Frequently asked questions about the whistleblower system and the EU-Whistleblower-Directive

Below you will find answers to frequently asked questions about our whistleblowing system White Sparrow, as well as its legal basis the EU-Whistleblowing-Directive.

Recht

Wie ist der aktuelle Stand zum Hinweisgeberschutzgesetz - wann tritt das HinSchG in Kraft?

Was lange währt - wird endlich Gesetz

Schon zum 17. Dezember 2021 sollte die EU-Whistleblower-Richtlinie („Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“, EU 2019/1937) eigentlich in nationales Recht umgesetzt werden. Ein erster Gesetzesentwurf der großen Koalition kam gar nicht zur Abstimmung, der nahezu identische Entwurf der aktuellen Regierung wurde am 16. Dezember 2002 beschlossen, scheiterte dann aber am 10. Februar 2023 im Bundesrat. Den zwischenzeitlichen Versuch, das Gesetz aufzuspalten und damit die Zustimmungsbedürftigkeit zu umgehen, hatte die Regierung kurzfristig verworfen.

Der schließlich doch angerufene Vermittlungsausschluss konnte am 09. Mai 2023 einen Kompromiss erzielen. Der darauf basierende geänderte Entwurf wurde in den beiden darauffolgenden Tagen von Bundestag und Bundesrat angenommen. Das „Gesetz für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ (HinSchG) wurde am 02.06.2023 im Bundesgesetzblatt verkündet.

 

Wann tritt das Gesetz in Kraft?

Nach Artikel 10 Absatz 2 des HinSchG tritt das Gesetz am 02.07.2023 in Kraft.

Unternehmen, die 50 bis einschließlich 249 Mitarbeiter beschäftigen, treffen die gesetzlichen Verpflichtungen ab dem 17. Dezember 2023. Unternehmen ab 250 Beschäftigten sind jedoch bereits ab dem 02.07.2023 von der Pflicht zum Vorhalten einer internen Meldestelle verpflichtet.

 

Die Lösung: WHITE SPARROW

Alles, was Sie als betroffenes Unternehmen zu den Anforderungen in der Umsetzung und Bearbeitung beachten müssen und wie wir mit unserem WHITE SPARROW HINWEISGEBERSYSTEM die optimale Lösung für Sie anbieten, erfahren Sie in unseren kostenfreien Webinaren.

 

Testen Sie WHITE SPARROW jetzt 1 Monat ohne Kostenrisiko!

 

Das GRATIS-ANGEBOT ermöglicht das Testen von WHITE SPARROW noch bis zum Inkrafttreten des Hinweisgeberschutzgesetzes für Ihr Unternehmen, aber in jedem Fall mindestens 1 Monat. Danach starten Sie direkt in Übereinstimmung mit dem neuen Gesetz durch. Gerne erstellen wir Ihnen ein unverbindliches Angebot.

 

Stand: 27.06.2023

Wie unterscheidet sich das Hinweisgeberschutzgesetz von der EU-Whistleblowing-Richtlinie und was hat sich im HinSchG zum Schluss geändert??

Der ursprüngliche Entwurf des Gesetzes, den der Bundestag am 15.12.2022 verabschiedet hatte, sah an einigen Stellen einen über die Vorgaben der EU-Richtlinie hinausgehenden Schutz vor.

 

Die letzten Änderungen, die im Vermittlungsausschuss zwischen Bundestag und Bundesrat beschlossen wurden, führen dazu, dass die Umsetzung sich an manchen Stellen doch wieder mehr an der europäischen Vorgabe orientiert.

 

 

Wir stellen hier die wichtigsten Punkte aus dem Gesetz vor:

 

 

1. Der sachliche Anwendungsbereich

 

Einen wesentlichen Unterschied zur Richtlinie gibt es beim sachlichen Anwendungsbereich: Während die Richtlinie Hinweisgeber nur bei Verstößen gegen EU-Recht schützt, gilt das HinSchG auch bei Verstößen gegen Rechtsvorschriften des Bundes und der Länder. Es bleibt weiterhin bei einer Auflistung von einzelnen Rechts- bzw. Themengebieten, die vom HinSchG erfasst sind.

Die Einigung im Vermittlungsausschuss ergab zuletzt noch eine Änderung zur Definition des Begriffs „Informationen“, die gemeldet werden: Die Informationen sind demnach nun nur noch dann relevant, wenn die Verstöße bei dem Beschäftigungsgeber, bei dem die hinweisgebende Person tätig ist oder war, oder bei einer anderen Stelle, mit der die hinweisgebende Person aufgrund ihrer beruflichen Tätigkeit im Kontakt steht oder stand, begangen wurden oder sehr wahrscheinlich erfolgen werden, sowie über Versuche der Verschleierung solcher Verstöße.

 

2. Die Bearbeitung anonymer Hinweise

 

Die ursprünglich in den Gesetzesentwürfen vorgesehene Pflicht zur Einrichtung eines Meldekanals, der auch die Abgabe anonymer Meldungen ermöglicht, ist in dem nunmehr verabschiedeten HinSchG nicht mehr verankert. Anders als die EU-Richtlinie dies vorsieht, sollen Unternehmen nach dem HinSchG jedoch auch Hinweise bearbeiten, bei denen der Hinweisgeber keinerlei Angaben zu seiner Person tätigt – sog. anonyme Hinweise.

Beim Aussuchen einer Lösung ist es also zu empfehlen, dass eine  anonyme Zwei-Wege-Kommunikation sichergestellt wird. – Schauen Sie dazu gern unsere White Sparrow Plattform an!

 

3. Persönliche Zusammenkunft wurde entschärft

 

Die Pflicht, auf Wunsch des Hinweisgebers auch eine persönliche Zusammenkunft von Angesicht zu Angesicht zu ermöglichen, wurde entschärft: Nach dem Hinweisgeberschutzgesetz kann die Zusammenkunft mit Einwilligung des Hinweisgebers nun auch im Wege einer Bild- und Tonübertragung erfolgen.

 

4. Konzernlösung bleibt erhalten

 

Der Rechtsausschuss betonte im Gesetzgebungsverfahren die Möglichkeit einer Konzernlösung. Das heißt, dass in Unternehmensgruppen eine zentrale Bearbeitung der Hinweise, z.B. in einem Compliance-Team, möglich bleibt. Voraussetzung ist jedoch, dass die Abgabe für die Hinweisgeber sprachlich barrierefrei möglich ist und eindeutig einer Gesellschaft zugeordnet werden kann. Soweit sich nationale Besonderheiten aus den jeweiligen Gesetzen der EU-Länder ergeben, haben Sie mit White Sparrow die richtige Plattform gewählt, da wir alle Umsetzungen in den EU-Ländern im Blick haben und bei unserer Plattform berücksichtigen – machen Sie gern einen Beratungstermin dazu aus.

 

5. Verlängerung der Aufbewahrungsfrist

 

Unsere Datenschützer der MKM Datenschutz hatten bereits frühzeitig mit den Aufsichtsbehörden über die aus unserer Sicht zu kurze Löschfrist von zwei Jahren nach Abschluss der Ermittlungen zu diskutieren begonnen. Der Gesetzgeber hatte schließlich ein Einsehen und hat sie zumindest auf die für Schadensersatzforderungen relevanten drei Jahre hochgestuft. Allerdings dürfte dies innerhalb von Europa auch unterschiedlich ausgestaltet werden.

Die letzte Änderung durch den Vermittlungsausschuss brachte mit § 11 Absatz 5 Satz 2 HinSchG noch die Möglichkeit, die Dokumentation länger aufzubewahren, um die Anforderungen nach dem HinSchG oder nach anderen Rechtsvorschriften zu erfüllen, solange dies erforderlich und verhältnismäßig ist.

 

Stand: 27.06.2023

Was ist das Ziel der EU-Whistleblowing-Richtlinie?

Ziel der Whistleblower-Richtlinie der Europäischen Union¹ aus dem Jahr 2019 ist, innerhalb der EU einen einheitlichen Standard für den Schutz von Hinweisgebern bei unternehmerischen Missständen in Bezug auf bestimmte Rechtsgebiete zu erreichen. Bis zum 17. Dezember 2021 sollten alle EU-Mitgliedstaaten diese Richtlinie in nationales Recht überführen. Weiteres zu den Hintergründen lesen Sie in unserem Blogbeitrag zur Whistleblower-Richtlinie.

 

Durch die Umsetzung der EU-Richtlinie in nationales Recht in allen Mitgliedsstaaten der EU, sollen

 

  • Gesetzes-Verstöße von und in Unternehmen schneller aufgedeckt und unterbunden werden
  • Hinweisgeber geschützt und weder zivil-, straf- oder verwaltungsrechtlich noch in Bezug auf ihre Beschäftigung haftbar gemacht werden
  • die Rechtsdurchsetzung verbessert werden

 

¹Whistleblower-Richtlinie der Europäischen Union

 

Stand: 27.06.2023

Welche Unternehmen sind von dem Hinweisgeberschutzgesetz betroffen?

Meldemöglichkeiten müssen von Unternehmen mit mindestens 50 Beschäftigten eingerichtet werden sowie von Unternehmen, die bestimmten Gesetzen unterliegen, wie z.B. allen Finanzdienstleistern, unabhängig von der Anzahl der Beschäftigten. Maßgeblich ist dabei die regelmäßige Zahl der Beschäftigten und keine Betrachtung an einem bestimmten Stichtag.

 

 

Stand: 27.06.2023

Ist der Betriebsrat bei der Einführung des Hinweisgebersystems zu beteiligen?

Bei der Einführung eines neuen bzw. bei der Änderung bestehender Hinweisgebersysteme sollten Sie den Betriebsrat in jedem Falle beteiligen. Zum einen ist dies nach § 87 Abs. 1 Nr. 1 BetrVG erforderlich, wenn das Hinweisgebersystem Meldepflichten statuiert. Zum anderen besteht ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG, wenn technische Einrichtungen eingeführt oder angewendet werden sollen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Es ist daher ein schnelles Handeln gefordert. Weiteres zu den Hintergründen lesen Sie in unserem Newsletterartikel zur Mitbestimmung des Betriebsrates.  

 

Stand: 27.06.2023

In welchen Ländern wurde die EU-Richtlinie bereits in nationales Gesetz übertragen?

Folgende Länder haben die EU-Richtlinie bereits in nationales Gesetz überführt:

 

  • Dänemark
  • Finnland
  • Frankreich
  • Griechenland
  • Irland
  • Kroatien
  • Lettland
  • Litauen
  • Malta
  • Portugal
  • Rumänien
  • Schweden
  • Zypern

 

 

Folgende Länder haben die EU-Richtlinie noch nicht in nationales Gesetz überführt:

 

  • Belgien
  • Bulgarien
  • Deutschland
  • Estland
  • Italien
  • Luxemburg
  • Niederlande
  • Österreich
  • Polen
  • Slowakei
  • Slovenien
  • Spanien
  • Tschechien
  • Ungarn

 

Hier können Sie noch weitere Informationen über den Umsetzungsstand in Deutschland und anderen EU-Ländern herunterladen.

 

 

Stand: 27.06.2023

Ist mein Unternehmen betroffen, obwohl weniger als 50 Mitarbeitende beschäftigt werden?

● Sind Sie ein Wertpapierdienstleistungsunternehmer (§ 2 Abs. 10 Wertpapierhandelsgesetz)?

 

● Sind Sie ein Datenbereitstellungsdienst (§ 2 Abs. 40 Wertpapierhandelsgesetz)?

 

● Sind Sie Börsenträger im Sinne des Börsengesetzes?

 

● Sind Sie ein Institut des Kreditwesens (§ 1 Abs. 1 Buchst. b Kreditwesengesetz)?

 

● Sind Sie ein Institut im Sinne des § 2 Absatz 1 des Wertpapierinstitutsgesetzes?

 

● Sind Sie eine Kapitalverwaltungsgesellschaft (§ 18 Abs. 1 Kapitalanlagegesetzbuch)?

 

● Fallen Sie unter das Versicherungsaufsichtsgesetz (§ 1 Abs. 1 Versicherungsaufsichtsgesetz)?

 

● Sind Sie Gegenpartei eines Wertpapierfinanzierungsgeschäfts?

 

 

Wenn Sie mindestens eine der Fragen mit „ja“ beantwortet haben, sind Sie zur Einrichtung einer internen Meldestelle unabhängig von der Anzahl der Mitarbeiter verpflichtet. Sollen Sie sich nicht sicher sein, können Sie uns gern für ein unverbindliches Beratungsgespräch kontaktieren.

 

 

Stand: 27.06.2023

Findet das Hinweisgeberschutzgesetz auch dann Anwendung, wenn der Bund oder das Land Beschäftigungsgeber ist?

Sofern der Bund oder das Land Mitarbeiter anstellt, bestimmen die obersten Bundes- oder Landesbehörden Organisationseinheiten in Form von einzelnen oder mehreren Behörden, Verwaltungsstellen, Betrieben oder Gerichten. Bei den jeweiligen Organisationseinheiten werden dann die internen Meldestellen errichtet und betrieben. Für Gemeinden und Gemeindeverbände gilt die Pflicht zur Einrichtung und zum Betrieb interner Meldestellen nach Maßgabe des jeweiligen Landesrechts, wozu derzeit jedoch noch keine gesetzlichen Regelungen erlassen worden sind. Nach der Gesetzesbegründung des Hinweisgeberschutzgesetzes, die in dem Gesetzesentwurf enthalten ist, kann jedoch im jeweiligen Landesrecht vorgesehen werden, dass Gemeinden und Gemeindeverbände mit weniger als 10 000 Einwohnern von der Pflicht zur Einrichtung interner Meldestellen ausgenommen werden.

 

 

Stand: 27.06.2023

Was ist unter dem Begriff „interne“ Meldestelle zu verstehen? Ist eine Auslagerung auf externe Dritte möglich? Kann sich ein Hinweisgebersystem geteilt werden?

Natürlich nimmt die Einrichtung und Aufrechterhaltung einer Hinweisgeber-Stelle viele Ressourcen in Anspruch. Deswegen ist es erlaubt, den „internen“ Meldekanal auf externe Dritte auszulagern – wenn dabei die Vertraulichkeit und der Datenschutz gewahrt werden.

 

Und können sich mehrere Meldestellen ein Hinweisgeber-System teilen? Im privaten Sektor ja, sofern das System eine strikte Datentrennung zwischen den Unternehmen ermöglicht. Im öffentlichen Sektor ist dies noch nicht abschließend geklärt. Die Whistleblowing-Richtlinie sieht zumindest die Möglichkeit vor, dass die Mitgliedstaaten auch für juristische Personen im öffentlichen Sektor die gemeinsame Einrichtung eines Hinweisgeber-Systems ermöglichen.

 

Die MKM Compliance GmbH bietet mit White Sparrow eine Plattform an, die Ihren Arbeitnehmern nicht nur die Abgabe vertraulicher Meldungen ermöglicht – sie ermöglicht kleinen Unternehmen und Konzernen auch die Ressourcenteilung.

 

 

Stand: 27.06.2023

Hinweisgeberplattform

Wie lange dauert die Implementierung eines Hinweisgebersystems im Unternehmen?

Nachdem von Ihnen als Kunden alle Onboarding-Informationen vorliegen und - sofern ein Betriebsrat besteht - die Mitbestimmungsrechte des Betriebsrats gewahrt wurden, dauert das Aufsetzen Ihres Hinweisgebersystems nur wenige Tage. Parallel wird ein Termin für die Einweisung Ihres Teams vereinbart und Sie erhalten auf Wunsch Textvorlagen, um Mitarbeitende und Partner zu informieren.

 

Gerne unterstützen Sie die Arbeitsrechtsexperten von MKM Rechtsanwälte PartmbB auch beim Abschluss einer Betriebsvereinbarung und den Verhandlungen mit dem Betriebsrat.

 

 

Stand: 27.06.2023

Welche Folgen hat die Pflicht zur Einführung eines Hinweisgebersystems?

In Deutschland gilt nunmehr das Hinweisgeberschutzgesetz, das die Pflicht zur Einrichtung eines Hinweisgebersystems regelt. Nach dem Hinweisgeberschutzgesetz müssen den hinweisgebenden Personen mindestens zwei gleichwertige Meldewege zur Verfügung stehen, zwischen denen diese frei wählen können – ein interner (von Unternehmen oder öffentlichen Stellen bereitgestellt) und ein externer Meldeweg (von bestimmten Behörden bereitgestellt).

Die Meldesysteme müssen so gestaltet werden, dass die Vertraulichkeit der Meldung sowie von Personen, die möglicherweise von der Meldung betroffen sind, gewahrt werden kann, wenn der Meldende dies wünscht.

Das Meldesystem muss allerdings nicht von dem Unternehmen selbst betrieben werden, sondern kann auch von einem externen Dienstleister zur Verfügung gestellt werden. Deshalb bietet sich für die einfache Erledigung des Themas die MKM Hinweisgeberplattform an.

 

 

Stand: 27.06.2023

Datenschutz

Whistleblowing und DSGVO: Wie stellt das System die Konformität sicher?

Durch diverse Maßnahmen auf organisatorischer, technischer und funktionaler Ebene unterstützt White Sparrow die Kunden bei der Einhaltung der Europäischen Datenschutzgrundverordnung (DSGVO) sowie weltweiter Datenschutzvorgaben: 

 

 

Auf organisatorischer Ebene durch Maßnahmen zu Informationssicherheit und Datenschutz in Form eines ordentlichen Datenschutz- und Datenflussmanagements. Dieses unterliegt regelmäßigen internen und unabhängigen Überprüfungen. 

 

Auf der technischen Ebene wurden hohe Standards für Datenschutz und Sicherheit berücksichtigt.

 

Dies beinhaltet, dass 

 

  • keine personenbezogenen Daten von Besuchern und Hinweisgebern protokolliert werden, 

  • die Verschlüsselung von Daten im Transit sichergestellt ist, 

  • keine Metadatenanalyse oder Forschung mit den Daten unserer Kunden stattfindet, 

  • es Möglichkeiten für Datenschutzhinweise (Disclaimer) und weiteren Informationen im Meldeprozess gibt, 

  • diverse Sicherheitsfunktionen in Bezug auf Zugriff und Verarbeitung von Daten aktiviert sind.

 

Auf der funktionalen Ebene unterstützt das White Sparrow-Hinweisgebersystem den Fallbearbeiter bei den häufigen Aufgaben und Aktivitäten im Zusammenhang mit den internen Datenschutzprozessen.

 

 

Dies beinhaltet: 

 

  • dynamische Erinnerungen und Hinweise, wenn bestimmte Datenschutzkriterien eintreten, inkl. Anzeige nötiger Aktionen 

  • Unterstützung der Anonymisierung von Falldetails (z. B. Personendaten) und optional auch von Dateianhängen 

  • granulares Berechtigungsmanagement und Rollenkonzept zur Feinabstimmung des Zugriffs auf sensible Fallinhalte

 

 

Stand: 01.02.2023

Sicherheit

Wie wird bei White Sparrow die Anonymität des Hinweisgebers sichergestellt?

Unser Hinweisgebersystem  gewährleistet die Anonymität des Hinweisgebers und stellt sicher, dass dessen Identität auf technischem Weg nicht zurückverfolgt werden kann. Technische Daten, die zur Übermittlung des Hinweises erforderlich sind, sind nur einem sehr eingeschränkten Personenkreis und nur für kurze Zeit zugänglich. Die  Daten werden in hochsicheren Rechenzentren gespeichert, die nach ISO 27001/2 sowie weiteren Standards zertifiziert sind. Auf diesen Servern werden keinerlei IP-Adressen, Standortdaten, Gerätespezifikationen oder sonstige Daten dauerhaft gespeichert, die Rückschlüsse auf den Hinweisgeber zulassen. 

 

Der Hinweisgeber entscheidet selbst, ob er anonym bleibt oder persönliche Angaben zu seiner Person macht. In jedem Fall werden Meldungsinhalte nur verschlüsselt übertragen. Zudem erfolgt die gesamte Serverkommunikation über eine verschlüsselte TLS  1.2.(HTTPS)-Verbindung.  Externe Hosting-IT-Dienstleister haben keinen Zugriff auf die Daten.

 

Stand: 01.02.2023

Kostenlos starten – mit unserer Demo

Sie haben Fragen oder wollen unser Hinweisgebersystem nutzen? Vereinbaren Sie einen Demotermin.

Zusätzlich erreichen Sie uns per E-Mail oder auch telefonisch.

kontakt@mkm-compliance.de
Wir antworten Ihnen so schnell wie möglich.

+49 30 / 544 53 510
Mo-Fr: 9:00 Uhr bis 18:00 Uhr.