top of page

Hinweisgeberschutzgesetz: Die Uhr tickt und E-Mail ist NICHT die Lösung

Aktualisiert: 23. Nov. 2023

Die Zeit drängt! Bis 17.12.2023 haben KMU zwischen 50 und 249 Mitarbeitern noch Zeit, das Gesetz umzusetzen, danach drohen Bußgelder. Größere Unternehmen sind bereits seit Sommer 2023 dazu verpflichtet, ihnen drohen ab dem 1. Dezember 2023 Bußgelder von bis zu 20.000 Euro, wenn kein interner Meldekanal eingerichtet oder betrieben wird. Es gilt, das Regelwerk schnell umzusetzen.


Worum geht es? Das Hinweisgeberschutzgesetz (HinSchG) setzt die EU-Whistleblower-Richtlinie in Deutschland um. Es zielt darauf ab, Personen zu schützen, die in ihrem beruflichen Umfeld Informationen über Gesetzesverstöße oder Delikte wie Betrug, Umweltschutzdelikte oder Diebstahl erlangen und diese melden. Die Whistleblower sollen vor Repressalien jeglicher Form geschützt werden, beispielsweise vor Diskriminierung, Kündigung oder Schadensersatzansprüchen. Außerdem legt die Richtlinie die Rechte und Pflichten aller Beteiligten einheitlich fest.


Alle betroffenen Unternehmen brauchen eine Lösung, haben aber nur noch wenige Wochen Zeit, das System zu implementieren. Insbesondere mittelständische Unternehmen tun sich mit der Umsetzung schwer, einen Meldekanal einzurichten und zu betreiben. Entweder haben sie sich bisher kaum mit Hinweisgebersystemen beschäftigt oder nutzen Verfahren, die die EU-Standards nicht erfüllen, so zum Beispiel mit E-Mails. In Gesprächen fällt oft die Aussage: "Wir richten eine E-Mail-Adresse als Meldekanal zur Rechtsabteilung ein, die Kollegen sind zur Verschwiegenheit verpflichtet, das muss reichen."


Doch wir raten dringend davon ab – und das aus mehreren wichtigen Gründen:

Erstens wird die Nutzung einer E-Mail-Adresse die Anzahl der Meldungen vermutlich nicht erhöhen, denn sie erschwert es den Mitarbeitenden erheblich, anonyme Meldungen abzugeben. Es besteht das Risiko, dass die Beschuldigten den Melder durch die E-Mail identifizieren oder sich vor möglichen Risiken der Meldung schützen können.

Gemäß § 16 Absatz 1 HinSchG besteht keine ausdrückliche Verpflichtung, interne Meldekanäle so einzurichten, dass sie anonyme Meldungen ermöglichen, obwohl vorgeschrieben ist, dass auch anonyme Meldungen bearbeitet werden sollen. Dieser Widerspruch war bereits während des Gesetzgebungsverfahrens Gegenstand von Diskussionen.


Des Weiteren kann eine E-Mail in der IT-Abteilung von Personen mit Zugriff auf die Mail-Systeme eingesehen, verändert oder gelöscht werden. Auch wenn die Übermittlung selbst per TLS-Verschlüsselung sicher ist, kann die E-Mail auf dem Absende- und Empfangs-Mailserver im Klartext lesbar sein, noch bevor sie den Empfänger erreicht. Somit ist Anonymität nicht gewährleistet.


Auch der Speicherort ist fragwürdig, da die meisten E-Mail-Anbieter die Daten im Ausland bearbeiten, was ein höheres Datenschutzrisiko bedeutet.


Gemäß HinSchG müssen die Meldungen über drei Jahre hinweg DSGVO-konform gespeichert werden. Über einen so langen Zeitraum ist es in einem E-Mail-System mit erheblichem Aufwand verbunden, die Vertraulichkeit sicherzustellen. Bei Verstößen drohen hohe Bußgelder von bis zu 50.000 Euro.


Die Bearbeitung von Fällen mittels E-Mail-Lösung scheint zwar einfach, ist es aber keineswegs. Es erschwert die systematische Fallbearbeitung und birgt zusätzlichen manuellen Aufwand, Übergänge zwischen Systemen sowie Speicher- und Vertraulichkeitsrisiken.


Ein HinSchG-konformer Meldekanal in Form eines E-Mail-Postfachs ist möglich, aber wie bereits erwähnt, nicht empfehlenswert und nur mit großem Aufwand rechtssicher gemäß DSGVO und HinSchG zu organisieren.


Das Gesetz bietet auch Vorteile:

Das HinSchG umzusetzen, hat über die Schutzwirkung hinaus positive Aspekte, es stärkt das Vertrauen der Mitarbeitenden, fördert eine offene Fehlerkultur und kann im Unternehmen zu einem kontinuierlichen Verbesserungsprozess beitragen.

Aus der reinen Umsetzungslogik heraus ergeben sich für die Organisation Probleme bei der Verwendung von E-Mails als Hinweisgeberkanal, dies eröffnet Unternehmen die Chance, professionelle Lösungen wie z. B. digitalisierte Compliance-Verfahren zu nutzen und ihre generelle Governance zu verbessern.

Unabhängig von allen technisch-organisatorischen Fragen ist es von großer Bedeutung, dass Mitarbeitende diesen Kanal überhaupt nutzen, um Missstände aufzudecken. Es ist zu erwarten, dass ein professionelles, einfaches und sicheres Hinweisgebersystem im Vergleich zu einer einfachen, aber mit Risiken versehenen E-Mail-Lösung einen signifikanten Unterschied macht und mehr Menschen dazu ermutigt, relevante Hinweise zu geben.

Comments


bottom of page