Der Deutschen Bundestag hat am 16.12.2022 das Hinweisgeberschutzgesetz (HinSchG) beschlossen. Das Gesetz könnte nun nach Zustimmung durch den Bundesrat doch bald mal in Kraft treten (die nächste Sitzung findet wohl im Februar statt). Der Gesetzesentwurf der Bundesregierung sowie Beschlussempfehlung und Bericht des Rechtsausschusses vom 14.12.2022, sind hier abrufbar.
Ziel und Anwendungsbereich nach § 1 des HinwSchG ist der Schutz von natürlichen Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit oder im Vorfeld einer beruflichen Tätigkeit Informationen über Verstöße erlangt haben und diese an die nach diesem Gesetz
vorgesehenen Meldestellen melden oder offenlegen (hinweisgebende Personen). Darüber hinaus werden Personen geschützt, die Gegenstand einer Meldung oder Offenlegung sind, sowie sonstige Personen, die von einer Meldung oder Offenlegung betroffen sind.
Die Pflicht eine Medestelle zu etablieren trifft dann zukünftig grundsätzlich Arbeitgeber mit einer Beschäftigtenanzahl ab 50 Mitarbeitern. Arbeitgeber mit weniger als 50 Beschäftigten, sind nicht verpflichtet, interne Meldekanäle einzurichten. Bestimmte "Beschäftigungsgeber" (Unternehmen aus dem Finanzsektor) müssen bereits ab Inkrafttreten des Gesetzes (also dann wohl im Februar 2023) einen internen Meldekanal unabhängig von der Anzahl ihrer Beschäftigten implementieren. Deshalb sind z.B. auch kleinere Wertpapierdienstleistungsunternehmen, die weniger als 50 Mitarbeitern beschäftigen, betroffen.
Ansonsten sieht das Gesetz in § 12 HinSchG eine gestaffelte Einführungsverpflichtung für "Beschäftigungsgeber" vor:
Durch die Beschlüsse des Rechtsaussusse in § 16 HinSchG neu als verpflichtende Anforderung hinzugekommen ist, dass interne Meldestellen auch anonyme Meldungen entgegennehmen, bearbeiten und eine weitere Kommunikation in anonymer Form ermöglichen können müssen. Die hinweisgebende Person muss innerhalb von sieben Tagen eine Eingangsbestätigung erhalten und innerhalb von drei Monaten nach Eingangsbestätigung eine Rückmeldung über ergriffene sowie geplante Folgemaßnahmen. Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist Art. 6 Abs. 1 lit. c) DSGVO in Verbindung mit § 10 HinSchG. Dabei umfasst die Norm auch die Verarbeitung besonderer Kategorien personenbezogener Daten aus Art. 9 DSGVO. Die Meldung ist zu dokumentieren und die Dokumentation muss drei Jahre nach Abschluss des Verfahrens gelöscht werden (Löschkonzept!).
Datenschutzrechtlich interessant ist auch die Frage, wie interne Meldestellen mit Auskunftsuchen von (möglicherweise zu Unrecht) Beschuldigter nach Art. 15 DSGVO umzugehen haben.
Unternehmen, die eine Meldestelle suchen, können gerne auf mich zukommen. So etwas ließe sich etablieren.