Das finale Hinweisgeberschutzgesetz (HinSchG) mit Änderungsvorschlägen des Vermittlungsausschusses wurde am 12.05.2023 verabschiedet. Das Gesetz tritt Mitte Juni 2023 in Kraft, nachdem es vom Bundespräsidenten unterzeichnet und nach der Verkündigung im Bundesgesetzblatt veröffentlicht wurde. Beschäftigte sollen die Möglichkeit erhalten – im Zusammenhang mit ihrer Beschäftigung stehende – Fälle von bspw. Gesetzesverstößen, Betrug, unethischem Verhalten, Diskriminierung, Belästigung, Korruption, Diebstahl von Firmeneigentum oder auch Datenschutzverstößen anonym und ohne Benachteiligungen zu melden.
Unternehmen und öffentliche Verwaltungen mit 250 oder mehr Beschäftigten haben dann einen Monat Zeit, die Vorgaben des Gesetzes umzusetzen. Der Stichtag für Unternehmen und öffentliche Verwaltungen mit 50 bis 249 Beschäftigten ist der 17.12.2023. Umzusetzen sind interne Meldestellen und Konzepte zum Schutz von Hinweisgebern. Erfolgt dies nicht, drohen Bußgelder von bis zu 50.000 €.
Einfache Umsetzung mit digitalen Hinweisgebersystemen
Es empfiehlt sich die digitale Implementierung eines Hinweisgebersystems, um die Anforderungen des Gesetzes schnell und unkompliziert umzusetzen. Bei der Einrichtung einer internen E-Mailadresse zur Meldung von Hinweisen kann bspw. nicht gewährleistet werden, dass die IT-Abteilung die Mails mitliest oder der Mailaccount kompromittiert wird.
Vorteile von digitalen Hinweisgebersystemen
- Anonyme Meldung von Missständen ist möglich.
- Eingang von Hinweisen wird automatisch innerhalb von 7 Tagen bestätigt.
- Hinweisgeber wird innerhalb von 3 Monaten über die bereits getroffenen Maßnahmen informiert.
- Identität des Hinweisgebers wird nur den Personen bekannt sein, die im Unternehmen zur Bearbeitung der Hinweise bestimmt wurden.
Die PRODATIS stellt Ihnen ein digitales, gesetzeskonformes Hinweisgebersystem zur Verfügung und kann im Bedarfsfall die Meldungen von Beschäftigten vertraulich als Meldestelle zur weiteren Bearbeitung entgegennehmen.
Sprechen Sie uns an, unter: +49 (0) 351 266 23 30
Was ist aus Datenschutzsicht zu beachten?
Die neuen Meldestellen müssen sich streng an datenschutzrechtliche Vorgaben halten, denn sie nehmen die Meldungen entgegen, verarbeiten personenbezogene Daten und dokumentieren die Hinweise. Weitere Anforderungen sind insbesondere:
- vor der Einführung des Verfahrens eine Datenschutzfolgenabschätzung durchführen,
- bei der Einrichtung einer internen Meldestelle die neue Funktion in das Verzeichnis der Verarbeitungstätigkeiten(gem. Art. 30 DSGVO) aufnehmen
- Erstellen und zur Verfügung stellen von Datenschutzhinweisen für betroffene Personen (Informationspflichten gem. Art. 13 und 14 DSGVO)
- drei Jahre nach Abschluss des Verfahrens alle Daten löschen.