Umfassende Pflichten für Unternehmen, Behörden und Organisationen
Die Uhr tickt für Unternehmen, Behörden und Organisationen: Das neue (HinSchG) muss gemäß EU-Whistleblower-Richtlinie bis 17.12.2021 verabschiedet werden. Eine Übergangsfrist ist nicht vorgesehen. „Wer sich rechtssicher aufstellen möchte, sollte mit der Umsetzung beginnen“, rät Regina Mühlich, Geschäftsführerin der Managementberatung AdOrga Solutions GmbH.
Vier zentrale Bereiche des HinSchG-E
Verstöße aufdecken, Prävention, Rechtsdurchsetzung verbessern lauten die Eckpfeiler der sogenanten Whistleblower-Richtlinie der EU. Die bundesweite Umsetzung soll das HinSchG regeln. Es soll für Unternehmen und Behörden gleichermaßen gelten und stellt somit die gleichen Anforderungen an nicht-öffentliche wie auch öffentliche Stellen. Die vier wesentlichen Bereiche des HinSchG sollen laut Entwurf (HinSchG-E) umfassen: persönlicher Anwendungsbereich (§ 1), sachlicher Anwendungsbereich (§ 2), interne und externe Meldekanäle (§§ 7 – 30) sowie der Schutz des Hinweisgebers (§§ 32 – 38).
Ein Hinweisgebersystem einrichten
Um effektive, vertrauliche und sichere Meldekanäle für Hinweisgeber zu gewährleisten, sieht der HinSchG-E mehrere Möglichkeiten und Vorgehensweisen vor. Grundlegend zum Tragen kommen laut Regina Mühlich:
– Eine interne Meldestelle beim Beschäftigungsgeber oder der Dienststelle. Dort kann eine beschäftigte Person oder eine interne Organisationseinheit mit den Aufgaben einer internen Meldestelle betraut werden.
– Eine gemeinsame Stelle, die mehrere Beschäftigunsgeber betreiben. Dies gilt für Beschäftigungsgeber mit in der Regel 50 bis 249 Beschäftigten.
– Die Beauftragung eines Dritten, welcher eine gemeinsame interne Stelle betreibt.
Es bleibt den öffentlichen und nicht-öffentlichen Stellen überlassen, wie sie die Meldestellen organisieren. Meldekanäle sind telefonisch, physisch, per E-Mail und Post einzurichten. Ein zusätzlich elektronisch gestütztes System ist möglich, gesetzlich aber nicht vorgesehen. Eine konkrete Organisation ist ab einer Zahl von mehr als 50 Beschäftigten jedoch zwingend erforderlich. Eine Kopfzählerei und -schieberei ist hierbei nicht zielführend: Das Fehlen von Organisationsform und Strukturen potenziert vielmehr das Risiko für die Organisation.
Den Hinweisgeber schützen
Regina Mühlich warnt: „Die Organisation hat Maßnahmen zu treffen, welche die hinweisgebende Person insbesondere vor Repressalien und Benachteiligungen oder Offenlegung des Sachverhalts schützen.“ Das hat seinen Grund: Der „Nichtschutz“ kann zu Schadensersatzpflichten des Verursachers (z. B. unbefugte Offenlegung) gegenüber dem Hinweisgeber führen. Der Hinweisgeber soll außerdem für die Meldung oder Offenlegung der Informationen oder für daraus evtl. entstehende Schäden auf Seiten des Betroffenen nicht verantwortlich gemacht werden können. Ein starkes Instrument in der praktischen Anwendung ist die geltende Beweisumkehr, welches die Beweislast im Falle einer Kündigung auf Arbeitgeber oder Dienstherren umlegt.
Hinweisgeberschutz vs. Geschäftsgeheimnisgesetz
Unterliegt der Hinweisgeber „nur“ (arbeits-)vertraglichen Geheimhaltungspflichten, darf dieser mit der Meldung – wenn nötig – auch Geschäftsgeheimnisse offenbaren. Das gilt immer dann, wenn der Hinweisgeber hinreichend Grund zu der Annahme hat, dass die Weitergabe bzw. Offenlegung erforderlich ist, um einen Verstoß aufzudecken.
Datenschutzrecht einhalten, Datenschutzbeauftragten einbinden
„Die datenschutzrechtlichen Vorgaben bleiben von der Whistleblower-Gesetzgebung unberührt“, so die Expertin für Datenschutz, Sachverständige für EDV und Datenschutz sowie Datenschutz-Auditorin und Compliance Officer. Das heißt, die Datenschutz-Grundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG) und andere spezialgesetzliche Normen sind auch hier im Umgang mit den personenbezogenen Daten einzuhalten. Regina Mühlich empfiehlt deshalb: „Unter anderem in Hinblick auf die Dokumentation im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO), eine Datenschutz-Folgenabschätzung (Art. 35 Abs. 1 DSGVO) oder die analog geltende Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) sollte der Datenschutzbeauftragte frühzeitig eingebunden werden. Er kann die Planung zur Umsetzung des HinSchG und die Bewertung der datenschutzrelevanten Anforderungen mit der nötigen Fachexpertise begleiten.“ Auch für die Funktion als Ombudsmann im Sinne der Meldekanäle bietet sich der Datenschutzbeauftragte (vor allem der externe) an: Als Vertrauensperson innerhalb der Organisation ist er weisungsfrei, vertritt per se die Rechte der betroffenen Person und ist in seiner Funktion zu Vertraulichkeit und Verschwiegenheit verpflichtet.
Umsetzung sofort starten – Bußgelder bis 100.000 Euro drohen
Das kommende HinSchG setzt die Regelungen der EU-Whistleblower-Richtlinie in deutsches Recht um. Zuwiderhandlung gegen Verpflichtungen aus dem HinSchG stellen eine Ordnungswidrigkeit dar – es drohen Bußgelder von bis zu 100.000 Euro. Für Unternehmen gilt: Eine Umsetzungsfrist ist nicht geplant. Die Implementierung sollte, wie bei der Einführung eines jeden anderen Managementsystems (z. B. Datenschutz oder Qualitätsmanagement), zielgerichtet und strukturiert angegangen werden. Der deutsche Gesetzgeber hat für die nationale Umsetzung eine Frist bis zum 17. Dezemer 2021. Für Organisationen wird es keine Übersetzungsfrist geben. Im Hinblick darauf sollte mit der Umsetzung am besten sofort begonnen werden.
Regina Mühlich ist Geschäftsführerin der Managementberatung AdOrga Solutions GmbH. Sie ist Expertin für Datenschutz, Sachverständige für EDV und Datenschutz sowie Datenschutz-Auditorin und Compliance Officer. Als Datenschutzbeauftragte und Compliance Officer berät und unterstützt sie nationale und internationale Unternehmen aus unterschiedlichsten Branchen. Im Datenschutz ist sie seit über 20 Jahren tätig. Sie ist gefragte Referentin für Seminare und Vorträge sowie Mitglied des Vorstandes des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e. V.
Firmenkontakt
AdOrga Solutions
Regina Mühlich
Kirchenstraße 21
82194 Gröbenzell bei München
+49 81 42 46 24 921
in**@ad*************.de
http://www.adorgasolutions.de
Pressekontakt
MM-PR GmbH
Carina Quast
Markt 21
95615 Marktredwitz
+49 9231 9637 0
+49 9231 63545
in**@mm***.de
http://www.mm-pr.de