1. Home
  2. themen
  3. Artikel
  4. Besondere Herausforderung für Personaldienstleister: Das Gesetz zum Schutz von Whistleblowern kommt wohl in 2023
07.03.2023
Newsletter abonnieren

Besondere Herausforderung für Personaldienstleister: Das Gesetz zum Schutz von Whistleblowern kommt wohl in 2023

  • Der Bundestag hatte den Gesetzentwurf zum Schutz von Whistleblowern überraschend noch Ende 2022 verabschiedet und es fehlte nur noch die Zustimmung des Bundesrates, damit das Gesetz in Kraft tritt. Allerdings wurde es inzwischen nochmals zurückgewiesen.
  • Die Koalition kündigt bereits einen neuen Vorstoß für den Hinweisgeberschutz an, der ohne Mitwirkung des Bundesrates auskommt.
  • Abhängig von der Größe des Unternehmens muss sofort gehandelt und insbesondere die Forderung nach der Einrichtung einer Meldestelle für Hinweise durch Whistleblower geschaffen werden. Ein Verstoß unterliegt einem Bußgeld von bis zu 20.000 Euro.
  • Für die meisten Personaldienstleistungsunternehmen wird die Verpflichtung zur Einrichtung einer Meldestelle wohl unmittelbar gelten. Unternehmen mit mehr als 50 und weniger als 250 Mitarbeitern haben eine Karenzzeit bis voraussichtlich Dezember 2023.

Der Deutsche Bundestag hatte recht überraschend noch Ende 2022 mit dem Hinweisgeberschutzgesetz (HinSchG) den Gesetzentwurf zum Schutz von natürlichen Personen verabschiedet, die im Zusammenhang mit ihrer beruflichen Tätigkeit oder im Vorfeld dessen Informationen über Verstöße erlangt haben und diese an Meldestellen melden oder offenlegen. Neben den Hinweisgebern (Whistleblowern) werden auch die Personen geschützt, die Gegenstand einer Meldung oder Offenlegung oder von dieser betroffen sind. Damit setzt der deutsche Gesetzgeber die Hinweisgeberschutz-Richtlinie der Europäischen Union in das deutsche Recht um. Die EU-Whistleblower-Richtlinie verpflichtet Unternehmen, private Organisationen und Behörden sichere Kanäle für die Meldung von Missständen einzurichten und Vorkehrungen zu treffen, um Hinweisgeber vor Repressalien zu schützen.

Geltungsbereich

Das HinSchG soll gem. § 2 für straf- und bußgeldbewehrte Verstöße, soweit die verletzte Vorschrift dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient, gelten. Außerdem unter anderem für sonstige Verstöße gegen Rechtsvorschriften des Bundes und der Länder, der Europäischen Union oder der Europäischen Atomgemeinschaft zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung. Für die Personaldienstleistung sind hier insbesondere der Schutz der Rechte von Beschäftigten und die Einhaltung des Datenschutzes relevant – letztere wird ebenfalls und ausdrücklich umfasst.

Meldestellen

Arbeitgeber mit mindestens 50 Beschäftigten müssen eine Stelle für interne Meldungen einrichten und betreiben, an die sich Angestellte zur Meldung von Verstößen wenden können. Bereits der Verstoß gegen diese Einrichtungspflicht unterliegt einem Bußgeld von bis zu 20.000 Euro. Die Meldestelle muss technisch und organisatorisch eingerichtet werden. Das bedeutet: Die Stelle muss eingerichtet, die Aufgaben der Meldestelle geregelt, das Personal der Meldestelle geschult und die Meldewege (Adressen, unter denen Hinweise abgegeben werden können) müssen festgelegt und bekannt gegeben werden. Abschließend ist auch eine Schulung der Beschäftigten notwendig. Für das Verfahren zur Abgabe von Hinweisen braucht es ebenfalls eine konkrete Regelung. Die Hinweise können mündlich, schriftlich, persönlich oder in einer angemessenen Form abgegeben werden.

Inkrafttreten

Beim aktuellen Gesetzgebungsverfahren für das HinSchG handelt es sich um ein zustimmungspflichtiges Gesetz. Nach der nicht erfolgten Zustimmung durch den Bundesrat tritt das Gesetz noch nicht in Kraft. Sobald die Bundesregierung den bereits kurzfristig angekündigten Vorstoß für ein nicht zustimmungspflichtiges Gesetzgebungsverfahren unternimmt, wird für Personaldienstleistungsunternehmen mit 50 bis 249 Beschäftigten die Einrichtung ihrer Meldestellen eine gewisse Übergangsfrist gelten. Da aber kurzfristig mit diesem neuen Vorstoß zu rechnen und daraufhin ein baldiges Inkrafttreten zu erwarten ist, empfiehlt es sich, schon jetzt die grundsätzlichen Vorbereitungen zur Umsetzung zu treffen.

Wie funktioniert ein Hinweisgeberverfahren in einer internen Meldestelle?

Das HinSchG schreibt vor, dass

  • eine Eingangsbestätigung an die hinweisgebende Person innerhalb von 7 Tagen zu erfolgen hat,
  • zu prüfen ist, ob der gemeldete Verstoß oder Missstand in den sachlichen Anwendungsbereich des HinSchG fällt,
  • Kontakt mit der hinweisgebenden Person zu halten ist, um ggf. weitere Informationen oder Angaben zu erfragen,
  • die Stichhaltigkeit der eingegangenen Meldung zu prüfen ist,
  • angemessene Folgemaßnahmen ergriffen werden,
  • eine Rückmeldung an die hinweisgebende Person innerhalb von 3 Monaten zu erfolgen hat,
  • die Rückmeldung über geplante und ggf. bereits ergriffener Folgemaßnahmen informieren soll,
  • alle Hinweise unter Beachtung des Vertraulichkeitsgebotes zu dokumentieren sind und diese Dokumentation zwei Jahre nach Abschluss des Verfahrens zuverlässig zu löschen ist.

Aus Erfahrung empfiehlt es sich, für solch hochsensible Angelegenheiten eine unparteiische Dritte Instanz – also sogenannte Ombudspersonen – zu beauftragen. So bleibt der Datenschutz gegeben und es entsteht kein Risiko durch unbefugten Zugriff.

– Stephan Frank

Stephan Frank

Daher ist mehr erforderlich als eine interne E-Mailadresse oder Telefonnummer – was für eine wirklich vertrauliche Meldung beides wenig sinnvoll ist. Denn es kann nicht garantiert werden, dass „nicht zuständige“ Personen in Meldungen eingreifen und Kenntnis über die Identität der hinweisgebenden Person erhalten können.

Die Erfahrungen im internationalen Konzernumfeld haben ergeben, dass interne Meldestellen am besten von externen Ombudspersonen im Auftrag der Unternehmen unterhalten und betrieben werden. Dadurch entsteht kein Risiko für den Zugriff auf Meldung sowie Identitäten, wodurch anonyme Meldungen möglich sind. Die Pflicht, auch anonyme Meldungen entgegenzunehmen bzw. entgegennehmen zu können, tritt allerdings erst zum 01.01.2025 in Kraft.

Der Gesetzgeber nennt in seiner Gesetzesbegründung ausdrücklich externe Berater, externe Prüfer oder den Datenschutzbeauftragten sowie Arbeitnehmervertreter, die eine interne Meldestelle für Unternehmen betreiben können.

Was haben Unternehmen jetzt zu tun?

  1. Prüfen Sie spätestens zum Zeitpunkt des Inkrafttretens, in welche Größenkategorie Ihr Unternehmen fällt und welche Frist zur Einrichtung des Hinweisgeberverfahrens mit Meldestelle für Sie konkret gilt.
  2. Sprechen Sie bereits jetzt mit Ihrem Datenschutzbeauftragten und der Geschäftsleitung über die erwarteten gesetzlich erforderlichen Maßnahmen und insbesondere die Umsetzung der Anforderungen rund um die Meldestelle.
  3. Treffen Sie die notwendigen Maßnahmen und regeln Sie die datenschutzrechtlichen Anforderungen, legen Sie das Hinweisgeberverfahren als Verarbeitungstätigkeit in der Prozessliste (VVT) an und führen – wegen der Erheblichkeit und des Risikos innerhalb dieses Verfahrens – eine Datenschutzfolgenabschätzung durch.
  4. Sobald Sie das eingerichtete Hinweisgeberverfahren und die Meldekanäle bekannt gegeben haben, beachten Sie unbedingt die technischen Anforderungen der Informationssicherheit.
  5. Führen Sie einen ersten dokumentierten Test der Meldekanäle durch und passen bei Bedarf den Prozess rund um das Hinweisgeberverfahren an.

Fazit

Das Hinweisgeberverfahren und die Meldekanäle sind so zu gestalten, dass nur Personen Zugriff auf Meldungen haben, die diese bearbeiten sollen. Es muss sichergestellt sein, dass keine unberechtigten Personen Zugriff auf die Identität der hinweisgebenden Personen oder auch den Hinweis selbst haben. Dafür ist es unbedingt erforderlich, entsprechende Abläufe und technische sowie organisatorische Maßnahmen einzurichten. Dies wird insbesondere für Personaldienstleistungsunternehmen eine operative Herausforderung, da die Mehrzahl der Unternehmen alleine aufgrund der für unsere Branche relativ hohen Zahl an Mitarbeitenden unmittelbar Verfahren und Prozesse einzurichten haben. Hier wird sich die Beauftragung einer Ombudsperson oder Meldestellenbeauftragten alleine schon durch die schnellere Verfügbarkeit, die geringeren Personalkosten und die selbstständige Aufrechterhaltung der Fachkunde des Meldestellenbeauftragten lohnen.

 

Naturgemäß ist die Vertraulichkeit und der Schutz der Identität einer hinweisgebenden Person von besonderer Bedeutung für die Akzeptanz der Meldestelle und des Hinweisgeberverfahrens. Diejenigen Personen, die mit der Entgegennahme und der Bearbeitung der Meldungen beauftragt sind, müssen absolut unabhängig und frei von möglichen Interessenkonflikten sein – aber natürlich über die erforderliche Fachkunde verfügen.

Stephan Frank

Stephan Frank betreut seit Jahren Personaldienstleister und -beratungen beim Datenschutz und Cyber- sowie Informationssicherheit. Als selbstständiger Datenschutzbeauftragter (DSB-TÜV) und -auditor (DSA-TÜV) übernimmt er für Unternehmen diese Aufgaben und berät interne Datenschutzbeauftragte. Er steht Unternehmen sehr gerne auch als Informationssicherheitsbeauftragter und -auditor zur Seite. Als Mitglied des zvoove Partner-Netzwerks bietet er seine Expertise in und für die Personaldienstleistung an. Zudem ist er Dozent der Bundesakademie für Personaldienstleistungen, bildet interne Datenschutzbeauftragte in Unternehmen aus und schult unabhängig zu Datenschutz sowie Datensicherheit. Die Übernahme der Aufgabe als Meldestellenbeauftragter wird mit Inkrafttreten des Hinweisgeberschutzgesetzes die Dienstleistungen für Personaldienstleistungsunternehmen abrunden.

 

Hat Ihnen der Artikel gefallen? Wir haben mehr davon ;-) Verpassen Sie keine Updates – melden Sie sich jetzt für unseren Newsletter an und erhalten Sie jede Woche den aktuellen arbeitsblog-Beitrag sowie die aktuellen Branchennews!

Kategorien

Kontakt

0911974780 info@kontext.com