Hinweisgebersystem

Das Hinweisgeberschutzgesetz (HinSchG) fordert ab Dezember 2021 ein Hinweisgebersystem

Hinweisgebersystem

Das Hinweisgeberschutzgesetz (HinSchG) fordert ab Dezember 2021 ein Hinweisgebersystem

In Deutschland wird die EU-Whistleblower-Richtlinie 2019/1937 spätestens ab dem 17. Dezember 2021 in nationales Recht umgewandelt. Dann sind Unternehmen ab 250 Mitarbeitern und Kommunen mit mehr als 10.000 Einwohnern dazu verpflichtet, ein Hinweisgebersystem zur Verfügung zu stellen. Nutzen Sie die Chance, die das Hinweisgeberschutzgesetz mit sich bringen wird, und integrieren Sie Ihr Hinweisgebersystem direkt in Ihr Risiko- und Compliance-Management. Möglich ist das mit unserem SAVISCON GRC-COCKPIT. Dabei nutzen wir mit der Software die Synergien zwischen Governance, Risk, Compliance, IT-Sicherheit und Datenschutz, um eine durchgängige und integrierte Bearbeitung der Missstandsmeldungen in einem System zu ermöglichen. Wenn auch Sie von den Synergien profitieren und ein Hinweisgebersystem einführen wollen, dann unterstützen wir Sie gerne bei der Umsetzung.

Anlass und Chance für Ihre Organisation

In Deutschland wird die EU-Whistleblower-Richtlinie 2019/1937 spätestens ab dem 17. Dezember 2021 in nationales Recht umgewandelt. Dann sind Unternehmen mit mehr als 250 Mitarbeitern verpflichtet, ein Hinweisgebersystem zur Verfügung zu stellen. Nutzen Sie die Chance, die das Hinweisgeberschutzgesetz mit sich bringen wird, und integrieren Sie Ihr Hinweisgebersystem direkt in Ihr Risiko- und Compliance-Management. Möglich ist das mit unserem SAVISCON GRC-COCKPIT. Dabei nutzen wir mit der Software die Synergien zwischen Governance, Risk, Compliance, IT-Sicherheit und Datenschutz, um eine durchgängige und integrierte Bearbeitung der Missstandsmeldungen in einem System zu ermöglichen. Wenn auch Sie von den Synergien profitieren und ein Hinweisgebersystem einführen wollen, dann unterstützen wir Sie gerne bei der Umsetzung.

Anonyme Kommunikation – digital und DSGVO-konform

Die Lösung ist in diesen Tagen, wie so häufig, das Hinweisgebersystem digital aufzusetzen und im besten Fall in das Compliance-Management-System der Organisation zu integrieren. Dabei sollte ein separater Kanal die uneingeschränkte, anonyme Kommunikation vom Eingang bis zur abschließenden Mitteilung an die hinweisgebende Person sicherstellen und sich dabei nahtlos in die bereits etablierten anderen Kanäle, soweit vorhanden, integrieren lassen:

Grafik GRC-COCKPIT als Hinweisgebersystem

Integration in vorhandene Management-Systeme

Eine entsprechende Software sollte eine effiziente und direkte Fallbearbeitung vom Eingang des Hinweises über die Würdigung bis zur Einleitung entsprechender Maßnahmen im angeschlossenen Compliance-Management-System ermöglichen. Mit unserer Compliance-Management-Software, dem SAVISCON GRC-COCKPIT, halten Unternehmen zusammen, was zusammengehört und integrieren ihr Hinweisgebersystem in das Compliance-Management, Risiko-Management, Datenschutz-Management und IT-Sicherheits-Management Ihrer Organisation oder Kommune.

Grafik integrierte Management-Systeme
Grafik Management-Systeme

Hintergrund zum Hinweisgeberschutzgesetz

Ein Hinweisgeber wird häufig auch Whistleblower genannt (zu Deutsch so viel wie: die Trillerpfeife benutzen, auf etwas aufmerksam machen). Das sind Personen, die Verstöße gegen das geltende Recht melden, die sie während ihrer beruflichen Tätigkeit festgestellt haben. Das können aus Unternehmenssicht die eigenen Mitarbeiter sein, Lieferanten, Partner oder Dienstleister, die das Unternehmen beauftragt.

Am 16. Dezember 2019 ist die Richtlinie (EU) 2019/1937 zum Schutz von Whistleblowern in Kraft getreten. Die Mitgliedsstaaten haben zwei Jahre Zeit, um die Richtlinie in nationales Recht umzusetzen. In Deutschland hat das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) im Dezember 2020 einen ersten Referentenentwurf veröffentlicht. Und genau hier stockt es zurzeit: Die Gespräche zwischen Union und SPD zum Hinweisgeberschutzgesetz sind Ende April 2021 vorerst gescheitert. Streitpunkt ist, dass die Bundesjustizministerin Christine Lambrecht (SPD) in Ihrem Gesetzentwurf – anders als ursprünglich in der EU-Richtlinie vorgesehen – den Schutz von Hinweisgebern beim Melden von Verstößen gegen das deutsche Recht mit einbezieht. In der Richtlinie ist nur die Rede von Verstößen gegen Das EU-Recht. „Denn sonst wäre geschützt, wer einen Verstoß gegen europäische Datenschutzvorschriften meldet, aber nicht geschützt, wer auf Schmiergeldzahlungen, Steuerhinterziehung oder auf Verstöße gegen deutsche Umweltschutz- oder Arbeitsschutzbestimmungen hinweist“, erläutert Lambrecht ihr Vorhaben.

In dem Gesetzesentwurf vom BMJV sind zwei Meldewege vorgesehen (§§ 7 bis 30). Diese sollen gleichwertig nebeneinander stehen und die hinweisgebenden Personen sollen frei zwischen ihnen wählen können. Das ist zum einen der interne Meldeweg, der innerhalb des Unternehmens geschaffen werden muss und zum zweiten ein externer Meldeweg, der bei einer unabhängigen Stelle eingerichtet wird. So besagt der Entwurf: „Eine externe Meldestelle auf Ebene des Bundes wird bei dem beziehungsweise der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit angesiedelt.

Außerdem heißt es im Gesetzesentwurf weiter: „Gegen hinweisgebende Personen gerichtete Repressalien sind verboten. Das gilt auch für die Androhung und den Versuch, Repressalien auszuüben. Sollte vom Arbeitgeber dennoch eine mutmaßliche Repressalie ausgeübt werden, gilt die Beweislast. So liegt es in der Verantwortung des Unternehmens nachzuweisen, dass die ergriffenen Maßnahmen auf Gründen basieren, die nichts mit der Meldung des Missstands zu tun haben.“

Wenn Hinweisgeber allerdings vorsätzlich oder grob fahrlässig unrichtige Informationen weitergeben, sollen sie für den entstandenen Schaden aufkommen müssen.

Der Whistleblower-Netzwerk e. V. hat den Referentenentwurf auf ihrer Homepage veröffentlicht.

Ob und wann ein Hinweisgebersystem eingeführt werden muss, richtet sich nach der Unternehmensgröße:

  • Unternehmen mit bis zu 49 Mitarbeitern werden kein Hinweisgebersystem installieren müssen
  • Unternehmen und Behörden ab 50 Mitarbeitern werden verpflichtet ein internes Hinweisgebersystem einzurichten
  • Für Unternehmen und Behörden mit bis zu 249 Mitarbeitern wird eine Übergangsfrist gelten, sie müssen ein Hinweisgebersystem bis zum 17. Dezember 2023 eingerichtet haben
  • Unternehmen und Behörden mit mehr als 250 Mitarbeitern müssen mit Inkrafttreten des Gesetzes ein internes Hinweisgebersystem umsetzen

Ein internes Hinweisgebersystem hat einen großen Vorteil für Unternehmen: Sie haben die Möglichkeit Missstände zu beseitigen, bevor die Öffentlichkeit und die Presse davon erfahren. So können sie einem möglichen Imageschaden vorbeugen. Risiken werden früher erkannt und Unternehmer können proaktiv gegen Verstöße vorgehen. Wenn Unternehmen im Streitfall vor Gericht ein strukturiertes Compliance-Management-System mit entsprechender Weiterbearbeitung von Hinweisen vorlegen können, wirkt sich das in der Regel positiv aus.

Wenn Unternehmen ein internes Hinweisgebersystem installieren, sollten sie bereits die folgenden Aspekte der EU-Richtlinie berücksichtigen:

  • Nach Eingang einer Meldung muss der Hinweisgebende innerhalb von sieben Tagen eine Eingangsbestätigung erhalten
  • Den Hinweisgebenden muss innerhalb von drei Monaten nach Bestätigung des Eingangs der Meldung eine Rückmeldung gegeben werden
  • In dieser Rückmeldung müssen die geplanten und bereits ergriffenen Folgemaßnahmen sowie deren Begründung beschrieben sein
  • Das Hinweisgebersystem muss datenschutzkonform eingesetzt werden
  • Alle eigegangenen Meldungen müssen dokumentiert und revisionssicher abgelegt werden
  • Ermöglicht effizientes und zusammenhängendes Arbeiten durch direkte Fallbearbeitung im angeschlossenen Compliance-Management-System
  • Es können Wiedervorlagen gesetzt werden
  • Das System kann an gesetzliche Fristen zur Bearbeitung erinnern
  • Ist für Interne und Externe jederzeit übers Web erreichbar
  • Daten können verschlüsselt übermittelt werden
  • Nachfragen beim Hinweisgeber zur Klärung des Sachverhalts sind anonym möglich

Whistleblowing ist spätestens seit Edward Snowden ein Begriff. Der ehemalige CIA-Mitarbeiter löste mit seinen Hinweisen rund um die weltweiten Überwachungs- und Spionagepraktiken von Geheimdiensten die National Scurity Agency-Affäre aus. Inzwischen gab es einige weitere Fälle mit großer medialer Aufmerksamkeit, beispielsweise 2015 rund um VW und den Abgasskandal. VW setzt als Hinweisgebersystem das BKMS ® Incident Reporting des Berliner Unternehmens Business Keeper GmbH ein. Es ist für jedermann online zugänglich: zum Hinweisgeberportal von VW.

Bild einer Trillerpfeife

Hintergrund zum Hinweisgeberschutzgesetz

Ein Hinweisgeber wird häufig auch Whistleblower genannt (zu Deutsch so viel wie: die Trillerpfeife benutzen, auf etwas aufmerksam machen). Das sind Personen, die Verstöße gegen das geltende Recht melden, die sie während ihrer beruflichen Tätigkeit festgestellt haben. Das können aus Unternehmenssicht die eigenen Mitarbeiter sein, Lieferanten, Partner oder Dienstleister, die das Unternehmen beauftragt.

Am 16. Dezember 2019 ist die Richtlinie (EU) 2019/1937 zum Schutz von Whistleblowern in Kraft getreten. Die Mitgliedsstaaten haben zwei Jahre Zeit, um die Richtlinie in nationales Recht umzusetzen. In Deutschland hat das Bundesministerium der Justiz und für Verbraucherschut (BMJV) im Dezember 2020 einen ersten Referentenentwurf veröffentlicht. Und genau hier stockt es zurzeit: Die Gespräche zwischen Union und SPD zum Hinweisgeberschutzgesetz sind Ende April 2021 vorerst gescheitert. Streitpunkt ist, dass die Bundesjustizministerin Christine Lambrecht (SPD) in Ihrem Gesetzentwurf – anders als ursprünglich in der EU-Richtlinie vorgesehen – den Schutz von Hinweisgebern beim Melden von Verstößen gegen das deutsche Recht mit einbezieht. In der Richtlinie ist nur die Rede von Verstößen gegen Das EU-Recht. „Denn sonst wäre geschützt, wer einen Verstoß gegen europäische Datenschutzvorschriften meldet, aber nicht geschützt, wer auf Schmiergeldzahlungen, Steuerhinterziehung oder auf Verstöße gegen deutsche Umweltschutz- oder Arbeitsschutzbestimmungen hinweist“, erläutert Lambrecht ihr Vorhaben.

In dem Gesetzesentwurf vom BMJV sind zwei Meldewege vorgesehen (§§ 7 bis 30). Diese sollen gleichwertig nebeneinander stehen und die hinweisgebenden Personen sollen frei zwischen ihnen wählen können. Das ist zum einen der interne Meldeweg, der innerhalb des Unternehmens geschaffen werden muss und zum zweiten ein externer Meldeweg, der bei einer unabhängigen Stelle eingerichtet wird. So besagt der Entwurf: „Eine externe Meldestelle auf Ebene des Bundes wird bei dem beziehungsweise der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit angesiedelt.

Außerdem heißt es im Gesetzesentwurf weiter: „Gegen hinweisgebende Personen gerichtete Repressalien sind verboten. Das gilt auch für die Androhung und den Versuch, Repressalien auszuüben. Sollte vom Arbeitgeber dennoch eine mutmaßliche Repressalie ausgeübt werden, gilt die Beweislast. So liegt es in der Verantwortung des Unternehmens nachzuweisen, dass die ergriffenen Maßnahmen auf Gründen basieren, die nichts mit der Meldung des Missstands zu tun haben.“

Wenn Hinweisgeber allerdings vorsätzlich oder grob fahrlässig unrichtige Informationen weitergeben, sollen sie für den entstandenen Schaden aufkommen müssen.

Der Whistleblower-Netzwerk e. V. hat den Referentenentwurf auf ihrer Homepage veröffentlicht.

Ob und wann ein Hinweisgebersystem eingeführt werden muss, richtet sich nach der Unternehmensgröße:

  • Unternehmen mit bis zu 49 Mitarbeitern werden kein Hinweisgebersystem installieren müssen
  • Unternehmen und Behörden ab 50 Mitarbeitern werden verpflichtet ein internes Hinweisgebersystem einzurichten
  • Für Unternehmen und Behörden mit bis zu 249 Mitarbeitern wird eine Übergangsfrist gelten, sie müssen ein Hinweisgebersystem bis zum 17. Dezember 2023 eingerichtet haben
  • Unternehmen und Behörden mit mehr als 250 Mitarbeitern müssen mit Inkrafttreten des Gesetzes ein internes Hinweisgebersystem umsetzen

Ein internes Hinweisgebersystem hat einen großen Vorteil für Unternehmen: Sie haben die Möglichkeit Missstände zu beseitigen, bevor die Öffentlichkeit und die Presse davon erfahren. So können sie einem möglichen Imageschaden vorbeugen. Risiken werden früher erkannt und Unternehmer können proaktiv gegen Verstöße vorgehen. Wenn Unternehmen im Streitfall vor Gericht ein strukturiertes Compliance-Management-System mit entsprechender Weiterbearbeitung von Hinweisen vorlegen können, wirkt sich das in der Regel positiv aus.

Wenn Unternehmen ein internes Hinweisgebersystem installieren, sollten sie bereits die folgenden Aspekte der EU-Richtlinie berücksichtigen:

  • Nach Eingang einer Meldung muss der Hinweisgebende innerhalb von sieben Tagen eine Eingangsbestätigung erhalten
  • Den Hinweisgebenden muss innerhalb von drei Monaten nach Bestätigung des Eingangs der Meldung eine Rückmeldung gegeben werden
  • In dieser Rückmeldung müssen die geplanten und bereits ergriffenen Folgemaßnahmen sowie deren Begründung beschrieben sein
  • Das Hinweisgebersystem muss datenschutzkonform eingesetzt werden
  • Alle eigegangenen Meldungen müssen dokumentiert und revisionssicher abgelegt werden
  • Ermöglicht effizientes und zusammenhängendes Arbeiten durch direkte Fallbearbeitung im angeschlossenen Compliance-Management-System
  • Es können Wiedervorlagen gesetzt werden
  • Das System kann an gesetzliche Fristen zur Bearbeitung erinnern
  • Ist für Interne und Externe jederzeit übers Web erreichbar
  • Daten können verschlüsselt übermittelt werden
  • Nachfragen beim Hinweisgeber zur Klärung des Sachverhalts sind anonym möglich

Whistleblowing ist spätestens seit Edward Snowden ein Begriff. Der ehemalige CIA-Mitarbeiter löste mit seinen Hinweisen rund um die weltweiten Überwachungs- und Spionagepraktiken von Geheimdiensten die National Scurity Agency-Affäre aus. Inzwischen gab es einige weitere Fälle mit großer medialer Aufmerksamkeit, beispielsweise 2015 rund um VW und den Abgasskandal. VW setzt als Hinweisgebersystem das BKMS ® Incident Reporting des Berliner Unternehmens Business Keeper GmbH ein. Es ist für jedermann online zugänglich: zum Hinweisgeberportal von VW.

Das SAVISCON GRC-COCKPIT

  • Transparenz

    Das SAVISCON GRC-COCKPIT liefert eine übersichtliche und transparente Darstellung der Prozesse im Unternehmen, wodurch alle Unternehmensebenen stets auf dem neusten Stand gehalten werden. Die Koordination von Aufgaben über Unternehmensebenen hinweg wird mit dem SAVISCON GRC-COCKPIT zum Kinderspiel.

  • Risikoreduktion

    Das SAVISCON GRC-COCKPIT ermöglicht Ihnen die übersichtliche Erfassung und Darstellung aller Risiken des Unternehmens, mit allen wichtigen Informationen. Das Haftungsrisiko des Unternehmens wird durch die verbesserte und revisionssichere Dokumentation erheblich reduziert.

  • Benutzerfreundlichkeit

    Lassen Sie sich von der innovativen Benutzerführung begeistern. Es ist keine lange Einarbeitungszeit erforderlich. Mit den individuellen Berichtsfunktionen erhalten Sie ohne viel Aufwand ein zielgruppenorientiertes Reporting.

  • Zusammenarbeit

    Arbeiten Sie gemeinsam mit Ihren Kollegen in einem System an unterschiedlichen Themen im GRC-Management. Koordinieren Sie die Aufgaben, regeln Sie Verantwortlichkeiten, aggregieren Sie Ergebnisse.

  • Priorisierung

    Wir haben ein alle Ebenen übergreifendes Ampelsystem ausgearbeitet, das Ihnen auf einen Blick die wichtigsten Optimierungsmöglichkeiten in Ihrem GRC-Management aufzeigt und somit die Aufgaben-Priorisierung erheblich erleichtert.

  • Effizienz

    Die zentrale Darstellung der miteinander verbundenen Anforderungen, Maßnahmen und Risiken erspart Ihnen durch eine intuitive Bedienung viel Arbeitsaufwand. Mit den von uns bereits erstellten Standardanforderungen, -Maßnahmen und -Risiken sparen Sie zusätzlich Zeit und Geld!

  • Zentralisierung

    Mit dem SAVISCON GRC-COCKPIT überwachen Sie den Status Ihres Risiko-Managements und Compliance-Managements auf einen Blick. Sie steuern Ihre Compliance-Prozesse zentral und können so alle relevanten Zielgruppen des Unternehmens mühelos in die Unternehmensprozesse einbeziehen.

  • Prävention

    Handeln Sie nicht erst, wenn es zu spät ist! Das SAVISCON GRC-COCKPIT fungiert als Frühwarnsystem für Risiken. Durch die transparente Darstellung der Unternehmensprozesse sind Sie dem Complianceverstoß immer einen Schritt voraus.

Blick in die Software

Unsere Referenzen

Wir haben schnell festgestellt, dass wir mit dem SAVISCON GRC-COCKPIT unsere Prozesse digital gut abbilden können und sich die Arbeitsprozesse deutlich beschleunigt haben.

Marion Becker, Fachbereichsleitung Finanzen & IT
Caritasverband Meschede e. V.

Mehr zum Thema Hinweisgeberschutzgesetz in unserem Blog:

Sinnbild für Hinweisgeberschutz Trillerpfeife

Hinweisgeberschutzgesetz

Am 30. März 2023 werden im Bundestag nun zwei weitere Gesetzesvorlagen beraten. Einen Tag darauf, am 31. März 2023, könnte das Hinweisgeberschutzgesetz dann erneut im Bundesrat zur Abstimmung gebracht werden. Und final am 1. Mai 2023 in Kraft treten. Was das für deutsche Unternehmen bedeutet, lesen Sie in unserem Blog-Beitrag:
Sinnbild neues Jahr 2022Pixabay

Neues Jahr, neue Regierung, neue Gesetze

Mit der neuen Regierung entscheidet erstmals auf Bundesebene die Ampel-Koalition aus Grünen, FDP und SPD. Mit dem verabschiedeten Koalitionsvertrag ergeben sich auch einige Änderungen im Compliance-Umfeld für das aktuelle Jahr 2022. Das betrifft unter anderem das Hinweisgeberschutzgesetz sowie das Lieferkettengesetz. Welche Anforderungen aus den Gesetzen auf Sie zukommen, lesen Sie in diesem Blog-Beitrag:
Sinnbild HinweisgeberschutzgesetzTingey Injury Law Firm auf Unsplash.com

Hinweisgeberschutzsystem: Vertraulichkeit wahren und geschützte Kommunikationswege bereitstellen

Am 17. Dezember 2021 müssen Unternehmen ab 249 Mitarbeitern ein Hinweisgebersystem bereitstellen. Die Lösung ist in diesen Tagen, wie so häufig, das System digital aufzusetzen und im besten Fall in das Compliance-Management-System der Organisation zu integrieren. Dabei sollte ein separater Kanal die uneingeschränkte, anonyme Kommunikation vom Eingang bis zur abschließenden Mitteilung an die hinweisgebende Person sicherstellen. Wie das aussehen kann lesen Sie in unserem Blog-Beitrag: