Quick Bites: Der Schutz von Hinweisgebern im Spiegel des Datenschutzes und Arbeitsrechts

Im Juni 2023 wurde nach langem gesetzgeberischen Tauziehen das Hinweisgeberschutzgesetz (HinSchG ) als Umsetzung der europäischen Whistleblowing Richtlinie (EU) 2019/1937 verabschiedet. Unternehmen mit mindestens 50 Mitarbeitern müssen insbesondere interne Meldestellen einrichten und den Hinweisen entsprechend nachgehen. Wir zeigen Ihnen die wichtigsten Punkte auch aus dem Spannungsfeld zum Datenschutz und Arbeitsrecht auf.

Welches Ziel verfolgt das neue Hinweisgeberschutzgesetz?

• Das Gesetz schützt Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit Informationen über bestimmte Verstöße erlangt haben und diese melden möchten.

Inwiefern muss der Hinweisgeber geschützt werden?

• Arbeitgeber müssen interne Meldekanäle einrichten, an die sich Beschäftigte wenden können. Eingegangene Hinweise müssen unabhängig bearbeitet werden.
• Für Rückmeldungen müssen bestimmte Fristen eingehalten werden.
• Hinweisgeber dürfen wegen eines Hinweises keine Repressalien erfahren.

Was muss arbeitsrechtlich noch beachtet werden?

• Bei der Implementierung von Hinweisgebersystemen und der Errichtung von internen Meldestellen in Betrieben mit Betriebsrat greift die betriebliche Mitbestimmung. Entsprechend sind zu den mitbestimmten Inhalten zeitnah entsprechende Betriebsvereinbarungen zu verhandeln und abzuschließen.

Wie verhält es sich mit dem Datenschutz?

• Das Hinweisgeberschutzgesetz weist zahlreiche Berührungspunkte mit datenschutzrechtlichen Regeln auf. Konkret enthält es jedoch nur eine Norm, die den Umgang mit besonders sensiblen Daten erlaubt, wenn dies zur Erfüllung der Aufgaben der Meldestelle erforderlich ist.
• Unternehmen verarbeiten bei der Entgegennahme und Bearbeitung von Hinweisen personenbezogene Daten der Hinweisgeber und aller Personen, die im Hinweis genannt werden.
• Oftmals beauftragen Unternehmen einen externen Dienstleister mit der technischen Bereitstellung eines Hinweisgeberschutzsystems. Außerdem fließen personenbezogene Daten im Rahmen einer Investigation oftmals innerhalb des Konzerns.

Was sind konkrete datenschutzrechtliche To dos?

• Erstellen von Datenschutzhinweisen zur Information des Hinweisgebers über den Umgang mit dessen personenbezogenen Daten
• Ergänzung der Mitarbeiter und Geschäftspartner Datenschutzhinweise, um Informationen über den Umgang mit Daten der in einem Hinweis potentiell genannten Personen
• Durchführung einer Datenschutz Folgenabschätzung (erforderlich nach Ansicht der deutschen Aufsichtsbehörden)
• Erstellen eines Zugriffskonzepts in Bezug auf eingegangene Hinweise nach dem need to know Prinzip sowie eines Löschkonzepts.
• Aufsetzen einer Policy zum Umgang mit Betroffenenanfragen
• Aufsetzen von Verträgen innerhalb des Konzerns sowie ggf. mit einem externen Dienstleister zur Absicherung der Datenflüsse
• In Betrieben mit Betriebsrat: Abschluss von Betriebsvereinbarungen bei der Verwendung von elektronischen Hinweisgebersystemen und der Aufstellung von Verhaltenspflichten für die Mitarbeiter

Was droht bei Verstößen?

• Das Hinweisgeberschutzgesetz sieht recht moderate Bußgelder in Höhe von max. EUR 50.000, vor.
• Zusätzlich kann es jedoch neben Schadensersatzforderungen auch zur Verhängung von weitaus höheren Bußgeldern kommen, wenn etwa Daten des Whistleblowers ohne hinreichende Rechtsgrundlage verarbeitet oder die Anforderungen an die Transparenz nicht eingehalten werden.

Den Artikel können Sie hier als pdf runterladen.

Stand: Juni 2023