Kategorie: Allgemein

Hinweisgeberschutzgesetz

Hinweisgeberschutzgesetz

Mit dem neuen Hinweisgeberschutzgesetz (HinSchG) gibt es nun die gesetzliche Pflicht zum Einrichten einer internen Meldestelle für Unternehmen mit über 50 Beschäftigten. Bereits ab dem 02.07.2023 müssen Unternehmen mit 250 oder mehr Beschäftigten die gesetzlich erforderlichen „internen Meldestellen“ und die damit zusammenhängenden Meldekanäle eingerichtet haben. Verstöße gegen die wesentlichen Vorgaben des HinSchG können als Ordnungswidrigkeiten mit einer Geldbuße geahndet werden können.

 

Benötigen Sie noch eine Lösung für Ihr Unternehmen, dann kommen Sie gern auf mich zu. Unter Ihre interne Meldestelle finden Sie weitere Informationen zu meinem Angebot.

 

Ziel des Hinweisgeberschutzgesetzes

Das Hinweisgeberschutzgesetz zielt darauf ab, den bisher unzureichenden Schutz von Hinweisgebern zu verbessern und die EU-Whistleblower-Richtlinie (Richtlinie (EU) 2019/1937) in nationales Recht umzusetzen. Es soll sowohl den Schutz von Hinweisgebern als auch von Personen, die von einer Meldung betroffen sind, stärken und sicherstellen, dass ihnen keine Nachteile gemäß den Bestimmungen dieses Gesetzes drohen.
Bisher gab es in Deutschland kein umfassendes und einheitliches System zum Schutz von Hinweisgebern. In der Vergangenheit wurden Hinweisgeber daher immer wieder benachteiligt.
Zu melden sind künftig zum Beispiel Verstöße gegen Strafvorschriften und bußgeldbewährte Verstöße gegen den Arbeitsschutz, Gesundheitsschutz, das Mindestlohngesetz oder Vorgaben des Arbeitnehmerüberlassungsgesetzes.

 

Meldestellen

Nach § 12 HinSchG haben Unternehmen dafür zu sorgen, dass bei ihnen mindestens eine Stelle für interne Meldungen eingerichtet ist und betrieben wird, an die sich Beschäftigte wenden können (interne Meldestelle).

 

interen und externe Meldestellen

Hinweisgeber haben dabei die Möglichkeit, sich entweder an eine "interne Meldestelle" im Unternehmen oder an eine "externe Meldestelle" bei den Behörden zu wenden. Gemäß § 16 des Hinweisgeberschutzgesetzes müssen die Meldekanäle so gestaltet sein, dass nur die dafür zuständigen Personen und diejenigen, die bei der Bearbeitung der Meldungen unterstützen, Zugriff auf die eingehenden Meldungen haben. Unberechtigte Personen dürfen daher keinen Zugriff auf die Identität des Hinweisgebers oder den Inhalt des Hinweises erhalten.
Interne Meldekanäle müssen es zudem ermöglichen, Meldungen sowohl mündlich als auch schriftlich abzugeben. Mündliche Meldungen können telefonisch oder über andere sprachbasierte Kommunikationsmittel erfolgen. Auf Anfrage des Hinweisgebers muss innerhalb angemessener Zeit ein persönliches Treffen mit einer für die Entgegennahme der Meldung zuständigen Person der internen Meldestelle ermöglicht werden.

Unabhängige Tätigkeit; notwendige Fachkunde

Gemäß § 15 des Hinweisgeberschutzgesetzes müssen die Personen, die mit den Aufgaben einer internen Meldestelle betraut sind, unabhängig bei der Ausübung ihrer Tätigkeit sein. Sie dürfen neben ihrer Tätigkeit für die interne Meldestelle auch andere Aufgaben und Pflichten haben. Es muss jedoch sichergestellt werden, dass solche Aufgaben und Pflichten keine Interessenkonflikte verursachen.
Darüber hinaus ist das Unternehmen verpflichtet, sicherzustellen, dass die mit den Aufgaben einer internen Meldestelle betrauten Personen über die erforderliche Fachkompetenz verfügen.

 

Zeitplan für die Umsetzung

  • weniger als 50 Mitarbeitende: keine Verpflichtung für interne Meldestelle
  • zwischen 50 und 249 Mitarbeitenden: eine interne Meldestelle ab 17.12.2023
  • mehr als 250 Mitarbeitende: eine interne Meldestelle ab 02.07.2023

 

Hinweisgeberschutzgesetz und der Datenschutz

Das neue Gesetz bringt auch Berührungspunkte mit dem Datenschutz mit sich:

  • Nach § 2 Abs. 1 Nr. p) HinSchG müssen künftig auch Verstöße gegen den Datenschutz gemeldet werden.
  • Nach § 10 HinSchG sind die Meldestellen befugt, personenbezogene Daten und sogar besondere Kategorien von Daten zu verarbeiten, soweit dies zur Erfüllung ihrer in den §§ 13 und 24 HinSchG bezeichneten Aufgaben erforderlich ist.
  • Bei der Geltendmachung von Auskünften nach Art. 15 DSGVO sind ggfls. Informationen wie die Identität einer hinweisgebenden Person geheim zu halten.
  • Da nach Auffassung der DSK die Meldung von Missständen ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt, bedarf es im Einzelfall einer Datenschutz-Folgenabschätzung (DSFA).

Rechtsanwalt Robert Harzewski

Geschäftsführer haften persönlich

Geschäftsführer haften persönlich!

Der Geschäftsführer einer GmbH kann neben der Gesellschaft “Verantwortlicher” im Sinne der DSGVO sein. Dies hat das OLG Dresden mit Urteil vom 30.11.2021, Az.: 4 U 1158/21, entschieden.

Sollte sich diese Rechtsauffassung durchsetzen, dann müssen Geschäftsführer künftig damit rechnen, bei Datenschutzverstößen in Anspruch genommen zu werden. Geschäftsführer haften dann persönlich.

Als „Verantwortlicher“ wird grundsätzlich die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle verstanden, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Die Frage ist also, ob man für die Verarbeitung zuständig ist. Diese Entscheidungszuständigkeit kann sich ergeben durch:

  • eine ausdrücklich gesetzlich zugewiesene Zuständigkeit (z.B. Verpflichtung, bestimmte Daten vorzuhalten oder bereitzustellen).
  • eine implizierte Zuständigkeit, abgeleitet aus traditionell bestehenden Rollen oder aus der Rechtspraxis (z.B. Arbeitgeber in Bezug auf Daten seiner Mitarbeiter).
  • den tatsächlichen Einfluss

In der Vergangenheit wurden Abgrenzungsfragen vor allem in Hinblick auf die Gemeinsame Verantwortlichkeit gestellt. In diesem Zusammenhang hatte der EuGH bereits eine Verantwortlichkeit angenommen, selbst wenn ein Akteur gar keinen Zugang zu den betreffenden Daten hatte (Urteil des EuGH vom 10.07.2018, Az: C-25/17).

Nach dem Urteil des OLG Dresden bleibt leider offen, welcher konkrete Tatbeitrag eines Geschäftsführers für eine persönliche Haftung erforderlich ist. Im Fall hatte der Geschäftsführer einen Datenschutzverstoß selbst veranlasst. Demgegenüber grenzt das Gericht die Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter ein. Bei diesen entfalle in aller Regel die Verantwortlichkeit.

In jedem Fall ist es ratsam, das ohnehin schon bestehende Haftungsrisiko, mit einem Datenschutzmanagementsystem, zu minimieren. So kann der Verantwortliche ein betriebliches Organisationsverschulden vermeiden. Sowohl bei dem zivilrechtlichen Schadensersatzanspruch, als auch bei der Bescheidung von Bußgeldern gilt das Verschuldensprinzip. Ohne Verschulden kann es keine Strafe geben. Daher ist ein Verschulden in der Praxis möglichst auszuschließen bzw. zumindest stark zu minimieren. Dadurch gelingt der Nachweis, dass der Verantwortliche alles getan hat, um das Entstehen eines Schadens zu verhindern.

 

Update vom 24.10.2022

Nun hat auch das OLG Nürnberg eine persönliche Haftung der Geschäftsführung einer GmbH gemäß § 43 Abs. 2 GmbHG angenommen, wenn keine oder unzureichende Compliance-Maßnahmen getroffen werden (OLG Nürnberg, Endurteil v. 30.03.2022 – 12 U 1520/19). Das Gericht stellte dabei vor allem fest, dass eine gelegentliche Prüfung nicht ausreicht.

Zu den Kernaussagen:

Nach Auffassung des Gerichts sind Geschäftsführer verpflichtet, ein Compliance Management System einzurichten. Es bedarf also organisatorische Vorkehrungen, welche die Begehung von Rechtsverstößen durch die Gesellschaft oder deren Mitarbeiter verhindern. Dabei ist der Geschäftsführer nicht nur verpflichtet, den Geschäftsgang so zu überwachen oder überwachen zu lassen, dass er unter normalen Umständen mit einer ordnungsgemäßen Erledigung der Geschäfte rechnen kann; er muss vielmehr weitergehend sofort eingreifen, wenn sich Anhaltspunkte für ein Fehlverhalten zeigen.
Eine Pflichtverletzung liegt jedoch schon dann vor, wenn durch unzureichende Organisation, Anleitung bzw. Kontrolle Mitarbeitern der Gesellschaft Straftaten oder sonstige Fehlhandlungen ermöglicht oder auch nur erleichtert werden. Diesbezüglichen Verdachtsmomenten muss der Geschäftsführer unverzüglich nachgehen. Zur Überwachungspflicht gehört außerdem eine hinreichende Kontrolle, die nicht erst dann einsetzen darf, wenn Missstände entdeckt worden sind. Ihre Intensität darf sich je nach Gefahrgeneigtheit der Arbeit und Gewicht der zu beachtenden Vorschriften nicht in gelegentlichen Überprüfungen erschöpfen. Über diese allgemeine Kontrolle hinaus muss der Geschäftsführer die Aufsicht so führen, dass Unregelmäßigkeiten auch ohne ständige unmittelbare Überwachung grundsätzlich unterbleiben. Danach sind stichprobenartige, überraschende Prüfungen erforderlich und regelmäßig auch ausreichend, sofern sie den Unternehmensangehörigen vor Augen halten, dass Verstöße entdeckt und geahndet werden können
Delegiert der Geschäftsführer seine Überwachungsaufgabe, reduziert sich die effektive Überwachungspflicht des Geschäftsführers auf die ihm unmittelbar unterstellten Mitarbeiter und deren Führungs- und Überwachungsverhalten ("Überwachung der Überwacher"). Man spricht insoweit von einer Meta-Überwachung.

 

Rechtsanwalt Robert Harzewski

Testbeitrag

Allgmeiner Test