Wir kennen zwar noch nicht den endgültigen Wortlaut des Gesetzes zum Schutz von Personen, die Verstöße gegen das Gesetz melden (das sogenannte Hinweisgeberschutzgesetz), aber angesichts der bevorstehenden Fristen für die Erfüllung der Verpflichtungen, die einer bedeutenden Gruppe von Einrichtungen des privaten und öffentlichen Sektors auferlegt werden, sollte die Arbeit an der Gestaltung eines effektiven Hinweisgebersystems in der Organisation so bald wie möglich beginnen.
Für welche Organisationen gelten die Vorschriften?
Wie bereits in einem der vorherigen Artikel dieser Reihe ( Wer ist zur Einrichtung von Hinweisgebersystemen verpflichtet? | Graś i Wspólnicy (kglegal.pl) ) dargelegt, gelten die Regelungen zum Schutz von Hinweisgebern letztlich für Einrichtungen des öffentlichen und privaten Sektors. Bei privaten Einrichtungen besteht die Pflicht zur Einrichtung geeigneter Verfahren und Kanäle jedoch nur für Unternehmen mit mindestens 50 Beschäftigten. Im öffentlichen Sektor können lediglich Gemeinden mit weniger als 10.000 Einwohnern von der Pflicht zur Einrichtung interner Verfahren zur Meldung von Gesetzesverstößen befreit sein.
Rechtseinheiten, die im Finanzsektor und in Branchen tätig sind, die besonderen Vorschriften im Bereich der Bekämpfung von Geldwäsche und Terrorismusfinanzierung, der Verkehrssicherheit und des Umweltschutzes unterliegen, unterlagen der Richtlinie, unabhängig davon, ob sie dem öffentlichen oder privaten Sektor angehören und unabhängig von der Anzahl der Beschäftigten.
Verpflichtung zur Einrichtung von Meldekanälen
Die Richtlinie des Europäischen Parlaments und des Rates zum Schutz von Personen, die Verstöße gegen EU-Recht melden, schreibt unter anderem vor, dass die Verpflichteten Meldekanäle einrichten. Diese Kanäle sollen gewährleisten, dass befugte Personen Informationen über Rechtsverstöße melden können.
Die EU-Verordnungen legen die Arten der Meldekanäle und die damit verbundenen Anforderungen nicht konkret fest. Der jüngste Entwurf des polnischen Gesetzes vom 6. April 2022 sieht vor, dass interne Meldungen mündlich, schriftlich oder elektronisch erfolgen können. Daher ist die Organisation verpflichtet, mindestens einen dieser Kanäle einzurichten.
Mündliche Vorträge
Die strengsten Verfahrenswege im aktuellen Gesetzesentwurf sind mündliche Eingaben.
Die erste Gruppe umfasst Meldungen, die mit Zustimmung des Meldenden telefonisch oder über andere Sprachkommunikationssysteme erfolgen und in Form einer abrufbaren Gesprächsaufzeichnung oder eines vollständigen und genauen Gesprächsprotokolls dokumentiert werden müssen. Wird jedoch eine nicht aufgezeichnete Telefonleitung oder ein anderes nicht aufgezeichnetes Sprachkommunikationssystem verwendet, ist ein Gesprächsprotokoll anzufertigen. In beiden Fällen muss der Meldende die Möglichkeit haben, das Protokoll zu prüfen, zu korrigieren und durch Unterschrift zu genehmigen.
Die zweite Gruppe umfasst persönliche Meldungen. Auf Wunsch der meldenden Person kann die Meldung in einem persönlichen Gespräch erfolgen, das innerhalb von sieben Tagen nach Eingang der Meldung stattfindet. In diesem Fall wird die Meldung mit Zustimmung der meldenden Person in Form einer abrufbaren Gesprächsaufzeichnung oder eines detaillierten Protokolls dokumentiert. Die meldende Person muss die Möglichkeit haben, das Protokoll zu prüfen, zu korrigieren und durch Unterschrift zu genehmigen.
Schriftliche und elektronische Einreichungen
Zu den weiteren vom Gesetzgeber vorgesehenen Meldewegen gehören schriftliche und elektronische Kanäle. Für diese Kanäle sind keine spezifischen Pflichten oder Anforderungen festgelegt.
In der Praxis sind die gebräuchlichsten Kommunikationswege von diesen Gruppen postalische Berichte, Papierberichte an ein dafür vorgesehenes Postfach innerhalb der Organisation, eine spezielle E-Mail-Adresse, Umfragen, die im Rahmen gängiger Bürodienstleistungen oder spezieller Software (von denen es immer mehr auf dem Markt gibt) verfügbar sind.
Welche Kanäle soll ich wählen?
Es ist wichtig zu beachten, dass bei jeder Auswahl eines oder mehrerer Meldekanäle eine gründliche Analyse durchgeführt werden sollte. Oberstes Ziel ist der Schutz der Vertraulichkeit des Hinweisgebers, des Täters und anderer möglicherweise beteiligter Personen (z. B. Zeugen).
Jeder Kanal birgt unterschiedliche Risiken, die zu einem Verstoß gegen die Vertraulichkeit von Identitätsdaten führen können. Einige Beispiele sind nachfolgend aufgeführt.
- Schriftliche Berichte -> Überwachung des Raumes, in dem sich der Meldekasten befindet.
- Benachrichtigungen per Brief -> Versäumnis, den Umschlag mit einer entsprechenden Kennzeichnung zu versehen, was dazu führte, dass Unbefugte die Korrespondenz lasen.
- E-Mail-Meldungen -> Hacking des E-Mail-Posteingangs/der Anwendung (unzureichende Sicherheit, einschließlich fehlender Zwei-Faktor-Authentifizierung) oder mangelnde Kontrolle über gesendete und empfangene Nachrichten (Möglichkeit der Löschung vom Server).
- Meldungen über die Anwendung -> Mangel an angemessenen Sicherheitsmaßnahmen (z. B. unverschlüsselte Kanäle), mangelnde Nachvollziehbarkeit der Aktivitäten im Programm oder fehlende Zugriffskontrolle.
Des Weiteren sollte die potenzielle Wirksamkeit des eingerichteten Hinweisgebersystems geprüft werden. In einem Produktionsunternehmen eignen sich andere Meldewege als in einem Beratungsunternehmen. Je nach Abteilung, Bereich und Mitarbeitern können auch mehrere Meldewege in verschiedenen Organisationen sinnvoll sein.
Rechtsstatus ab dem 15. Juni 2022.
Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar.
Autor
