Datenschutz Pöllinger GmbH
Dresdner Straße 38
92318 Neumarkt
Fragen / Support
Telefon: 09181/2705770
E-Mail: kontakt@datenschutz-poellinger.de
Unternehmensleitungen haften persönlich für Rechtsverletzungen in Ihrem Unternehmen und müssen dafür Sorge tragen, dass das Unternehmen entsprechend so organisiert ist, dass Rechtsverletzungen im Unternehmen gar nicht erst entstehen und kein Schaden zum Tragen kommt. Hinweisgebersysteme tragen dazu bei, Rechtsverletzungen frühzeitig zu erkennen um vorausschauend mögliche Folgeschäden zu vermeiden. Aufgrund der Schadensvermeidungspflicht sollte also eine Unternehmensleitung möglichst alle Möglichkeiten zulassen, um überhaupt Kenntnis von Missständen zu erlangen. Dazu gehören insbesondere digitale Hinweisgebersysteme, die auch anonyme Meldungen zulassen.
Unternehmen sind gut beraten, wenn Sie ein System zur Entgegennahme von Hinweisen auch mit anonymer Meldemöglichkeit in Ihrem Unternehmen integrieren. Das Gesetz sieht die Einrichtung eines Hinweisgebersystems ab 50 Mitarbeitern vor und spricht zwar in seiner aktuell geänderten Version lediglich davon, dass Unternehmen anonyme Hinweise annehmen und bearbeiten „sollen", diese Formulierung sollte aber in eigenem Interesse der Unternehmensleitung (Geschäftsführer, Vorstand) als eine Verpflichtung gesehen werden.
Eine anonyme Meldung kann allerdings nur mit einem digitalen System praktisch und vernünftig umgesetzt werden. Auch kleinere Unternehmen können von einem solchen System beachtlich profitieren.
Entscheidet sich ein Unternehmen, einem anonymen Hinweis auf einen Gesetzesverstoß nicht näher nachzugehen, so entsteht diesbezüglich zwar kein direktes Bußgeld, jedoch haftet die Geschäftsführung persönlich für auftretende Folgen eines Gesetzesverstoßes, der bei Nachgang der anonymen Meldung im Vorfeld entdeckt worden wäre und eigentlich hätte vermieden werden können.
Zudem enthalten anonyme Meldungen erfahrungsgemäß vor allem relevante Meldungen über Fälle von Wirtschaftskriminalität. Um entsprechende Meldungen zu erhalten und das Haftungsrisiko diesbezüglich zu reduzieren, sollten Unternehmen auch aus diesem Grund den Weg anonymer Meldungen zulassen.
Unternehmen, die keine anonymen Meldungen entgegennehmen und bearbeiten möchten, haben unter Umständen schlimmeres zu befürchten. Denn sollte sich ein Hinweisgeber aufgrund des persönlichen Risikos gegen eine vertrauliche Meldung über den unternehmensinternen Meldekanal entscheiden, hat er alternativ die Möglichkeit, seine Meldung bei der zentralen, externen Meldestelle beim Bundesamt für Justiz (BfJ) oder bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) bzw. beim Bundeskartellamt abzugeben. Der Hinweisgeber kann die gewählte externe Meldestelle anweisen, seine Identität gegenüber dem Unternehmen nicht offen zu legen. So erhält das Unternehmen auf diesem Weg doch eine anonyme Meldung und hat diese Behörde und im schlimmsten Fall die Staatsanwaltschaft sofort im Unternehmen.
Die Identität der in der Meldung genannten Personen sind absolut vertraulich zu behandeln. Dies ist nur möglich, wenn nur die für die Meldestelle verantwortlichen Personen Zugriff auf den Inhalt der Meldungen haben.
Das HinSchG verlangt auch, dass die Meldungen mit allen Arbeitsschritten jederzeit abrufbar (d.h. digital) dokumentiert und mindestens drei Jahre aufbewahrt werden. Auch während dieser Zeit darf nur die Meldestelle, also ein sehr kleiner Personenkreis (zwei oder drei Personen), Zugriff auf die Dokumentation haben. Die geforderte Vertraulichkeit bei der Bearbeitung, Dokumentation und Aufbewahrung von Meldungen kann mit E-Mail-Lösungen (oder einer Mailbox) nicht gewährleistet werden. Durch die interne IT, lokale Server oder Cloud-Server der Organisation haben zu viele Personen Zugriff auf die vertraulichen Informationen. Hier besteht das Risiko eines Bußgeldes nach DSGVO, da personenbezogene Daten nicht gemäß HinSchG aufbewahrt werden. Die Bußgelder nach DSGVO sind um ein Vielfaches höher als die Bußgelder nach HinSchG, in der Regel 5% des Konzernumsatzes.
Nur digitale Lösungen erfüllen die Anforderungen an die Vertraulichkeit während des gesamten Prozesses von der Entgegennahme über die Bearbeitung bis hin zur Dokumentation und Aufbewahrung der Meldungen.
Digitale Lösungen bieten neben Wahrung der bereits genannten "Vertraulichkeit" im Gegensatz zu internen E-Mail- oder SharePoint-Lösungen auch den revisionssicheren Nachweis, dass nur berechtigte Personen Zugriff auf die Inhalte der Meldungen hatten.