Nach zähem Ringen im Gesetzgebungsverfahren ist gestern das „Gesetz für einen besseren Schutz hinweisgebender Personen“ (HinSchG) in Kraft getreten, mit dem nun auch Deutschland die EU-„Whistleblower-Richtlinie“ umgesetzt hat.
Das HinSchG verpflichtet Unternehmen mit mindestens 50 Beschäftigten, ein internes Hinweisgebersystem einzurichten. Für Unternehmen mit weniger als 250 Beschäftigen gilt eine Umsetzungsfrist bis zum 17. Dezember 2023.
Der Hinweisgeberschutz gilt nur für Personen, die Informationen über Rechtsverstöße im Zusammenhang mit oder im Vorfeld einer beruflichen Tätigkeit erlangen, ggf. sind auch Personen geschützt, die sie unterstützen.
Der sachliche Anwendungsbereich bezieht sich auf die Meldung primär von Verstößen gegen Strafvorschriften sowie im Einzelnen benannte gesetzliche Schutzvorschriften. Bußgeldtatbestände hingegen sind nur umfasst, soweit sie dem Schutz von Leben, Leib, Gesundheit oder Arbeitnehmerrechten dienen.
Erfaßt vom Anwendungsbereich sind auch Verstöße bei Dritten, mit denen die hinweisgebende Person beruflichen Kontakt hat.
Wesentliche Regelungen
- Whistleblower müssen die Möglichkeit erhalten, Hinweise mündlich, schriftlich oder auf Wunsch auch persönlich abzugeben
- Wird ein Hinweis abgegeben, muss die interne Meldestelle dies dem Hinweisgeber innerhalb von sieben Tagen bestätigen
- Binnen drei Monaten muss die Meldestelle den Whistleblower über die ergriffenen Maßnahmen informieren, beispielsweise über die Einleitung interner Compliance-Untersuchungen oder die Weiterleitung einer Meldung an eine zuständige Behörde, etwa eine Strafverfolgungsbehörde
- Als zweite, gleichwertige Möglichkeit zur Abgabe von Hinweisen wird beim Bundesamt für Justiz eine externe Meldestelle eingerichtet, die Bundesländer können darüber hinaus eigene Meldestellen einrichten
- Whistleblower können sich frei entscheiden, ob sie eine Meldung an die interne Meldestelle ihres Unternehmens abgeben oder die externe Meldestelle nutzen möchten
- Auch anonymen Hinweisen ist nachzugehen
- Beweislastumkehr: Wird ein Whistleblower im Zusammenhang mit seiner beruflichen Tätigkeit benachteiligt, wird vermutet, dass diese Benachteiligung eine Repressalie ist, hier kommen dann auch Schadensersatzansprüche des Whistleblowers in Betracht
Auch datenschutzrechtlicher Handlungsbedarf bei der Umsetzung im Unternehmen
Hinweisgebende sind potenziell durch mögliche Repressalien von Vorgesetzten oder anderen Beschäftigten gefährdet. Andererseits können schwerwiegende Vorwürfe gegen von der Meldung betroffene Personen erhoben sein, die für diese die Gefahr von Vorverurteilungen und Reputationsschäden herbeiführen. Die Verarbeitung personenbezogener Daten im Rahmen von Meldungen nach dem HinSchG ist daher potenziell besonders risikoreich.
Vor diesem Hintergrund dürfte es nun regelmäßig vor der Einführung eines Meldeverfahrens erforderlich werden, eine Datenschutz-Folgenabschätzung durchzuführen, mit der unter Beachtung der Vorgaben des Art. 35 Abs. 7 DSGVO die bestehenden Risiken identifiziert und Abhilfemaßnahmen festgelegt werden.