Aktualisieren

Wir kennen zwar noch nicht den endgültigen Wortlaut des Gesetzes zum Schutz von Personen, die Verstöße gegen das Gesetz melden (das sogenannte Hinweisgeberschutzgesetz), aber angesichts der bevorstehenden Fristen für die Erfüllung der Verpflichtungen, die einer bedeutenden Gruppe von Einrichtungen des privaten und öffentlichen Sektors auferlegt werden, sollte die Arbeit an der Gestaltung eines effektiven Hinweisgebersystems in der Organisation so bald wie möglich beginnen.

Für welche Organisationen gelten die Vorschriften?

Letztlich werden die Vorschriften zum Schutz sogenannter Whistleblower sowohl für Einrichtungen des öffentlichen als auch des privaten Sektors gelten.

Interne Regelungen zum Schutz von Hinweisgebern müssen umgesetzt werden von:

  1. öffentliche Einrichtungen und lokale Regierungsstellen mit mehr als 50 Beschäftigten
  2. Privatunternehmen mit mehr als 250 Beschäftigten bis zum 17. Dezember 2021.
  3. Privatunternehmen mit 50 bis 250 Beschäftigten bis zum 17. Dezember 2023.
  4. Private Unternehmen mit weniger als 50 Beschäftigten können ein internes Meldeverfahren einrichten.

Verpflichtung zur Einrichtung von Meldekanälen

Die Richtlinie des Europäischen Parlaments und des Rates zum Schutz von Personen, die Verstöße gegen EU-Recht melden, schreibt unter anderem vor, dass die Verpflichteten Meldekanäle einrichten. Diese Kanäle sollen gewährleisten, dass befugte Personen Informationen über Rechtsverstöße melden können.

Die EU-Verordnungen legen weder die Art der Meldekanäle noch die damit verbundenen Anforderungen fest. Der jüngste Entwurf des polnischen Gesetzes vom 6. April 2022 sieht vor, dass interne Meldungen mündlich, schriftlich oder elektronisch erfolgen können. Daher ist die Organisation verpflichtet, mindestens einen dieser Kanäle einzurichten.

Mündliche Vorträge

Die strengsten Verfahrenswege im aktuellen Gesetzesentwurf sind mündliche Eingaben.

Die erste Gruppe umfasst Meldungen, die mit Zustimmung des Meldenden telefonisch oder über andere Sprachkommunikationssysteme erfolgen und in Form einer abrufbaren Gesprächsaufzeichnung oder eines vollständigen und genauen Gesprächsprotokolls dokumentiert werden müssen. Wird jedoch eine nicht aufgezeichnete Telefonleitung oder ein anderes nicht aufgezeichnetes Sprachkommunikationssystem verwendet, ist ein Gesprächsprotokoll anzufertigen. In beiden Fällen muss der Meldende die Möglichkeit haben, das Protokoll zu prüfen, zu korrigieren und durch Unterschrift zu genehmigen.

Die zweite Gruppe umfasst persönliche Meldungen. Auf Wunsch der meldenden Person kann die Meldung in einem persönlichen Gespräch erfolgen, das innerhalb von sieben Tagen nach Eingang der Meldung stattfindet. In diesem Fall wird die Meldung mit Zustimmung der meldenden Person in Form einer abrufbaren Gesprächsaufzeichnung oder eines detaillierten Protokolls dokumentiert. Die meldende Person muss die Möglichkeit haben, das Protokoll zu prüfen, zu korrigieren und durch Unterschrift zu genehmigen.

Schriftliche und elektronische Einreichungen

Zu den weiteren vom Gesetzgeber vorgesehenen Meldewegen gehören schriftliche und elektronische Kanäle. Für diese Kanäle sind keine spezifischen Pflichten oder Anforderungen festgelegt.

In der Praxis sind die gebräuchlichsten Kommunikationswege von diesen Gruppen postalische Berichte, Papierberichte an ein dafür vorgesehenes Postfach innerhalb der Organisation, eine spezielle E-Mail-Adresse, Umfragen, die im Rahmen gängiger Bürodienstleistungen oder spezieller Software (von denen es immer mehr auf dem Markt gibt) verfügbar sind.

Bei der Gestaltung von Verfahren und der Auswahl der Meldemethode ist es wichtig, finanzielle, reputationsbezogene und rechtliche Risiken zu minimieren. Ebenso wichtig ist es zu prüfen, ob der gewählte Kanal eine verschlüsselte und absolut vertrauliche Zwei-Wege-Kommunikation mit dem Hinweisgeber ermöglicht.

Welche Kanäle soll ich wählen?

Es ist wichtig zu beachten, dass bei jeder Auswahl eines oder mehrerer Meldekanäle eine gründliche Analyse durchgeführt werden sollte. Oberstes Ziel ist der Schutz der Vertraulichkeit des Hinweisgebers, des Täters und anderer möglicherweise beteiligter Personen (z. B. Zeugen).

Jeder Kanal birgt unterschiedliche Risiken, die zu einem Verstoß gegen die Vertraulichkeit von Identitätsdaten führen können. Einige Beispiele sind nachfolgend aufgeführt.

  • Schriftliche Berichte – Überwachung des Raumes, in dem sich der Meldekasten befindet.
  • Benachrichtigungen per Brief – Versäumnis, den Umschlag mit einer entsprechenden Kennzeichnung zu versehen, was dazu führte, dass Unbefugte die Korrespondenz lasen.
  • E-Mail-Meldungen – Hacking des E-Mail-Posteingangs/der Anwendung (unzureichende Sicherheit, einschließlich fehlender Zwei-Faktor-Anmeldung) oder fehlende Kontrolle über gesendete und empfangene Nachrichten (Möglichkeit der Löschung vom Server).
  • Berichte über die Anwendung – Mangel an angemessenen Sicherheitsmaßnahmen (z. B. unverschlüsselte Kanäle), mangelnde Rechenschaftspflicht für Programmaktivitäten oder Zugriffskontrolle.

Des Weiteren sollte die potenzielle Wirksamkeit des eingerichteten Hinweisgebersystems geprüft werden. In einem Produktionsunternehmen eignen sich andere Meldewege als in einem Beratungsunternehmen. Je nach Abteilung, Bereich und Mitarbeitern können auch mehrere Meldewege in verschiedenen Organisationen sinnvoll sein.

Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar.

Rechtsstatus ab dem 20. September 2023.

Autor:


|

Autor/Herausgeber der Reihe:
Mateusz Grosicki

Mateusz Grosicki

Rechtsanwalt, Partner
+48 506 367 109 | m.grosicki@kglegal.pl

    Haben Sie Fragen? Kontaktieren Sie uns – wir antworten Ihnen so schnell wie möglich.

    Beitragsaufrufe: 16