Melde- und Hinweisgebersystem von Schleupen

Ein Hinweisgebersystem oder eine „interne Meldestelle“ ist ein Kommunikationskonzept, das Mitarbeitenden und anderen Stakeholdern eines Unternehmens vertrauliche Kommunikationskanäle eröffnet, auf denen sie Fehlverhalten und Verstöße in mündlicher oder in Textform sowie auf Wunsch auch persönlich melden können.

Die vertraulichen Kommunikationskanäle eines richtlinienkonformen Hinweisgebersystems müssen gemäß deutschem Hinweisgeberschutzgesetz (HinSchG) die Identität der hinweisgebenden Person zu jeder Zeit schützen – und damit komplexe Anforderungen der DSGVO erfüllen:

• Einrichtung einer internen oder externen Telefonnummer, um die mündliche Meldung per Telefon oder anderweitiger Sprachübermittlung zu ermöglichen. Dabei muss neben der ständigen Erreichbarkeit auch gewährleistet werden, dass keine unbefugten Personen (wie etwa die interne IT-Abteilung) Zugriff auf die Telefonleitung haben.

• Implementierung einer internen E-Mail-Adresse für die Meldung von Verstößen in Textform: Auch hier muss garantiert sein, dass nicht zuständige Personen im Unternehmen keinerlei Kenntnis über die Identität der hinweisgebenden Person oder den Inhalt des Hinweises selbst erhalten, etwa durch Zugriff auf den internen Mail-Server.

Doch nicht allein die Kommunikationskanäle unterliegen hohen gesetzlichen und datenschutzrechtlichen Anforderungen. Auch die Personen, die mit dem Betrieb des unternehmensinternen Hinweisgebersystems beauftragt werden, müssen definierte Kriterien erfüllen:

• Die beauftragten Personen müssen bei der Erfüllung ihrer Aufgabe unabhängig sein. Sie dürfen dabei zwar auch anderweitig im Unternehmen tätig sein, es muss jedoch sichergestellt werden, dass aus diesen zusätzlichen Tätigkeiten keine Interessenskonflikte entstehen.

• Die beauftragten Personen müssen über die notwendige Fachkunde im Umgang mit hinweisgebenden Personen verfügen, wie beispielsweise eine (externe) Ombudsperson, Gewerkschafts- oder Arbeitnehmervertreter*innen, Berater*innen, Jurist*innen etc., die zu jeder Zeit erreichbar sein müssen.

Mit dem Hinweisgeberschutzgesetz (HinSchG) wurde die EU-Hinweisgeber-Richtlinie (EU) 2019/1937, die den Schutz von Whistleblowern EU-weit standardisiert, in deutsches Recht umgesetzt.

Das primäre Ziel des deutschen Hinweisgeberschutzgesetzes (HinSchG) ist der Schutz von Whistleblowern: Es untersagt jegliche Repressalien und Vergeltungsmaßnahmen gegenüber natürlichen Personen, die im Rahmen ihrer beruflichen Tätigkeit Informationen über Fehlverhalten oder Verstöße erlangt haben und diese an eine unternehmensinterne oder externe Meldestelle weitergeben.

Um diesen Schutz zu gewährleisten, enthält das deutsche Hinweisgeberschutzgesetz umfassende und weitreichende Regelungen, die sowohl für weite Teile der Wirtschaft als auch des öffentlichen Sektors verpflichtend sind:

• Unternehmen ab 250 Mitarbeitenden mussten bis zum 02. Juli 2023 sichere Hinweisgebersysteme einführen, die es sowohl Mitarbeitenden als auch Dritten aus dem Umfeld ermöglichen, begründete Verdachtsmomente, Missstände oder Straftaten vertraulich zu melden

• Betriebe mit 50 – 249 Mitarbeitenden haben eine Übergangsfrist bis zum 17. Dezember 2023, um ein entsprechendes Hinweisgebersystem zu implementieren

• Unternehmen des öffentlichen Sektors, Kommunen mit mehr 10.000 Einwohner*innen sowie Städte mussten bereits ab Mitte Juni 2023 Hinweisgebersysteme anbieten

• Hinweisgebende müssen ihre Meldung mündlich oder schriftlich und auf Wunsch auch persönlich abgeben können

• Ein Hinweisgebersystem muss auch die anonyme Meldung von Verstößen ermöglichen und dabei trotzdem die Kommunikation sowie Rückmeldung mit der hinweisgebenden Person gewährleisten

• Wahlmöglichkeit zwischen interner und externer Meldestelle: Hinweisgebende haben die Wahl, ob sie sich an eine unternehmensinterne Meldestelle oder eine externe Meldestelle der Behörden, wie die externe Meldestelle des Bundesministeriums für Justiz, wenden. Durch ein effektives Hinweisgebersystem im Unternehmen sollen Hinweisgebende jedoch dazu ermutigt werden, sich zuerst an die interne Meldestelle zu wenden.

• Datenschutz hat höchste Priorität: Unternehmen und Organisationen müssen die Identität der Hinweisgebenden schützen. Die Verarbeitung aller personenbezogenen Daten – sowohl die der hinweisgebenden Person als auch die von etwaigen Beschuldigten – darf ausschließlich DSGVO-konform erfolgen.

• Einhaltung von Bearbeitungsfristen: Innerhalb von sieben Tagen muss die interne Meldestelle dem bzw. der Hinweisgebenden den Eingang der Meldung bestätigen. Innerhalb von drei Monaten muss die hinweisgebende Person über den Stand der internen Ermittlungen, deren Erkenntnisse sowie über die ergriffenen Maßnahmen informiert werden.

• Rechtsbereiche, die vom HinSchG umfasst werden: EU-Recht und nationales Recht, wenn es sich um strafbewehrte (Straftat) oder bußgeldbewehrte (Ordnungswidrigkeit) Vergehen, die den Schutz von Leib, Leben oder Gesundheit sowie Rechte von Beschäftigten gefährden, handelt.

• Unternehmen müssen Informationen über zuständige Aufsichtsbehörden bereithalten.

• Sanktionen und Bußgelder: Unternehmen und Organisationen, die unter das deutsche Hinweisgeberschutzgesetz (HinSchG) fallen und ihrer Pflicht zur Implementierung eines Hinweisgebersystems bzw. einer internen Meldestelle nicht nachkommen, können sanktioniert und mit einem Bußgeld in Höhe von bis 20.000 Euro geahndet werden.

Hinweisgebende Personen sind durch das deutsche Hinweisgeberschutzgesetz (HinSchG) geschützt, wenn sie eine Reihe von Verstößen, aber auch Optimierungshinweise melden. Dazu zählen beispielsweise die folgenden:

Verstöße und Optimierungsvorschläge, die über alle Branchen hinweg unter das HinSchG fallen:

• Korruption

• Verstoß gegen Wettbewerbs- oder Kartellrecht

• Steuervorfälle (Tax Compliance)

• Verstoß gegen Rechnungslegungs- oder Buchführungsvorschriften

• Verstoß gegen Arbeitsvorschriften

• Verstoß gegen Gesundheitsvorschriften

• Verstöße gegen sonstige Richtlinien

• Unfall

• Belästigung, Mobbing, verbale Aggression

• Sicherheitsvorfälle

• Datenschutzvorfälle

• Ideen bzw. Verbesserungsvorschläge

• Verstoß gegen Umweltvorschriften

• Diebstahl

• Whistleblowing

• Risikomeldungen

• IT-Sicherheitsvorfälle

Fehlverhalten und Verbesserungen, die im Bereich des Gesundheitswesens durch das HinSchG abgedeckt werden:

• CIRS-Meldungen (Critical Incidents)

• Datenschutzverstöße

• Verbesserungsvorschläge

• Beschwerden

• Ideenmanagement

• Schadensmeldungen allgemein

• Sachschäden

• Diebstahl

• Unfall

• Tätlicher Angriff

• Verbale Aggression

• Stürze & Dekubitusfälle

• Stich- und Schnittverletzungen

• Isolationsmeldesystem

• Sicherheitsvorfälle

• Whistleblowing