Mit Beschluss des Bundestags vom 16. Dezember 2022 zum Hinweisgeberschutzgesetzes (HinSchG) soll die längst überfällige Hinweisgeberschutz-Richtlinie (EU) 2019/1937 in deutsches Recht umgesetzt werden. Bevor das Gesetz in Kraft treten kann, verbleibt dem Bundesrat noch die Möglichkeit zur Stellungnahme. Dies kann voraussichtlich erst in seiner ersten Sitzung im nächsten Jahr, am 10. Februar 2023, stattfinden. Arbeitgebern mit 250 oder mehr Beschäftigten bleiben sodann nach Verkündung und bis zum Inkrafttreten des Gesetzes nur noch drei Monate zur Errichtung einer Meldestelle, denn eine Übergangsfrist bis zum 17.12.2023 sieht das Gesetz nur für Unternehmen mit 50 bis 249 Arbeitnehmern vor.

Ziel des Gesetzes ist die Schaffung von Rechtssicherheit für Hinweisgeber und Hinweisgeberinnen, die durch ihre Meldungen zu Aufdeckung und Ahndung von Missständen beitragen. Unternehmen und Organisationen mit 50 oder mehr Beschäftigten werden verpflichtet, sichere, interne Hinweisgebersysteme zu installieren und zu betreiben. Daneben können Meldungen auch bei externen Meldestellen abgegeben werden, die durch den Bund oder die Länder eingerichtet werden.

Der Gesetzesentwurf der Bundesregierung erfuhr zuletzt im Rechtsausschuss noch einige Änderungen (Beitrag zum Entwurf hier: Link). So müssen nun beispielsweise, anders als im ursprünglichen Entwurf, geeignete Vorkehrungen zur Ermöglichung anonymer Kommunikation geschaffen werden, wobei eine Schonfrist bis zum 1. Januar 2025 besteht. Die Aufbewahrungspflicht der zu erstellenden Dokumentation im Fall einer Meldung beträgt nun drei Jahre und nicht mehr – wie ursprünglich vorgesehen – zwei Jahre.

Zulässigkeit der Verarbeitung personenbezogener Daten

Die Verarbeitung personenbezogener Daten erfolgt auf der gesetzlichen Grundlage des § 10 HinSchG. Begrüßenswert ist die klare Regelung, dass unter Wahrung der Interessen der betroffenen Personen auch besondere Kategorien personenbezogener Daten (vgl. Art. 9 DSGVO) verarbeitet werden können, sofern dies zur Erfüllung der Aufgabe der Meldestelle erforderlich ist. Darin kann ein erhebliches öffentliches Interesse entsprechend Art. 9 Abs. 2 lit. e) DSGVO gesehen werden. Hinsichtlich der Wahrung der Interessen der betroffenen Personen verweist die Norm in der angepassten Fassung nun auf § 22 Abs. 2. Satz 2 BDSG.

Umsetzung

Grundsätzlich bedarf die Einrichtung des Hinweisgebersystems einer datenschutzkonformen Ausgestaltung. Dies umfasst nicht nur, aber insbesondere:

  • Die Beachtung der Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 DSGVO;
  • die Sicherstellung des Datenschutzes durch Technik und datenschutzfreundliche Voreinstellungen, Art. 25 DSGVO;
  • angemessene technische & organisatorische Schutzmaßnahmen (Art. 32 DSGVO);
  • den Abschluss eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO, wenn interne Meldestellen nach § 14 Abs. 1 HinSchG von Dritten betrieben werden;
  • die Beachtung der Grundsätze der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO, wenn mehrere Beschäftigungsgeber eine gemeinsame Meldestelle gemäß § 14 Abs. 2 HinSchG einrichten;
  • den Prozess für die Information der Betroffenen nach Art. 13, 14 DSGVO, insbesondere auch der in der Meldung genannten Personen;
  • die Erstellung und Implementierung eines Löschkonzepts;
  • die Schulung der mit den Meldungen befassten Mitarbeitenden;
  • die Überarbeitung des Prozesses zur Beantwortung von Betroffenenanfragen, z.B. eines Auskunftsverlangens, die Informationen aus einer Meldung im Sinne des HinSchG betreffen. Hier ist genau zu prüfen, welche Rechte gegeben sind und ob gegebenenfalls eine Einschränkung notwendig ist. Das kann der Fall sein, wenn entweder die Untersuchungen oder die Vertraulichkeit des Meldenden (§ 8 HinSchG) nicht gefährdet werden dürfen.

In Deutschland kann dafür auf die Regelungen in § 29 Abs. 1 S. 1,2 BDSG verwiesen werden.

Fazit

Unternehmen sollten sich unbedingt jetzt mit der Umsetzung der neuen gesetzlichen Vorgaben beschäftigen. Wenn keine interne Meldestelle eingerichtet oder betrieben wird, können Bußgelder drohen.

PwC bietet eine PwC Whistleblower and Ethics Reporting Channel als Managed Service (Link)