Hinweisgeberschutzgesetz: Worum geht es und wie sieht eine pragmatische Lösung aus? (Podcast #16)

Datenschutz Deluxe, der Podcast rund um das Thema Datenschutz und IT mit Dr. Klaus Meffert und Stephan Plesnik.

Hallo und herzlich willkommen, liebe Zuhörer, an diesem Valentinstag, den 14. Februar.

Wir sind hier wieder im Datenschutz Deluxe Podcast. Mit dabei ist wieder Klaus Meffert.

Und ich begrüße dich recht herzlich, Klaus. Wie geht es dir?

Ja, Stephan, vielen Dank für die freundliche Begrüßung.

Mir geht es gut. Ich hoffe, dir geht es auch. Und ich freue mich, dass wir wieder in unserer Runde hier zusammenkommen.

Wunderbar. Mir geht es soweit sehr gut, eigentlich perfekt.

Denn es ist Valentinstag und wir reden heute über ein Thema, das ich sehr spannend finde, weil es hat seit mehreren Jahren immer so unter der Oberfläche geschwehlt, kam dann jetzt doch sehr stark an die Oberfläche.

Und das Thema nennt sich Hinweisgeberschutzgesetz.

Und dazu habe ich uns ein passendes Zitat rausgesucht, das uns in die Stimmung bringen soll für diese Hinweisgeber, dieses Whistleblowing, um das es geht. Und das lautet Wenn du ein Geheimnis bewahren willst, hülle es in Offenheit.

Das hat Alexander Smith gesagt, ein schottischer Schriftsteller.

Ich finde es sehr spannend, weil es halt sehr skurril und komisch ist und gleichzeitig so ein bisschen was von dem Flair der Gesetzgebung, das Hinweisgeberschutzgesetz mit sich bringt.

Für alle Zuhörer, die vielleicht noch nicht so ganz im Bilde sind, umreise ich das mal kurz.

Das Hinweisgeberschutzgesetz soll eine Gesetzgebung darstellen, die es Menschen in Unternehmen ermöglicht, auf anonyme Art und Weise Hinweise zu unvorteilhaften oder suboptimalen Geschäftsprozessen oder Vorgängen im Betrieb zu äußern.

Und dass sie quasi geschützt sind davor, dass sie in irgendeiner Form negative Repressalien fürchten müssen, falls sie diese Informationen weitergeben.

Darum geht es, quasi das versucht das Gesetz abzubilden, die Leute anonym zu halten und zu schützen und dass dafür Meldekanäle eingerichtet werden müssen, damit das eben möglich ist.

Aber laut aktuellem Stand ist dieses Gesetz gerade gekippt worden insofern, als dass der Bundesrat das abgelehnt hat, weil es irgendwie in der aktuellen Form nicht durchsetzbar ist.

Und ich persönlich würde mich jetzt dafür interessieren, ich weiß nicht, wie es bei dir ist, Klaus, erstmal so tendenziell generell, Hinweisgeberschutzgesetz.

Als ich das das erste Mal gehört habe, habe ich mich gefragt, erfüllt der Datenschutzbeauftragte, laut Datenschutzgrundverordnung, nicht alle Kriterien einer solchen Geheimhaltung?

Ja, das ist ein sehr guter Punkt.

Also zunächst, vielleicht möchte ich auch nochmal sagen, wir hatten ja schon mal vorher über das Thema gesprochen, um uns auszutauschen, du und ich, Stephan.

Ich bin da auch deiner Meinung, diese Fehlerkultur sozusagen, dass man Missstände aufzeigen können soll, darf, will, ohne dass man dadurch Nachteile erleidet, müsste eigentlich selbstverständlich sein.

Da braucht man doch eigentlich kein Gesetz dafür, so könnte man es sagen.

Aber man sieht es ja auch am Edward Snowden, dass es da riesengroße Probleme gibt, wenn man mutig ist.

Und ich finde, Mut sollte belohnt werden und nicht bestraft werden.

Und insofern ist dieser Vorstoß, dass man das jetzt verbessern will, nicht schlecht.

Man wundert sich halt nur das, was notwendig ist dafür.

Zu deinem Punkt mit dem DSB, also Datenschutzbeauftragten, das sehe ich genauso.

Der ist natürlich eine Vertrauensperson ins Unternehmen rein und aus dem Unternehmen nach außen sozusagen.

An ihn dürfen sich ja auch qua Gesetz, die DSGVO schreibt es ja so auch vor, Personen, also betroffene Personen wenden.

Und der DSB kommuniziert ja sogar auch mit den Aufsichtsbehörden, wenn sie mit dem Unternehmen einen Vorgang haben, zum Beispiel ein Problem oder eine Beschwerde nachgegangen sind.

Insofern ist das, was du sagst, meiner Meinung nach auch richtig, dass er eben als Vertrauensperson genau der Richtige wäre.

Man könnte natürlich auch eine andere Vertrauensperson schaffen oder vielleicht gibt es die auch schon.

Aber der DSB zumindest ist für mich auch ein natürlicher Ansprechpartner für Hinweisgeber, weil er ja dem Datenschutz verpflichtet ist.

Ja, das stimmt.

Ja, dazu vielleicht noch kurz für alle Zuhörer einmal kurz so drei Parameter zum Datenschutzbeauftragten, die mir gerade so einfallen, falls das nicht bekannt ist.

Also ein Datenschutzbeauftragter ist Pflicht, dass er bestellt wird in einem Betrieb, der mehr als 20 festangestellte Mitarbeiter hat.

Und der Datenschutzbeauftragte hat eine Sonderstellung im Betrieb.

Er ist weder der Geschäftsführung direkt unterstellt, noch muss er Meldungen an irgendwen anderes geben über die Vorgänge.

Aber er ist ein Ansprechpartner für alle anderen im Unternehmen befindlichen Personen.

Sprich, wenn man hier etwas äußert dem Datenschutzbeauftragten gegenüber, hat er die Pflicht, dieses Geheimnis zu wahren und die Anonymität der Person zu wahren, sodass notwendig ist für den Fall.

Und im Fall eines solchen Hinweises, dass etwas falsch läuft, wäre das ja eigentlich der Fall.

Und dann noch dazu der im Hinweisgeber Schutzgesetz.

Das sollte, glaube ich, sollte in der ersten Fassung, glaube ich, erst greifen bei 250 Mitarbeitern und ist dann irgendwie auf 50 reduziert worden zuletzt.

Oder sollte in so einem Stufenplan irgendwie angepasst werden.

Erst nur für ganz viele und dann für etwas weniger.

Aber wir sind halt trotzdem immer noch bei der Grenze höher als beim Datenschutzbeauftragten.

Das heißt, jedes Unternehmen, was einen solchen Meldekanal einrichten muss, hat per se diesen Meldekanal durch den Datenschutzbeauftragten ja eigentlich schon erfüllt.

Könnte man den dann auch irgendwie so beschreiben?

Also dass man den Meldekanal als Datenschutzbeauftragten ausgibt sozusagen?

Ja, also vielleicht noch mal eine ganz kleine Korrektur.

Es ist sogar noch strenger, als du sagst.

Es sind nämlich 20 Mitarbeiter und es müssen nicht mal festangestellte Mitarbeiter sein.

Ah, okay.

Allerdings muss man auch sagen, diese 20 Mitarbeiter oder mehr müssen natürlich mit der Verarbeitung personenbezogener Daten beschäftigt sein.

Was allerdings eigentlich immer der Fall ist.

Selbst eine Person, die eine Reinigung durchführt in einem Büro, die arbeitet ja auch mit personenbezogener Daten.

Wenn man mal davon ausgeht, dass im Papierkorb zum Beispiel auch personenbezogene Daten liegen können und man ja reingucken kann, wenn man am Papierkorb vorbeigeht.

Oder Aktenordner, die im Schrank stehen, die sind ja normalerweise nicht weggesperrt.

Also insofern würde ich fast sagen, ist es in nahezu jedem Fall eine Verarbeitung personenbezogener Daten.

Und du hast aber recht, diese Grenzen der Mitarbeiterzahlen divergieren natürlich, also gehen auseinander.

Ich habe 20 Mitarbeiter als Minimum für den DSB als Pflicht.

Man kann natürlich auch einen Datenschutzbeauftragten haben, ohne 20 Mitarbeiter zu haben.

Das machen ja auch viele, empfiehlt sich sogar auch.

Vor allem, wenn es mehr als eine Person ist, die die Firma leitet.

Bei einer kann man sagen, okay, der braucht nicht unbedingt einen DSB.

Aber wenn ich 10 Mitarbeiter habe, dann wäre es schon sinnvoll, auch wenn es keine Pflicht ist.

Und diese 20 und die 50, die vorgesehen waren bis jetzt, die sind natürlich weit auseinanderläufig.

Also da fragt man sich, was ist mit den Unternehmen, die 40 Mitarbeiter haben?

Warum sollen die nicht einfach ihren Datenschutzbeauftragten als Hinweisgeberstelle nehmen?

Und übrigens ist es ja auch möglich, jetzt schon einen Hinweis zu geben an den Datenschutzbeauftragten.

Und wenn er seine Arbeit ordentlich macht, dann gibt er diesen Hinweis auch auf Wunsch der betroffenen Person oder des Melders, des Whistleblowers, wenn der Whistleblower das möchte, anonym nach innen weiter.

Also ich denke, das macht der DSB.

Wenn er es nicht machen würde, würde ich mir sogar das Recht nehmen, als betroffene Person, als Whistleblower gegen den DSB zu klagen.

Das könnte man dann machen.

Also würde der DSB das sicherlich weiterleiten.

Da hat er ja auch keine große Arbeit mit.

Und insofern, ja, der DSB ist ein guter Ansprechpartner.

Ich will jetzt nicht die Werbung machen, dass der DSB es machen soll, aber es ist also sinnvoll.

Insofern, warum nicht?

Ich kenne auch einige Datenschutzbeauftragte, die das auf dem Schirm haben, dieses Thema.

Und die dann natürlich auch darüber nachdenken oder nachgedacht haben, als Meldestelle für ihre Kunden zu fungieren.

Und dafür können sie wahrscheinlich dann ein klein bisschen mehr Geld bekommen, weil der Aufwand ja auch höher ist.

Unter Umständen ja.

Ich habe in diesem Zuge mal eine Recherche gemacht vor ein paar Wochen und habe mich ein bisschen auseinandergesetzt damit, was da alles so für Systeme angeboten werden.

Weil natürlich, wenn so ein Gesetz kommt, dann kommen überall Sprießen, irgendwelche Leute aus dem Boden, die sagen, wir haben jetzt mal irgend so ein digitales System, was das ganz toll kann.

Und dann habe ich mir die Frage gestellt, was genau ist denn wirklich die gesetzliche Anforderung, die der Hinweisgeber Schutz da vorsieht von Gesetzes wegen.

Der ist gar nicht auf digital festgelegt.

Also das ist erst mal vielleicht ein ganz wichtiger Punkt für alle Leute, die sich auch mit diesem Thema beschäftigen.

Es ist nicht notwendig, dass dieser Meldekanal digital ist.

Also über die Art des Meldekanals ist dort eigentlich nichts wirklich spezifiziert.

Aber wichtig ist, dass die Parameter gegeben sind, dass das anonym erfolgen können muss und dass die Person, die den Hinweis gegeben hat, eine Möglichkeit haben muss, in Erfahrung zu bringen, wo sich der Prozess dieses Hinweises befindet, wenn sie das möchte.

Also habe ich dann in digitalen Systemen das häufiger so gesehen, dass dann quasi man so ein Link-Token hat oder so, mit dem man dann anonym zurück auf seine Anfrage kommt und so.

Also ganz viele tolle verschlüsselte Varianten und alles Mögliche.

Man kann auch dann bei manchen sogar mit Sprachverzerrung, also man kann einen Hinweis über eine Sprachaufzeichnung geben und dann wird die Sprache automatisch verzerrt so, dass man nicht mehr erkennen kann, welche Person das ist.

Also ganz tolle und interessante Möglichkeiten, die die Leute sich da überlegt haben.

Aber tendenziell kam dann mal so die Frage auf, und da wollte ich eigentlich drauf hinaus, habe ich auf LinkedIn gesehen, da sagte dann irgendjemand so, ja, was soll das denn heißen, wenn kein Weg vorgegeben ist und wenn das für alle gelten muss?

Also Mitarbeiter, Kunden, Partner und die Öffentlichkeit.

Heißt das, jeder muss jetzt an seinem Unternehmen so einen Briefkasten draußen aufhängen, wo Leute anonym irgendwelche Hinweise reinwerfen können?

Und die Diskussion ging dann halt auch in diese Richtung.

Da würde ich mal fragen, also erst mal von Gesetzes wegen wäre das ja richtig, weil da steht ja nicht drin, wie es zu machen ist und da kann ja nun mal jeder dran an so einem Briefkasten.

Aber was bringt mir das denn als Unternehmen?

Das ist ja mal die Frage, also wem hilft es denn überhaupt?

Ja, ja, ja. Also zunächst zu dem Briefkasten.

Wir alle sind ja als Unternehmer verpflichtet, eine Postadresse zu haben.

Es ergibt sich ja auch aus verschiedenen rechtlichen Vorschriften und der Möglichkeit, die man geben muss, erreichbar zu sein, auch für, ich sag mal, rechtliche Vorgänge.

Deswegen ist es, glaube ich, mit dem Briefkasten nicht so schlimm.

Aber natürlich ist es blöd, wenn es ein Allgemeinbriefkasten ist, wo alles drin landet.

Da müsste man schon einen Speziellen haben.

Und das wäre ja beim Datenschutzbeauftragten der Fall.

Der ist ja speziell adressierbar und der bekommt ja auch spezielle Post, die hoffentlich auch nicht vorgeöffnet wird.

Das müsste man natürlich sicherstellen.

Und dann insofern wäre das kein Problem.

Ansonsten ist es natürlich so, da kann man schon diskutieren.

Also E-Mail sollte auf jeden Fall möglich sein oder elektronisch.

Wir sind ja heute im digitalen Zeitalter.

Es wäre merkwürdig, wenn es anders wäre, sag ich mal.

Telefon ist ja dann auch noch eine Möglichkeit, die auch jetzt nicht so schwierig abzuwickeln ist.

Wenn man eine Meldestelle hat, da hat ja dann sicher auch ein Telefonapparat da stehen.

Und ansonsten bleibt ja auch nicht mehr viel übrig.

Also ob man jetzt einen Fax anbieten muss oder nicht, das bezweifle ich, glaube ich eher nicht.

Zumal ja ein Fax auch nicht die Kriterien einer Anonymität ad hoc gewährleistet, weil man auch nicht weiß, wer da als Empfänger neben dem Faxgerät steht und so weiter.

Weil Fax ja auch aus der Mode kommt.

Aber Telefon, E-Mail und Post, ich denke, das kann jeder leisten.

Aber zurück zu deiner Frage.

Ist das überhaupt fürs Unternehmen gut?

Also ich würde schon sagen, es geht ja um das Melden von Missständen.

Vorteilhaft ist natürlich schon, wenn Dinge, die nicht gut laufen, adressiert werden und sie dann verbessert werden können.

Wenn ein Unternehmen das natürlich nicht macht, dann ist es die Schuld des Unternehmens.

Dann sollte das Unternehmen am besten gar nicht mehr existieren, weil dann hat es gar kein Interesse dran, irgendwelche Missstände zu beheben.

Dann ist aber auch nicht der Hinweisgeber schuld, sondern das Unternehmen.

Und ansonsten finde ich es gut, wenn Sachen verbessert werden.

Ich glaube, das ist eine objektiv feststellbare Aussage.

Alles, was nicht so gut läuft, muss verbessert werden.

Und dazu gehört natürlich auch das Einhalten von Gesetzen.

Da geht es ja auch um Mobbingthemen, da geht es auch um Datenschutzvorfälle, und das muss natürlich abgestellt werden.

Es ist sogar die Pflicht des Unternehmens, ob es einem passt oder nicht.

Man hat sich halt an Gesetze zu halten.

Mir passt ja auch nicht alles, aber ich halte mich ans Gesetz, soweit mir das möglich ist.

Also ich versuche es so gut, wie es geht, und versuche auch keine Ausreden zu finden, auch wenn es manchmal wehtut.

Aber so ist es halt.

Und deswegen hat das Unternehmen natürlich einen Vorteil daraus.

Allerdings muss man schon sagen, die Menge der Hinweise wird natürlich steigen, wenn die Hinweisgeber auch, wie du es gesagt hast, an sich melden können.

Also anonym natürlich.

Spätestens gegenüber dem Unternehmen, gegenüber der Meldestelle nicht unbedingt.

Das kann man ja differenzieren, weil vielleicht möchte man ja auch von dem anderen zurückgerufen werden oder zurückgeschrieben bekommen.

Dann bin ich halt nicht anonym gegenüber, ich sage jetzt mal beispielsweise dem Datenschutzbeauftragten als Meldestelle, aber anonym gegenüber dem Unternehmen.

Und es gibt ja auch noch eine zentrale Meldestelle.

Da war das Bundesministerium für Justiz in der Diskussion.

Da könnte ja wahlweise der Hinweisgeber sich auch hinwenden.

Und da kann man dann schon von ausgehen, dass dieses Justizministerium gegenüber dem Unternehmen, an das sich der Whistleblower sozusagen wendet mit seiner Beschwerde oder seinem Hinweis, nicht erfährt, wer der Whistleblower ist.

Also insofern eine Verbesserung für den Whistleblower.

Die Unternehmen werden mehr Probleme aufgedrückt bekommen, die aber wahrscheinlich schon immer oder fast alle da waren.

Es wird natürlich auch so sein, dass es ein paar Nörgler gibt, die Dinge adressieren, die ungerechtfertigt sind.

Diese Gefahr besteht natürlich immer.

Ja gut, ich denke mal, die wird unter Umständen aber eher geringer sein.

Oder ich denke mal, die Federzahl wird dabei wahrscheinlich nicht so hoch sein, was dieses Aufkommen angeht.

Weil irgendwo, so wie das Ganze auch kommuniziert ist und so wie ich zumindest die Deutschen kenne, wir gehorchen ja oder sind gewohnt, würde ich möchte ich sagen, an Gesetze uns zu orientieren und zu gehorchen, was es für Regeln gibt.

Von daher kann ich mir vorstellen, dass wenn man denen sagt, das ist anonym für euch, damit ihr Missstände aufklären oder aufdecken könnt oder euch über Dinge beschweren könnt. Wie du auch sagst, das Thema Mobbing ist ja auch ein ganz großes Thema an der Stelle.

Und da die Sicherheit zu wissen, denke ich, wird es auf jeden Fall weniger Missbrauch geben, als es geben könnte.

Vielleicht in anderen Fällen.

Ich will mich jetzt aber nicht aus dem Fenster legen und sagen, auch bei Amazon im Sendelager also ich denke auch gerade bei solchen großen Unternehmen ist es wahrscheinlich, wahrscheinlich war das der Fokus. Nur mit dieser Tendenz dazu zu sagen, ja okay, wir machen das jetzt aber schon ab 50 Mitarbeitern, trifft es eben auch sehr sehr viele Unternehmen, glaube ich, wo die Prozesse so etwas zu melden, zum Beispiel durch einen Datenschutzbeauftragten sowieso schon ausreichend vorhanden sind.

Und da ist jetzt eigentlich vielleicht so Richtung Zuhörer gewandt, damit ich jetzt überlege, was bringt euch das uns hier zuzuhören, wenn wir darüber philosophieren, ob dieses Gesetz gut oder schlecht ist.

Die Umsetzung dieses Hinweisgeberschutzes darf man sich im Großen und Ganzen ja selbst aussuchen.

Sondern wäre jetzt meine Frage, wenn man so eine Ausgestaltung hat, welche Wege können wir uns überlegen, die vielleicht wirklich gangbar sind, die im Alltag dann auch nicht so, ja, die nicht so tief eingreifen in die Prozesse, die wir jetzt haben. Was wäre da so das Erste, was du dir überlegen würdest? Gehen wir mal davon aus, du hättest jetzt eine Firma, du hast da 50 Mitarbeiter und du musst das jetzt machen. Du hast aber auch einen Datenschutzbeauftragten.

Was wäre so dein erster Schritt? Wie würdest du da rangehen?

Ja, sehr gute Frage. Also ich bin ja immer für pragmatisches Vorgehen und vor allem für inkrementelles Vorgehen. Wenn man zum Mond fliegt, also wenn man zum Mars fliegen will, dann sollte man vielleicht erst mal zum Mond fliegen und danach gucken, ob man zum Mars kommt, aber nicht gleich versuchen, zum Mars zu kommen.

Übrigens, ich bin jetzt kein Freund von Tesla aus verschiedenen Gründen, auch weil die Autos Daten sammeln ohne Ende.

Aber was das Vorgehen von Tesla angeht in der Weltraum, also vom Elon Musk, muss man ja sagen, ist schon da ein Paradebeispiel. Die NASA, die überlegt sich 30 Jahre lang, übertrieben gesagt, wie die Rakete theoretisch aussehen soll und dann baut sie sie und dann funktioniert sie nicht.

Dann brauchen sie nochmal 5 Jahre für einen zweiten Versuch.

Haben sie 35 Jahre übertrieben gesagt.

Tesla macht es so, die probieren es kurz, die rechnen kurz und dann machen die nach 6 Monaten ihren ersten Test und nach 7 Monaten den zweiten und nach siebeneinhalb den dritten und dann funktioniert die Rakete. Die haben zwei Fehlversuche gehabt, ist im Endeffekt deutlich günstiger und haben mehr Werte gesammelt, mehr Erfahrung als 35 Jahre lang darüber nachdenken mit Genies.

Und insofern würde ich vorschlagen, um mal deine Frage konkret zu beantworten, die 50 Mitarbeiter, Unternehmen oder mehr, die haben ja sowieso einen Datenschutzbeauftragten, die haben auf der Webseite einfach einen zusätzlichen Passus oder eine extra Seite, Unterseite, da steht für Hinweisgeber sozusagen oder Hinweisgeberrichtlinie, Whistleblower, was auch immer.

Hier ist ihre Meldestelle, die E-Mail-Adresse vom Datenschutzbeauftragten, von mir aus eine eigene, damit man auch weiß, dass diese Nachrichten etwas sensibler zu behandeln sind.

Anonymisierung hast du ja schon genannt, als Beispiel. Und dann noch die Telefonnummer des DSB, möglicherweise, das muss man dann entscheiden, ob man das macht oder nicht und die Postadresse des DSB.

So, fertig. Da muss ich kein elektronisches Meldesystem kaufen von irgendwo.

Wenn ich natürlich jetzt eine Firma bin mit 50.000 Mitarbeitern und da kommt dauernd jemand und hat irgendeinen Hinweis, den er melden will, dann ist es vielleicht was anderes. Aber ich sag mal, für die normale Firma, da wird es nicht 7.000 Fälle im Jahr geben, die da kommen neu, reichen doch für die Dutzend oder zwei Dutzend oder drei Dutzend oder vier Dutzend Fälle, reicht doch einfach eine E-Mail-Adresse und die Postadresse des Datenschutzbeauftragten.

Da muss man doch gar nicht mehr machen, als einfach nur eine Informationsseite zu bauen, ist meine Meinung.

Okay, gut.

Also das wäre dann so der Schritt, ich versuche, das digital abzubilden und zwar so, dass es funktionell ist, aber ich habe zum Beispiel keine Nachweise darüber, wie mit dem Verfahren weiter umgegangen wurde.

Der Nutzer kann vielleicht nicht genau einsehen, wo sich der Stand der Bearbeitung gerade befindet und so weiter.

Das sind ja alles Features, sag ich mal, die man in so Systemen findet, die sagen, hier, wir haben jetzt ein digitales System zum Hinweisgeberschutz.

Tendenziell finde ich dein Vorgehen sehr gut, weil ich auch denke, dass es ein bisschen übertrieben wäre, wenn man da jetzt viele große Anschaffungen macht, nur um einen solchen Meldekanal anzulegen. Auf der anderen Seite denke ich, dass es sehr praktisch wäre, wir sind immer so schnell in der digitalen Welt, beim Datenschutz ist das, glaube ich, auch relativ normal, weil es geht ja primär um automatisierte Datenverarbeitungsprozesse und die finden nun mal alle digital und elektronisch statt, aber was ist denn mit den Leuten, die vielleicht keinen Zugang jetzt zu digitalen Medien in der Form haben?

Ich meine, gehen wir mal davon aus, wir hätten jetzt ein Unternehmen, das ein Produktionsbetrieb ist, wir stellen irgendwas her und wir haben da zum Beispiel Mitarbeiter, die kommen da einfach nur ins Werk, dann arbeiten die da, machen am Fließband irgendwelche Sortierarbeiten oder was weiß ich und jetzt fällt da jemandem auf, dass der Schichtleiter ständig falsche Eintragungen zu den Uhrzeiten macht, dass der Dinge klaut, aus dem Betrieb entwendet und was weiß ich, sich so ein bisschen wie ein König aufführt, so nach dem Motto, die anderen können ja nichts machen.

Die haben jetzt zum Beispiel keinen direkten Bezug zum DSB, vielleicht wissen die noch nicht mal, dass es einen gibt, also in vielen Betrieben ist es ja gar nicht so, dass man das wirklich weiß oder es richtig publiziert wurde.

Wie würdest du da vorgehen?

Also quasi so einen manuellen, nicht digitalen Weg, was wäre da dein Vorgehen? Also erstmal sehr gut, dass du auch gesagt hast, diese Nachvollziehbarkeit der Meldungen, die muss natürlich irgendwie gegeben sein, das kann man aber auch ohne System machen.

Also zunächst zumindest. Ich würde empfehlen, das erstmal so zu versuchen, man weiß ja auch gar nicht, was passiert.

Das Gesetz ist ja auch noch nicht mal da.

Wie viele Leute melden sich denn überhaupt?

Man kann ja immer noch, das meine ich mit inkrementell, die nächste Stufe gehen dann. Nur wenn man ganz wenige Meldungen nur bekommt, dann muss ich doch kein Software-System kaufen dafür. Man muss ja sowieso jede Meldung manuell bearbeiten. Das kann ja nicht eine Software machen. Das geht ja einfach nicht. Man kann die nur einsammeln. Aber um deine Frage zu beantworten, guter Punkt, da würde ich, also das klingt jetzt ein bisschen lapidar, aber es ist wirklich, es ist mit diesen Sachen wirklich einfach lösbar.

Man hängt einen Zettel auf, auf dem dieses steht oder es gibt eine Mitarbeiter, also im Werk dann natürlich, oder mehrere Zettel, wenn es mehrere Werke gibt oder wenn das Werk sehr groß ist.

Es gibt ja auch manchmal so Mitarbeiterinformationen, die jetzt schon rausgegeben werden.

Die kommen mit der Gehaltsabrechnung beispielsweise oder so per Post. Da fügt man eben den Zettel bei, wo drauf steht, sie können sich wenden an unsere Hinweisgeber-Meldestelle, entweder per Internet oder per Telefon oder per Post. Also ich meine beim Unternehmen, was du jetzt sagtest, wo es so viele Leute im Werk gibt, da gibt es ja mit Sicherheit auch ein Telefon.

Das ist dann, glaube ich, keine Zumutung, eine Telefonnummer einzurichten bei 1000 Mitarbeitern und dann können die da anrufen und wenn sie das nicht wollen, dann können sie da auch einen Brief hinschreiben und vielleicht geht es ja bei diesen großen Unternehmen auch, dass diese Meldestelle ja vor Ort irgendwo sitzt und man da hingehen kann, ohne beobachtet zu werden. Das wäre natürlich die Voraussetzung. Oder man trifft sich irgendwo in einem gesicherten Umfeld in der Firma oder sonst wo, das kann die Firma selbst organisatorisch klären, wie das geht, damit nicht klar wird, wer da hingeht, weil dann kann man ja ableiten, dass der vielleicht ein Problem hatte. Oder die Meldestelle hat eine Doppelfunktion, dann könnte man sagen, der war vielleicht auch da, um seine Essensmarken einzulösen. Ich habe jetzt ein fiktives Beispiel gewählt, was wahrscheinlich keinen Sinn macht, aber ich wollte damit nur sagen, da sehe ich sehr einfache Möglichkeiten der Lösung.

Ja, das ist spannend. Also ich fasse mal kurz zusammen.

Wir haben da ein Gesetz, das noch nicht wirklich in Kraft getreten ist.

Ich sage mal so, wir können mit Wahrscheinlichkeit davon ausgehen, dass wenn sich über drei Jahre Gesetzgeber darüber bemühen, ein Gesetz zu machen, dann wird das in irgendeiner Form auch irgendwie in Kraft treten, weil solche Denkmäler lassen die ja nun mal unangetastet.

Deutschland muss ja auch.

EU-Recht schreibt es vor, wir sind ja schon ein Jahr zu spät, habe ich gelesen.

Das ist wieder typisch für die Deutschen. Wir haben überall die Nase vorne dabei, dass wir schreien, dass das geregelt werden muss und wenn es darum geht, es umzusetzen, sind wir immer die Letzten, die es hinkriegen.

Also wenn ich es richtig gehört habe, dann gibt es sogar ein Vertragsstrafverfahren der EU gegen Deutschland. Deswegen muss Deutschland dieses Gesetz umsetzen, ob sie es will oder nicht. Also es wird kommen.

Wunderbar. Also das wird immer teurer mit jeder Runde Bundesrat, der Nein sagt.

Wir haben also dieses Gesetz, das müssen wir irgendwann erfüllen. Aktuell sieht es so aus, dass das ab 50 Mitarbeitern gilt. Wir haben jetzt gerade mal so ein bisschen überlegt, was gibt es für Gesetze, was gibt es überhaupt schon für Vorschriften, die wir sowieso erfüllen müssen. Dabei haben wir festgestellt, dass die Betriebe, für die der Hinweisgeberschutz verpflichtend sein wird und das Einrichten solcher Meldestellen und Meldekanäle, sind alles Unternehmen, die bereits verpflichtet sind, einen Datenschutzbeauftragten zu stellen.

Wir haben auch uns angeschaut, was der Datenschutzbeauftragte für Pflichten und für Rechte hat und welche Dinge er einhalten muss und gewährleisten muss und haben dabei festgestellt, dass der Datenschutzbeauftragte im Endeffekt so ein Hinweisgeberschützer ist, dadurch, dass man ihm als Meldestelle diese Dinge übergeben kann und er zur Anonymität und dem Geheimnis verpflichtet ist.

Dementsprechend hätten wir da schon mal die richtigen Ansprechpartner zum Abbilden der Anfragen.

Diese Person kann man jetzt publizieren als die Meldestelle für Hinweise und kann dann unterschiedliche Wege bieten, diese Person zu kontaktieren. Wenn das digitale Wege sind, wie zum Beispiel über E-Mail oder über Webformulare, wie du es beschrieben hast, auf der Webseite eingerichtet, habe ich da auch Timestamps.

Das heißt, ich kann genau nachvollziehen und protokollieren, wann ist dieser Hinweis gegeben worden.

Damit habe ich dann auch so diesen Nachverfolgungsaspekt, der ja von den digitalen Abbildungssystemen immer irgendwie so nach vorne gehoben wird, dass man das alles nachweisen können muss.

Wir haben gesagt, darüber hinaus können wir uns auch noch analoge oder direkte Meldewege vorstellen, wie zum Beispiel eine Telefonnummer oder eben einen Brief oder man hat vielleicht auch einfach einen Briefkasten, wo Hinweise eingeworfen werden können.

Diese Dinge haben dann natürlich zumindest für denjenigen, der den Hinweis gegeben hat, so ein bisschen das Manko, dass sie nicht nachfolgen können, wo befindet sich der Prozess gerade.

Das ist eben ein Feature dieser digitalen Systeme, die einem da die Möglichkeit bieten, das dort alles so richtig zu managen oder verwalten. Gibt es bestimmt auch interessante Lösungen. Mal sehen, wie erfolgreich die jetzt aktuell werden und wie erfolgreich sie dann in Zukunft sind, je nachdem, wie sich das mit den Gesetzen entwickelt.

Ich denke, mit den Informationen, die du mir jetzt auch nochmal gegeben hast, Klaus, kommen wir aber zu dem Schluss, dass wir sagen können, vielleicht so ein bisschen Hinweisgeberschutz gleich viel Lärm um nichts, weil im Endeffekt ist ja alles schon da, was ich benötige, wenn ich nur weiß, wie ich es pragmatisch richtig einsetze.

Richtig.

Genau.

Ich kann es auch nochmal ganz kurz ausführen konkret. Klar, mit der Software geht natürlich alles einfacher, wenn sie genau dafür gemacht ist und gut funktioniert.

Da gibt es ja dann auch Lösungen. Aber wie gesagt, man muss einfach gucken, was passiert, wie viele Hinweise bekommt mein Unternehmen. Denn bei 50 Mitarbeitern halte ich es für relativ unwahrscheinlich, dass da viele Hinweise kommen. Außer das Unternehmen ist so am Ende, hat so viele Missstände, dass es am besten gar nicht mehr existieren sollte. Da hat es ganz andere Probleme, als ein Hinweisgebersystem einzurichten.

Also es werden nicht viele Fälle sein.

Es ist genau wie du sagst.

Es gibt den DSB, der ist ein sehr guter Ansprechpartner dafür als Zweitfunktion sozusagen, die ja quasi der als DSB mehr oder weniger schon entspricht auch.

Als Hinweisgeberschützer nennen wir es mal.

Und der kann natürlich auch eigene Aufzeichnungen anstellen, wann ein Hinweis eingegangen ist und das dann auch melden an die Person und sicherstellen, dass die Frist eingehalten wird für eine Antwort.

Und der muss ja sowieso jeden Hinweis manuell bearbeiten. Egal, ob ich vorne dran eine Software habe oder nicht.

Eben. Gut.

Also ich hoffe, dass die Zuhörer, die uns heute gelauscht haben, davon mitgenommen haben, es ist gar nicht so dramatisch, wie es überall dargestellt wird.

Und nur weil viele Leute mit Softwarelösungen winken, heißt das nicht unbedingt, dass das die Paradelösung ist, nur weil sie sagen, sie würden es vereinfachen. Manchmal ist ein Blick in andere Gesetzgebungen und Sachlagen schon ausreichend, um herauszufinden, dass man vielleicht gar kein zusätzliches Invest braucht. Ich sage aber bewusst vielleicht.

Ihr müsst das natürlich alle für euch selber genau abchecken.

Das ist jetzt hier kein Freifahrtschein, dass ihr euch nicht drum kümmern sollt. Im Gegenteil, kümmert euch, aber informiert euch vernünftig und hoffentlich hat euch diese Folge ein bisschen dafür geholfen. Klaus, ich danke dir ganz herzlich für diese Informationen. Ich habe auch wieder nochmal eine Menge gelernt über diese Zusammenhänge, bin aber auch sehr froh, dass unsere beide Einschätzungen doch eigentlich sehr nah beieinander ist.

Ja, Stephan, hat mich auch sehr gefreut.

Du hast sehr gute Impulse gegeben. Ich will vielleicht abschließen mit dem Prinzip simple stupid, also halt es einfach, Blödmann, oder halt es einfach. Ich möchte mal den deutschen Satz zitieren, Mobilfunkanbieterwerbung von früher, weil einfach, einfach, einfach ist.

Wie gesagt, einfach starten und dann gucken, wie weit man damit kommt und dann kann man den nächsten Schritt gehen, wenn nötig.

Absolut cool. Ich hoffe, das nehmen alle so auch mit und dann sage ich Tschüss und noch einen schönen restlichen Valentinstag euch allen. Wünsche ich auch. Tschüss.

Das war Datenschutz Deluxe.

Du willst mehr spannende Themen oder Kontakt zu uns? Dann besuche Klaus Meffert auf seinem Blog Dr. DSGVO und Stephan Plesnik auf seinem YouTube-Kanal Datenschutz ist Pflicht.

Bis zum nächsten Mal.