Pflicht zur Einrichtung eines Hinweisgebersystems
Noch kurz bevor Santa in Deutschland eingeritten ist, hat der Deutsche Bundestag nach langem Hin und Her das „Gesetz für einen besseren Schutz hinweisgebender Personen“ (kurz: Hinweisgeberschutzgesetz) verabschiedet. Die beschlossene Fassung des Gesetzes finden Sie hier.
Das Gesetz muss nun noch den Bundesrat passieren, allerdings werden hier keine grundlegenden Änderungen mehr erwartet.
Wenn das Hinweisgeberschutzgesetz so in Kraft treten sollte, bedeutet dies, dass alle Unternehmen mit mehr als 49 Beschäftigten verpflichtet sein werden, eine interne Meldestelle einzurichten, an die sich Hinweisgeber bei (vermuteten) Verstößen gegen gesetzliche Vorschriften wenden können. Das Gesetz regelt dann sehr konkret, wie mit solchen Hinweisen umzugehen ist, z. B. innerhalb welcher Fristen diese zu bearbeiten sind.
Umzusetzen sind die dort gemachten Vorgaben innerhalb von drei Monaten nach der Verkündung im Bundesgesetzblatt (also nachdem der Bundesrat zugestimmt hat und das Gesetz dort veröffentlicht wurde). Für kleinere Unternehmen mit bis zu 250 Beschäftigten gilt in jedem Fall eine verlängerte Umsetzungsfrist bis zum 17. Dezember 2023.
Der vom Bundestag beschlossene Entwurf bestimmt, im Gegensatz zum vorherigen Regierungsentwurf, dass die betroffenen Unternehmen auch anonyme Hinweise zwingend bearbeiten müssen.
Die Umsetzung des Gesetzes im Unternehmen ist eine interdisziplinäre Übung. Sie beginnt damit, eine interne Meldestelle einzurichten. Danach müssen Schritt für Schritt Prozesse und technische Lösungen gestaltet und mit Leben gefüllt werden, welche regeln, wie Hinweisgeber Eingaben machen können und wie die Meldestelle damit umzugehen hat.
Der datenschutzrechtlich versierte Leser kann sich denken, dass die Einhaltung der Vorgaben aus der DSGVO und des BDSG hierbei nicht nur eine untergeordnete Rolle spielen werden. Gerade durch die zuzusichernde Anonymität werden sehr hohe Anforderungen an die einzusetzenden technischen Lösungen und hiermit betrauten Personen gestellt. In aller Regel wird man ohne die Einschaltung hierauf spezialisierter Software-Anbieter kaum auskommen. Und aufgrund der hohen Sensibilität der potenziell zu verarbeitenden personenbezogenen Daten wird in vielen Fällen die Pflicht bestehen, eine Datenschutzfolgenabschätzung nach Art. 35 DSGVO durchzuführen.
Das ist Arbeit und deshalb raten wir allen hiervon betroffenen Unternehmen, sich frühzeitig mit dem Thema zu befassen und sich Gedanken zur Gestaltung der neuen Prozesse zu machen!
Wir stehen hier gerne mit unserer Expertise als tatkräftige Unterstützung bereit. z. B. mit unseren Schulungen zum Fachkundenachweis für Meldestellenbeauftragte.