Das Hinweisgeberschutzgesetz tritt in Kraft   

Akuter Handlungsbedarf für Unternehmen 

Die Anforderungen für Firmen an den Datenschutz in Deutschland erhöhen sich mit dem 2. Juli 2023 nochmals. Hintergrund ist das „Gesetz für einen besseren Schutz hinweisgebender Personen (Hinweisgeberschutzgesetz – HinSchG) , das kurz als „Hinweisgeberschutzgesetz“ bezeichnet wird.  

Demnach müssen Unternehmen ab 250 Beschäftigten die neuen Vorgaben erfüllen und ein entsprechendes Meldesystem installieren. Aber auch für Firmen mit 50 bis 249 Mitarbeitern gilt die Pflicht, allerdings erst ab dem 17. Dezember 2023. 

Feststeht, dass Mitteilungen wegen (vermeintlicher) Verstöße gegen die Datenschutzgrundverordnung (DSGVO) gleichfalls vom Hinweisgeberschutzgesetz umfasst sind (§ 2 Absatz 1 Nr. 3 Buchstabe p) HinSchG)). 

Die Nichteinhaltung des HinSchuG kann für Firmen teuer werden: Es drohen unter anderem Bußgelder von bis zu 20.000 Euro, wenn kein Mitteilungsweg bereitgestellt wird (§ 40 Absatz 6 HinSchG).

Viele offene Fragen

Das Hinweisgeberschutzgesetz (in der Presse vielfach auch „Whistleblower-Gesetz“ genannt) wirft zahlreiche Fragen des Datenschutzes auf. Auf den ersten Blick gilt es folgende Antworten zu finden: 

• Wie muss etwa ein IT-gestütztes Verfahren für Meldungen ausgestaltet sein? Im Fokus stehen dabei die technischen und organisatorischen Maßnahmen („TOM“), die die Datenschutzgrundverordnung (DSGVO) vorschreibt. 
• Welchen Menschen muss das Hinweisgebersystem zur Verfügung gestellt werden – nur den eigenen Beschäftigten oder auch Kunden, Nichtkunden, Lieferanten und sonstigen Geschäftspartnern? 
• Welche Bereiche in einem Unternehmen sind relevant – Korruption, Geldwäsche, Unterschlagung, Verstöße gegen den Umweltschutz? 
• Wer ist überhaupt berechtigt, die im System eingehenden Meldungen entgegen nehmen zu dürfen? Klar ist, dass es nicht die Geschäftsleitung sein darf. Aufgrund der Fachkunde im Datenschutz bietet sich der/die Datenschutzbeauftragte an – sei es, ob die Person als interner oder externer Datenschutzbeauftragter bestellt ist (s. auch § 14 Absatz 1). 
• Welche anderen Arbeitnehmer im Unternehmen dürfen auf das Hinweisgeber-System zugreifen? 
• Bestehen gesetzliche Aufbewahrungspflichten für eingehende Meldungen? 
• Wie verhält es sich mit der Dokumentation eingegangener Meldungen? 
• Wie muss das Löschkonzept empfangender Meldungen aussehen (schließlich sind regelmäßig personenbezogene Daten betroffen, die nicht ewig gespeichert werden dürfen)? 

Schweigen des Gesetzgebers zur Praxis

Die Anforderungen an das Whistleblower-Gesetz sind folglich alles andere als trivial. Wie so oft, gibt auch hier der Gesetzgeber keine praktischen Hinweise. Es gibt keine Standardantworten für den Umgang mit Hinweisgebern – Lösungen sollten individuell auf Unternehmen angepasst werden – wirtschaftlich angemessen sowie im Sinne des Schutzes personenbezogener Daten und den dahinterstehenden Menschen. 

Fragen, Feedback und Kommentare zu diesem Beitrag senden Sie bitte an r.vgehlen@acent.de