Hinweisgeberschutzgesetz: Übergangsfrist endet am 17. Dezember 2023 / Referentenentwurf zur Änderung des Bundesdatenschutzgesetzes

Whistleblower-Gesetz seit dem 02. Juli 2023 in Kraft

Wir informierten Sie bereits am 11. Mai 2023 über das neue Hinweisgeberschutzgesetz (HinSchG). Seit dem 02. Juli 2023 gilt in Deutschland nun das neue Gesetz. Unternehmen mit mehr als 250 Beschäftigten sind seitdem verpflichtet interne Meldestellen einzurichten. Für Unternehmen mit einer Beschäftigtenanzahl zwischen 50 und 249 gilt noch eine Übergangsfrist bis 17. Dezember 2023.

Ein kurzer Rückblick

Ein Vermittlungsausschuss mit Vertreterinnen und Vertretern aus Bundestag und Bundesrat, konnte am 9. Mai 2023 eine Einigung über das Gesetz zum Schutz von Whistleblowern erzielen. Da die Europäische Kommission Deutschland und sieben weitere europäische Staaten (Tschechien, Estland, Spanien, Italien, Luxemburg, Ungarn und Polen), bereits am 15. Februar 2023 vor dem Europäischen Gerichtshof verklagte, war Deutschland um eine schnelle Umsetzung der Richtlinie angehalten. Die Kommission begründete die Anklage mit dem nicht Umsetzen der Richtlinie (EU) 2019/1937. Durch diese EU-Richtlinie sind die Mitgliedsstaaten verpflichtet, Hinweisgeberinnen und Hinweisgebern bei Verstößen gegen EU-Vorschriften geeignete Kanäle bereitzustellen, um diese Unregelmäßigkeiten zu melden. Die Mitgliedsstaaten der Europäischen Union waren ursprünglich verpflichtet bis zum 17. Dezember 2021 die erforderlichen Maßnahmen zu treffen, um den Anweisungen der Richtlinien nachzukommen. Die verspätete oder nicht durchgeführte Umsetzung führte zu den Klagen am Europäischen Gerichtshof.

Eine Übersicht über die wichtigsten Regelungen des Gesetzes

• Alle Organisationen müssen ihren Beschäftigten ermöglichen externe Meldestellen, wie die der Bundes- und Landesbehörden, benachrichtigen zu können. Dies muss drei Monate nach Inkrafttreten des Gesetzes möglich sein.
• Liegt die Beschäftigtenzahl zwischen 50 und 249 muss zudem eine interne Meldestelle eingerichtet werden. Umzusetzen ist dies bis zum 17. Dezember 2023.
• Organisationen mit über 250 Beschäftigten müssen die Hinweisgebermeldesysteme bereits ab Inkrafttreten des Gesetzes eingerichtet haben.
• Unternehmen in Branchen wie Energie, Gesundheitswesen und Finanzdienstleistungen sind, unabhängig von ihrer Beschäftigtenanzahl, verpflichtet ein Hinweisgebersystem zur Verfügung zu stellen.
• Allen Beschäftigten soll ermöglicht werden auch anonyme Meldungen abgeben zu können.
• Verstöße sollen, wenn möglich, intern eingereicht werden, wenn die Möglichkeit besteht gegen diese direkt und wirksam intern vorzugehen.
• Beschränkter Anwendungsbereich: Es sollen nur Informationen zu Verstößen in den Anwendungsbereich des Gesetzes fallen, wenn diese sich auf den Beschäftigungsgeber oder eine andere Stelle beziehen, die mit der hinweisgebenden Person beruflich in Kontakt stehen.
• Beweislastumkehr: Es soll nur dann die Vermutung bestehen, dass eine Benachteiligung direkt als Repressalie (z.B. Drohungen oder Maßnahmen wie u.a.: Kündigung, negative Beurteilungen, Disziplinarmaßnahmen und Mobbing) gilt, wenn die hinweisgebende Person dies auch selbst geltend macht.
• Sanktionshöhe: Ein Bußgeld von bis zu 20.000 EUR kann verhängt werden, wenn trotz Verpflichtung kein interner Meldekanal zur Verfügung gestellt wird. Bei Repressalien gegenüber den Whistleblowern, kann gegen Unternehmen ein Bußgeld in Höhe von 50.000 EUR veranschlagt werden.

Anforderungen und Aufgaben einer internen Meldestelle

Eine interne Meldestelle muss sowohl technische, also auch prozessuale und dokumentarische Anforderungen erfüllen. Hier ein kleiner Überblick:

• Das Hinweisgeberschutzgesetz sieht vor, dass sowohl unabhängige und fachkundige Beschäftigte als auch externe Meldestellenbeauftragte mit dem gleichen Anforderungsprofil eine interne Meldestelle betreiben können.
• Der hinweisgebenden Person sollte innerhalb von sieben Tagen der Eingang ihrer Meldung bestätigt werden.
• Eine der Hauptaufgaben eines Meldestellenbeauftragten ist es, die eingehenden Hinweise in einen sachlichen Anwendungsbereich einzuordnen. Dabei muss geklärt werden, ob die Meldung überhaupt einen möglich Verstoß gegen eine Norm beinhaltet, für die das HinSchG anwendbar ist.
• Die Meldestelle muss technisch und organisatorisch so sicher konzipiert und betrieben werden, dass die Identitäten der hinweisgebenden Person und Dritter, die in den Meldungen erwähnt werden, geschützt sind. Daher müssen Verschlüsselungstechnologien, Rollen- und Berechtigungskonzepte implementiert werden, um die Vertraulichkeit zu gewährleisten.
• Nach spätestens drei Monaten ist die hinweisgebende Person über die getroffenen Maßnahmen zu informieren. Zudem sollte es technisch möglich sein, während des Prozesses Kontakt mit der hinweisgebenden Person halten zu können.
• Die Meldungen müssen drei Jahre dokumentiert und dauerhaft abrufbar sein. Nach Ablauf dieser Frist müssen sämtliche Dokumente und Dateien zu den Meldungen sicher gelöscht werden.

Haben Sie bereits ein Meldestelle eingerichtet?

Unterliegen Sie der Übergangfrist und haben sich bisher nicht mit dem Thema auseinandergesetzt? Nun ist es an der Zeit zu handeln! Unternehmen, die der Übergangfrist unterliegen, bleiben lediglich neun Wochen, um eine interne Meldestelle einzurichten. Gerne helfen wir Ihnen bei der Einrichtung und Durchführung einer geeinigten Meldestelle für Ihr Unternehmen.

Eingesetzte Meldestelle auch DSGVO-konform?

Bei der Einrichtung einer neuen Meldestelle müssen neben dem Hinweisgeberschutzgesetz auch die Regelungen der Datenschutz-Grundverordnung (DSGVO) eingehalten werden, da bei der Entgegennahme von Meldungen über ein internes Meldesystem meist auch personenbezogene Daten verarbeitet werden. Daher müssen folgende Punkte beachtetet werden:

• Jede Datenverarbeitung benötigt laut DSGVO eine Rechtsgrundlage für den Umgang mit personenbezogenen Daten. Somit benötigen auch interne Meldestellen eine Rechtsgrundlage. Das Hinweisgeberschutzgesetz liefert eine solche Rechtsgrundlage. Gemäß § 10 HinSchG ist eine Verarbeitung personenbezogener Daten erlaubt, wenn dies zu Erfüllung der Pflichten der Meldestelle notwendig ist.
• Die interne Meldestelle muss genau wie alle Datenverarbeitungen in einem Unternehmen mit einem bestimmten Zweck in das Verzeichnis der Verarbeitungstätigkeiten (VVT) eingetragen werden.
• Die Verarbeitung der personenbezogenen Daten in einer internen Meldestelle muss gemäß DSGVO durch technische und organisatorische Maßnahmen (TOM) abgesichert werden.
• Sowohl die Beschäftigten als auch externe hinweisgebende Personen müssen über die Datenverarbeitung bei einer Meldung über das interne Meldesystem informiert werden.
• Aufgrund der meist sensiblen zu verarbeitenden Daten bei einer Meldung ist es erforderlich, dass eine Datenschutz-Folgeabschätzung durchgeführt wird. In dieser müssen alle Risiken aufgezeigt und die Gegenmaßnahmen dokumentiert werden.
• Für interne Meldestellen ist, laut DSGVO, ein Löschkonzept zu erstellen, dass eine Aufbewahrungsfrist von drei Jahren für alle Dokumente und Dateien vorsieht.

Referentenentwurf zur Änderung des Bundesdatenschutzgesetzes

Die Ampelkoalition hatte im Koalitionsvertrag bereits versprochen, den Datenschutz einheitlicher und praktikabler zu gestalten. Zusätzlich solle der Datenschutz die europäische Zusammenarbeit stärken und die Datenschutzkonferenz (DSK) im Bundesdatenschutzgesetz (BDSG) verankern. Dadurch sei gewährleistet, dass der DSK rechtlich verbindliche Entscheidungen ermöglicht werden.

Der Referentenentwurf vom 9. August 2023 zur Änderung des BDSG beinhaltet nun einige sinnvolle Detailkorrekturen. Die Änderungen sind zwar zaghaft, allerdings ein erster Schritt in die richtige Richtung.

Wir haben für Sie ein paar der wichtigsten Änderungen zusammengestellt:

• Zwar wurde mit § 16a BDSG im Entwurf die DSK, wie im Koalitionsvertrag vereinbart, institutionalisiert. Jedoch sollte der Ampelkoalition zufolge der DSK rechtlich ermöglicht werden verbindliche Beschlüsse herauszugeben. Dies wurde im Entwurf nun versäumt. Der DSK bleibt damit weiterhin nur die Koordinierungsrolle und in der Praxis bleibt es erstmal einmal bei mehreren unterschiedlichen Auslegungen des BDSG und der DSGVO.
• In § 34 BDSG ist eine Ergänzung des Auskunftsrechts vorgesehen. Hier soll klargestellt werden, dass das Auskunftsrecht nach Art. 15 DSGVO nicht aufgrund privater, sondern nur aufgrund öffentlich-rechtlicher Satzungen eingeschränkt werden kann. Des Weiteren soll in § 34 BDSG das Auskunftsrecht im Hinblick auf die Geheimhaltungsinteressen eingeschränkt werden.
• Gemäß § 40a BDSG sieht das Gesetz nun vor, dass Unternehmen gemeinsam in einem Projekt datenschutzrechtlich verantwortlich sind. Zudem ist die Aufsichtsbehörde desjenigen Unternehmens zuständig, das im vorangegangenen Geschäftsjahr den höchsten Umsatz erzielt hat.
• Die Regelung aus § 40a BDSG soll auch für gemeinsam Verantwortliche gelten, etwa bei einem länderübergreifenden Forschungsprojekt. Forscherinnen und Forscher hätten dadurch nur noch eine Aufsichtsbehörde als Ansprechpartner für ihre länderübergreifenden Forschungsprojekte. Bei gemeinsam Verantwortlichen ist die Behörde des Forschungspartners zuständig, der die meisten Beschäftigten hat und dabei kontinuierlich personenbezogene Daten verarbeitet. 

Ihr WeComply Team.

Weitere Links und Hinweise:

• Bundesgesetzblatt zum Hinweisgeberschutzgesetz
• Europäisches Hinweisgeberschutzgesetz (EU) 2019/1937
• Referentenentwurf zum Ersten Gesetz zur Änderung des Bundesdatenschutzgesetztes