Gesetze

In dieser Rubrik lesen Sie alle Blog-Beiträge zum Thema Gesetze. Sei es die DSGVO, das LkSG oder das TTDSG.

Schlagwortarchiv für: Gesetze

Hinweisgeberschutzgesetz

Das müssen deutsche Unternehmen jetzt beachten

von Ingo Simon, Geschäftsführer der SAVICON GmbH

Eigentlich sollte das Hinweisgeberschutzgesetz am 10.02.2023 formal im Bundesrat beschlossen werden. Der Bundesrat stimmte dem Gesetzentwurf in seiner Sitzung allerdings nicht final zu.

Mit diesem ernüchternden Zwischenergebnis steht Deutschland in der EU nicht alleine da. Insgesamt sieben weitere Mitgliedsstaaten sind der Forderung der Europäischen Kommission ebenfalls nicht nachgekommen, die EU-Whistleblower-Richtlinie von 2019 fristgerecht umzusetzen.

Am 30. März 2023 werden im Bundestag nun zwei weitere Gesetzesvorlagen beraten. Einen Tag darauf, am 31. März 2023, könnte das Hinweisgeberschutzgesetz dann erneut im Bundesrat zur Abstimmung gebracht werden. Und final am 1. Mai 2023 in Kraft treten.

Was das für deutsche Unternehmen bedeutet, lesen Sie in unserem Blog-Beitrag:

Was ist das Hinweisgeberschutzgesetz?

Das Hinweisgeberschutzgesetz (HinSchG) ist die deutsche Umsetzung der EU-Whistleblower-Richtlinie von 2019, die erstmals einen standardisierten Schutz für Hinweisgeber EU-weit festlegt.

Schutz von Whistleblowern einerseits

Das Gesetz regelt den Schutz aller natürlicher Personen, die über interne oder externe Meldestellen auf Verstöße und Missstände in ihrem Arbeitsumfeld aufmerksam machen. Diese Personen werden Hinweisgeber oder Whistleblower genannt. Das können Arbeitnehmende, Gesellschafter, Praktikanten, Mitarbeitenden von Lieferanten und auch Personen sein, deren Arbeitsverhältnis bereits beendet ist bzw. noch gar nicht begonnen hat.

All diese Anspruchsgruppen schützt das HinschG vor Repressalien und Vergeltungsmaßnahmen wie Abmahnung, Disziplinarverfahren oder Mobbing am Arbeitsplatz. Um dies sicherzustellen, sieht das Gesetz in Paragraph 36 eine Beweislastumkehr vor. Arbeitgeber müssen also nachweisen, dass Maßnahmen gegen einen Stakeholder des Unternehmens nicht im Zusammenhang mit der Meldung eines Hinweises stehen.

Frühwarnsystem für Unternehmen andererseits

Unternehmen sollten das Hinweisgeberschutzgesetz als Chance wahrnehmen, interne Missstände frühzeitig erkennen zu können und durch entsprechende Maßnahmen zu lösen, bevor ein Vorfall publik wird. Das HinschG schützt Unternehmen zudem vor grob fahrlässigen Falschmeldungen und vorsätzlichem Denunziantentum, indem in einem solchen Fall Schadensersatzansprüche gegenüber der hinweisgebenden Person geltend machen können.

Welche Unternehmen müssen einen internen Meldekanal einrichten?

Das Gesetz sieht in Bezug auf die Umsetzung eine zeitliche Staffelung vor. Mit „Liveschaltung“ des Gesetzes werden alle Unternehmen ab 250 Mitarbeiter sofort in die Pflicht genommen sein, einen internen Meldekanal für Hinweisgeber bereitzustellen. Unternehmen mit einer Größe von 50 bis 249 Mitarbeitern wird eine Übergangsfrist bis 17. Dezember 2023 gewährt werden.

Ausnahme: Öffentlicher Sektor. Seit Dezember 2021 sind staatliche Stellen (Kommunen ab 10.000 Einwohnern und 50 Mitarbeitenden) dazu verpflichtet, interne Hinweisgebersysteme anzubieten.

Empfehlung: Bereiten Sie ihre Organisation unabhängig von der geplanten zeitlichen Umsetzung bereits jetzt auf das Hinweisgeberschutzgesetz vor. Etablieren Sie die entsprechenden Strukturen in Ihrem Unternehmen und schaffen Sie bei Ihren Mitarbeitern ein Bewusstsein für dieses Thema.

Interner oder externer Meldekanal?

Beide Meldewege werden vom Gesetz als vollständig gleichwertig angesehen. Die Entscheidung obliegt demnach der hinweisgebenden Person. Unternehmen sollen mithilfe eines Anreizsystems ihre Anspruchsgruppen davon überzeugen, den Hinweis über den internen Meldekanal abzugeben.

Neu im Gesetz: Die anonyme Kommunikation zwischen hinweisgebenden Personen und Ihrer internen Meldestelle muss laut Gesetz zusätzlich ermöglicht werden.

Die wichtigsten Anforderungen des HinschG im Kurzüberblick

  • Paragraph 12 des Hinweisgeberschutzgesetzes legt fest, dass Unternehmen der oben beschriebenen Größe allen Beschäftigten Zugang zur internen Meldestelle ermöglichen müssen.
  • Die Bearbeitung der eigehenden Hinweise darf sowohl von internen als auch von externen Mitarbeitern (z. B. Vertrauensanwalt) vorgenommen werden. Paragraph 15 stellt hierfür die einzige Bedingung, dass diese zuständigen Personen unabhängig und qualifiziert sind und dass keine Interessenskonflikten mit anderen Aufgaben und Pflichten entstehen.
  • Paragraph 8 und Paragraph 11: Vertraulichkeit, Anonymität, Datenschutz und vollständige Dokumentation der eingehenden Hinweise sind stets zu gewährleisten.
  • Spätestens innerhalb von sieben Tagen nach Hinweisabgabe muss der hinweisgebenden Person eine Eingangsbestätigung gesendet werden. (Paragraph 17)
  • Nach Paragraph 18 ist die hinweisgebende Person innerhalb von drei Monaten über die Maßnahmen zu informieren, die ergriffen worden sind, um den Vorfall zu behandeln und bestenfalls zu lösen.

Nutzen Sie jetzt die Vorteile des digitalen Hinweisgebersystems im SAVISCON GRC-COCKPIT und erfüllen Sie so alle Anforderungen aus dem Hinweisgeberschutzgesetz.

Über den Autor

Foto Ingo Simon

Ingo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: ingo.simon@saviscon.de oder vernetzen Sie sich mit mir:

XING Profil Ingo SimonLinkedIn Profil Ingo Simon

Praxis-Tipps: Hinweisgeberschutzgesetz digital abbilden

HinSchG mit einer Software abbilden

Von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Das Hinweisgeberschutzgesetz ist noch immer nicht zu nationalem Recht geworden. Deutschland hat den von der EU gesetzten Termin zur Einführung eines Gesetzes, das die EU-Whistleblower-Richtlinie umsetzt, am 17.12.2021 verstreichen lassen. Die aktuelle Bundesregierung schreibt im Koalitionsvertrag, dass sie das Gesetz umsetzen wird, jedoch binden die aktuellen Krisen vorerst die vorhandenen Ressourcen.

„Na gut“ könnte man meinen, „dann stelle ich das zurück, bis es wieder auf der Agenda erscheint. Dann diskutieren die ohnehin noch so lange, dass mir reichlich Zeit für einen Umsetzung bleibt“. Aus meiner Sicht ist das keine gute Idee, zeigt doch die Regierung in vielen Themen recht große Einigkeit. Und die EU-Kommission hat am 27. Januar 2022 mit der Einleitung des förmlichen Vertragsverletzungsverfahrens gegen Deutschland den Druck erhöht. Das Gesetz könnte also schneller kommen, als derzeit vermutet.

Das sind Argumente, um sich mit der Einführung eines Hinweisgebersystems genau jetzt auseinanderzusetzen. In diesem Artikel möchte ich aufzeigen, welche Punkte wesentlich für die Umsetzung eines digitalen Hinweisgebersystems sind (Stichwort im folgenden Text: „Praxis-Tipp“). Dazu orientieren wir uns an den Kernanforderungen des Referentenentwurfs (RefE). Seine für diesen Kontext relevanten Anforderungen finden sich relativ deckungsgleich auch in der EU-Richtlinie wieder.

Zentrale Anforderung: Einrichtung einer internen Meldestelle

Diese Anforderung findet sich im Referentenentwurf genauso wie in der EU-Richtlinie (Artikel 7 Abs (2)). Sie ist die Grundlage für die Einführung eines Hinweisgebersystems: Die Unternehmen und Organisationen sollen dafür Sorge tragen, dass sie eingehende Meldungen intern unter den Voraussetzungen des Hinweisgeberschutzgesetzes abarbeiten können.

Praxis-Tipp: Ein Hinweisgebersystem stellt die Pforte zur internen Meldestelle dar.

Artikel 8 der Richtlinie (Artikel 12 im RefE) schreibt für Unternehmen und Organisation die Pflicht vor, diese Pforte einzurichten. Grundsätzlich muss, bleiben wir beim Bild der Pforte, diese für alle Mitarbeitenden der Organisation offen sein. Zusätzlich kann sie aber auch für alle Personen geöffnet werden, die mit der Organisation beruflich zu tun haben, z. B. Lieferanten, Dienstleister, etc.

Praxis-Tipp: Neben Telefon, Briefkasten und offener Tür benötigt die Organisation eine digitale Pforte, die die Abgabe von Meldungen ermöglicht. Diese digitale Pforte musss dort präsent sein, wo die o. g. Personen darauf Zugriff haben. Es empfiehlt sich also die Bereitstellung der digitalen Pforte im Intranet und – sofern gewollt – auch auf der Webseite der Organisation.

Festlegung des Verfahrens: funktionale Mindestanforderung für ein Hinweisgebersystem

Im Artikel 9 der EU-Richtlinie stehen die prozessualen Anforderungen für ein Hinweisgebersystem. Hier steht die Wahrung der Vertraulichkeit für die meldende Person, aber auch für möglicherweise in der Meldung genannte Dritte, ganz vorne.

Praxis-Tipp: Ein System muss über Möglichkeiten verfügen, die Rollen und Rechte an entsprechende Personen so zu verteilen, dass diese Vertraulichkeit gewährleistet wird. Übrigens heißt das, dass vor der Implementierung eines Systems ein entsprechender Prozess definiert werden muss.

Interessanterweise sieht die EU-Richtlinie eine anonyme Meldung vor, schränkt aber ein, dass die Nationalstaaten entscheiden müssen, ob anonyme Meldungen bearbeitet werden müssen. Tatsächlich wird es im Referentenentwurf abgelehnt, die Bearbeitung anonymer Meldungen zur Pflicht zu machen. Eine Schwäche im Entwurf, ist es doch erwiesen, dass ein Hinweisgebersystem eben genau dann vermehrt genutzt wird, wenn es die Möglichkeit bietet, (vorerst) anonym die Meldung abzugeben. Also sollte ein System auch eine anonyme Meldung zulassen und Werkzeuge zur Verfügung stellen, welche die anonyme Kommunikation zwischen der Meldestelle und der meldenden Person mindestens so lange ermöglicht, bis ein ausreichendes Vertrauensverhältnis besteht, um sich zu offenbaren.

Praxis-Tipp: Es gibt diverse technische Möglichkeiten, die digitale Pforte auch anonymen Meldenden zu öffnen. Das kann mit einem generierten E-Mail-Account gehen, oder mit Formularen auf Webseiten. Wichtig: Auch diese anonyme Kommunikation muss vollständig dokumentiert und nachvollziehbar sein. Außerdem muss die digitale Pforte technisch so implementiert sein, dass z. B. bei Meldungen via Intranet keine technischen Rückschlüsse auf die anonym meldende Person gezogen werden können.

Screenshot von dem anonymen Chat zwischen Mitarbeiter und Hinweisgeber im SAVISCON GRC-OCKPIT.

Eine Chatfunktion bietet die Möglichkeit, Informationen und Anhänge beidseitig zu teilen. Der Chat ist Kommunikationsmittel der Wahl, bis die meldende Person ihre Kontaktdaten offenbaren will. Die Screenshots zeigen das Verfahren beispielhaft am GRC-COCKPIT der SAVISCON GmbH.

Die letzten wichtigen Anforderungen befassen sich mit dem zeitlichen Ablauf des Verfahrens. Nach spätestens 7 Tagen soll die meldende Person eine Eingangsbestätigung bekommen. Nach spätestens 3 weiteren Monaten soll die Information über die Folgemaßnahmen an die meldende Person kommuniziert werden. Sonst hat diese das Recht, sich an externe Meldestellen oder gar an die Öffentlichkeit zu wenden.

Praxis-Tipp: Das Hinweisgebersystem muss das Datum des Eingangs der Meldung speichern. Auch bei anonymen Meldungen muss ein technisches Verfahren bereitgestellt werden, wie die Bestätigung die meldende Person erreicht. Auf Basis des Eingangsdatums muss das System Fristen setzen, wann die Bearbeitung insoweit beendet sein muss, dass Folgemaßnahmen auf den Weg gebracht wurden. Überschrittene Fristen sollten zu Alarmen oder zur Eskalation führen.

Screenshot vom Health Check im SAVISCON GRC-COCKPIT.

Der Health Check im SAVISCON GRC-COCKPIT gibt Übersicht über den Status in Bezug auf die Fristen.

Fazit

Die Bereitstellung und der Betrieb eines Hinweisgebersystems ist ein wesentlicher Teilprozess des Compliance Managements (siehe auch DIN ISO 37301 Abs A.8.3). Allein die Tatsache, dass eine Organisation ein Hinweisgebersystem bereitstellt, hält potenzielle Täter davon ab, sich offensichtlich non-compliant zu verhalten.
Die Anforderungen, die von einem Hinweisgebersystems erfüllt werden müssen, sind recht klar in den gesetzlichen Grundlagen dargelegt. Bei der Auswahl eines Systems sollten daher zwei Dinge eine wesentliche Rolle spielen:

  • Die möglichst nahtlose Einbindung in ein digitales Compliance-Managementsystem
  • Die Konzentration auf die wesentlichen Anforderungen: digitale Pforte, Wahrung der Vertraulichkeit, Einhaltung der Fristen

Wenn man sich nicht durch lange Feature-Listen vom Wesentlichen ablenken lässt, kann die Einführung eines digitalen Hinweisgebersystems ihren Schrecken verlieren und auch mit überschaubarem Budget und Zeitaufwand durchgeführt werden.

Über den Autor

Foto Ingo SimonIngo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: 040 80 90 81 446

Lieferkettengesetz im Unternehmen umsetzen

Das müssen Sie über das Lieferkettengesetz wissen

Von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Das Gesetz über die unternehmerischen Sorgfaltspflichten in Lieferketten (LkSG) ist im Juli 2021 rechtskräftig geworden. Viele Unternehmer fragen sich, was jetzt zu tun ist.

Für wen gilt das Lieferkettengesetz?

Das Gesetz betrifft Unternehmen mit Hauptsitz in Deutschland (§1) und mehr als 3.000 Mitarbeitenden ab dem 01.01.2023., Unternehmen mit mehr als 1.000 Mitarbeitenden ab dem 01.01.2024. Eine Schätzung im Vorfeld der Veröffentlichung des Gesetzes besagt, dass etwa 3.000 Unternehmen in Deutschland direkt betroffen sein werden.
Trotzdem können sich alle anderen Unternehmen nicht unbedingt zurücklehnen. Die direkt betroffenen Unternehmen werden in aller Regel ihre unmittelbaren und vielleicht auch wichtige, mittelbare Lieferanten dazu verpflichten, ebenfalls den, in den Gesetzen vorgegebenen, Standards zu entsprechen. Für Lieferanten bedeutet das, dass auch sie sich mit dem Gesetz befassen müssen, damit sie nicht Gefahr laufen, bei Ihren Großkunden aus der Liste der Lieferanten zu fallen.

Was steht im Lieferkettengesetz?

Alle im Gesetz niedergeschriebenen Forderungen beziehen sich auf die Menschenrechtsverletzungen und Umweltschutz-Themen, die im §2 umfassend definiert werden.
Im zweiten Abschnitt sind dann die Anforderungen zu den Sorgfaltspflichten der Unternehmen beschrieben. Im §3 ist zusammengefasst, was Unternehmen machen müssen, um compliant zu sein. Details folgen in den nachfolgenden Paragraphen des zweiten Abschnitts:

  1. Risikomanagement etablieren (Details §4)
  2. Zuständigkeiten definieren (Details §4)
  3. Risikoanalysen regelmäßig durchführen (Details §5)
  4. Abgabe einer Grundsatzerklärung (Details §6)
  5. Verankerung von Präventionsmaßnahmen (Details §6)
  6. Einrichten von Abhilfemaßnahmen (Details §7)
  7. Einrichtung eines Beschwerdeverfahrens (Details §8)
  8. Sorgfaltspflichten auch für mittelbare Zulieferer (Details §9)
  9. Dokumentation und Berichterstattung (Details §10)

Im vierten Abschnitt ist dann noch der §12 relevant. Hier ist die Frist von vier Monaten nach Abschluss des Geschäftsjahres für den einzureichenden jährlichen Bericht nach §10 normiert. Das wird für die Zulieferer jedoch eher nicht zutreffen.

Die weiteren Paragraphen sind für die Umsetzung der Sorgfaltspflicht erst einmal nicht relevant, hier ist geregelt, wie und wann die Behörde agieren darf und wie sich etwaige Sanktionen darstellen.

Was genau bedeutet das für ein Unternehmen, auch wenn es nicht direkt vom Gesetz betroffen ist?

Für ein Unternehmen, das z. B. als unmittelbarer Zulieferer von direkt betroffenen Unternehmen agiert, empfiehlt es sich, den Anforderungen des Gesetzes wie oben beschrieben im Wesentlichen nachzukommen, wenn man Lieferant bleiben will. Insofern sollte man organisatorisch die Zuständigkeit festschreiben und ein Risiko-Management in diesem Kontext betreiben.

Einen sehr guten Leitfaden für KMU findet man unter folgendem Link:

KMU Kompass – Strategie entwickeln (wirtschaft-entwicklung.de)

Die Seite basiert auf einer Initiative des Wirtschaftsministeriums, welches schlussendlich für das LkSG auch das verantwortliche Ministerium ist. Hier haben die Ersteller sehr gut und intensiv Maßnahmen und Vorgehensweisen beschrieben, die zielführend sind. Das bedeute nicht, dass man, wenn man alle beschriebenen Maßnahmen durchführt, automatisch compliant ist. Es ist eher als Stoffsammlung gedacht, aus der sich Unternehmen Ihre maßgeschneiderte Vorgehensweise ableiten können.

Auch sehr empfehlenswert ist dieser Artikel der Handelskammer Hamburg:

Lieferkettengesetz – Was kommt auf Lieferanten zu? – Handelskammer Hamburg (ihk.de)

Lieferkettengesetz Software: Systemunterstützung ist empfehlenswert

Um Risiko-Management, Maßnahmen und Dokumentation mit den zugehörigen Fristen effizient verwalten zu können, empfiehlt sich der Einsatz eines entsprechenden IT-Systems. Wir bieten zum Thema Lieferkettengesetz und digitale, softwaregestützte Umsetzung ein Webinar an. Darin werden wir die Umsetzung in unserem GRC-COCKPIT beispielhaft darstellen. Hier können Sie sich zum Webinar anmelden: Jetzt kostenfrei anmelden.

Über den Autor

Foto Ingo SimonIngo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: 040 80 90 81 446

Neues Jahr, neue Regierung, neue Gesetze

Compliance-Management: das ändert sich 2022

Von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Mit der neuen Regierung entscheidet erstmals auf Bundesebene die Ampel-Koalition aus Grünen, FDP und SPD. Mit dem verabschiedeten Koalitionsvertrag ergeben sich auch einige Änderungen im Compliance-Umfeld für das aktuelle Jahr 2022. Das betrifft unter anderem das Hinweisgeberschutzgesetz sowie das Lieferkettengesetz. Welche Anforderungen aus den Gesetzen auf Sie zukommen, lesen Sie in diesem Blog-Beitrag:

Compliance in Unternehmen / allgemeines Unternehmensrecht

„Wir schützen ehrliche Unternehmen vor rechtsuntreuen Mitbewerberinnen und Mitbewerbern. Wir überarbeiten die Vorschriften der Unternehmenssanktionen einschließlich der Sanktionshöhe, um die Rechtssicherheit von Unternehmen im Hinblick auf Compliance-Pflichten zu verbessern und für interne Untersuchungen einen präzisen Rechtsrahmen zu schaffen.”, steht im Koalitionsvertrag.

Auch wenn das Verbandssanktionsgesetz, das in 2021 im Entwurf veröffentlicht wurde, hier nicht mehr explizit genannt wird, wird das Thema Compliance generell weiter in den Fokus geraten. Auch für Unternehmen, die bisher nicht in stark regulierten Branchen unterwegs sind. Grundsätzlich ist also die Auseinandersetzung mit Compliance und die Etablierung von entsprechenden Prozessen auf jeden Fall sinnvoll und wichtig für die Zukunftssicherheit von Unternehmen jeglicher Branche und Größe.  

Hinweisgeberschutzgesetz (HinSchG)

Bild einer Trillerpfeife

„Wir setzen die EU-Whistleblower-Richtlinie rechtssicher und praktikabel um“, schreibt die Regierung im Koalitionsvertrag. Das Hinweisgeberschutzgesetz soll den Hinweisgebern mehr Rechtssicherheit bei Missstandsmeldungen bringen. Hinweisgeber können aus Unternehmenssicht die eigenen Mitarbeiter sein, Lieferanten, Partner oder Dienstleister, die während ihrer beruflichen Tätigkeit Verstöße gegen das geltende Recht festgestellt haben. Das Gesetz sieht vor, dass alle Unternehmen ab 50 Mitarbeitern ein Hinweisgebersystem mit interner Meldestelle einführen müssen. Für Unternehmen mit bis zu 249 Mitarbeitern gilt eine Übergangsfrist bis zum 17. Dezember 2023. Eine interne Meldestelle hat für Unternehmen einen großen Vorteil: Sie haben die Möglichkeit Missstände zu beseitigen, bevor die Öffentlichkeit und die Presse davon erfahren. So können sie einem möglichen Imageschaden vorbeugen. Welche Anforderungen das Hinweisgebersystem erfüllen muss und wieso eine digitale Lösung sinnvoll ist, lesen Sie in unserem Blog-Beitrag „Hinweisgeberschutzgesetz“.

Lieferkettengesetz (LkSG)

Sinnbild für das Lieferkettengesetz„Wir unterstützen ein wirksames EU-Lieferkettengesetz, basierend auf den UN-Leitprinzipien Wirtschaft und Menschenrechte, das kleinere und mittlere Unternehmen nicht überfordert. […]“, so steht es im Koalitionsvertrag. Am 11. Juni 2021 hat der Deutsche Bundestag das Lieferkettengesetz in Deutschland verabschiedet. Mit diesem Gesetz wird erstmals die unternehmerische Verantwortung für die Einhaltung von Menschenrechten in den Lieferketten geregelt. Offiziell heißt es „Gesetz über die unternehmerischen Sorgfaltspflichten zur Vermeidung von Menschenrechtsverletzungen in Lieferketten (Lieferkettensorgfaltspflichtengesetz – LkSG)“ oder eben kurz: Lieferkettengesetz. Es sieht vor, dass Unternehmen ab 1.000 Mitarbeitern nachweisen müssen, dass ihre Lieferkette sicher ist. Dazu haben Unternehmen mit über 3.000 Beschäftigten bis Januar 2023 Zeit. Bei Unternehmen mit mehr als 1.000 Mitarbeitenden verschiebt sich die Frist um ein Jahr nach hinten auf Januar 2024. Was es für konkrete Anforderungen vorsieht und welche Sanktionen bei Non-Compliance drohen, lesen Sie in unserem Blog-Beitrag „Das Lieferkettengesetz kommt“.

Fazit

2022 wird ein spannendes Jahr für das Compliance-Umfeld. Es ergeben sich einige Änderungen und die Anforderungen aus den neu in Kraft tretenden Gesetzen erhöhen sich. Um allen Anforderungen gerecht zu werden ist es ratsam sich frühzeitig mit der Umsetzung auseinanderzusetzen, auch wenn Sie beispielsweise das HinSchG erst bis 2023 umsetzen müssen. Um den Überblick im Gesetzesdschungel zu behalten, bietet sich eine Compliance-Management-Software an, die beim Dokumentieren unterstützt. So können alle Compliance-Themenfelder unter einem Software-Dach zusammengehalten werden und greifen auf dieselbe Datenbasis zu. Das erleichtert das konsistente Arbeiten und das monitoren aller Maßnahmen bis hin zur Report-Erstellung auf Knopfdruck. Übrigens: Wir bieten mit unserem GRC-COCKPIT eine Software an, die genau das kann. Wenn Sie interessiert sind, vereinbaren Sie gerne online einen Termin bei uns und wir erörtern, wie Sie das GRC-COCKPIT mit Ihren individuellen Bedürfnissen nutzen können.

Über den Autor

Foto Ingo SimonIngo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: 040 80 90 81 446

Das Lieferkettengesetz kommt:

Das müssen deutsche Unternehmen jetzt umsetzen

Der Handel erstreckt sich durch die Globalisierung und Digitalisierung über die ganze Welt. Produkte legen teilweise mehrere Tausend Kilometer zurück, bevor sie in deutschen Geschäften liegen. Entlang dieser Lieferkette gibt es viele Stationen und viele Personen, die am Prozess beteiligt sind. Einige dieser Menschen leiden unter schlechten Arbeitsbedingungen, darunter auch Kinder. Deshalb haben die Vereinte Nationen und die OECD Vorschläge gemacht, welche Sorgfaltspflichten Unternehmen bei ihren globalen Lieferketten erfüllen sollten. Am 11. Juni 2021 hat der Deutsche Bundestag dann das Lieferkettengesetz in Deutschland verabschiedet. Mit diesem Gesetz wird erstmals die unternehmerische Verantwortung für die Einhaltung von Menschenrechten in den Lieferketten geregelt.

Für wen gilt das deutsche Lieferkettengesetz?

Das Gesetz heißt offiziell „Gesetz über die unternehmerischen Sorgfaltspflichten zur Vermeidung von Menschenrechtsverletzungen in Lieferketten (Lieferkettensorgfaltspflichtengesetz – LkSG)“ oder eben kurz: Lieferkettengesetz. Es sieht vor, dass Unternehmen ab 1.000 Mitarbeitern nachweisen müssen, dass ihre Lieferkette sicher ist. Dazu haben Unternehmen mit über 3.000 Beschäftigten bis Januar 2023 Zeit. Bei Unternehmen mit mehr als 1.000 Mitarbeitenden verschiebt sich die Frist um ein Jahr nach hinten auf Januar 2024.

Sanktionen bei Non-Compliance

Der deutsche Entwurf des Lieferkettengesetzes sieht als Sanktionen bei Nichteinhaltung Bußgelder von bis zu 800.000 Euro (§ 24 Abs. 1 LkSG) vor. Wenn Unternehmen einen Jahresumsatz von 400 Millionen Euro übersteigen, dann sieht das Lieferkettengesetz ein Bußgeld von bis zu zwei Prozent des weltweiten Umsatzes als Strafe vor (§ 24 Abs. 3 LkSG). Außerdem sollen sie bei schwerwiegenden Verstößen (bei einer Geldbuße von mindestens 175.000 Euro) bis zu drei Jahre von der öffentlichen Beschaffung, also der Auftragsvergabe durch öffentliche Stellen wie Gemeinden oder Ministerien, ausgeschlossen werden (§ 22 LkSG). Zivilrechtliche Haftungen sind im deutschen Gesetz nicht vorgesehen. Das Lieferkettengesetz wird durch das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) kontrolliert.

Entwurf EU-Lieferkettengesetz vs. deutsches Gesetz

Die EU arbeitet parallel an einem eigenen Lieferkettengesetz. Der EU-Entwurf geht bisher deutlich über das hinaus, was im deutschen Lieferkettengesetz steht. So soll es beispielsweise für Unternehmen ab 250 Mitarbeiter gelten und nicht nur für diejenigen mit mehr als 1.000 Mitarbeitern. Im deutschen Entwurf wird nur die direkte Lieferkette berücksichtigt. Der EU-Entwurf fordert hingegen, dass auch die indirekten Lieferanten berücksichtigt werden. Darüber hinaus sieht der europäische Entwurf härtere Sanktionen bei Verstößen vor. Es sind anstatt reiner Geldbußen auch zivilrechtliche Haftungen vorgesehen.

Welche Anforderungen müssen deutsche Unternehmen erfüllen?

Das Lieferkettengesetz legt eine umfassende Risikoanalyse entlang der Lieferkette fest. Außerdem müssen Unternehmen Maßnahmen zur Prävention und Abhilfe festlegen. Ganz konkret heißt das:

  • Unternehmen müssen ein Risikomanagementsystem einrichten (§ 4 Absatz 1 LkSG)
  • Es muss einen betriebsinternen Zuständigen für den Menschenrechtsschutz geben (§ 4 Absatz 3 LkSG)
  • Es müssen regelmäßige Risikoanalysen durchgeführt werden (§ 5 LkSG)
  • Das Unternehmen muss eine Grundsatzerklärung verabschieden (§ 6 Abs. 2 LkSG)
  • Es müssen Präventionsmaßnahmen im eigenen Geschäftsbereich verankert werden (§ 6 Absatz 1 und 3 LkSG) und gegenüber direkten Zulieferern (§ 6 Absatz 4 LkSG)
  • Wenn eine geschützte Rechtsposition verletzt wird, müssen Abhilfemaßnahmen ergriffen werden (§ 7 Abs. 1 bis Absatz 3 LkSG)
  • Es muss ein Beschwerdeverfahren eingerichtet werden, damit Menschenrechtsverstöße gemeldet werden können (§ 8 LkSG) (siehe hierzu auch unseren Blog-Beitrag zum Thema Hinweisgeberschutzgesetz)
  • Unternehmen müssen ihre Sorgfaltspflichten in Bezug auf Risiken bei direkten Zulieferern umsetzen (§ 9 LkSG)
  • Unternehmen sind dazu verpflichtet die Erfüllung ihrer Sorgfaltspflichten zu dokumentieren (§ 10 Absatz 1 LkSG) und darüber Bericht erstatten (§ 10 Absatz 2 LkSG)

Wie können Unternehmen den Anforderungen gerecht werden?

Wenn noch nicht vorhanden, sollten Unternehmen zeitnah ein digitales Compliance-Management-System einführen. Mit diesem Compliance-Management-System sollten sie dann alle Anforderungen, unter anderem aus dem Lieferkettengesetz und dem Hinweisgeberschutzgesetz, abbilden können. Innerhalb dieses Systems muss es möglich sein, Risiken aus den Anforderungen abzuleiten, Maßnahmen zu erstellen und deren Erfüllung regelmäßig zu monitoren. Außerdem sollten Unternehmen ein Hinweisgebersystem einführen, das im besten Fall direkt in Ihr Compliance-Management-System integriert ist. So sind alle Informationen zu den Prozessen in einem System und auf einen Blick verfügbar und auch auch das regelmäßige, konsistente Monitoring an die Geschäftsführung ist leichter. Informieren Sie sich dazu auch gerne auf unserer Webseite über unsere Compliance-Management Lösung, das GRC-COCKPIT.

Quellen:
Gesetz Lieferkettensorgfaltspflichtengesetz – LkSG
BMZ
EQS-Blog
MMLogistik

TTDSG – schon wieder ein neues Gesetz?

Was steht im Telekommunikation-Telemedien-Datenschutz-Gesetz?

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

Was bisher geschah: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: Datenschutz.

Heute wollen wir uns das TTDSG (Telekommunikation-Telemedien-Datenschutzgesetz) genauer ansehen. Als ich das erste Mal davon gehört habe dachte ich: ach nein, nicht schon wieder ein neues Datenschutzgesetz … Bei näherem Betrachten tauchen aber bald alte Bekannte auf: das Telekommunikationsgesetz (TKG) und das Telemediengesetz (TMG). Diese beiden älteren Gesetze stehen leider nicht im Einklang mit der aktuellen DSGVO und da kommt nun das neue TTDSG zur Harmonisierung ins Spiel. Datenschutzbestimmungen aus dem TMG und TKG wurden überarbeitet und sind nun dort mit eingeflossen.

Im Gesetzentwurf des Bundesministeriums für Wirtschaft und Energie (BMWi) vom 10.02.2021 heißt es wie folgt:

„Mit dem Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) sollen die bisher im Telekommunikationsgesetz (TKG) enthaltenen Bestimmungen zum Schutz des Fernmeldegeheimnisses und des Datenschutzes sowie die im Telemediengesetz enthaltenen Bestimmungen in einem neuen Stammgesetz zusammengeführt werden. Dabei werden die geltenden Bestimmungen an die europäische Datenschutz-Grundverordnung und an die neuen Begriffsbestimmungen des Telekommunikationsgesetzes angepasst. Der Entwurf flankiert den bereits vorgelegten Entwurf für ein neues Telekommunikationsgesetz und berücksichtigt die vom Bundestag am 28. Januar 2021 beschlossenen Regelungen zur Bestandsdatenauskunft im Telemediengesetz.“

Am 20.05.2021 hat der Bundestag den Entwurf des „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ mehrheitlich angenommen und zum 01.12.2021 tritt das TTDSG nun gemeinsam mit dem neuen Telekommunikationsgesetz (TKG) in Kraft. Damit sollen dann bisher unklare bzw. offene Lücken geschlossen werden. Zudem wurden im TTDSG auch weitestgehend die Vorgaben der ePrivacy-Richtlinie (nicht zu verwechseln mit der noch ausstehenden ePrivacy-Verordnung!) umgesetzt.

Alle Paragraphen des TTDSG können Sie u.a. hier einsehen: https://gesetz-ttdsg.de/

Begriffsbestimmungen

Unter § 2 TTDSG findet man wichtige Begriffsbestimmungen:

Anbieter von Telemedien

„jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt,“

Bestandsdaten

„im Sinne des Teils 3 dieses Gesetzes die personenbezogenen Daten, deren Verarbeitung zum Zweck der Begründung, inhaltlichen Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Anbieter von Telemedien und dem Nutzer über die Nutzung von Telemedien erforderlich ist,“

Nutzungsdaten

„die personenbezogenen Daten eines Nutzers von Telemedien, deren Verarbeitung erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen; dazu gehören insbesondere

1. Merkmale zur Identifikation des Nutzers,
2. Angaben über Beginn und Ende sowie Umfang der jeweiligen Nutzung und
3. Angaben über die vom Nutzer in Anspruch genommenen Telemedien,“

Nachricht

„jede Information, die zwischen einer endlichen Zahl von Beteiligten über einen Telekommunikationsdienst ausgetauscht oder weitergeleitet wird; davon ausgenommen sind Informationen, die als Teil eines Rundfunkdienstes über ein öffentliches Telekommunikationsnetz an die Öffentlichkeit weitergeleitet werden, soweit die Informationen nicht mit dem identifizierbaren Nutzer, der sie erhält, in Verbindung gebracht werden können,“

Dienst mit Zusatznutzen

„jeder von einem Anbieter eines Telekommunikationsdienstes bereitgehaltene zusätzliche Dienst, der die Verarbeitung von Verkehrsdaten oder anderen Standortdaten als Verkehrsdaten in einem Maße erfordert, das über das für die Übermittlung einer Nachricht oder für die Entgeltabrechnung des Telekommunikationsdienstes erforderliche Maß hinausgeht,“

Endeinrichtung

„jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten; sowohl bei direkten als auch bei indirekten Anschlüssen kann die Verbindung über Draht, optische Faser oder elektromagnetisch hergestellt werden; bei einem indirekten Anschluss ist zwischen der Endeinrichtung und der Schnittstelle des öffentlichen Netzes ein Gerät geschaltet.“

Für wen gilt das TTDSG?

Das neue Gesetz gilt für Anbieter von Telemedien (siehe o.g. Begriffsbestimmungen), also für sämtliche Anbieter/Betreiber von Webseiten und Apps. Rein private Webseiten fallen nicht darunter. Der Begriff Telemedien wird im Telemediengesetz näher definiert (§ 1 TMG): unter Telemedien sind alle elektronischen Informations- und Kommunikationsdienste zu verstehen.

Welche Inhalte des TTDSG sind besonders hervorzuheben?

§ 1 TTDSG: Anwendungsbereich

Der Anwendungsbereich ist erweitert worden: mit den bereits genannten Endeinrichtungen (§ 2 TTDSG) sind auch alle mit dem Internet verbundenen Geräte gemeint, z.B. Messenger-Dienste wie WhatsApp oder auch Smarthome Anwendungen wie Alarmsysteme, Haushaltsgeräte etc.

Außerdem gilt – wie auch in der DSGVO – das „Marktortprinzip“ (§ 1 Abs. 3 TTDSG): „Diesem Gesetz unterliegen alle Unternehmen und Personen, die im Geltungsbereich dieses Gesetzes eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen.“

§ 4 TTDSG: Umgang mit dem digitalen Erbe

Bislang gab es keine gesetzliche Regelung zum Umgang mit den digitalen Daten eines Verstorbenen (z.B. Daten bei Facebook). Jetzt geht auch der digitale Nachlass an die Erben über:

„Das Fernmeldegeheimnis steht der Wahrnehmung von Rechten gegenüber dem Anbieter des Telekommunikationsdienstes nicht entgegen, wenn diese Rechte statt durch den betroffenen Endnutzer durch seinen Erben oder eine andere berechtigte Person, die zur Wahrnehmung der Rechte des Endnutzers befugt ist, wahrgenommen werden.“

§ 7 TTDSG: Verlangen eines amtlichen Ausweises

Lange war unklar, ob ein geklickter Button zur Bestätigung des Alters als Bestätigung wirklich ausreicht. Jetzt dürfen Anbieter zur Begründung eines Vertragsverhältnisses die Vorlage eines Ausweises verlangen. Der Ausweis kann in physischer Form vorgelegt werden, aber auch ein elektronischer Identitätsnachweis ist möglich. Der Anbieter darf eine Kopie erstellen, diese muss aber unverzüglich nach Feststellung der Identität vernichtet werden.

§§ 22 + 24 TTDSG: Auskunftsverfahren bei Bestands- und Nutzungsdaten

Immer wieder kommt es vor, dass behördliche Stellen (z.B. Strafverfolgungsbehörde, Bundeskriminalamt, Verfassungsschutzbehörde etc.) nach Bestands- und Nutzungsdaten fragen. Unklar war bis jetzt, ob und inwieweit die Daten herausgegeben werden dürfen. Dies ist jetzt im TTDSG geregelt. Was genau unter Bestandsdaten und Nutzungsdaten zu verstehen ist, haben wir oben bereits unter § 2 TTDSG erläutert.
Die Herausgabe von Passwörtern und sonstigen Zugangsdaten ist grundsätzlich ausgeschlossen. Nur in bestimmten Einzelfällen (§ 23 TTDSG) ist die Herausgabe möglich, z.B. in einem Strafprozess einer besonders schweren Straftat.

§ 25 TTDSG: Schutz der Privatsphäre bei Endeinrichtungen

Hier geht es um die bereits bekannten Cookies und Cookie-Banner. Laut § 25 Abs. 1 TTDSG ist nun eine ausdrückliche Einwilligung für Tracking, Cookies und Co. gesetzlich vorgeschrieben:
„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 (=DSGVO) zu erfolgen.“

Im Absatz 2 sind zwei Ausnahmen aufgeführt nämlich dann,

  • wenn „der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist“
  • wenn „die Speicherung unbedingt erforderlich ist, um den ausdrücklich vom Nutzer gewünschten Telemediendienst zur Verfügung stellen zu können“ (technisch notwendige Cookies)

Solche technisch notwendigen Cookies sind z.B. Warenkorb- oder Session-Cookies. Diese verhindern, dass der bereits gefüllte Warenkorb wieder geleert wird, nur weil ich auf Unterseiten weitersurfen bzw. weitershoppen möchte.

§ 26 TTDSG: Anerkannte Dienste zur Einwilligungsverwaltung (PIMS)

Durch diesen Paragraphen soll die Möglichkeit geschaffen werden, Einwilligungen über sogenannte Personal Information Management Systems (PIMS) zu verwalten. Als Endnutzer trifft man einmalig bestimmte Voreinstellungen und je nach Einstellung würden dann bestimmte Dienste (z.B. Cookies) angenommen oder blockiert, ohne dass separat ein Cookie-Banner durchgeklickt werden muss. Allerdings müssen sich Anbieter solcher PIMS zertifizieren lassen, damit das angewandte Verfahren auch offiziell anerkannt ist und bestimmte Voraussetzungen erfüllt sind (z.B. ausreichendes Sicherheitskonzept, kein wirtschaftliches Eigeninteresse etc.). Dazu fehlt allerdings noch die entsprechende Rechtsverordnung der Bundesregierung. Es wird also noch eine Weile dauern und bis dahin bleibt uns auch der Cookie-Banner erhalten.

§§ 27 + 28 TTDSG: Straf- und Bußgeldvorschriften

„Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer

  • entgegen § 5 Absatz 1 eine Nachricht abhört oder in vergleichbarer Weise zur Kenntnis nimmt,
  • entgegen § 5 Absatz 2 Satz 1 eine Mitteilung macht oder
  • entgegen § 8 Absatz 1 eine dort genannte Telekommunikationsanlage herstellt oder auf dem Markt bereitstellt.“

Je nach Verstoß fällt die Höhe des Bußgeldes unterschiedlich aus:

  • bis zu 300.000 € (z.B. bei einer fehlenden Einwilligung, § 25 TTDSG)
  • bis zu 100.000 € (z.B. bei der unrechtmäßigen Verarbeitung von Verkehrsdaten, § 12 TTDSG)
  • bis zu 50.000 € (z.B. bei falscher oder nicht rechtzeitiger Information des Endnutzers, § 13 TTDSG)
  • bis zu 10.000 € (z.B., wenn eine Aufsichtsbehörde nicht rechtzeitig in Kenntnis gesetzt wurde, § 12 TTDSG)

Bei einer fehlenden Einwilligung drohen Bußgelder nicht nur nach dem TTDSG, sondern auch nach der DSGVO!

Aktuell aus unserer Praxis

Bis zum Inkrafttreten des TTDSG ist nicht mehr viel Zeit. Deshalb laufen unsere Maßnahmen in vollem Gang:

  • Welche einwilligungsbedürftigen Cookies und Tools werden von uns genutzt?
  • Sind unsere Cookie-Banner auf dem aktuellen Stand?
  • Muss unsere Datenschutzerklärung ergänzt / angepasst werden?
  • Wie können wir uns schon jetzt auf ein zukünftiges PIMS vorbereiten?

Wie sieht es bei Ihnen aus? Haben Sie sich schon mit dem TTDSG beschäftigt?

…to be continued:

Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse zum Thema „TTDSG“:

  • das TTDSG schließt einige Lücken
  • ein Cookie-Banner ist Pflicht!
  • bestimmten Behörden darf Auskunft erteilt werden
  • PIMS vielleicht bald die Lösung für Einwilligungen?
Porträtfoto Karin Selzer

Karin Selzer (Consultant Compliance & Datenschutz) im Büro der SAVISCON GmbH.

Über die Autorin:

Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder karin.selzer@saviscon.de