Meldestelle gemäß HinSchG im Unternehmen einrichten

Das neue HinSchG gilt jetzt für alle Unternehmen, Vereine und staatliche Organisationen.

Der Tulos Blog erklärt was dieses Gesetz beinhaltet. Hier erläutern wir, was gemacht werden muss und wie das geht, Schritt für Schritt.

Was muss gemacht werden?

Unternehmen, Vereine und staatliche Organisationen müssen Hinweisgebern eine Möglichkeit geben anonym Hinweise zu geben. Sprich: jede Person muss in der Lage sein, eine Meldung zu machen, ohne dass sie die Identität preisgibt. Neudeutsch, ein „Whistleblower“, daher heist dieses Gestz auch „Whistleblowergesetz“

Es muss also ein Kommunikations-Kanal her, über den man den Hinweis kommunizieren kann. Dieser Hinweis muss auch von einer realen Person empfangen werden, also kein Chatbot.

Hinweise können fahrlässiger Umgang mit vertraulichen Informationen (Daten) oder ein persönlicher Missbrauch sein. Beispiele: verbotenes Personenprofiling im Marketing, Mobbing oder sexueller Missbrauch.

Wer darf Hinweise empfangen?

 Eine unparteiische Bearbeitung und Kommunikation müssen installiert werden.

 Um sicherzustellen, dass eingehende Hinweise fair und neutral behandelt werden, muss eine unparteiische Person ernannt werden. Diese ist für die Bearbeitung des Hinweises und die Kommunikation mit dem Hinweisgeber verantwortlich. Dadurch wird gewährleistet, dass Hinweisgeber Vertrauen in den Meldemechanismus haben und ihre Informationen in sicheren Händen wissen. Die unparteiische Person kann sowohl ein unparteiischer Beschäftigter als auch eine externe Person sein. Für die meisten Organisationen bieten sich Datenschutzbeauftragte an, denn Datenschutzbeauftragte haben Fachwissen im Umgang mit vertraulichen Informationen und sind neutral. Hilfreich ist auch, dass Datenschutzbeauftragte die Organisation und die Menschen kennen, für die sie mandatiert sind.

Wie setzt man die Anforderung des HinSchG um?

In jedem Fall ist sicherzustellen, dass die Vertraulichkeit der Identität des Whistleblowers und in der Meldung erwähnter Dritter gewahrt bleibt. Wichtig ist insofern die Implementierung wirksamer Verschlüsselungstechnologien sowie eines Rollen- und Berechtigungskonzepts.

Zeitnahe Reaktion und Feedback

Innerhalb von sieben Tagen muss dem Hinweisgeber eine Eingangsbestätigung gesendet werden, um ihn über den Eingang seines Hinweises zu informieren. Anschließend sind konkrete Folgemaßnahmen zu ergreifen. Das Unternehmen muss den Hinweis überprüfen und Nachforschungen über den gemeldeten Missstand anstellen. Schließlich ist dem Hinweisgeber innerhalb von drei Monaten nach Meldungseingang Feedback über die ergriffenen Maßnahmen zu geben.

Dokumentation und Nachweis

Alle eingegangenen Hinweise sowie die ergriffenen Maßnahmen sind zu dokumentieren. Eine lückenlose Dokumentation ist essenziell, um den Nachweis zu erbringen, dass das Unternehmen die erforderlichen Schritte unternommen hat und seine Unternehmensintegrität ernst nimmt.

Konkrete Umsetzung, Schritt für Schritt

  1. Kontaktformular auf den jeweiligen Webseiten der Organisation installieren. Das Formular muss so gestaltet werden, dass die Herkunft des Meldenden nicht nachvollziehbar ist. Das werden wir mit dem Webdesigner abstimmen.
  2. Kontakt-E-Mail-Adresse einrichten, z.B. Datenschutz@xyz-Unternehmen.de, mit dem Hinweis, dass dieser Kontakt nachvollziehbar und demzufolge nicht anonym ist.
  3. Telefon-Nummer einrichten.
  4. Die Meldung muss dokumentiert und berichtet werden.

Ein Tulos Datenschutzbeauftragter begleitet bei der Umsetzung und prüft, ob alle Erfordernisse korrekt umgesetzt wurden.

Ein Tulos Datenschutzbeauftragter kann auch als Ansprechpartner mandatiert werden.

 

Tulos Datenschutz-Pakete, auf die Sie sich verlassen können, Erstgespräch kostenlos