Hinweisgeberschutz

Lesen Sie in dieser Rubrik alle Blog-Beiträge zum Thema Hinweisgeberschutz.

Schlagwortarchiv für: Hinweisgeberschutz

Hinweisgeberschutzgesetz

/in /von

Das müssen deutsche Unternehmen jetzt beachten

von Ingo Simon, Geschäftsführer der SAVICON GmbH

Eigentlich sollte das Hinweisgeberschutzgesetz am 10.02.2023 formal im Bundesrat beschlossen werden. Der Bundesrat stimmte dem Gesetzentwurf in seiner Sitzung allerdings nicht final zu.

Mit diesem ernüchternden Zwischenergebnis steht Deutschland in der EU nicht alleine da. Insgesamt sieben weitere Mitgliedsstaaten sind der Forderung der Europäischen Kommission ebenfalls nicht nachgekommen, die EU-Whistleblower-Richtlinie von 2019 fristgerecht umzusetzen.

Am 30. März 2023 werden im Bundestag nun zwei weitere Gesetzesvorlagen beraten. Einen Tag darauf, am 31. März 2023, könnte das Hinweisgeberschutzgesetz dann erneut im Bundesrat zur Abstimmung gebracht werden. Und final am 1. Mai 2023 in Kraft treten.

Was das für deutsche Unternehmen bedeutet, lesen Sie in unserem Blog-Beitrag:

Was ist das Hinweisgeberschutzgesetz?

Das Hinweisgeberschutzgesetz (HinSchG) ist die deutsche Umsetzung der EU-Whistleblower-Richtlinie von 2019, die erstmals einen standardisierten Schutz für Hinweisgeber EU-weit festlegt.

Schutz von Whistleblowern einerseits

Das Gesetz regelt den Schutz aller natürlicher Personen, die über interne oder externe Meldestellen auf Verstöße und Missstände in ihrem Arbeitsumfeld aufmerksam machen. Diese Personen werden Hinweisgeber oder Whistleblower genannt. Das können Arbeitnehmende, Gesellschafter, Praktikanten, Mitarbeitenden von Lieferanten und auch Personen sein, deren Arbeitsverhältnis bereits beendet ist bzw. noch gar nicht begonnen hat.

All diese Anspruchsgruppen schützt das HinschG vor Repressalien und Vergeltungsmaßnahmen wie Abmahnung, Disziplinarverfahren oder Mobbing am Arbeitsplatz. Um dies sicherzustellen, sieht das Gesetz in Paragraph 36 eine Beweislastumkehr vor. Arbeitgeber müssen also nachweisen, dass Maßnahmen gegen einen Stakeholder des Unternehmens nicht im Zusammenhang mit der Meldung eines Hinweises stehen.

Frühwarnsystem für Unternehmen andererseits

Unternehmen sollten das Hinweisgeberschutzgesetz als Chance wahrnehmen, interne Missstände frühzeitig erkennen zu können und durch entsprechende Maßnahmen zu lösen, bevor ein Vorfall publik wird. Das HinschG schützt Unternehmen zudem vor grob fahrlässigen Falschmeldungen und vorsätzlichem Denunziantentum, indem in einem solchen Fall Schadensersatzansprüche gegenüber der hinweisgebenden Person geltend machen können.

Welche Unternehmen müssen einen internen Meldekanal einrichten?

Das Gesetz sieht in Bezug auf die Umsetzung eine zeitliche Staffelung vor. Mit „Liveschaltung“ des Gesetzes werden alle Unternehmen ab 250 Mitarbeiter sofort in die Pflicht genommen sein, einen internen Meldekanal für Hinweisgeber bereitzustellen. Unternehmen mit einer Größe von 50 bis 249 Mitarbeitern wird eine Übergangsfrist bis 17. Dezember 2023 gewährt werden.

Ausnahme: Öffentlicher Sektor. Seit Dezember 2021 sind staatliche Stellen (Kommunen ab 10.000 Einwohnern und 50 Mitarbeitenden) dazu verpflichtet, interne Hinweisgebersysteme anzubieten.

Empfehlung: Bereiten Sie ihre Organisation unabhängig von der geplanten zeitlichen Umsetzung bereits jetzt auf das Hinweisgeberschutzgesetz vor. Etablieren Sie die entsprechenden Strukturen in Ihrem Unternehmen und schaffen Sie bei Ihren Mitarbeitern ein Bewusstsein für dieses Thema.

Interner oder externer Meldekanal?

Beide Meldewege werden vom Gesetz als vollständig gleichwertig angesehen. Die Entscheidung obliegt demnach der hinweisgebenden Person. Unternehmen sollen mithilfe eines Anreizsystems ihre Anspruchsgruppen davon überzeugen, den Hinweis über den internen Meldekanal abzugeben.

Neu im Gesetz: Die anonyme Kommunikation zwischen hinweisgebenden Personen und Ihrer internen Meldestelle muss laut Gesetz zusätzlich ermöglicht werden.

Die wichtigsten Anforderungen des HinschG im Kurzüberblick

  • Paragraph 12 des Hinweisgeberschutzgesetzes legt fest, dass Unternehmen der oben beschriebenen Größe allen Beschäftigten Zugang zur internen Meldestelle ermöglichen müssen.
  • Die Bearbeitung der eigehenden Hinweise darf sowohl von internen als auch von externen Mitarbeitern (z. B. Vertrauensanwalt) vorgenommen werden. Paragraph 15 stellt hierfür die einzige Bedingung, dass diese zuständigen Personen unabhängig und qualifiziert sind und dass keine Interessenskonflikten mit anderen Aufgaben und Pflichten entstehen.
  • Paragraph 8 und Paragraph 11: Vertraulichkeit, Anonymität, Datenschutz und vollständige Dokumentation der eingehenden Hinweise sind stets zu gewährleisten.
  • Spätestens innerhalb von sieben Tagen nach Hinweisabgabe muss der hinweisgebenden Person eine Eingangsbestätigung gesendet werden. (Paragraph 17)
  • Nach Paragraph 18 ist die hinweisgebende Person innerhalb von drei Monaten über die Maßnahmen zu informieren, die ergriffen worden sind, um den Vorfall zu behandeln und bestenfalls zu lösen.

Nutzen Sie jetzt die Vorteile des digitalen Hinweisgebersystems im SAVISCON GRC-COCKPIT und erfüllen Sie so alle Anforderungen aus dem Hinweisgeberschutzgesetz.

Über den Autor

Foto Ingo Simon

Ingo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: ingo.simon@saviscon.de oder vernetzen Sie sich mit mir:

XING Profil Ingo SimonLinkedIn Profil Ingo Simon

Neues Jahr, neue Regierung, neue Gesetze

/in , /von

Compliance-Management: das ändert sich 2022

Von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Mit der neuen Regierung entscheidet erstmals auf Bundesebene die Ampel-Koalition aus Grünen, FDP und SPD. Mit dem verabschiedeten Koalitionsvertrag ergeben sich auch einige Änderungen im Compliance-Umfeld für das aktuelle Jahr 2022. Das betrifft unter anderem das Hinweisgeberschutzgesetz sowie das Lieferkettengesetz. Welche Anforderungen aus den Gesetzen auf Sie zukommen, lesen Sie in diesem Blog-Beitrag:

Compliance in Unternehmen / allgemeines Unternehmensrecht

„Wir schützen ehrliche Unternehmen vor rechtsuntreuen Mitbewerberinnen und Mitbewerbern. Wir überarbeiten die Vorschriften der Unternehmenssanktionen einschließlich der Sanktionshöhe, um die Rechtssicherheit von Unternehmen im Hinblick auf Compliance-Pflichten zu verbessern und für interne Untersuchungen einen präzisen Rechtsrahmen zu schaffen.”, steht im Koalitionsvertrag.

Auch wenn das Verbandssanktionsgesetz, das in 2021 im Entwurf veröffentlicht wurde, hier nicht mehr explizit genannt wird, wird das Thema Compliance generell weiter in den Fokus geraten. Auch für Unternehmen, die bisher nicht in stark regulierten Branchen unterwegs sind. Grundsätzlich ist also die Auseinandersetzung mit Compliance und die Etablierung von entsprechenden Prozessen auf jeden Fall sinnvoll und wichtig für die Zukunftssicherheit von Unternehmen jeglicher Branche und Größe.  

Hinweisgeberschutzgesetz (HinSchG)

Bild einer Trillerpfeife

„Wir setzen die EU-Whistleblower-Richtlinie rechtssicher und praktikabel um“, schreibt die Regierung im Koalitionsvertrag. Das Hinweisgeberschutzgesetz soll den Hinweisgebern mehr Rechtssicherheit bei Missstandsmeldungen bringen. Hinweisgeber können aus Unternehmenssicht die eigenen Mitarbeiter sein, Lieferanten, Partner oder Dienstleister, die während ihrer beruflichen Tätigkeit Verstöße gegen das geltende Recht festgestellt haben. Das Gesetz sieht vor, dass alle Unternehmen ab 50 Mitarbeitern ein Hinweisgebersystem mit interner Meldestelle einführen müssen. Für Unternehmen mit bis zu 249 Mitarbeitern gilt eine Übergangsfrist bis zum 17. Dezember 2023. Eine interne Meldestelle hat für Unternehmen einen großen Vorteil: Sie haben die Möglichkeit Missstände zu beseitigen, bevor die Öffentlichkeit und die Presse davon erfahren. So können sie einem möglichen Imageschaden vorbeugen. Welche Anforderungen das Hinweisgebersystem erfüllen muss und wieso eine digitale Lösung sinnvoll ist, lesen Sie in unserem Blog-Beitrag „Hinweisgeberschutzgesetz“.

Lieferkettengesetz (LkSG)

Sinnbild für das Lieferkettengesetz„Wir unterstützen ein wirksames EU-Lieferkettengesetz, basierend auf den UN-Leitprinzipien Wirtschaft und Menschenrechte, das kleinere und mittlere Unternehmen nicht überfordert. […]“, so steht es im Koalitionsvertrag. Am 11. Juni 2021 hat der Deutsche Bundestag das Lieferkettengesetz in Deutschland verabschiedet. Mit diesem Gesetz wird erstmals die unternehmerische Verantwortung für die Einhaltung von Menschenrechten in den Lieferketten geregelt. Offiziell heißt es „Gesetz über die unternehmerischen Sorgfaltspflichten zur Vermeidung von Menschenrechtsverletzungen in Lieferketten (Lieferkettensorgfaltspflichtengesetz – LkSG)“ oder eben kurz: Lieferkettengesetz. Es sieht vor, dass Unternehmen ab 1.000 Mitarbeitern nachweisen müssen, dass ihre Lieferkette sicher ist. Dazu haben Unternehmen mit über 3.000 Beschäftigten bis Januar 2023 Zeit. Bei Unternehmen mit mehr als 1.000 Mitarbeitenden verschiebt sich die Frist um ein Jahr nach hinten auf Januar 2024. Was es für konkrete Anforderungen vorsieht und welche Sanktionen bei Non-Compliance drohen, lesen Sie in unserem Blog-Beitrag „Das Lieferkettengesetz kommt“.

Fazit

2022 wird ein spannendes Jahr für das Compliance-Umfeld. Es ergeben sich einige Änderungen und die Anforderungen aus den neu in Kraft tretenden Gesetzen erhöhen sich. Um allen Anforderungen gerecht zu werden ist es ratsam sich frühzeitig mit der Umsetzung auseinanderzusetzen, auch wenn Sie beispielsweise das HinSchG erst bis 2023 umsetzen müssen. Um den Überblick im Gesetzesdschungel zu behalten, bietet sich eine Compliance-Management-Software an, die beim Dokumentieren unterstützt. So können alle Compliance-Themenfelder unter einem Software-Dach zusammengehalten werden und greifen auf dieselbe Datenbasis zu. Das erleichtert das konsistente Arbeiten und das monitoren aller Maßnahmen bis hin zur Report-Erstellung auf Knopfdruck. Übrigens: Wir bieten mit unserem GRC-COCKPIT eine Software an, die genau das kann. Wenn Sie interessiert sind, vereinbaren Sie gerne online einen Termin bei uns und wir erörtern, wie Sie das GRC-COCKPIT mit Ihren individuellen Bedürfnissen nutzen können.

Über den Autor

Foto Ingo SimonIngo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: 040 80 90 81 446

Hinweisgeberschutzsystem: Vertraulichkeit wahren und geschützte Kommunikationswege bereitstellen

/in /von

Digital und DSGVO-konform

Von Uwe Straßberger, Director Marketing & Sales bei der SAVISCON GmbH

Am 16. Dezember dieses Jahres läuft für die Bundesrepublik die Frist zur Umsetzung der EU-Whistleblower-Richtline 2019/1937 ab. Diese Richtlinie, die den besseren Schutz von Whistleblowern vorschreibt, ist bereits seit dem 16. Dezember 2019 in Kraft getreten. Da der Referentenentwurf des Bundesministeriums der Justiz über die Vorgaben der EU-Richtlinie hinausgeht, konnten sich die Koalitionspartner bisher noch nicht auf ein entsprechendes Gesetz verständigen. Doch auch wenn das Gesetzgebungsverfahren derzeit stillsteht, ist zu erwarten, dass das Gesetz Mitte Dezember 2021 in Kraft treten wird. Unternehmen mit mehr als 249 Mitarbeitern sind somit ab dem Stichtag 17. Dezember 2021 verpflichtet, ein entsprechendes Hinweisgebersystem zur Verfügung zu stellen. Gleiches gilt auch für Kommunen mit mehr als 10.000 Einwohnern.

Mehr Details und weitere Fakten hierzu finden Sie auch in unserem Blog-Beitrag Hinweisgeberschutzgesetz vom 6. Mai 2021.

Welche Anforderungen sind zu erfüllen?

Der Referentenentwurf für das nationale, deutsche Gesetz definiert unter anderem diese wesentlichen Anforderungen:

  • Betreuung durch unabhängige und qualifizierte Personen
  • Uneingeschränkter Zugang für alle Beschäftigten
  • Dokumentation der eingehenden Meldungen
  • Schutz der Vertraulichkeit und Anonymität sowie Beachtung des Datenschutzes
  • Eingangsbestätigung innerhalb von sieben Tagen
  • Innerhalb von drei Monaten: Mitteilung der ergriffenen (Folge-)Maßnahmen

Mit E-Mail, Telefon und Post sollten dem Whistleblower/Hinweisgeber auch weiterhin die herkömmlichen Medien für seinen Hinweis zur Verfügung stehen. Auch eine von der Organisation bestellte (externe) Ombudsperson oder die vorgesetzte Person im Unternehmen, die für ein persönliches Gespräch zur Verfügung stehen, können Teil des Hinweisgebersystems sein. Im Hinblick auf die anonyme Kommunikation, die das Gesetz zum Schutz des Whistleblowers fordert, sind diese Wege jedoch nahezu ungeeignet, bzw. erschweren die geforderte anonyme Kommunikation erheblich. Wie soll die zuständige Person einer Organisation eine Person erreichen, von der sie weder eine E-Mail-Adresse, eine Telefonnummer oder sogar eine Anschrift hat?

Um also die gesetzlich vorgeschriebenen Punkte, wie durchgängige Betreuung oder termingerechte Mitteilungen dennoch zu erfüllen, bliebe lediglich die Veröffentlichung des Vorgangs im Intranet, auf der Homepage der Organisation oder, wie in derzeit gängigen Systemen beschrieben, die Veröffentlichung in einer Zeitung. Damit würde jedoch die Anonymität und insbesondere die Vertraulichkeit nicht mehr komplett gewährleistet werden können, da sich unbeteiligte Dritte, aufgrund der veröffentlichten Details ein Bild von dem Vorgang machen könnten.

Und wohlgemerkt, es geht hier nicht darum, ein mögliches Ergebnis oder getroffene Maßnahmen bekanntzugeben. Erforderlich ist darüber hinaus, siehe oben, während des gesamten Prozesses die anonyme Kommunikation, um unter anderen sowohl die Eingangsbestätigung innerhalb der gesetzlichen Frist zu gewährleisten als auch die Betreuung der hinweisgebenden Person während des gesamten Prozesses sicherzustellen.

Anonyme Kommunikation – digital und DSGVO-konform

Die Lösung ist in diesen Tagen, wie so häufig, das Hinweisgebersystem digital aufzusetzen und im besten Fall in das Compliance-Management-System der Organisation zu integrieren.
Dabei sollte ein separater Kanal die uneingeschränkte, anonyme Kommunikation vom Eingang bis zur abschließenden Mitteilung an die hinweisgebende Person sicherstellen.

Screenshot Hinweisgeberoption aus dem SAVISCON GRC-COCKPIT

Im SAVISCON GRC-COCKPIT erhält die hinweisgebende Person direkt nach dem Absetzten des Hinweises einen QR-Code mit einer persönlichen PIN. Hierüber wird eine absolut anonyme Kommunikation mit den Verantwortlichen der Organisation sichergestellt.

Durch eine leichte Erreichbarkeit der Meldeplattform, etwa im Intranet oder auf der Homepage, sowie eine einfache Handhabung des Systems für die Hinweisgebenden sollten Hemmschwellen abgebaut und während des gesamten Prozesses eine vertrauliche Basis zum Austausch notwendiger Informationen geschaffen werden. Das Daten verschlüsselt übermittelt werden müssen, versteht sich dabei schon fast von selbst.

Eine entsprechende Software sollte eine effiziente und direkte Fallbearbeitung vom Eingang des Hinweises über die Würdigung bis zur Einleitung entsprechender Maßnahmen im angeschlossenen Compliance-Management-System ermöglichen.

Mittels einer geeigneten Software, in die Unternehmen idealerweise weitere Managementsysteme, wie das Qualitäts- oder Umwelt-Management integrieren oder anbinden können, werden die bearbeitenden Personen automatisch an einzuhaltende Fristen erinnert und können Termine für Wiedervorlagen setzten.

Hinweisgebersystem als Teil einer Compliance-Management-Software

Mit unserer Compliance-Management-Software, dem SAVISCON GRC-COCKPIT, halten Unternehmen zusammen, was zusammengehört und integrieren ihr Hinweisgebersystem in das

Ihrer Organisation oder Kommune. Die oben genannten Anforderungen erfüllt das GRC-COCKPIT in vollem Umfang. Dabei integriert sich der digitale Kanal nahtlos in die bereits etablierten anderen Kanäle, soweit vorhanden, wie das folgende Bild zeigt:

Grafik GRC-COCKPIT als Hinweisgebersystem

GRC-COCKPIT als Hinweisgebersystem

Sofern sich ein Hinweis nach einer Würdigung als relevant herausstellt, sind innerhalb einer Organisation zumeist mehrere Abteilungen (Organisationseinheiten) an den daraus resultierenden Maßnahmen und deren Überwachungen beteiligt. Auch hier bietet unsere Software erhebliche Vorteile durch Funktionen zur digitalen Zusammenarbeit. So werden nicht nur Medienbrüche vermieden, sondern die digitale Bearbeitung in einem System erzeugt maximale Transparenz und ermöglicht darüber hinaus eine deutliche Zeitersparnis.

Mit der Abbildung der oben genannten Managementsysteme zusammen mit dem Hinweisgebersystem in einer Anwendung verbessern Unternehmen nicht nur die Transparenz, sondern sie vermeiden auch eine unkoordinierte Anhäufung von IT-Anwendungen, in dem pro Managementsystem eine Spezialanwendung implementiert oder installiert wird und minimieren somit den Aufwand für die IT-Sicherheit und den Datenschutz.

Ganz am Schluss noch ein Hinweis aus der Praxis. Sollte es einmal zu einer gerichtlichen oder behördlichen Auseinandersetzung kommen, wirkt sich das Vorhandensein eines strukturierten und revisionssicheren CMS, in der die Abläufe zum konkreten Fall durchgängig dokumentiert sind, in der Regel positiv auf die Urteilsfindung in Bezug auf die Organisation aus.

Über den Autor:

Foto Uwe Straßberger
Uwe Straßberger ist Director Sales & Marketing bei der SAVISCON GmbH. Seit 2019 steht er unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder uwe.strassberger@saviscon.de

SAVISCON Logo Digitale Zukunft

KONTAKT

Telefon: +49 40 80 90 81 446

Telefax: +49 40 80 90 81 447 

E-Mail: info@saviscon.de

SAVISCON ISO 27001 Zertifizierung

SAVISCON GmbH | Heegbarg 16 | 22391 Hamburg | Geschäftsführer: Ingo Simon, Marian Grzabel

Impressum | Datenschutzerklärung | Gender-Hinweis | Kontakt