Das Gesetz soll Whistleblower ermutigen, Missstände und Gesetzesverstöße im beruflichen Umfeld zu melden, ohne deshalb Nachteile fürchten zu müssen. Neben aktuellen Arbeitnehmenden und Azubis können auch Bewerber:innen oder frühere Angestellte, FSJler:innen, Solo-Selbstständige, die Geschäftsführungsebene, Aufsichtsratsmitglieder, Beamte, Soldat:innen, Richter:innen, Kund:innen, Dienstleistende, Lieferant:innen etc. melden. Auch wer Hinweisgeber:innen unterstützt oder mit ihnen in Verbindung steht (z.B. Ehepartner:innen), wird geschützt.
Hinweisgebende sollen sich dabei zunächst nach Möglichkeit an eine interne Meldestelle wenden – diese müssen Unternehmen mit mehr als 250 Beschäftigten möglichst direkt ab 2. Juli 2023 einrichten; kleinere Unternehmen mit 50 bis 249 Angestellten haben noch eine Schonfrist bis 17. Dezember 2023. Aber keine Panik: Wer den internen Meldeweg nicht rechtzeitig einrichtet, darf erst ab dem 2. Dezember 2023 mit Bußgeldern belegt werden; und außerdem kann die interne Meldestelle auch an einen Dritten, z.B. Ihren externen Datenschutzbeauftragten ausgelagert werden.
Bei den internen Meldestellen müssen sowohl schriftliche als auch (fern-)mündliche, und auf Wunsch auch persönliche Meldungen entgegengenommen werden. Egal wie gemeldet wird, ist immer die Vertraulichkeit des/der Hinweisgebenden, aber auch die der Personen, die Gegenstand der Meldung sind sowie der sonstigen in der Meldung erwähnten Personen zu wahren. Die interne Meldestelle kann ein Mitarbeiter direkt im Unternehmen sein, allerdings müssen hierbei Interessenkonflikte ausgeschlossen werden können. Da außerdem viele Meldungen zwangsläufig personenbezogene Daten (z.B. den Namen der beschuldigten
Person) enthalten, ist auch die DSGVO inkl. der relevanten Löschfristen etc. zu beachten – zwei weitere Gründe, warum die Auslagerung an ihren externen Datenschutzbeauftragten sinnvoll sein kann. Die Meldestelle muss dem Whistleblower dann innerhalb einer Woche den Eingang seiner Meldung schriftlich bestätigen, diese prüfen und angemessen auf sie reagieren und innerhalb von drei Monaten dem Whistleblower mitteilen, welche Maßnahmen infolge des Hinweises ergriffen wurden und warum. Konkretere Vorgaben gibt es dabei nicht. Alles soll hinreichend dokumentiert und in der Regel nach drei Jahren gelöscht werden.
Die Meldekanäle sollen sowohl für die eigenen Mitarbeitenden als auch für Auftragnehmer:innen, Kund:innen und Lieferant:innen zugänglich sein. Meldeformular (wie bei Datenpannen) von extern erreichbar. Eingegangene Meldungen müssen der hinweisgebenden Person innerhalb von 7 Tagen nach Eingang bestätigt werden. Sofortige Bestätigung der Meldung nach Absenden des Onlineformulars inkl. Protokollierung. Eine Rückmeldung über geplante oder bereits ergriffene Folgemaßnahmen an die hinweisgebende Person hat innerhalb von 3 Monaten zu erfolgen. Erinnerungsfunktion an Meldebeauftragten zur Abgabe der Rückmeldung nach 1,2, 3 Monaten - 1Tag (analog zum Modul: Datenschutz- und Sicherheitsvorfälle)
Arbeitgebende stellen für Beschäftigte klare und leicht zugängliche Informationen über die Nutzung desinternen Meldeverfahrens bereit. Frei konfigurierbare Texte werden über URL angezeigt mit Vorlagedokument zur Einrichtung. Die Identität der hinweisgebenden Person und Dritter, die in der Meldung erwähnt werden, müssen gewahrt bleiben. Verschlüsselung der Meldung und Dateien, Zugriffsbeschränkung mit eigener Berechtigungsgruppe, Anonymität möglich. Trennung von Systemadministrator (kann das System konfigurieren) und Fallbearbeiter (kann Fälle einsehen) möglich. Die Verarbeitung personenbezogener Daten muss im Einklang mit der DSGVO erfolgen. Personenbezogene Daten, die für die Bearbeitung einer spezifischen Meldung offensichtlich nicht relevant sind, werden nicht erhoben bzw. unverzüglich wieder gelöscht, falls sie unbeabsichtigt erhoben wurden. Möglichkeit zur Bearbeitung und Löschung nach 4-Augenprinzip.
Hinweisgebersystem mit eigenen Berechtigungen
- Anonym (keine IPs im Logfile)
- E-Mail nur wenn nicht anonym / Nachrichten mit Login
- 2 Sprachig DE, EN
- Zu jedem Hinweis kann auch eine Nachricht an den Hinweisgeber gesendet werden.
- Nachricht – wie Bemerkungen können ergänzt werden und werden im Verlauf angezeigt. Wann, von wem, was?
- Dateien können hochgeladen werden – per Ende-zu-Ende Verschlüsselung, damit auch Admins auf dem Server diese nicht einsehen können.
- Mündliche Meldung telefonisch an uns als externe Vertrauensperson möglich.
- seit 2023 verfügbar
Das Gesetz soll Menschen ermutigen, Missstände oder Verstöße im Job zu melden, ohne Angst vor Nachteilen haben zu müssen. Nicht nur Mitarbeitende, sondern auch Bewerber:innen, ehemalige Angestellte, Praktikant:innen, Solo-Selbstständige, Geschäftsführende, Aufsichtsratsmitglieder, Beamte, Soldat:innen, Richter:innen, Kund:innen, Dienstleistende, Lieferant:innen und auch Personen, die Hinweisgeber:innen unterstützen (z.B. Ehepartner:innen), sind geschützt.
Hinweisgebende Personen sollten zuerst eine interne Stelle im Unternehmen informieren. Unternehmen mit mehr als 250 Mitarbeitenden müssen diese Stelle ab dem 2. Juli 2023 einrichten. Kleinere Unternehmen (50 bis 249 Mitarbeitende) haben dafür Zeit bis zum 17. Dezember 2023. Wenn Unternehmen die interne Meldestelle nicht rechtzeitig einrichten, können sie erst ab dem 2. Dezember 2023 eine Geldstrafe bekommen. Die interne Meldestelle kann auch an eine andere Person oder Firma (z.B. einen externen Datenschutzbeauftragten) übergeben werden.
Die interne Meldestelle muss schriftliche und mündliche Meldungen (auch telefonisch) entgegennehmen und auf Wunsch auch persönliche Meldungen annehmen. Die Vertraulichkeit der hinweisgebenden Person und der Personen, die in der Meldung genannt werden, muss immer geschützt werden. Die interne Meldestelle kann ein Mitarbeiter im Unternehmen sein, aber es dürfen keine Interessenkonflikte bestehen. Auch müssen die Datenschutzbestimmungen beachtet werden, vor allem die DSGVO (Datenschutz-Grundverordnung).
Die interne Meldestelle muss dem Hinweisgeber innerhalb von einer Woche bestätigen, dass die Meldung eingegangen ist, sie prüfen und darauf reagieren. Innerhalb von drei Monaten muss dem Hinweisgeber mitgeteilt werden, welche Maßnahmen ergriffen wurden und warum. Alle Schritte müssen gut dokumentiert werden und nach drei Jahren gelöscht werden.
Die Meldestelle muss für Mitarbeitende, Auftragnehmer:innen, Kund:innen und Lieferant:innen zugänglich sein. Es muss ein Formular geben, über das Meldungen auch von außen gemacht werden können. Eingegangene Meldungen müssen innerhalb von 7 Tagen bestätigt werden. Eine Rückmeldung über die ergriffenen Maßnahmen muss innerhalb von 3 Monaten an die hinweisgebende Person gesendet werden.
Arbeitgebende müssen ihren Mitarbeitenden klare und leicht verständliche Informationen darüber geben, wie sie das interne Meldeverfahren nutzen können. Die Identität der hinweisgebenden Person muss geschützt bleiben. Es gibt Schutzmaßnahmen wie Verschlüsselung, Zugriffsbeschränkungen und Anonymität, um die Sicherheit der Daten zu gewährleisten. Alle personenbezogenen Daten müssen sicher und im Einklang mit der DSGVO behandelt werden. Wenn personenbezogene Daten nicht für die Bearbeitung einer Meldung benötigt werden, müssen sie gelöscht werden.
Das Hinweisgebersystem ermöglicht eine anonyme Meldung. Es können Nachrichten an den Hinweisgeber gesendet werden und Dateien hochgeladen werden, die sicher verschlüsselt sind. Mündliche Meldungen können auch telefonisch an eine externe Vertrauensperson gemacht werden. Das System ist seit 2023 verfügbar.
