Whistleblowing-Beauftragter

Hinweisgeberschutzgesetz. Das Gesetz für einen besseren Schutz hinweisgebender Personen – es kommt!

whistleblowing-beauftragter

Hinweisgeberschutzgesetz (HinSchG)

Wer das Wort Whistleblower hört, denkt sicherlich zunächst an Edward Snowden, vielleicht auch an Julian Assange. Whistleblower veröffentlichen Informationen aus ihrer beruflichen Tätigkeit, die ihre Arbeitgeber nicht gern in der Öffentlichkeit verbreitet sehen möchte, etwa über Missstände oder Rechtsbeugung.

Die genannten Personen haben interne Informationen aus dem US-Militär veröffentlicht und müssen nun mit drastischen Strafen rechnen. Aber Whistleblowing kann auch in kleineren Formate daher:

  • Das Umetikettieren abgelaufener Lebensmittel beispielsweise;
  • oder die zeitliche Koinzidenz eines großen Auftrags und des neuen Fuhrparks des Unternehmenseigners;
  • oder die Finanzierung eines Privaturlaubs über die Firma;
  • oder Anweisungen zum Unterlaufen des Arbeitsschutzes.

Verstöße gegen Recht und Gesetz im Arbeitsleben können viele Gesichter haben.

Die EU hat schon vor Jahren beschlossen, Hinweisgeber:innen auf solche Missstände besser zu schützen, sofern die Informationen der Wahrheit entsprechen (EU Whistleblowing Directive).

Dieses soll für folgende Personengruppen gelten:

  • Finanzdienstleister
  • private Unternehmen ab 50 Mitarbeiter:innen
  • Kommunen ab 10.000 Einwohnern
  • Behörden ab 50 Mitarbeiter:innen
  • öffentliche Einrichtungen

Update März 2023: Der Bundesrat hat dem Hinweisgeberschutzgesetz in der zur Abstimmung vorgelegten Fassung am 10. Februar 2023 nicht zugestimmt. Der überarbeitete Entwurf liegt seit dem 15. März 2023 vor und wird in Kürze beraten.

Vorteile des ext. Whistleblowing-Beauftragten

wbb-6

Rechtssicherheit

Meldungen werden rechtssicher und nach geltenden Gesetzen verarbeitet

wbb-3

10+ Jahre Erfahrung

Gebündelte Expertise aus den Bereichen Beratung, Recht & IT

wbb-1

Fehlverhalten vermeiden

Durch die Annahme von Meldungen kann mögliches Fehlverhalten frühzeitig erkannt werden – und bestenfalls verhindern

wbb-4

Beratung & Software aus einer Hand

Wir bieten Ihnen den vollen Service – vom Setup der Software über das Case Management bis zur rechtlichen Beratung

wbb-2

Neutraler Mediator

Interessenskonflikte zwischen verschiedenen Parteien vermeiden

wbb-5

Vermeidung von Bußgeldern

Als externer WBB bearbeiten wir Hinweise fristgerecht und rechtssicher

10-Punkte-Plan

Einrichtung der internen Meldestelle: Was sollten Sie beachten?

1. Der jeweilige "Whistleblower-Beauftragte" (Zuständigkeit) innerhalb des Unternehmens

Innerhalb des Unternehmens müssen "Whistleblower-Beauftragte" (eine oder mehrere Personen oder Abteilungen) ernannt werden, die die Berichte empfangen, den Eingang innerhalb von 7 Tagen bestätigen, den Bericht prüfen, geeignete Folgemaßnahmen einleiten und den Whistleblower innerhalb von 3 Monaten über die ergriffenen Maßnahmen informieren. Es gibt keine spezifischen Anforderungen an die Personen oder Abteilungen, jedoch sollte darauf geachtet werden, dass sie unabhängig agieren können und über die notwendige Expertise verfügen.

Auch Dritte können als interne Meldestellen beauftragt werden. Der Empfang und die Verarbeitung von Informationen können auch an externe Anbieter von Meldungsplattformen oder Ombudspersonen (wie Anwälte) ausgelagert werden, sofern sie angemessene Garantien für die Wahrung von Unabhängigkeit, Vertraulichkeit oder Anonymität, Datenschutz und Geheimhaltung bieten.

2. Unternehmensgruppe: Wie viele Hinweisgebersysteme sollen eingerichtet werden?

Innerhalb einer Unternehmensgruppe sind verschiedene Optionen denkbar. Einerseits gibt es die Möglichkeit einer lokalen Organisation, bei der jedes Unternehmen der Gruppe ein eigenes Hinweisgebersystem betreibt. Eine regionale Organisation ist ebenfalls denkbar, bei der einzelne Konzernunternehmen ein Hinweisgebersystem für eine bestimmte Region betreiben. Eine zentrale Lösung ist auch möglich, indem das Hinweisgebersystem zentral in einer Einheit (in der Regel beim Mutterunternehmen) angesiedelt ist.

Das HinSchG erlaubt auch die Beauftragung eines "Dritten" mit der Aufgabe eines internen Meldesystems. Gemäß der Begründung des HinSchG kann auch ein unabhängiges und vertrauliches Büro als "Dritter" bei einem anderen Konzernunternehmen (z. B. Muttergesellschaft, Schwester- oder Tochtergesellschaft) eingerichtet werden, das auch für mehrere eigenständige Unternehmen in der Gruppe arbeiten kann. Es ist jedoch erforderlich, dass die ursprüngliche Verantwortung für die Behebung und Nachverfolgung einer festgestellten Verletzung stets bei dem jeweiligen beauftragenden Unternehmen verbleibt.

Der Entwurf unterscheidet nicht zwischen Konzernunternehmen mit mehr oder weniger als 249 Mitarbeitern, aber die Möglichkeit der Einrichtung eines zentralen Meldesystems in der Gruppe ist wahrscheinlich für alle Konzernunternehmen ohne Unterscheidung möglich.

3. Mündlich, schriftlich oder persönlich? Diverse Kanäle zur Abgabe einer Meldung

Die internen Meldekanäle sollten Meldungn in mündlicher, schriftlicher oder auch in persönlicher Weise ermöglichen.

Beispiele für schriftliche Meldekanäle:

  • Hinweisgebersystem mittels Software (Internet oder Intranet)
  • Ein nur für diesen Zweck (Entgegennahme einer Meldung und Korrespondenz mit Hinweisgeber eingerichtete E-Mail-Adresse
  • Breifkasten (physischen existenten) oder die Möglichkeit, eine Meldung über den Postweg abzusetzen.

Beispiele für mündliche Meldekanäle:

  • Eine eigens eingerichtete Hinweisgeber-Telefonnummer (Hotline)

Auf Wunsch des Hinweisgebers sollte es über diese Kanäle auch möglich sein, innerhalb eines angemessenen Zeitraums Hinweise in einem persönlichen Treffen zu besprechen.

4. Zwangsläufige Vertraulichkeit aller Meldewege

Alle Meldekanäle müssen die Vertraulichkeit des Hinweisgebers und Dritter schützen:

Interne Meldekanäle müssen so gestaltet sein, dass die Vertraulichkeit und Integrität des Hinweisgebers gewahrt bleibt und nicht autorisierten Mitarbeitern der Zugang dazu verwehrt wird.

Vertraulichkeit bedeutet, dass die Integrität des Hinweisgebers im Prinzip nur von autorisierten Personen offengelegt werden darf, die ohne explizite Zustimmung des Hinweisgebers Berichte entgegennehmen dürfen.

5. Ordnungsgemäße Folgemaßnahmen der verantwortlichen Person bzw. Abteilung

Die verantwortliche Person oder Abteilung im Unternehmen muss angemessene Folgemaßnahmen ergreifen, dazu könnten zum Beispiel gehören:

  • Einleitung interner Untersuchungen
  • Mögliche Maßnahmen zur Behebung des Problems
  • Verweis auf andere Kanäle oder Verfahren zur Meldung
  • Schließung des Falls aufgrund fehlender Beweise oder aus anderen Gründen
  • Überweisung an eine zuständige Behörde

6. Beachtung von Bearbeitungsfristen

Innerhalb von sieben Tagen muss der Hinweisgeber eine Bestätigung erhalten, dass sein Bericht eingegangen ist.

Spätestens drei Monate nach Bestätigung des Eingangs des Berichts muss der Hinweisgeber über geplante oder bereits ergriffene Folgemaßnahmen sowie die Gründe dafür informiert werden.

7. Dokumentation der Meldungen und Datenaufbewahrung

Alle Meldungen, die eingehen, müssen vertraulich behandelt und dokumentiert werden. Wie die Dokumentation erfolgen soll, hängt davon ab, auf welchem Weg die Meldung eingegangen ist. Das Meldesystem sollte so gestaltet sein, dass Meldungen und Maßnahmen dokumentiert werden können und gegebenenfalls als Beweismittel genutzt werden können.

Aktuell müssen diese Dokumentationen nach Abschluss des Verfahrens nach drei Jahren gelöscht werden. Einige Leute haben diese Regelung kritisiert. Ob sich diese Regelung im Gesetzgebungsverfahren ändern wird, ist noch unklar.

8. Informationspflicht über Meldeverfahren

Unternehmen müssen Informationen über den internen Meldungsprozess und alternative externe Meldeverfahren an die zuständigen Behörden bereitstellen. Diese Informationen müssen leicht verständlich und zugänglich sein, zum Beispiel über die Unternehmenswebsite, das Intranet oder an einem Schwarzen Brett.

9. Beachtung von Datenschutzgesetzen

Im Hinweisgebersystem werden persönliche Informationen gespeichert. Bei der Einrichtung und Verwendung des internen Meldeverfahrens müssen alle Datenschutzgesetze beachtet werden. Das bedeutet, dass alle persönlichen Informationen, sowohl des Hinweisgebers als auch der beschuldigten Person, gemäß der EU-Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes verarbeitet werden müssen.

Es ist wichtig, Aufbewahrungs- und Löschfristen für die Daten festzulegen (siehe Punkt: 7. Dokumentation der Meldungen und Datenaufbewahrung). Eine Datenschutzerklärung für Hinweisgeber muss erstellt werden, wenn externe Anbieter als interne Meldestellen eingesetzt werden. Wenn das der Fall ist, müssen entsprechende Vereinbarungen für die Auftragsdatenverarbeitung getroffen werden.

Der Prozess für den internen Meldekanal muss im Verzeichnis der Verarbeitungstätigkeiten (VVT) aufgeführt werden. In der Regel ist auch eine Datenschutz-Folgeabschätzung erforderlich, um eine sichere Datenverarbeitung zu gewährleisten. Es müssen geeignete technische und organisatorische Maßnahmen (TOM) ergriffen werden, um sicherzustellen, dass die Daten sicher verarbeitet werden.

Hinweis: Es ist empfehlenswert, den (externen) Datenschutzbeauftragten frühzeitig in den Prozess einzubeziehen. Wenn es Zweifelsfragen gibt, können Sie sich auch an Datenschutzbehörden wenden.

10. Meldewege- und verfahren: Mitbestimmung des Betriebsrates

Der Betriebsrat hat kein Mitspracherecht, ob ein Meldesystem eingerichtet wird oder wer es betreibt.

Aber der Betriebsrat kann bei der Gestaltung der Meldewege und -verfahren mitbestimmen. Wenn das Unternehmen eigene Verfahren zur Meldung und zum Umgang mit Verstößen einführt, hat der Betriebsrat Mitspracherecht, weil es um Fragen der Betriebsordnung und des Verhaltens der Mitarbeiter geht. Der Betriebsrat hat auch Mitspracherecht bei Schulungen für Mitarbeiter. Es ist ratsam, den Betriebsrat frühzeitig in den Prozess einzubeziehen und mit ihm zu sprechen.

Preise & Pakete

Paketübersicht: Welches Paket ist die richtige Wahl?

Vergleichen Sie unsere Leistungspakete für kleine, mittlere oder komplexe Anforderungen und bestellen Sie Ihren externen Whistleblowing-Beauftragten zum Festpreis.

WHISTLEBOX DIY

45€ /Monat

Das "Software-Only" Einsteigerpaket für die eigene Implementierung einer Meldestelle.

Software

  • Whistlebox-SaaS (1 Mandant): 2 Zugänge
  • Whistleblowing-Richtlinie, Checklisten, VVT & Informationspflichten
  • 2-Faktor-Authentifizierung & reg. Updates
  • End-To-End Verschlüsselung
  • Virenscan & Metadaten Entfernung von Datein
  • Unbegrenzte Anzahl an Hinweisen
  • Automatisiertes Fristenmanagement (Fristenwecker) & E-Mail Reports
  • Sprache: DE & EN

Support

  • Video-Tutorial zum Onboarding & E-Mail
Paket anfragen

WHISTLEBOX CUSTOM

60€ /Monat

Setup individualisiertes Hinweisgebersystem & Beratung bei akuten Fragen.

Features

  • Alles aus DIY Paket +
  • Meldestellenbeauftragte (Admins): Unbegrenzt
  • Whitelabeling (Primary color & Logo anpassbar)
  • Individualisierbare Responsetexte
  • Intervallbestimmung für Fristenwecker
  • Statistik & Analyse Dashboard
  • Multilingual: 6 Sprachen

Support & Projekt

Onboarding einmalig pauschal: 500 €

  • Persönliche Experten-Unterstützung
  • Festlegung & Einrichtung der Zugänge
  • Support via E-Mail & Kunden-Wiki
Paket anfragen

WHISTLEBOX SLA

125€ /Monat

Wir stellen Ihren externen Beauftragten und konfigurieren eine individuelle Meldestelle.

Features

  • Alles aus CUSTOM Paket +
  • Bestellter externer WBB
  • Betreuung des elektronischen Hinweisgeberportals
  • Entgegennahme von eingehenden Hinweisen und neutrale Bewertung
  • Dokumentation der Meldungen (Tätigkeitsbericht)
  • Folgemaßnahmen der internen Meldestelle

Support & SLA

  • Regelmäßiges Status-Gespräch
  • Service-Level-Agreement
Paket anfragen

Whistlebox: Ablauf der Meldung

cortina_consult_wbb_ablauf_bei_hinweisen

FAQ

Häufig gestellte Fragen zum Hinweisgebersystem & Beauftragten

Wer ist Hinweisgeber?

Hinweisgeber ist eine Person die Hinweise zu möglichen Missständen im Hinweisgebersystem einreichen. Das können unter anderem sein: Arbeitnehmer (auch solche, deren Arbeitsverhältnis beendet ist), Bewerber, Praktikanten, Dienstleister, Freelancer, Anteilseigner, Unterauftragnehmer.

Welche Strafen drohen ohne eine Meldestelle?

Verpflichtete Unternehmen, die keine Meldestelle im Unternehmen einrichtet, die Kommunikation zwischen Hinweisgeber und Meldestelle vorsätzlich behindern oder gegen das Vertraulichkeitsgebot verstoßen, drohen Bußgelder zwischen 20.000€ und 100.000€.

Inwiefern unterstützt ein Hinweisgebersystem die Unternehmenskultur?

Das Hinweisgebersystem dient nicht nur der Prävention von Repressalien und der Enthüllung von Missständen im Unternehmen. Vielmehr wird eine offene und transparente Compliance Kultur gemeinsam mit den Mitarbeitern etabliert und vorangetrieben.

Ist das System hilfreich, um nicht nur Fehlverhalten zu melden, sondern auch effektiv vorzubeugen?

Durch das Sammeln und Überwachen von Meldungen können Sie mögliches Fehlverhalten frühzeitig und gezielt erkennen und damit bestenfalls verhindern.

Sie haben noch Fragen zum Thema oder zum Datenschutz im Allgemeinen?

Wir helfen Ihnen gerne:

joerg-ter-beek-datenschutzexperte-mitauszeichnung-in-berlin

Ihr Ansprechpartner

Jörg ter Beek
Datenschutzexperte

Autoren-Profil aufrufen