Viele Unternehmen haben sich trotz der gesetzlichen Pflicht, noch nicht mit dem neuen Hinweisgeberschutzgesetz (HinSchG) beschäftigt und haben Meldekanäle für Hinweisgeber noch nicht integriert. In diesem Artikel erklären wir Ihnen, was Sie bei der Einrichtung von Meldekanälen achten müssen. Falls Sie sich zunächst generell mit dem Thema Hinweisgeber befassen möchten, lesen Sie bitte unserem Artikel über die neuen Pflichten nach dem Hinweisgeberschutzgesetz. Dort werden alle Pflichten übersichtlich erklärt.
Welche Bedingungen müssen ein Meldekanäle für Hinweisgeber erfüllen?
Interner Meldekanäle für Hinweisgeber können unterschiedlich ausgestaltet sein. Die internen Meldekanäle müssen gemäß § 16 Absatz 3 des HinSchG Meldungen in mündlicher oder schriftlicher Form ermöglichen und auf Wunsch auch persönliche Treffen erlauben. Es sind also Meldekanäle denkbar, die Meldungen in Textform ermöglichen. Das wären beispielsweise IT-gestützte Hinweisgebersysteme im Internet oder Intranet oder auch spezielle E-Mail-Adressen für Hinweise nach dem HinSchG.
Auch mündliche Meldekanäle kann das Unternehmen einrichten. Dazu zählen beispielsweise Whistleblower-Hotlines oder Anrufbeantwortersysteme sein. Es sollte jederzeit möglich sein, persönliche Treffen zu organisieren. Auch muss dem Hinweisgeber die einschließlich Videokonferenzen, wenn der Hinweisgeber dies wünscht. Beachten Sie jedoch, dass es keine Verpflichtung zur Einrichtung anonymer Meldekanäle gibt, sondern nur zur Bearbeitung anonymer Meldungen.
Vertraulichkeit ist das höchste Gebot
Die Vertraulichkeit des Hinweisgebers und Dritter muss bei allen Meldewegen gewährleistet sein. Das ist in § 8 HinSchG festgelegt. Das bedeutet, dass das System die Identität der Hinweisgeber, der in den Meldungen erwähnten Personen sowie anderer betroffener Personen schützen muss. Was ist konkret damit gemeint? Zum einen sollten nur die Personen, die für die Entgegennahme und Bearbeitung der Meldungen verantwortlich sind, Zugang zu diesen Informationen haben. Die Offenlegung der personenbezogenen Daten gegenüber anderen Personen darf nur mit ausdrücklicher Zustimmung erfolgen. In Ausnahmefällen, wie beispielsweise in Strafverfahren auf Anforderung der Strafverfolgungsbehörden, müssen die Informationen mitgeteilt werden.
Interne Zuständigkeiten regeln
Die Zuständigkeit innerhalb des Unternehmens muss klar definiert sein, und es sollten Personen oder Abteilungen bestimmt werden, die die Meldungen entgegennehmen, den Eingang der Meldung innerhalb von 7 Tagen bestätigen, die Meldungen prüfen, geeignete Folgemaßnahmen einleiten und die Hinweisgeber innerhalb von 3 Monaten über getroffene Maßnahmen informieren. Die genaue Organisationsstruktur hängt von der Größe und Art des Unternehmens ab.
Bearbeitungsfristen beachten
Die Bearbeitungsfristen gemäß § 17 des HinSchG müssen eingehalten werden. Das schließt die Bestätigung des Meldungseingangs innerhalb von 7 Tagen ein. Hinzu kommt die Benachrichtigung des Hinweisgebers über geplante oder bereits ergriffene Maßnahmen innerhalb von 3 Monaten nach Bestätigung des Eingangs.
Folgemaßnahmen ergreifen und dokumentieren
Durch den Meldekanal muss sichergestellt werden, dass auch die ordnungsgemäßen Folgemaßnahmen gemäß § 18 des HinSchG eingeleitet werden können. Darunter fallen interne Untersuchungen, Maßnahmen zur Problemlösung, Verweis auf andere Meldekanäle oder Verfahren, Abschluss des Verfahrens aus Mangel an Beweisen oder anderen Gründen und gegebenenfalls die Meldung an zuständige Behörden.
Achtung: Alle Meldungen müssen gemäß § 11 des HinSchG in Übereinstimmung mit den Vertraulichkeitspflichten dokumentiert werden. Die Art der Dokumentation hängt vom Kanal ab, über den die Meldung eingegangen ist. Die Dokumentationen sollten so gestaltet sein, dass sie gegebenenfalls als Beweismittel verwendet werden können und nach Abschluss des Verfahrens für drei Jahre aufbewahrt werden, es sei denn, es bestehen rechtliche Anforderungen für eine längere Aufbewahrung.
Wichtig: Unternehmen müssen Informationen über alternative externe Meldeverfahren gemäß § 13 Absatz 2 des HinSchG bereitstellen, die für zuständige Behörden und Organe der Europäischen Union zugänglich sind. Ganz einfach gelingt dies mit einer professionellen und DSVO-konformen Profi-Software.
Datenschutz beachten
Bei der Verarbeitung personenbezogener Daten im Hinweisgebersystem müssen die Datenschutzvorschriften gemäß der EU-Datenschutzgrundverordnung und dem Bundesdatenschutzgesetz eingehalten werden. Dies beinhaltet die Festlegung von Aufbewahrungs- und Löschfristen sowie die Erstellung einer Datenschutzerklärung für Hinweisgeber. Falls es einen Betriebsrat gibt, müssen dessen Mitbestimmungsrechte gemäß § 87 Absatz 1 Nummer 6 des Betriebsverfassungsgesetzes beachtet werden, insbesondere wenn die Identifikation des Hinweisgebers möglich ist. Die frühzeitige Einbindung des Betriebsrats in Gespräche ist generell ratsam, wenn es um Meldekanäle für Hinweisgeber geht.