Das Hinweisgeberschutzgesetz ist da.
Beantworten Sie die Fragen auf der Checkliste, um zu erfahren, was Sie als privater Beschäftigungsgeber nun am besten tun sollten.
1.) Bin ich Beschäftigungsgeber?
Beschäftigungsgeber ist jede Person, jede Kapitalgesellschaft (z.B. GmbH, AG), jede Stiftung, jede rechtsfähige Personenvereinigung (z.B. e.V.), jede rechtsfähige Personengesellschaft (z.B. oHG, KG, GmbH & Co. KG), sofern sie mindestens eine andere Person beschäftigt.
Auf die Entgeltlichkeit der Beschäftigung kommt es nicht an. Praktikanten, Freiwillige, Ehrenamtliche, Auszubildende, Beschäftigte in Werkstätten für behinderte Menschen gelten als Beschäftigte – desgleichen (wohl auch) Leiharbeitnehmer.
[ ] NEIN - Das HinSchG findet keine Anwendung.
[ ] JA - Weiter mit Frage 2.)
2.) Muss ich eine Meldestelle einrichten?
Beschäftigungsgeber, die 50 oder mehr Personen beschäftigen, müssen eine Meldestelle einrichten. Entscheidend ist die Beschäftigungslage, die den Betrieb im Allgemeinen kennzeichnet. Kapitalmarktdienstleistungsunternehmen müssen Meldestellen einrichten unabhängig von der Zahl der beschäftigten Personen.
[ ] NEIN - Eine Meldestelle muss nicht eingerichtet werden.
[ ] JA - Weiter mit Frage 3.)
3.) Bis wann muss ich die Meldestelle einrichten?
Beschäftigungsgeber mit 250 oder mehr beschäftigten Personen müssen die Meldestelle spätestens am 2. Juli 2023 eingerichtet haben und betreiben. Beschäftigungsgeber mit 50 bis 249 beschäftigten Personen müssen die Meldestelle ab dem 17. Dezember 2023 eingerichtet haben und betreiben.
[ ] 2. JULI 2023 - Sofort weiter mit Frage 4.)
[ ] 17. DEZEMBER 2023 - Ich kann noch etwas verschnaufen, dennoch weiter mit Frage 4.)
4.) Habe ich bereits eine Datenschutz-Folgenabschätzung für die Meldestelle durchgeführt?
Der Betrieb einer Meldestelle ist aufgrund der dabei erforderlichen Verarbeitung von personenbezogenen Daten mit hohen Risiken für die Rechte und Freiheiten der betroffenen Personen verbunden. Deshalb muss vor der Inbetriebnahme der Meldestelle eine Datenschutz-Folgenabschätzung durchgeführt werden. Zweck der Datenschutz-Folgenabschätzung ist, die Risiken zu benennen sowie sie zu bewerten und zu bewältigen.
[ ] NEIN - Weiter mit Frage 5.)
[ ] JA - Weiter mit Frage 7.)
5.) Habe ich einen Datenschutzbeauftragten benannt?
Sofern ein Datenschutzbeauftragter benannt ist, muss für die Durchführung der Datenschutz-Folgeabschätzung dessen Rat eingeholt werden. Die Durchführung einer Datenschutz-Folgeabschätzung ist eine datenschutztechnisch sowie auch datenschutzrechtlich anspruchsvolle Aufgabe, für deren Bewältigung entsprechende Fachkompetenz unverzichtbar ist.
[ ] NEIN - Wenn ein Datenschutzbeauftragter nicht benannt ist, sollte die Datenschutz-Folgeabschätzung mit externer datenschutzrechtlicher Unterstützung durchgeführt werden. Dann weiter mit Frage 6.)
[ ] JA - Der Rat des Datenschutzbeauftragten ist einzuholen. Ergänzend ist die externe datenschutzrechtliche Bewertung des Rats des Datenschutzbeauftragten ratsam. Dann weiter mit Frage 6.)
6.) Besteht in meinem Unternehmen ein Betriebsrat?
Bei der Durchführung einer Datenschutz-Folgenabschätzung ist der Standpunkt der Vertreter der betroffenen Personen einzuholen. Von dem Betrieb der Meldestelle sind in erster Linie die Beschäftigten des Betriebs betroffen. Deshalb ist der Standpunkt des Betriebsrats einzuholen.
[ ] NEIN - Weiter mit Frage 7.)
[ ] JA - Bei der Einholung sowie für die Bewertung des Standpunkts des Betriebsrats sollte externer Rechtsrat eingeholt werden. Dann weiter mit Frage 7.)
7.) Will ich einen externen Dienstleister mit dem Betrieb der Meldestelle beauftragen?
Die interne Meldestelle kann eingerichtet werden, indem entweder eine bei dem Beschäftigungsgeber beschäftigte Person mit den Aufgaben der Meldestelle betraut wird oder die interne Meldestelle durch (externe) Dritte betrieben wird. Die Beauftragung eines externen Dritten entbindet den Beschäftigungsgeber nicht von seiner Pflicht, selbst geeignete Maßnahmen zu ergreifen, um einen Verstoß abzustellen. Außerdem muss die Meldestelle – auch wenn sie von einem externen Dritten betrieben wird – die Möglichkeit haben, interne Untersuchungen bei dem Beschäftigungsgeber durchzuführen.
[ ] JA - Weiter mit Frage 8.)
[ ] NEIN - Weiter mit Frage 10.)
8.) Besteht mit dem externen Dienstleister ein schriftlich dokumentiertes Vertragsverhältnis?
Der Betreiber der Meldestelle erbringt eine Dienstleistung für den Betriebsinhaber. Dabei erlangt der Betreiber sensible und womöglich auch brisante Informationen über den Betrieb und die Beschäftigten. Zugleich muss der Betriebsinhaber aufgrund der Tätigkeit des externen Dienstleisters in die Lage versetzt werden, gemeldete Missstände zu beseitigen. Dieses komplexe Verantwortungs- und Zuständigkeitsgeflecht zwischen dem externen Dienstleister und dem Beschäftigungsgeber bedarf eines ausgewogen geregelten Vertragswerks.
[ ] JA - Lassen Sie den bestehenden Vertrag anwaltlich prüfen! So können Regelungslücken oder Unklarheiten beseitigt werden, bevor diese in einem Konfliktfall unerwartet streitentscheidend werden. Dann weiter mit Frage 9.)
[ ] NEIN - Akzeptieren Sie nicht ohne anwaltliche Prüfung das vorformulierte Vertragsangebot des Dienstleisters. Lassen Sie sich vom rechtlichen Experten ein für Sie passenden Vertragswerk erstellen. Dann weiter mit Frage 9.)
9.) Besteht mit dem externen Dienstleister auch ein Vertrag über die Verarbeitung von personenbezogenen Daten im Auftrag (Auftragsdatenverarbeitungsvertrag)?
Der externe Dienstleister verarbeitet bei dem Betrieb der Meldestelle notwendigerweise für den Beschäftigungsgeber und in dessen Auftrag personenbezogene Daten über die Hinweisgeber, über die mit dem Hinweis in Zusammenhang stehenden Personen und über sonstige Personen, die für den gemeldeten Verstoß relevant sein können. Die Rechte und Pflichten des Beschäftigungsgebers sowie des externen Dienstleisters müssen zwingend in einem Auftragsverarbeitungsvertrag geregelt sein.
[ ] JA - Hier sollte externer datenschutzrechtlicher Rat eingeholt werden, um die Konformität sowohl zum HinSchG als auch zur DSGVO zu prüfen, dann weiter mit Frage 10.)
[ ] NEIN - Vorformulierte Vertragstexte passen oft nicht zu den konkreten Anforderungen im Einzelfall. Holen Sie externer Rechtsrat ein, damit „Ihr“ Vertrag zu Ihnen passt. Dann weiter mit Frage 10.)
10.) Habe ich im Unternehmen die fachlichen Ressourcen, um Rechtsfragen im Zusammenhang mit den in der Meldestelle eingehenden Hinweisen sachgerecht bearbeiten zu können?
Gegenstand der bei der Meldestelle eingehenden Hinweise können Straftaten sein oder Ordnungswidrigkeiten, Verstöße gegen Geldwäschevorschriften, datenschutzrechtliche Missstände, Umweltsünden, Unfallgefahren und vieles andere mehr. Denkbar sind auch böswillige Verleumdungen oder leichtfertige Anschuldigungen. In allen diesen Fällen ist neben der Prüfung und Behebung des gemeldeten Missstands erforderlich, den gemeldeten Vorfall rechtlich zutreffend zu bewerten, um bestehende rechtliche Risiken für das Unternehmen sowie für die betroffenen Personen rechtzeitig einzuschätzen. Der Betreiber der Meldestelle muss dafür sensibilisiert sein, frühzeitig fachkundige Rechtsexperten in die Fallbearbeitung einzubeziehen.
[ ] JA - Sind Sie sicher? Wenn ja, weiter mit Frage 11.)
[ ] NEIN - Bereits bei der Festlegung der Abläufe in der Meldestelle zur Bearbeitung eingehender Hinweise sollte definiert werden, wann und wie anwaltliche Expertise hinzugezogen wird. Dann weiter mit Frage 11.)
11.) Habe ich sonst noch Fragen im Zusammenhang mit der Einführung sowie mit dem Betrieb der Meldestelle?
Das Inkrafttreten des Hinweisgeberschutzgesetzes wirft eine Vielzahl von neuen, bislang unbeantworteten Rechtsfragen auf. Das betrifft insbesondere Fragen des Arbeitsrechts einschließlich des Kündigungsschutzrechts sowie des Datenschutzrechts, […]
[ ] NEIN - Sicher? Bitte nochmal zurück zu Frage 11.) und kritisch hinterfragen.
[ ] JA - Dann rufe ich sofort bei der Aderhold Rechtsanwaltsgesellschaft mbH in Leipzig an und vereinbare einen Beratungstermin mit den Herren Dirk H. Laskawy und Friedrich Vosberg:
(+49) 0341 44924-300