Unsere Software-Lösung

Unsere Software-Lösung

Unsere Software-Lösung

Unsere Marke

Unsere Marke

Unsere Community

Unsere Marke

Unsere Marke

Am 2. Juli ist das HinSchG in Kraft getreten und zieht bei Verstößen hohe Bußgelder nach sich. Wer noch kein Hinweisgebersystem im Betrieb etabliert hat, sollte jetzt aktiv werden. Bieten Sie Ihren Beschäftigten die Möglichkeit, Verstöße oder Informationen diskret unter Wahrung ihrer Identität zu melden, ohne mit Konsequenzen oder Repressalien rechnen zu müssen.

Welche Betriebe müssen ein Hinweisgebersystem einrichten?

Seit dem 2. Juli 2023 sind Unternehmen mit mehr als 250 Mitarbeitern verpflichtet, ein Hinweisgeberschutzsystem in ihrem Unternehmen einsatzbereit zur Verfügung zu stellen. 

Für Unternehmen mit mehr als 50 und weniger als 250 Beschäftigten gibt es einen Aufschub und das HinSchG gilt erst ab dem 17. Dezember 2023. Betriebe dieser Größe können sich auch zusammenschließen und eine gemeinsame Meldestelle mit einem Hinweisgebersystem etablieren (§ 14 Abs. 2 HinSchG-E).

Wer weniger als 50 Beschäftigte hat, muss eine Meldestelle einrichten, sofern er diesem Arbeitsumfeld angehört: Wertpapierdienstleistungsunternehmen, Datenbereitstellungsdienste, Börsenträger, Kredit- und Wertpapierinstitute, Kapitalverwaltungsgesellschaften sowie Unternehmen des  Versicherungsaufsichtsgesetzes. 

Details finden sich im Entwurf unter § 12 (2) Punkt 1 bis 7. Die externe Meldestelle soll vom Bundesamt für Justiz eingerichtet werden und unabhängig vom sonstigen Zuständigkeitsbereich operieren.

Zum vollständige Bundesgesetzblatt

Welche Strafen erwarten Unternehmen, die das Hinweisgeberschutzgesetz nicht umsetzen?

Verstöße gegen das HinSchG gelten als Ordnungswidrigkeit und ziehen eine Geldstrafe nach sich. Wie hoch das Bußgeld ausfällt, hängt von der Art des Verstoßes ab. Unter Abschnitt 5 § 40 sind im Gesetz die Bußgeldvorschriften festgelegt und sehen Beträge von 10.000 bis 50.000 Euro vor.

Wer kein Hinweisgebersystem einrichtet, muss mit einer Strafe von bis zu 20.000 Euro rechnen – jedoch erst ab dem 1. Dezember 2023 (Absatz 2, Nummer 2).

Wer die Meldung oder Kommunikation absichtlich behindert oder zu Repressalien gegenüber dem Meldenden greift, kann mit einer Geldbuße von bis zu 50.000 Euro belegt werden (Absatz 2, Nummer 1 und 3). Der gleiche Betrag kann fällig werden, wenn die Vertraulichkeit vorsätzlich oder leichtfertig nicht bewahrt wird (Absatz 3).

Auch wer entgegen § 32 Absatz 2 eine unrichtige Information offenlegt oder durch Fahrlässigkeit das Vertraulichkeitsgebot missachtet, muss mit einer Geldstrafe rechnen, die laut Gesetz mit bis zu 10.000 Euro zu Buche schlägt.

Aufgepasst: Der Bußgeldrahmen bis 50.000 Euro gilt für die Verantwortlichen des Unternehmens. Unternehmen selbst hingegen (juristische Personen und Personenvereinigungen) können je nach Konstellation im Zusammenhang mit Verhinderung der Meldung oder Verstößen gegen das Vertraulichkeitsgebot mit Verweis auf § 30 Absatz 2 Satz 3 des OWiG (Gesetz über Ordnungswidrigkeiten) mit Bußgeldern in zehnfacher Höhe, also bis zu 500.000 Euro belegt werden.

Es ist noch nicht bekannt, ob bei Verstößen vorab schriftliche Abmahnungen versendet werden. Wie es nach dem Gesetzesentwurf aussieht, werden umgehend die entsprechenden Bußgelder fällig.

Was ist das Hinweisgeberschutzgesetz?

Das Hinweisgeberschutzgesetz (HinSchG) dient dem Schutz von Personen, die während der Ausübung ihres Berufes Informationen über Verstöße erlangen und diese an interne oder externe Meldestellen weitergeben. Die sogenannte Whistleblower Richtlinie soll EU-weit ein einheitliches Schutzsystem für die Hinweisgeber gewährleisten. Es geht dabei vor allem darum, dass keine beruflichen Nachteile für die hinweisgebenden Beschäftigten entstehen dürfen.

Die Meldungen von Verstößen sollen entweder an entsprechend verantwortliche interne Stellen oder an öffentliche, externe Meldestellen erfolgen.

Welche Daten müssen erfasst und verarbeitet werden?

Der wichtigste Faktor innerhalb der Meldestelle ist die Gewährleistung der Vertraulichkeit. Anonymen Meldungen muss laut Entwurf nicht nachgegangen werden, umso relevanter ist die Wahrung der Diskretion hinsichtlich der Daten des Hinweisgebers.

Bei einer Meldung werden der Name des Hinweisgebers und der betroffenen, bzw. beschuldigten Personen erfasst und entsprechend den Vorgaben verarbeitet. So muss der Vorfall schriftlich dokumentiert werden und dauerhaft abrufbar sein. Bei einer telefonisch erfolgten Meldung genügt ein Inhaltsprotokoll. Die Ablage einer Tonaufzeichnung oder des genauen Wortlautes des Gespräches muss vom Anrufer schriftlich genehmigt werden. Wenn eine Abschrift der Tonaufnahme erfolgt ist, muss selbige gelöscht werden.

Selbstverständlich können Ausnahmen von der Wahrung der Vertraulichkeit gemacht werden, wenn dies auf Wunsch des Hinweisgebers geschieht. Diese Einwilligung muss schriftlich geschehen und gespeichert werden. Hier würde auch eine entsprechende E-Mail genügen.

Die Aufbewahrungspflicht sieht vor, dass die Daten erst zwei Jahre nach Abschluss des Verfahrens gelöscht werden dürfen.

Gelten für die Daten in einem Hinweisgebersystem besondere Vorkehrungen?

Da es sich bei den gesammelten Informationen um äußerst sensible Daten mit hoher Brisanz für Personen und Unternehmen handelt, greift nach DSGVO Art. 32 der Einsatz erhöhter Anforderungen an die technischen und organisatorischen Maßnahmen. Neben einem Berechtigungskonzept, einer Passwortrichtlinie ist eine hohe Verschlüsselung oder Anonymisierung der Daten erforderlich. Es sollte also möglichst frühzeitig der Datenschutzbeauftragte in eine Ermittlung einbezogen werden.

Es muss an alle nötigen Auftragsdatenverarbeitungsverträge gedacht werden, von Hosting-Unternehmen bis zu externen Anbietern, auch die besonderen Anforderungen bei cloudbasierten Systemen hinsichtlich des Datentransfers in Drittländer müssen Beachtung finden.

Die Weitergabe der personenbezogenen Daten und Inhalte aus einer Meldung ist selbstverständlich nicht gestattet, Ausnahmen bilden mögliche Einsichten in Akten, wenn es zu einem Strafprozess kommen sollte. Ist es zur Nachverfolgung einer Straftat notwendig, Daten der beschuldigten Person an Dritte weiterzugeben, so ist dies nach Art. 6 Abs. 1 lit. f DS-GVO in Verbindung mit § 24 Abs. 1 Nr. 1 BDSG gestattet.

Welche Meldungen fallen unter das Hinweisgeberschutzgesetz?

Der Kollege klaut immer den letzten Rest Milch oder Chef kommt zu spät zur Arbeit? Das sind keine Vorfälle, die unter das Hinweisgeberschutzgesetz fallen. Hier geht es um gravierende Verstöße, die laut Gesetzentwurf wie folgt definiert werden:

• Verstöße, die strafbewehrt sind
• Verstöße, die bußgeldbewehrt sind „soweit die verletzte Vorschrift dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient“
• Verstöße gegen Rechtsvorschriften des Bundes und der Länder sowie unmittelbar geltende Rechtsakte der Europäischen Union und der Europäischen Atomgemeinschaft, die im Entwurf unter § 2 (1) 3. detailliert nach Gebieten aufgelistet werden und zum Beispiel Umweltschutz, Luft- und Straßenverkehrssicherheit oder Lebensmittelsicherheit beinhalten.

Nach Verabschiedung des Gesetzes werden wir alle dort verankerten Verstöße für euch zusammenfassen.

Welche Vorteile entstehen für Unternehmen durch die Einrichtung eines Hinweisgeberschutzssystems?

Die Vorteile eines internen Hinweisgeberschutzssystems wurden von der Wirtschaftsprüfungsgesellschaft pwc treffend zusammengefasst:

• Blinde Flecken erkennen: Mit einem Hinweisgebersystem lassen sich Missstände aufdecken, die ansonsten möglicherweise unentdeckt geblieben wären.
• Prozesse optimieren: Unternehmen können Schwachstellen und Fehler identifizieren und beseitigen.
• Finanzielle Schäden vermeiden: Mit einem Hinweisgebersystem lassen sich Strafzahlungen oder Gerichtskosten sowie Aktienkurs- oder Verkaufseinbußen verhindern oder verringern.
• Reputationsschäden verhindern: Dank Hinweisgebersystemen können Unternehmen negative Meldungen in der Presse und sozialen Medien vermeiden.
• Betrüger abschrecken: Hinweisgebersysteme helfen, Betrugsfälle zu verhindern.
• Vertrauen aufbauen: Ein Hinweisgebersystem stärkt die Integrität des Unternehmens und damit das Vertrauen der Mitarbeiter und weiterer Stakeholder.

Was passiert, wenn nach der Meldung eines Verstoßes Benachteiligungen im Job die Folge sind?

Hat ein Arbeitnehmer nach der Meldung eines Verstoßes den Eindruck, dass Druck auf ihn ausgeübt oder Vergeltungsmaßnahmen ergriffen werden, gilt die sogenannte Vermutungswirkung, dass es sich um eine Repressalie handelt und der Arbeitgeber muss beweisen, dass die ergriffenen Maßnahmen aus berechtigten Gründen erfolgt sind und nicht in Zusammenhang mit der Verstoßmeldung stehen.

Wann tritt das Hinweisgeberschutzgesetz in Kraft?

Nachdem das Hinweisgeberschutzgesetz als Adaption der EU-Whistleblower-Richtlinie am 11. Mai vom Deutschen Bundestag und am 12. Mai vom Bundesrat verabschiedet wurde, steht dem Inkrafttreten am 2. Juli 2023 nichts mehr im Weg.

Doch der Weg bsi zu diesem Schritt war lang: Die Hinweisgeber-Richtlinie der EU (2019/1937) sollte bereits bis zum 17.12.2021 EU-weit in nationales Recht umgesetzt werden. Da die Umsetzung jedoch in 24 Mitgliedsstaaten entweder gar nicht oder nur unvollständig erfolgte, wurde im Januar 2022 ein Aufforderungsschreiben an die 24 Regierungen gesendet. In Deutschland wurde im Juli dann ein Regierungsentwurf der Hinweisgeberrichtlinie veröffentlicht und im September wurde über selbigen beraten. Am 10. Februar 2023 hat der Bundesrat keine Zustimmung zum Gesetzesentwurf des Hinweisgeberschutzgesetzes gegeben. Mitte März 2023 wiederum wurde der neue Ansatz zur Umsetzung der EU-Whistleblower-Richtlinie vom Deutschen Bundestag angenommen und folgend im Rechtsausschuss besprochen. Die für den 30. März geplanten 2. und 3. Lesung im Bundestag wurde von der Tagesordnung genommen – auf Entschluss der Bundesregierung wurde dann ein Vermittlungsausschuss einberufen.

Quellen
pwc.de

Auch bei aller Vorsicht kann es passieren, dass zu schützende Daten in die falschen Hände gelangen oder bei der Verarbeitung personenbezogener Daten ein Fehler unterlaufen ist. Wichtig ist hier, einen kühlen Kopf zu bewahren und sich an einem idealerweise vorliegenden Reaktionsplan zu halten.

Meldepflicht bei Datenschutzpannen

Wenn es zu einem Verlust oder einer unerlaubten Verwendung personenbezogener Daten kommt, muss gemäß Artikel 33 der DSGVO innerhalb von 72 Stunden eine Meldung an die zuständige Behörde erfolgen. Wird die Frist nicht eingehalten, muss dieses Versäumnis später zusammen mit der Meldung begründet werden. 

Eine Meldung ist nur dann nicht erforderlich, wenn „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“

Das LfD Niedersachsen hat einige Beispiele aufgeführt, bei denen keine Meldung erfolgen muss:

• Unbefugte haben Zugang zu personenbezogenen Daten erhalten oder sich verschafft, die aber verschlüsselt sind: Eine Verletzung der Vertraulichkeit von (nach dem Stand der Technik) verschlüsselten Daten, die mit einer bisher nicht „geknackten“ Methode verschlüsselt wurden, birgt ein sehr geringes Risiko für die Rechte und Freiheiten der betroffenen Personen. Die Daten sind nämlich für Dritte faktisch nicht lesbar. Hier ist jedoch zu bedenken, ob es auch zu einer Verletzung der Verfügbarkeit gekommen ist: Wenn die Daten etwa gestohlen wurden und daher nun für den Verantwortlichen verloren sind, kann auch bei verschlüsselten Daten ein zu meldender Datenschutzverstoß vorliegen. Hier kommt es dann auf die Art der verlorenen Daten an: die verlorene Geburtstagliste der Abteilung dürfte nur ein geringes Risiko darstellen (keine Meldepflicht), der Verlust sämtlicher Kundenkontaktdaten jedoch wenigstens ein mittleres (Meldepflicht).
• Verlust eines verschlüsselten USB-Sticks oder Smartphones: Siehe bereits vorheriges Beispiel. Sollte allerdings lediglich ein einfacher Zugriffschutz aktiviert sein, der in der Vergangenheit bereits überwunden wurde, liegt eher ein mittleres Risiko vor.
• Fehlversandter Brief kam ungeöffnet zurück: Wenn verschlossene Briefe – egal ob mit der Hauspost oder einem Postdienstleister versandt – ungeöffnet zurückkommen, weil sie den falschen Empfänger erreicht haben und dieser sie hat zurückgehen lassen, besteht in der Regel ein nur geringes Risiko für die betroffene Person.
• Brief mit falscher Anlage: Wenn aus der Anlage lediglich Namen und Daten zu z. B. gebuchten Hotelzimmern (einschließlich Zeiträumen) hervorgehen, ist das Risiko eher gering. Anders zu beurteilen ist der Fall, wenn der Brief bzw. die Anlage die vollständigen Anschriften oder gar Bankverbindungen der betroffenen Personen enthält – dann ist nicht von einem nur geringen Risiko auszugehen und die Meldepflicht besteht.

Wenn Daten wie Bankverbindungen oder sensible Krankenakten an unbefugte Dritte weitergegeben wurden, besteht auf jeden Fall eine Meldepflicht.

Die Meldepflicht bei Datenschutzpannen soll sicherstellen, dass Verantwortliche für die Verarbeitung personenbezogener Daten geeignete Maßnahmen ergreifen, um Datenschutzverletzungen zu verhindern und die Auswirkungen von Datenschutzverletzungen zu minimieren. Darüber hinaus sollen betroffene Personen schnellstmöglich informiert werden, damit sie geeignete Maßnahmen ergreifen können, um sich vor möglichen Schäden zu schützen.

Die einzelnen Schritte des Reaktionsplans

Umgehende Kenntnis über eine vorliegende Datenpanne

Wer im Unternehmen Kenntnis von einer Datenschutzpanne erlangt oder diese verursacht, muss den Umstand umgehend an den Verantwortlichen und den Datenschutzbeauftragten melden. So soll sichergestellt werden, dass eine mögliche Meldung der Panne innerhalb der vorgeschriebenen 72 Stunden erfolgen kann.

Die Bewertung der Datenpanne

Gemeinsam mit dem Verantwortlichen untersucht der Datenschutzbeauftragte die gemeldete Panne und stellt eine Bewertung zusammen. Bei der Ermittlung des Risikos sind zum Beispiel die Kategorien der betroffenen Daten oder die Art der Verletzung von Relevanz.

Ergreifung von Gegenmaßnahmen

Die Ergreifung geeigneter Gegenmaßnahmen erfolgt direkt aus der Bewertung der Datenpanne von DSB und Verantwortlichem. Die ergriffenen Maßnahmen sollen den entstandenen Schaden effektiv reduzieren und eine Ausweitung verhindern.

Entscheidung über die Notwendigkeit der Meldung an die Behörde

Die durch Bewertung und Gegenmaßnahmen erlangten Erkenntnisse führen zu der Entscheidung, ob eine Meldung an die zuständige Datenschutzbehörde vonnöten ist oder darauf verzichtet werden kann. An dieser Stelle sollte auch die Geschäftsführung des Unternehmens eingebunden werden. Sofern die Panne meldepflichtig ist, erfolgt die Meldung umgehend und in vorgegebenen Rahmen an die Behörde und / oder die Betroffenen.

Meldung der Datenschutzpanne

Um den Verantwortlichen die Meldung einer Datenschutzpanne zu erleichtern, bieten zahlreiche Behörden die Möglichkeit einer Online-Meldung. Auch wenn der Verantwortliche die Meldung abgeben muss, sollte dies immer in Rücksprache mit dem Datenschutzbeauftragten geschehen.

Die nötigen Angaben bei der offiziellen Meldung einer Datenschutzpanne

Wer eine Datenpanne online meldet, sollte folgende Informationen parat halten, um eine schnelle Abwicklung zu gewährleisten.

• Wer erstattet Meldung?
• Was ist passiert?
• Beschreibung der Datenpanne
• Welche Datenarten sind betroffen?
• Wie viele Personen sind betroffen?
• Risikoeinschätzung

Wer Interesse hat, kann sich unter folgenden Links die Fragebögen der Bundesländer anschauen

Baden-Württemberg

Bayern

Berlin

Brandenburg

Bremen

Hamburg

Hessen

Mecklenburg-Vorpommern

Niedersachsen

NRW

Rheinland-Pfalz

Saarland

Sachsen

Sachsen-Anhalt

Schleswig-Holstein

Thüringen

Quellen:

LfD Niedersachen

Die eigene Webseite soll vor allem eines: Kunden und Gäste informieren und vom eigenen Betrieb überzeugen. Doch gibt es einige Aspekte beim Handling der Internetseite zu beachten, um nicht Empfänger eines Mahnschreibens zu werden. In diesem Beitrag werden die Abmahnrisiken erläutert und im kostenlosen Klickberater kann die eigene Webseite in wenigen Minuten überprüft werden.

Täglich werden hunderte Mahnschreiben von Anwälten versendet, die Betreiber von Internetseiten über die Mängel selbiger aufklären und ein Bußgeld fordern. Auch wenn es ein paar schwarze Schafe gibt, die hier das schnelle Geld wittern, so besteht doch stets akuter Handlungsbedarf.

Wir helfen Ihnen, die Abmahnrisiken deiner Webseite zu prüfen und erstellen Ihnen einen kostenlosen Webseiten-Scan mit Maßnahmenplan.