zu Beginn an.

Die Chronik des neuen Gesetzes zum Hinweisgeberschutz

19. Oktober 2022: Öffentliche Anhörung im Rechtsausschuss des Bundestages mit dem Ziel Anpassungen am Gesetzesentwurf durchzuführen.

29. September 2022: Der Gesetzentwurf wurde in erster Lesung im Bundestag beraten und der Entwurf an den Rechtsausschuss überwiesen.

19. September 2022: Der Gesetzentwurf wurde als Drucksache 20/3442 durch die Bundesregierung in den Bundestag eingebracht. Es folgten Stellungnahmen des Bundesrates und des nationalen Normenkontrollrates.

27. Juli 2022: Der Regierungsentwurf eines Gesetzes für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden wurde durch das Bundesjustizministerium veröffentlicht

13. April 2022: Der Referentenentwurf eines Gesetzes für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden wurde durch das Bundesjustizministerium veröffentlicht. Bis Ende Mai gingen dann die Stellungnahmen verschiedener Interessensgruppen ein.

27. Januar 2022: 24 EU-Mitgliedsstaaten erhalten ein Aufforderungsschreiben der EU, da die Richtlinie noch nicht umgesetzt wurde. Es wurde ein Vertragsverletzungsverfahren unter anderem gegen Deutschland eingeleitet.

17. Dezember 2021: Bis zu dieser Frist mussten die EU-Staaten die Richtlinie (EU) 2019/1937 in nationales Recht umsetzen

23. Oktober 2019: Erlass der Richtlinie (EU) 2019/1937 Hinweisgeberrichtlinie oder auch Whistleblowerrichtlinie

Juni 2013: Edward Snowden enthüllt, wie die Vereinigten Staaten und Großbritannien systematisch und verdachtsunabhängig das weltweite Internet und die Telekommunikation überwachen.

Letztes Update

Stand: November 2022

Verkündung

3 Monate nach Verkündung wird das Gesetz in Kraft treten.

Offen

2. und 3. Lesung sowie Verkündung des Gesetzes – dies wird vermutlich noch 2022 stattfinden.


Sie haben Fragen?

Vereinbaren Sie ein kostenloses Expertengespräch mit Achim Barth.

Beratungsgespräch vereinbaren

Bereits überzeugt:

Fragen und Antworten rund um den Hinweisgeberschutz

Was ist ein Meldestellen-Beauftragter?2022-11-07T11:50:53+01:00

Der Meldestellen-Beauftragte bearbeitet in einem Unternehmen eingehende Hinweise zum Compliance- oder Rechtsverstoß im Rahmen des neuen Hinweisgeberschutzgesetzes bzw. der übergreifenden EU-Whistleblower-Richtlinie. Der Meldestellen-Beauftragte hat dabei sicherzustellen, dass Hinweisgeber durch den Hinweis keine Nachteile erfahren, aber dass das Unternehmen dennoch über Missstände informiert wird, um diese zu beheben.

Für wen gilt das Vertraulichkeitsgebot?2022-10-26T10:38:12+02:00

Die Meldestellen haben die Vertraulichkeit der Identität der folgenden Personen zu wahren:

  1. der hinweisgebenden Person (Hinweisgeber, Whistleblower),
  2. der Personen, die Gegenstand einer Meldung sind, und
  3. der sonstigen in der Meldung genannten Personen.

Die Identität darf ausschließlich den Personen, die für die Entgegennahme von Meldungen oder für das Ergreifen von Folgemaßnahmen zuständig sind, bekannt werden.

Wie können Hinweise übermittelt werden?2022-10-26T10:36:50+02:00
  • Interne Hinweisgebersysteme müssen Meldungen in mündlicher oder in Textform ermöglichen.
  • Auf Ersuchen der hinweisgebenden Person (Hinweisgeber, Whistleblower) ist für eine mündliche Meldung innerhalb einer angemessenen Zeit eine persönliche Zusammenkunft mit den für die Entgegennahme einer Meldung zuständigen Personen der internen Meldestelle zu ermöglichen.
Vorteile die interne Meldestelle durch einen externen Datenschutzbeauftragten betreiben zu lassen2022-10-26T10:35:17+02:00
  • Wegen der Sensibilität der vermittelten Informationen ist eine externe Besetzung der Hinweisgeberstelle mit einer Person zu empfehlen, die zur Vertraulichkeit und Verschwiegenheit verpflichtet ist.
  • So werden auch potentielle Interessenkonflikte vermieden, die bei einer internen Lösung entstehen können.
  • Darüber hinaus kann ein externer Datenschutzbeauftragter bei entsprechender zusätzlicher Fachkunde, eine erste Einschätzung der ihm mitgeteilten Informationen vornehmen sowie eine Empfehlung hinsichtlich der weiteren Vorgehensweise geben.
Wer kann die Funktion einer Hinweisgeberstelle übernehmen?2022-10-26T10:34:14+02:00

Eine interne Meldestelle kann mit einer beim Arbeitgeber oder bei der Dienststelle beschäftigten Person, einer internen Organisationseinheit oder einem Dritten besetzt werden.

Konzerne mit in der Regel 50 bis 249 Beschäftigten können dafür eine gemeinsame Stelle (ein gemeinsames Hinweisgebersystem) betreiben oder einen Dritten beauftragen, eine gemeinsame Stelle für sie zu betreiben.

Es gibt dabei keine Vorgaben dazu, welche Personen oder Organisationseinheiten am besten geeignet sind, um diese Aufgabe aufzuführen. Dies hängt von der jeweiligen Organisationsstruktur, der Größe und der Art der ausgeübten Tätigkeiten ab.

Folgende Voraussetzungen müssen jedoch bei der internen Meldestelle vorliegen:

  • Unabhängigkeit
  • Ausschluss möglicher Interessenkonflikte mit anderen Aufgaben
  • Regelmäßige Schulungen der mit den Aufgaben einer internen Meldestelle beauftragten Personen

Es können auch externe Dritte mit der Einrichtung und dem Betreiben des internen Hinweisgebersystems beauftragt werden. Insbesondere die Beauftragung externer Datenschutzbeauftragten oder Anwälte als Ombudspersonen ist möglich, welche den Betrieb der internen Meldestelle übernehmen können.

Der Hinweisgeber hat folgende Wahlmöglichkeiten:2022-10-26T10:32:50+02:00
  • der Hinweisgeber hat grundsätzlich eine Wahlmöglichkeit zwischen der internen und externen Meldestelle, daher scheint es im Interesse des Unternehmens zu sein, die interne Meldestelle so ansprechend wie möglich zu gestalten, damit den Hinweisen unternehmensintern nachgegangen werden kann, ohne dass es an die Öffentlichkeit gerät
  • unter Umständen können Whistleblower die Informationen der Öffentlichkeit zugänglich machen, wenn die Meldung ohne hinreichende Reaktion bleibt, daher empfiehlt sich eine professionelle Struktur der internen Meldestelle
  • die Verarbeitung personenbezogener Daten durch die Meldestellen muss im Einklang mit der DSGVO und der BDSG erfolgen, daher sollte dort ein ordentliches Konzept erstellt werden
  • Beweislastumkehr: Arbeitgeber müssen zukünftig beweisen, dass Kündigungen nicht im Zusammenhang mit den Meldungen stehen, sonst macht sich das Unternehmen ggf. schadensersatzpflichtig
  • im Falle einer Diskriminierung/Benachteiligungen von Hinweisgebern drohen hohe Sanktionen
Welche Sanktionen drohen?2022-10-26T10:31:33+02:00

Sanktioniert wird

  • wer eine Meldung oder die auf eine Meldung folgende Kommunikation zwischen der hinweisgebenden Person und der Meldestelle vorsätzlich behindert (umfasst sind damit vor allem einschüchternde Maßnahmen gegenüber der hinweisgebenden Person);
  • wer eine Repressalie ergreift oder androht
  • wer vorsätzlich oder fahrlässig gegen das Vertraulichkeitsgebot verstößt.

Auch der Versuch, eine Meldung zu verhindern oder Repressalien zu ergreifen, wird geahndet.

Der Bußgeldrahmen beträgt

  • bei der Verhinderung von Meldungen sowie beim Ergreifen von Repressalien bis zu EUR 100.000,-,
  • für Verstöße gegen die Pflicht zur Wahrung der Vertraulichkeit bis zu EUR 20.000,-
Wie muss die interne Meldestelle reagieren?2022-10-26T10:29:33+02:00
  • innerhalb von 7 Tagen muss dem Hinweisgeber der Eingang der Meldung bestätigt werden
  • innerhalb von drei Monaten muss die Meldestelle dem Hinweisgeber melden, welche geeignete Maßnahme infolgedessen getroffen wurde
  • Schutz der Vertraulichkeit sowie Beachtung des Datenschutzes
  • die Meldungen müssen dokumentiert werden
Welche Pflichten gibt es für die betroffenen Unternehmen und Organisationen?2022-10-26T10:28:33+02:00
  • Erstellung von internen Meldekanälen (z.B. ein Hinweisgebersystem für Whistleblower bereitstellen)
  • unter Meldekanälen versteht man ein Hinweisgebersystem, das eine vertrauliche Abgabe eines Hinweises ermöglicht
  • Vertraulichkeit setzt hierbei keine Anonymität voraus, sondern viel mehr, dass „Meldekanäle so sicher konzipiert, eingerichtet und betrieben werden, dass die Vertraulichkeit der Identität des Hinweisgebers und Dritter, die in der Meldung erwähnt werden, gewahrt bleibt und nicht befugten Mitarbeitern der Zugriff darauf verwehrt wird” (s. Art. 9 Abs. 1 lit. a der Richtlinie (EU) 2019/1937)
  • die Meldekanäle können intern von einer benannten und unabhängigen Person betrieben werden oder extern von einem Dritten bereitgestellt werden (das kann oftmals ein elektronische Meldesystem sein)
  • wichtig ist, dass die Meldestellen sowohl schriftlich als auch in mündlicher Form kontaktiert werden können
  • den Mitarbeitern müssen die Informationen zur Nutzung externer Meldestellen zugänglich gemacht werden
Wer sind die betroffenen Unternehmen und Organisationen?2022-10-26T10:27:30+02:00

Nach der EU-Whistleblowing-Richtlinie gilt die Pflicht, ein Hinweisgebersystem einzurichten für

  • Unternehmen ab einer Größe von 250 Mitarbeitern
  • Behörden ab 50 Mitarbeitern und
  • Gemeinden ab 10.000 Einwohnern.

Spätestens ab dem 17. Dezember 2023 sind auch Unternehmen ab 50 Mitarbeitern verpflichtet, ein Hinweisgebersystem einzuführen. Gezählt werden dabei auch geringfügig Beschäftigte und freie Mitarbeiter.

Warum muss ich mich mit Hinweisgeberschutz beschäftigen?2022-10-26T10:25:57+02:00

Die EU-Whistleblower-Richtlinie (EU) 2019/1937 ist am 16. Dezember 2019 in Kraft getreten. Ziel ist es in der Europäischen Union einen einheitlichen Standard zum Schutz von Whistleblowern herzustellen.

Deutschland hätte diese Richtlinine schon bis zum 17. Dezember 2021 in nationales Recht umsetzen müssen. Das Gesetz wird in Deutschland vermutlich noch 2022 kommen.
Betroffenen Unternehmen raten wir, sich jetzt mit diesem Thema auseinanderzusetzen, um später mögliche Sanktionen zu vermeiden.

Was versteht man unter einem Hinweisgebersystem?2022-10-26T10:22:29+02:00

Ein Hinweisgebersystem bezeichnet ein System zur Entgegennahme von Hinweisen auf Rechts- oder Regelverstöße. Sobald die Meldung eines internen oder externen Hinweisgebers (engl. Whistleblower) über ein regelwidriges Verhalten in einem Unternehmen oder einer Behörde eingeht, liegt „Whistleblowing“ vor.

Wie läuft die Bearbeitung eines Hinweises in der Praxis ab?2022-11-07T11:52:19+01:00
  1. Einer Ihrer Mitarbeiter oder Führungskräfte beobachtet einen Compliance- oder Rechtsverstoß jeglicher Art.
  2. Als Hinweisgeber meldet er die Beobachtung im Meldesystem und beschreibt alle Umstände des Verstoßes.
  3. Der Meldestellen-Beauftragte bestätigt den Eingang des Hinweises und beginnt mit der Bearbeitung. Diese umfasst z.B. das Prüfen des Hinweises, interne Ermittlungen zum Vorgang und Vorschläge zu Maßnahmen.
  4. Der Meldestellen-Beauftragte informiert den Hinweisgeber über den Bearbeitungsstand bzw. das Ergebnis und erstattet dem Unternehmen nach Abschluss des Verfahrens Bericht.