Hinweisgeberschutz

Lesen Sie in dieser Rubrik alle Blog-Beiträge zum Thema Hinweisgeberschutz.

Beiträge

Neues Jahr, neue Regierung, neue Gesetze

Compliance-Management: das ändert sich 2022

Von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Mit der neuen Regierung entscheidet erstmals auf Bundesebene die Ampel-Koalition aus Grünen, FDP und SPD. Mit dem verabschiedeten Koalitionsvertrag ergeben sich auch einige Änderungen im Compliance-Umfeld für das aktuelle Jahr 2022. Das betrifft unter anderem das Hinweisgeberschutzgesetz sowie das Lieferkettengesetz. Welche Anforderungen aus den Gesetzen auf Sie zukommen, lesen Sie in diesem Blog-Beitrag:

Compliance in Unternehmen / allgemeines Unternehmensrecht

„Wir schützen ehrliche Unternehmen vor rechtsuntreuen Mitbewerberinnen und Mitbewerbern. Wir überarbeiten die Vorschriften der Unternehmenssanktionen einschließlich der Sanktionshöhe, um die Rechtssicherheit von Unternehmen im Hinblick auf Compliance-Pflichten zu verbessern und für interne Untersuchungen einen präzisen Rechtsrahmen zu schaffen.”, steht im Koalitionsvertrag.

Auch wenn das Verbandssanktionsgesetz, das in 2021 im Entwurf veröffentlicht wurde, hier nicht mehr explizit genannt wird, wird das Thema Compliance generell weiter in den Fokus geraten. Auch für Unternehmen, die bisher nicht in stark regulierten Branchen unterwegs sind. Grundsätzlich ist also die Auseinandersetzung mit Compliance und die Etablierung von entsprechenden Prozessen auf jeden Fall sinnvoll und wichtig für die Zukunftssicherheit von Unternehmen jeglicher Branche und Größe.  

Hinweisgeberschutzgesetz (HinSchG)

Bild einer Trillerpfeife

„Wir setzen die EU-Whistleblower-Richtlinie rechtssicher und praktikabel um“, schreibt die Regierung im Koalitionsvertrag. Das Hinweisgeberschutzgesetz soll den Hinweisgebern mehr Rechtssicherheit bei Missstandsmeldungen bringen. Hinweisgeber können aus Unternehmenssicht die eigenen Mitarbeiter sein, Lieferanten, Partner oder Dienstleister, die während ihrer beruflichen Tätigkeit Verstöße gegen das geltende Recht festgestellt haben. Das Gesetz sieht vor, dass alle Unternehmen ab 50 Mitarbeitern ein Hinweisgebersystem mit interner Meldestelle einführen müssen. Für Unternehmen mit bis zu 249 Mitarbeitern gilt eine Übergangsfrist bis zum 17. Dezember 2023. Eine interne Meldestelle hat für Unternehmen einen großen Vorteil: Sie haben die Möglichkeit Missstände zu beseitigen, bevor die Öffentlichkeit und die Presse davon erfahren. So können sie einem möglichen Imageschaden vorbeugen. Welche Anforderungen das Hinweisgebersystem erfüllen muss und wieso eine digitale Lösung sinnvoll ist, lesen Sie in unserem Blog-Beitrag „Hinweisgeberschutzgesetz“.

Lieferkettengesetz (LkSG)

Sinnbild für das Lieferkettengesetz„Wir unterstützen ein wirksames EU-Lieferkettengesetz, basierend auf den UN-Leitprinzipien Wirtschaft und Menschenrechte, das kleinere und mittlere Unternehmen nicht überfordert. […]“, so steht es im Koalitionsvertrag. Am 11. Juni 2021 hat der Deutsche Bundestag das Lieferkettengesetz in Deutschland verabschiedet. Mit diesem Gesetz wird erstmals die unternehmerische Verantwortung für die Einhaltung von Menschenrechten in den Lieferketten geregelt. Offiziell heißt es „Gesetz über die unternehmerischen Sorgfaltspflichten zur Vermeidung von Menschenrechtsverletzungen in Lieferketten (Lieferkettensorgfaltspflichtengesetz – LkSG)“ oder eben kurz: Lieferkettengesetz. Es sieht vor, dass Unternehmen ab 1.000 Mitarbeitern nachweisen müssen, dass ihre Lieferkette sicher ist. Dazu haben Unternehmen mit über 3.000 Beschäftigten bis Januar 2023 Zeit. Bei Unternehmen mit mehr als 1.000 Mitarbeitenden verschiebt sich die Frist um ein Jahr nach hinten auf Januar 2024. Was es für konkrete Anforderungen vorsieht und welche Sanktionen bei Non-Compliance drohen, lesen Sie in unserem Blog-Beitrag „Das Lieferkettengesetz kommt“.

Fazit

2022 wird ein spannendes Jahr für das Compliance-Umfeld. Es ergeben sich einige Änderungen und die Anforderungen aus den neu in Kraft tretenden Gesetzen erhöhen sich. Um allen Anforderungen gerecht zu werden ist es ratsam sich frühzeitig mit der Umsetzung auseinanderzusetzen, auch wenn Sie beispielsweise das HinSchG erst bis 2023 umsetzen müssen. Um den Überblick im Gesetzesdschungel zu behalten, bietet sich eine Compliance-Management-Software an, die beim Dokumentieren unterstützt. So können alle Compliance-Themenfelder unter einem Software-Dach zusammengehalten werden und greifen auf dieselbe Datenbasis zu. Das erleichtert das konsistente Arbeiten und das monitoren aller Maßnahmen bis hin zur Report-Erstellung auf Knopfdruck. Übrigens: Wir bieten mit unserem GRC-COCKPIT eine Software an, die genau das kann. Wenn Sie interessiert sind, vereinbaren Sie gerne online einen Termin bei uns und wir erörtern, wie Sie das GRC-COCKPIT mit Ihren individuellen Bedürfnissen nutzen können.

Über den Autor

Foto Ingo SimonIngo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: 040 80 90 81 446

Hinweisgeberschutzsystem: Vertraulichkeit wahren und geschützte Kommunikationswege bereitstellen

Digital und DSGVO-konform

Von Uwe Straßberger, Director Marketing & Sales bei der SAVISCON GmbH

Am 16. Dezember dieses Jahres läuft für die Bundesrepublik die Frist zur Umsetzung der EU-Whistleblower-Richtline 2019/1937 ab. Diese Richtlinie, die den besseren Schutz von Whistleblowern vorschreibt, ist bereits seit dem 16. Dezember 2019 in Kraft getreten. Da der Referentenentwurf des Bundesministeriums der Justiz über die Vorgaben der EU-Richtlinie hinausgeht, konnten sich die Koalitionspartner bisher noch nicht auf ein entsprechendes Gesetz verständigen. Doch auch wenn das Gesetzgebungsverfahren derzeit stillsteht, ist zu erwarten, dass das Gesetz Mitte Dezember 2021 in Kraft treten wird. Unternehmen mit mehr als 249 Mitarbeitern sind somit ab dem Stichtag 17. Dezember 2021 verpflichtet, ein entsprechendes Hinweisgebersystem zur Verfügung zu stellen. Gleiches gilt auch für Kommunen mit mehr als 10.000 Einwohnern.

Mehr Details und weitere Fakten hierzu finden Sie auch in unserem Blog-Beitrag Hinweisgeberschutzgesetz vom 6. Mai 2021.

Welche Anforderungen sind zu erfüllen?

Der Referentenentwurf für das nationale, deutsche Gesetz definiert unter anderem diese wesentlichen Anforderungen:

  • Betreuung durch unabhängige und qualifizierte Personen
  • Uneingeschränkter Zugang für alle Beschäftigten
  • Dokumentation der eingehenden Meldungen
  • Schutz der Vertraulichkeit und Anonymität sowie Beachtung des Datenschutzes
  • Eingangsbestätigung innerhalb von sieben Tagen
  • Innerhalb von drei Monaten: Mitteilung der ergriffenen (Folge-)Maßnahmen

Mit E-Mail, Telefon und Post sollten dem Whistleblower/Hinweisgeber auch weiterhin die herkömmlichen Medien für seinen Hinweis zur Verfügung stehen. Auch eine von der Organisation bestellte (externe) Ombudsperson oder die vorgesetzte Person im Unternehmen, die für ein persönliches Gespräch zur Verfügung stehen, können Teil des Hinweisgebersystems sein. Im Hinblick auf die anonyme Kommunikation, die das Gesetz zum Schutz des Whistleblowers fordert, sind diese Wege jedoch nahezu ungeeignet, bzw. erschweren die geforderte anonyme Kommunikation erheblich. Wie soll die zuständige Person einer Organisation eine Person erreichen, von der sie weder eine E-Mail-Adresse, eine Telefonnummer oder sogar eine Anschrift hat?

Um also die gesetzlich vorgeschriebenen Punkte, wie durchgängige Betreuung oder termingerechte Mitteilungen dennoch zu erfüllen, bliebe lediglich die Veröffentlichung des Vorgangs im Intranet, auf der Homepage der Organisation oder, wie in derzeit gängigen Systemen beschrieben, die Veröffentlichung in einer Zeitung. Damit würde jedoch die Anonymität und insbesondere die Vertraulichkeit nicht mehr komplett gewährleistet werden können, da sich unbeteiligte Dritte, aufgrund der veröffentlichten Details ein Bild von dem Vorgang machen könnten.

Und wohlgemerkt, es geht hier nicht darum, ein mögliches Ergebnis oder getroffene Maßnahmen bekanntzugeben. Erforderlich ist darüber hinaus, siehe oben, während des gesamten Prozesses die anonyme Kommunikation, um unter anderen sowohl die Eingangsbestätigung innerhalb der gesetzlichen Frist zu gewährleisten als auch die Betreuung der hinweisgebenden Person während des gesamten Prozesses sicherzustellen.

Anonyme Kommunikation – digital und DSGVO-konform

Die Lösung ist in diesen Tagen, wie so häufig, das Hinweisgebersystem digital aufzusetzen und im besten Fall in das Compliance-Management-System der Organisation zu integrieren.
Dabei sollte ein separater Kanal die uneingeschränkte, anonyme Kommunikation vom Eingang bis zur abschließenden Mitteilung an die hinweisgebende Person sicherstellen.

Screenshot Hinweisgeberoption aus dem SAVISCON GRC-COCKPIT

Im SAVISCON GRC-COCKPIT erhält die hinweisgebende Person direkt nach dem Absetzten des Hinweises einen QR-Code mit einer persönlichen PIN. Hierüber wird eine absolut anonyme Kommunikation mit den Verantwortlichen der Organisation sichergestellt.

Durch eine leichte Erreichbarkeit der Meldeplattform, etwa im Intranet oder auf der Homepage, sowie eine einfache Handhabung des Systems für die Hinweisgebenden sollten Hemmschwellen abgebaut und während des gesamten Prozesses eine vertrauliche Basis zum Austausch notwendiger Informationen geschaffen werden. Das Daten verschlüsselt übermittelt werden müssen, versteht sich dabei schon fast von selbst.

Eine entsprechende Software sollte eine effiziente und direkte Fallbearbeitung vom Eingang des Hinweises über die Würdigung bis zur Einleitung entsprechender Maßnahmen im angeschlossenen Compliance-Management-System ermöglichen.

Mittels einer geeigneten Software, in die Unternehmen idealerweise weitere Managementsysteme, wie das Qualitäts- oder Umwelt-Management integrieren oder anbinden können, werden die bearbeitenden Personen automatisch an einzuhaltende Fristen erinnert und können Termine für Wiedervorlagen setzten.

Hinweisgebersystem als Teil einer Compliance-Management-Software

Mit unserer Compliance-Management-Software, dem SAVISCON GRC-COCKPIT, halten Unternehmen zusammen, was zusammengehört und integrieren ihr Hinweisgebersystem in das

Ihrer Organisation oder Kommune. Die oben genannten Anforderungen erfüllt das GRC-COCKPIT in vollem Umfang. Dabei integriert sich der digitale Kanal nahtlos in die bereits etablierten anderen Kanäle, soweit vorhanden, wie das folgende Bild zeigt:

Grafik GRC-COCKPIT als Hinweisgebersystem

GRC-COCKPIT als Hinweisgebersystem

Sofern sich ein Hinweis nach einer Würdigung als relevant herausstellt, sind innerhalb einer Organisation zumeist mehrere Abteilungen (Organisationseinheiten) an den daraus resultierenden Maßnahmen und deren Überwachungen beteiligt. Auch hier bietet unsere Software erhebliche Vorteile durch Funktionen zur digitalen Zusammenarbeit. So werden nicht nur Medienbrüche vermieden, sondern die digitale Bearbeitung in einem System erzeugt maximale Transparenz und ermöglicht darüber hinaus eine deutliche Zeitersparnis.

Mit der Abbildung der oben genannten Managementsysteme zusammen mit dem Hinweisgebersystem in einer Anwendung verbessern Unternehmen nicht nur die Transparenz, sondern sie vermeiden auch eine unkoordinierte Anhäufung von IT-Anwendungen, in dem pro Managementsystem eine Spezialanwendung implementiert oder installiert wird und minimieren somit den Aufwand für die IT-Sicherheit und den Datenschutz.

Ganz am Schluss noch ein Hinweis aus der Praxis. Sollte es einmal zu einer gerichtlichen oder behördlichen Auseinandersetzung kommen, wirkt sich das Vorhandensein eines strukturierten und revisionssicheren CMS, in der die Abläufe zum konkreten Fall durchgängig dokumentiert sind, in der Regel positiv auf die Urteilsfindung in Bezug auf die Organisation aus.

Über den Autor:

Foto Uwe Straßberger
Uwe Straßberger ist Director Sales & Marketing bei der SAVISCON GmbH. Seit 2019 steht er unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder uwe.strassberger@saviscon.de

Hinweisgeberschutzgesetz

Das müssen deutsche Unternehmen jetzt beachten

von Uwe Straßberger, Director Marketing & Sales bei der SAVICON GmbH

Die Flugbegleiterin, die Missstände bei ihrer Airline öffentlich aufdeckt, kann häufig kurz darauf ihre Sachen packen. Ziel des Hinweisgeberschutzgesetzes ist es, die Hinweisgeber in solchen Situationen besser zu schützen. Menschen, die auf Missstände hinweisen, sollen nicht länger um ihre berufliche Existenz bangen müssen. Denn in den allermeisten Fällen handeln sie mit guten Absichten. Am 17. Dezember 2021 soll das Gesetz in Kraft treten, das den Hinweisgebern mehr Rechtssicherheit verspricht. Was das für deutsche Unternehmen bedeutet, lesen Sie in unserem Blog-Beitrag:

Was ist ein Hinweisgeber?

Ein Hinweisgeber wird häufig auch Whistleblower genannt (zu Deutsch so viel wie: die Trillerpfeife benutzen, auf etwas aufmerksam machen). Das sind Personen, die Verstöße gegen das geltende Recht melden, die sie während ihrer beruflichen Tätigkeit festgestellt haben. Das können aus Unternehmenssicht die eigenen Mitarbeiter sein, Lieferanten, Partner oder Dienstleister, die das Unternehmen beauftragt.

Hintergrund: EU-Richtlinie zum Schutz von Whistleblowern

Am 16. Dezember 2019 ist die Richtlinie (EU) 2019/1937 zum Schutz von Whistleblowern in Kraft getreten. Die Mitgliedsstaaten haben zwei Jahre Zeit, um die Richtlinie in nationales Recht umzusetzen. In Deutschland hat das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) im Dezember 2020 einen ersten Referentenentwurf veröffentlicht. Und genau hier stockt es zurzeit: Die Gespräche zwischen Union und SPD zum Hinweisgeberschutzgesetz sind Ende April 2021 vorerst gescheitert. Streitpunkt ist, dass die Bundesjustizministerin Christine Lambrecht (SPD) in Ihrem Gesetzentwurf – anders als ursprünglich in der EU-Richtlinie vorgesehen – den Schutz von Hinweisgebern beim Melden von Verstößen gegen das deutsche Recht mit einbezieht. In der Richtlinie ist nur die Rede von Verstößen gegen Das EU-Recht. „Denn sonst wäre geschützt, wer einen Verstoß gegen europäische Datenschutzvorschriften meldet, aber nicht geschützt, wer auf Schmiergeldzahlungen, Steuerhinterziehung oder auf Verstöße gegen deutsche Umweltschutz- oder Arbeitsschutzbestimmungen hinweist“, erläutert Lambrecht ihr Vorhaben.

Das hat der Gesetzesentwurf vorgesehen

In dem Gesetzesentwurf vom BMJV sind zwei Meldewege vorgesehen (§§ 7 bis 30). Diese sollen gleichwertig nebeneinander stehen und die hinweisgebenden Personen sollen frei zwischen ihnen wählen können. Das ist zum einen der interne Meldeweg, der innerhalb des Unternehmens geschaffen werden muss und zum zweiten ein externer Meldeweg, der bei einer unabhängigen Stelle eingerichtet wird. So besagt der Entwurf: „Eine externe Meldestelle auf Ebene des Bundes wird bei dem beziehungsweise der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit angesiedelt.

Außerdem heißt es im Gesetzesentwurf weiter: „Gegen hinweisgebende Personen gerichtete Repressalien sind verboten. Das gilt auch für die Androhung und den Versuch, Repressalien auszuüben. Sollte vom Arbeitgeber dennoch eine mutmaßliche Repressalie ausgeübt werden, gilt die Beweislast. So liegt es in der Verantwortung des Unternehmens nachzuweisen, dass die ergriffenen Maßnahmen auf Gründen basieren, die nichts mit der Meldung des Missstands zu tun haben.“

Wenn Hinweisgeber allerdings vorsätzlich oder grob fahrlässig unrichtige Informationen weitergeben, sollen sie für den entstandenen Schaden aufkommen müssen.

Der Whistleblower-Netzwerk e. V. hat den Referentenentwurf auf ihrer Homepage veröffentlicht.

Müssen alle Unternehmen ein Hinweisgebersystem einführen?

Ob und wann ein Hinweisgebersystem eingeführt werden muss, richtet sich nach der Unternehmensgröße:

  • Unternehmen mit bis zu 49 Mitarbeitern werden kein Hinweisgebersystem installieren müssen
  • Unternehmen und Behörden ab 50 Mitarbeitern werden verpflichtet ein internes Hinweisgebersystem einzurichten
  • Für Unternehmen und Behörden mit bis zu 249 Mitarbeitern wird eine Übergangsfrist gelten, sie müssen ein Hinweisgebersystem bis zum 17. Dezember 2023 eingerichtet haben
  • Unternehmen und Behörden mit mehr als 250 Mitarbeitern müssen mit Inkrafttreten des Gesetzes ein internes Hinweisgebersystem umsetzen

Vorteile für Unternehmen

Ein internes Hinweisgebersystem hat einen großen Vorteil für Unternehmen: Sie haben die Möglichkeit Missstände zu beseitigen, bevor die Öffentlichkeit und die Presse davon erfahren. So können sie einem möglichen Imageschaden vorbeugen. Risiken werden früher erkannt und Unternehmer können proaktiv gegen Verstöße vorgehen. Wenn Unternehmen im Streitfall vor Gericht ein strukturiertes Compliance-Management-System mit entsprechender Weiterbearbeitung von Hinweisen vorlegen können, wirkt sich das in der Regel positiv aus.

Anforderungen an das Hinweisgebersystem

Wenn Unternehmen ein internes Hinweisgebersystem installieren, sollten sie bereits die folgenden Aspekte der EU-Richtlinie berücksichtigen:

  • Nach Eingang einer Meldung muss der Hinweisgebende innerhalb von sieben Tagen eine Eingangsbestätigung erhalten
  • Den Hinweisgebenden muss innerhalb von drei Monaten nach Bestätigung des Eingangs der Meldung eine Rückmeldung gegeben werden
  • In dieser Rückmeldung müssen die geplanten und bereits ergriffenen Folgemaßnahmen sowie deren Begründung beschrieben sein
  • Das Hinweisgebersystem muss datenschutzkonform eingesetzt werden
  • Alle eigegangenen Meldungen müssen dokumentiert und revisionssicher abgelegt werden

Vorteile eines digitalen Hinweisgebersystems

  • Ermöglicht effizientes und zusammenhängendes Arbeiten durch direkte Fallbearbeitung im angeschlossenen Compliance-Management-System
  • Es können Wiedervorlagen gesetzt werden
  • Das System kann an gesetzliche Fristen zur Bearbeitung erinnern
  • Ist für Interne und Externe jederzeit übers Web erreichbar
  • Daten können verschlüsselt übermittelt werden
  • Nachfragen beim Hinweisgeber zur Klärung des Sachverhalts sind anonym möglich

Beispiele für bekannte Fälle

Whistleblowing ist spätestens seit Edward Snowden ein Begriff. Der ehemalige CIA-Mitarbeiter löste mit seinen Hinweisen rund um die weltweiten Überwachungs- und Spionagepraktiken von Geheimdiensten die National Scurity Agency-Affäre aus. Inzwischen gab es einige weitere Fälle mit großer medialer Aufmerksamkeit, beispielsweise 2015 rund um VW und den Abgasskandal. VW setzt als Hinweisgebersystem das BKMS ® Incident Reporting des Berliner Unternehmens Business Keeper GmbH ein. Es ist für jedermann online zugänglich: zum Hinweisgeberportal von VW.

Kommentar: Integriertes Management System

Anstatt noch ein weiteres System einzuführen, sollten Unternehmen zuerst prüfen, ob ihre bestehenden Softwarelösungen aus den Fachbereichen Risiko- und Compliance-Management bereits die Option für ein internes Hinweisgebersystem bieten. Es ist in jedem Falle ratsam die Synergien der unterschiedlichen Disziplinen zu nutzen und die Missstandsmeldungen ohne Brüche in einem System zu dokumentieren und zu bearbeiten. Möglich ist das beispielsweise auch mit einer GRC-Management-Software, die bereits auf der gemeinsamen Betrachtung von Governance-, Risk- und Compliance-Management samt IT-Sicherheit und Datenschutz fußt. Wir von der SAVISCON GmbH haben es uns als Ziel gesetzt mit unserem GRC-COCKPIT genau diese Synergien zwischen Governance, Risk, Compliance, IT-Sicherheit und Datenschutz zu nutzen. Aus diesem Grund ist das Hinweisgebersystem schon von Anfang an in unserem GRC-COCKPIT integriert gewesen und in allen Versionen enthalten.

Porträtfoto Uwe StraßbergerÜber den Autor:

Uwe Straßberger ist Director Sales & Marketing bei der SAVISCON GmbH. Seit 2019 steht er unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Wenn Sie Fragen zur Installation eines integrierten und digitalen GRC-Management-Systems samt Hinweisgebersystem haben, kontaktieren Sie uns gerne: 040 80 90 81 446 oder uwe.strassberger@saviscon.de

SAVISCON GmbH | Wohldorfer Damm 1a | 22395 Hamburg | Geschäftsführer: Ingo Simon, Marian Grzabel

SAVISCON GmbH | Wohldorfer Damm 1a | 22395 Hamburg | Geschäftsführer: Ingo Simon, Marian Grzabel