20.07.2023 |

Akuter Handlungsbedarf für Unternehmen.

Die Anforderungen für Firmen an den Datenschutz in Deutschland erhöhen sich mit dem 2. Juli 2023 nochmals. Hintergrund ist das „Gesetz für einen besseren Schutz hinweisgebender Personen (Hinweisgeberschutzgesetz – HinSchG) , das kurz als „Hinweisgeberschutzgesetz“ bezeichnet wird. Demnach müssen Unternehmen ab 250 Beschäftigten die neuen Vorgaben erfüllen und ein entsprechendes Meldesystem installieren. Aber auch für Firmen mit 50 bis 249 Mitarbeitern gilt die Pflicht, allerdings erst ab dem 17. Dezember 2023.

Feststeht, dass Mitteilungen wegen (vermeintlicher) Verstöße gegen die Datenschutzgrundverordnung (DSGVO) gleichfalls vom Hinweisgeberschutzgesetz umfasst sind (§ 2 Absatz 1 Nr. 3 Buchstabe p) HinSchG)).

Die Nichteinhaltung des HinSchuG kann für Firmen teuer werden: Es drohen unter anderem Bußgelder von bis zu 20.000 Euro, wenn kein Mitteilungsweg bereitgestellt wird
(§ 40 Absatz 6 HinSchG). Darüber hinaus: Auch bei Kündigungen dürfte es für Arbeitgeber monetär schmerzhaft werden. So beispielsweise, wenn ein Beschäftigter eine Meldung erstattet, das System nicht datenschutzkonform konfiguriert ist und eine an sich berechtigte Kündigung folgt.

 

Viele offene Fragen

Das Hinweisgeberschutzgesetz (in der Presse vielfach auch „Whistleblower-Gesetz“ genannt) wirft zahlreiche Fragen des Datenschutzes auf. Auf den ersten Blick gilt es folgende Antworten zu finden:

  • Wie muss etwa ein IT-gestütztes Verfahren für Meldungen ausgestaltet sein? Im Fokus stehen dabei die technischen und organisatorischen Maßnahmen („TOM“), die die Datenschutzgrundverordnung (DSGVO) vorschreibt.
  • Welchen Menschen muss das Hinweisgebersystem zur Verfügung gestellt werden – nur den eigenen Beschäftigten oder auch Kunden, Nichtkunden, Lieferanten und sonstigen Geschäftspartnern?
  • Welche Bereiche in einem Unternehmen sind relevant – Korruption, Geldwäsche, Unterschlagung, Verstöße gegen den Umweltschutz?
  • Wer ist überhaupt berechtigt, die im System eingehenden Meldungen entgegen nehmen zu dürfen? Klar ist, dass es nicht die Geschäftsleitung sein darf. Aufgrund der Fachkunde im Datenschutz bietet sich der/die Datenschutzbeauftragte an – sei es, ob die Person als interner oder externer Datenschutzbeauftragter bestellt ist (s. auch § 14 Absatz 1).
  • Welche anderen Arbeitnehmer im Unternehmen dürfen auf das Hinweisgeber-System zugreifen?
  • Bestehen gesetzliche Aufbewahrungspflichten für eingehende Meldungen?
  • Wie verhält es sich mit der Dokumentation eingegangener Meldungen?
  • Wie muss das Löschkonzept empfangender Meldungen aussehen (schließlich sind regelmäßig personenbezogene Daten betroffen, die nicht ewig gespeichert werden dürfen)?

 

Schweigen des Gesetzgebers zur Praxis

Die Anforderungen an das Whistleblower-Gesetz sind folglich alles andere als trivial. Wie so oft, gibt auch hier der Gesetzgeber keine praktischen Hinweise.

Wir haben uns intensiv mit den Vorgaben des Hinweisgeberschutzgesetz beschäftigt. Natürlich haben auch wir keine Standardantworten auf jede Frage. Indes: Zusammen werden wir für Ihr Unternehmen und für den Schutz von Hinweisgebern eine vertretbare Lösung finden – wirtschaftlich angemessen sowie im Sinne des Schutzes personenbezogener Daten und den dahinterstehenden Menschen.

 

Melden Sie sich gerne bei uns!

 

Bild von Gerd Altmann auf Pixabay