Datenschutz News 11/2023

In unseren Datenschutz-NEWS 11/2023 „Hinweisgeberschutzgesetz: Der Countdown läuft…“ informieren wir Sie zu den umzusetzenden, notwendigen Anforderungen, die in Deutschland alle Organisationen mit mehr als 50 Beschäftigten bis zum 17.12.2023 erfüllen müssen, den drohenden Sanktionen sowie konkreten Umsetzungsmöglichkeiten.

Hinweisgeberschutzgesetz: Der Countdown läuft…

…noch bis zum 17.12.2023! Bis dahin müssen in Deutschland alle Organisationen mit mehr als 50 Beschäftigten eine interne Meldestelle samt sicherem Hinweisgebersystem eingerichtet haben.

Wichtige Anforderungen und Umsetzungsmöglichkeiten des „Hinweisgeberschutzgesetz - HinSchG“ haben wir nachfolgend für Sie zusammengefasst.

Die vollständigen News als PDF können Sie hier herunterladen.

Für wen und ab wann gilt das HinSchG?

Unternehmen mit mindestens 50 Beschäftigten müssen gemäß § 12 HinSchG ein sicheres internes Hinweisgebersystem einrichten und betreiben und Meldewege einrichten, über die die Hinweisgeber („Whistleblower“) Informationen über Verstöße melden können.

Nach dem HinSchG sind Unternehmen mit in der Regel zwischen 50 und 249 Beschäftigten verpflichtet, ab dem 17.12.2023 eine interne Meldestelle für Hinweisgebende einzurichten. Unternehmen mit in der Regel mindestens 250 Beschäftigten, mussten bereits ab Inkrafttreten des Gesetzes am 02.07.2023 interne Meldekanäle betreiben.

Worum geht es beim HinSchG?

Der Beschluss der EU-Whistleblower-Richtlinie zum 16.12.2019 wurde mit in Kraft treten des HinSchG zum 02.07.2023 in deutsches Recht umgesetzt.

Der Zweck des Gesetzes ist es, den bisher unzureichenden Schutz von Hinweisgebern, die Verstöße melden, zu stärken und sicherzustellen, dass ihnen keine Benachteiligungen und negativen zivil-, straf- oder verwaltungsrechtlichen Konsequenzen durch die Aufdeckung von Rechtsverstößen im Unternehmen drohen. Gleichzeitig sollen neben den hinweisgebenden Personen auch Dritte / Vermittler, die bei der Meldung unterstützen, besser geschützt werden.

Welche Sanktionen drohen Unternehmen bei Verstößen gegen das HinSchG?
[Quelle: Industrie- und Handelskammer (IHK) Kassel-Marburg: „Whistleblowing: Das Hinweisgeberschutzgesetz ist da“, Stand Juni 2023.]

Verstöße gegen die wesentlichen Vorgaben des HinSchG werden nach § 40 HinSchG als Ordnungswidrigkeiten mit einer Geldbuße geahndet. Die Höhe des Bußgeldrahmens hängt vom jeweiligen Verstoß ab:

  • Für Unternehmen, die ihrer Pflicht zur Einführung und zum Betrieb einer internen Meldestelle nicht nachkommen, droht eine Geldbuße in Höhe bis zu 20.000 Euro.
  • Wenn fahrlässig das Vertraulichkeitsgebot missachtet wird, droht ein Bußgeld in Höhe bis zu 10.000 Euro.
  • Mit einem Bußgeld in Höhe von bis zu 50.000 Euro kann belegt werden, wer eine Meldung oder die darauffolgende Kommunikation verhindert (oder dies versucht), wer eine verbotene Repressalie ergreift (oder dies versucht) oder wer vorsätzlich oder leichtfertig das Vertraulichkeitsgebot missachtet.

Was ist bei Einrichtung / Betrieb eines internen Meldekanals / sicheren Hinweisgebersystems zu beachten?
[Quelle: Industrie- und Handelskammer (IHK) Kassel-Marburg: „Whistleblowing: Das Hinweisgeberschutzgesetz ist da“, Stand Juni 2023.]

  • Ermöglichung verschiedener Eingangskanäle für Meldungen (vgl. § 16 Abs. 3 HinSchG),
  • Schutz der Vertraulichkeit des Hinweisgebers sowie Dritter bei allen Meldewegen (vgl. § 8 HinSchG),
  • Bestimmung der Zuständigkeit innerhalb des Unternehmens inkl. Beachtung der erforderlichen Fachkunde (vgl. § 15 HinSchG),
  • Beachtung von Bearbeitungsfristen (vgl. § 17 HinSchG),
  • Ergreifung ordnungsgemäßer Folgemaßnahmen (vgl. § 18 HinSchG),
  • Dokumentation der Meldungen und Datenaufbewahrung (vgl. § 11 HinSchG),
  • Informationspflicht über Meldeverfahren (vgl. § 13 Absatz 2 HinSchG),
  • Erfüllung Datenschutzpflichten (Aufbewahrungs-/Löschfristen [Art. 17 DSGVO], Datenschutzhinweise für Hinweisgeber [Art. 13/14 DSGVO], ggf. Auftragsverarbeitung [Art. 28 DSGVO], Verarbeitungen im Verzeichnis der Verarbeitungstätigkeiten [Art. 30 DSGVO], Datenschutz-Folgeabschätzung [Art. 35 DSGVO], geeignete technische und organisatorische Maßnahmen [Art. 32 DSGVO]),
  • Mitbestimmungsrechte des Betriebsrats.
Was können wir für Sie tun?

Handeln Sie spätestens jetzt, sollten Sie unter den Anwendungsbereich des HinSchG fallen und vermeiden Sie mögliche Bußgelder. Wir unterstützen Sie gerne bei der formellen Umsetzung Ihrer notwendigen Anforderungen sowie bei der Klärung Ihrer noch offenen Fragen:

  • Zur Erfüllung der Anforderungen bieten wir über unsere Partnerplattform „audatis MANAGER“ ein optionales Modul als Hinweisgebersystem an. Mit dem Hinweisgebersystem können Sie als interne Meldestelle (anonyme) Hinweise als Verantwortlicher entgegennehmen und über einen verschlüsselten Kanal mit dem Hinweisgeber (anonym) kommunizieren.
  • Mit unserer Compliance-Schulung zur Einführung eines Hinweisgebersystems können Sie Ihre Mitarbeiter sensibilisieren.
  • Des Weiteren bieten wir zur Erfüllung der Datenschutzpflichten u.a. Vorlagen für Verarbeitungstätigkeiten und Datenschutz-Folgenabschätzung für die Einführung und den Betrieb eines Hinweisgebersystems, einen Vertrag zur Erbringung der Leistungen der internen Meldestelle nach dem HinSchG sowie Datenschutzhinweise für Hinweisgeber.
  • Ebenfalls können wir Ihren internen Prozess zur Umsetzung des HinSchG mit nachfolgenden Dokumentationen unterstützen: Prozessbeschreibung zur Umsetzung des HinSchG, Prüfkonzept zum HinSchG (inkl. Checkliste), Richtlinie zum Umgang mit Meldungen, Vertraulichkeitsverpflichtung für Beschäftigte in internen Meldestellen nach dem HinSchG, Benennungsschreiben zum Case Manager der internen Meldestelle nach dem HinSchG, Vertraulichkeitshinweise für die Weitergabe von Informationen bei Folgemaßnahmen und weiteren Ermittlungen nach dem HinSchG.

Die vollständigen News als PDF können Sie hier herunterladen.


Anmeldung zum Infoletter

Nutzen Sie die Chance in unregelmäßigen Abständen alle wichtigen News zu den Themen IT Security, digitale Lösungen und weiteren IT-Dienstleistungen zu erhalten.