News-Logo CertLex

Das kommende Hinweisgeberschutzgesetz (HinSchG)

Das kommende Hinweisgeberschutzgesetz (HinSchG)

 

Das kommende Hinweisgeberschutzgesetz (HinSchG)


Adressatenkreis: Unternehmen mit mehr als 50 Beschäftigten

Am 23. Oktober 2019 verabschiedete die Europäische Union die Whistleblower-Richtlinie (EU- Direktive 2019/1937). Ziel der Richtlinie ist es Hinweisgebern, sog. „Whistleblowern“, Schutz vor negativen Konsequenzen zu verschaffen, wenn sie Missstände in Unternehmen melden. Damit einhergehend sollen Verstöße gegen EU-Recht besser aufgedeckt und die Rechtsdurchsetzung durch sichere und vertrauliche Meldesysteme (Whistleblowing-Systeme) optimiert werden. Die Umsetzung der Richtlinie in nationales Recht sollte eigentlich bis zum 17. Dezember 2021 in Form des Hinweisgeberschutzgesetzes erfolgen.

Das Bundesministerium der Justiz und für Verbraucherschutz (BMJ) legte bereits im November 2020 einen Referentenentwurf für das Hinweisgeberschutzgesetz vor, dem aller Voraussicht nach ohne große Änderungen zugestimmt werden wird. Diesem ist zu entnehmen, dass gemäß § 12 Abs. 2 HinSchG Unternehmen mit mehr als 50 Beschäftigten von dem Gesetz betroffen sein werden. Für Unternehmen mit weniger als 250 Beschäftigten wird es eine Übergangsfrist von zwei Jahren für die Umsetzung der Regelungen geben. Für einige Unternehmen gelten die Regelungen unabhängig von der Zahl der Beschäftigten, diese sind in § 12 Abs. 3 HinSchG aufgelistet. Unternehmen mit mehr als 250 Beschäftigten sind unabhängig davon, wann das Gesetz in Kraft tritt, unmittelbar von der Richtlinie betroffen und müssen seit dem 17. Dezember 2021 ein Whistleblower-System eingerichtet haben.

Hintergrund: Whistleblower tragen einen ausschlaggebenden Teil zum Erhalt einer transparenten und fairen Gesellschaft bei. Es kommt jedoch häufig zu negativen Konsequenzen und Repressalien für Personen, die Missstände und Verstöße in Bezug auf EU-Recht innerhalb von Unternehmensstrukturen aufdecken und melden. Häufige Verstöße stellen hierbei bspw. Geldwäsche und Steuerbetrug dar. Aber auch in Bezug auf die Produkt- und Verkehrssicherheit, den Umweltschutz, die öffentliche Gesundheit sowie in Hinblick auf Verbraucher- und Datenschutz kommt es oftmals zu Zuwiderhandlungen. Die Whistleblower werden bislang häufig für ihren Mut gestraft, indem es zu Degradierungen, Versetzungen bis hin zu Kündigungen durch betroffene Unternehmen kommt. Das Hinweisgeberschutzgesetz soll dem entgegenwirken und verhindern, dass Hinweisgeber weder zivil-, straf- noch verwaltungsrechtlich hinsichtlich ihrer Beschäftigung haftbar gemacht werden können.

Das geplante Hinweisgeberschutzgesetz wird über die Mindestanforderungen der Whistleblower-Richtlinie hinausgehen. Dies wurde auch noch einmal dadurch bestätigt, dass sich die Ampel-Parteien im Koalitionsvertrag darauf einigten, mit dem Gesetz nicht nur bei Meldungen von Verstößen gegen das EU-Recht Schutz für Whistleblower zu bieten, sondern auch bei Hinweisen bezüglich gravierender Verstöße gegen Vorschriften oder anderem erheblichen Fehlverhalten, wenn die Aufdeckung im besonderen öffentlichen Interesse liegt.

Der Referentenentwurf sowie die Whistleblower-Richtlinie sehen zwei gleichrangige Meldekanäle, einen internen und einen externen, für Whistleblower vor. Hinweisgeber sollen die Wahl haben, welchen Meldekanal sie nutzen. Allerdings sollen Arbeitgeber und Dienststellen Anreize dafür schaffen, dass sich Hinweisgeber zunächst an eine interne Meldestelle wenden (§ 7 HinSchG).

Die interne Meldestelle wird eingerichtet, indem eine beim Arbeitgeber oder der Dienststelle beschäftigte Person, eine Organisationseinheit oder eine dritte Person mit den entsprechenden Aufgaben betraut wird (§ 14 Abs. 1 HinSchG). Die betraute Person arbeitet unabhängig in Bezug auf diese Tätigkeit. Der Arbeitgeber hat dafür Sorge zu tragen, dass es durch andere Aufgaben, der die Person nachgeht, zu keinem Interessenkonflikt kommt und dass die beauftrage Person regelmäßig für diese Aufgabe geschult wird (§ 15 HinSchG). Der interne Meldekanal kann über ein E-Mail-Postfach, Hotlines oder auch postalisch eingerichtet werden. Das genaue Verfahren, der zeitliche Rahmen und zu ergreifende Folgemaßnahmen bei einer internen Meldung sind in §§ 17 und 18 HinSchG festgehalten. Unter anderem muss die interne Meldestelle den Eingang einer Meldung nach maximal sieben Tagen gegenüber dem Hinweisgeber bestätigen und mit diesem Kontakt halten. Die Glaubwürdigkeit der Meldung muss überprüft werden, gegebenenfalls weitere Informationen beim Hinweisgeber eingeholt und entsprechende Folgemaßnahmen eingeleitet werden. Nach drei Monaten muss eine Mitteilung an den Hinweisgeber erfolgt sein, die die geplanten und bereits erfolgten Maßnahmen und eine Begründung für diese enthält.

§ 19 bis 22 Hinweisgeberschutzgesetz befassen sich mit der Errichtung und Zuständigkeit externer Meldestellen. Der Bund wird diese beim Bundesbeauftragen für Datenschutz und Informationsfreiheit errichten. Den Ländern wird es freigestellt eine eigene externe Meldestelle einzurichten. Für Meldungen zu Verstößen gegen Buchführungsregeln, Aktionärsrechte und ähnliche Rechtsbereiche wird die Bundesanstalt für Finanzdienstleistungsaufsicht als externe Meldestelle fungieren. §§ 23 ff. definieren die Aufgaben, Berichtspflichten sowie das Verfahren und Folgemaßnahmen bei externen Meldungen.

Wann genau es zur Veröffentlichung des Hinweisgeberschutzgesetzes kommt, ist unklar. Betroffene Unternehmen sollten jedoch lieber früher als später anfangen zu handeln, falls sie noch kein Whistleblowing-System eingerichtet haben.

Wir unterstützen Sie gern bei der Erarbeitung eines rechtssicheren Whistleblowing-Systems für Ihr Unternehmen!

Sie wollen über Rechtsänderungen informiert werden und praxisbezogene Erläuterungen erhalten? Dann nutzen Sie unser Online Rechtsinformations-System CertLex. Von unseren Beratern wird Ihnen zunächst ein individualisiertes Rechtskataster erstellt. Anschließend werden Sie monatlich über Änderungen informiert.

Klicken Sie hier, wenn Sie Interesse haben, CertLex kostenlos zu testen.

Das könnte Sie auch interessieren

Änderung sechs abfallrechtlicher Verordnungen Adressatenkreis: Entsorgungsträger, Erzeuger, Behandler und Besitzer von (verpackten) Bioabfällen, Gemischhersteller, Hersteller von biologisch abbaubaren Kunststoff-Sammelbeuteln; Zertifizierte ... Weiterlesen
Das Gasspeichergesetz – Einführung von Füllstandsvorgaben von Gasspeicheranlagen im EnWG Adressatenkreis: Betreiber von Gasspeicheranlagen und Marktgebietsverantwortliche gem. § 3 Nr ... Weiterlesen
Die Erste Beobachtungsliste der für Wasser für den menschlichen Gebrauch bedenklichen Stoffe und Verbindungen Adressaten: Mitgliedsstaaten und Wasserversorger gem. Art ... Weiterlesen
EU-Taxonomie – Definition nachhaltiger Wirtschaftstätigkeiten Auf Grundlage des „Green Deal“ der EU aus dem Jahr 2019, ist am 12. Juli ... Weiterlesen

Wichtige Neuerungen, interessante News, informative Artikel – mit unserem Newsletter bleiben Sie immer auf dem Laufenden!

 

Jetzt Newsletter abonnieren

 

Letzte News

Arbeitsschutz

/
Im Rahmen der Umsetzung der „Arbeitsbedingungenrichtlinie“ (Richtlinie (EU) 2019/1152) ist ... mehr
/
Adressatenkreis: Unternehmen der handels- und energieintensiven Branchen nach Anhang 1 ... mehr
/
Adressatenkreis: Entsorgungsträger, Erzeuger, Behandler und Besitzer von (verpackten) Bioabfällen, Gemischhersteller, ... mehr
/
Adressatenkreis: Betreiber von Gasspeicheranlagen und Marktgebietsverantwortliche gem. § 3 Nr ... mehr
News-Logo CertLex

Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (2. ITSiG)

Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (2. ITSiG)

Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (2. ITSiG)


Adressatenkreis: Betreiber von kritischen Infrastrukturen (gemäß BSI-Kritisverordnung), Anbieter von Telekommunikationsdiensten bzw. Datenverarbeitungssystemen, Anbieter von Telemediendiensten und Unternehmen von besonderem öffentlichen Interesse (nach § 2 Abs. 14 BSIG).

Der nach zahlreichen vorhergegangen Referentenentwürfen am 16. Dezember 2020 beschlossene „Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“ ist am 28. Mai 2021 in Kraft getreten. Damit einhergehend kommt es zu Änderungen in verschiedenen Gesetzen. Betroffen sind das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), das Telekommunikationsgesetz (TGK), das Energiewirtschaftsgesetz (EnWG), die Außenwirtschaftsverordnung (AWV) sowie das Zehnte Buch Sozialgesetzbuch (SGB X). Mit dem 2. ITSiG soll die Informationssicherheit optimiert und neue Maßstäbe bezüglich der Abwehr von Cyberangriffen gesetzt werden.

Hintergrund: Richtungsweisend für das 2. ITSiG ist die 2014 vom Bundeskabinett beschlossene „Digitale Agenda der Bundesregierung“ und die „Neue Cyber-Sicherheitsstrategie für Deutschland“ aus dem Jahre 2016. Erstere bildete die Grundlage für das erste ITSiG von 2015, betont erstmals die Notwendigkeit des Schutzes und der Sicherheit von VerbraucherInnen und Unternehmen und definiert Leitlinien und Anforderungen zur Erhöhung der Sicherheit informationstechnischer Systeme. Aufgrund zunehmender Bedrohung auf Informationstechnischer Ebene, bspw. durch Hackerangriffe, legte Horst Seehofer Ende 2020 die Novellierung des ITSiG vor, welche zur Verbesserung der Cybersicherheit beschlossen wurde.

Innerhalb des BSIG kommt es zu den meisten Änderungen, welche schwerpunktmäßig die Aufgaben und Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) umfassen. Es kommt zur beträchtlichen Erweiterung des Kompetenzbereichs und zur Einführung neuer Regelungsbereiche. Das BSI kann bspw. durch den neu eingefügten § 5c BSIG in bestimmten Situationen eine Bestandsdatenauskunft (gemäß §§ 95 und 111 BSIG) von geschäftsmäßigen Erbringern und Mitwirkenden von Telekommunikationsdiensten einfordern, um Angriffe auf IT-Systeme herausragender Infrastrukturen und Unternehmen zu verhindern, die aufgrund ihrer gesellschaftlichen Bedeutung besonders schutzwürdig sind. Darüber hinaus erlaubt § 7a Abs. 1 und 2 BSIG dem BSI auf dem Markt bereitgestellte oder geplante informationstechnische Produkte und Systeme zu untersuchen und dafür relevante Auskünfte (bes. technische Details) von IT-Herstellern einzufordern. Die Anordnungsbefugnis des BSI gegenüber Anbietern von Telekommunikations- und Telemediendiensten wird ebenfalls ausgedehnt. Bei Dienstanbietern mit mehr als 100.000 Kunden können Schutzziele zur Abwehr konkreter erheblicher Gefahren angeordnet werden (§ 7c BSIG). Zudem befugt § 7d BSIG das BSI zur Anordnung technischer und organisatorischer Maßnahmen bei unzureichend gesicherten, durch äußere Angriffe gefährdeten Telemedienangeboten.

Erstmals oder nach Wiederinbetriebnahme sind Betreiber kritischer Infrastrukturen (KRITIS) im Sinne des § 10 Abs. 1 BSI-Kritisverordnung u. a. dazu verpflichtet, spätestens bis zum ersten Werktag angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme zu treffen (§ 8a BSIG). Ab dem 1. Mai 2023 umfasst dies auch den Einsatz von Systemen zur Angriffserkennung. Die Erfüllung der Verpflichtung muss dem BSI alle zwei Jahre nachgewiesen werden. Des Weiteren kommt es zu einer unmittelbaren Pflicht zur Registrierung einer KRITIS beim BSI (§ 8b BSIG).

Die Sicherheitsanforderungen und Eingriffsbefugnisse des BSIG werden auf Unternehmen im besonderen öffentlichen Interesse gemäß § 2 Abs. 14 BSIG ausgeweitet. Der neue § 8f BSIG regelt Pflichten dieser Unternehmen, welche jedoch nicht auf Kleinst- und kleine Unternehmen anzuwenden sind und erst nach einer angemessenen Übergangsfrist geltend werden. Dazu gehören bspw. die Vorlage einer Selbsterklärung zur IT-Sicherheit alle zwei Jahre beim BSI und sich bei erster Vorlage dort zu registrieren.

Damit einhergehend wird das EnWG dahingehend geändert, dass die Absätze 1d und 1e in § 11 EnWG eingefügt werden und die neue Pflicht gegenüber Betreibern von KRITIS, Systeme zur Angriffserkennung einzusetzen, ebenfalls für Betreiber von Energieversorgungsnetzen und -anlagen gelten, die gemäß § 10 Abs. 1 BSI-Kritisverordnung als KRITIS eingestuft wurden. Sie werden auch dazu verpflichtet, ab dem 1. Mai 2023 dem BSI alle zwei Jahre einen Nachweis über die Anforderungen nach § 11 Abs. 1e zu erbringen.

Im TKG wird § 109 geändert, welcher die zentrale Vorschrift bezüglich technischer und organisatorischer Schutzmaßnahmen, die von Netzbetreibern und Diensterbringern zu ergreifen sind, darstellt. Maßnahmen verpflichteter Unternehmen hinsichtlich der Auswirkungen von Sicherheitsverletzungen für Nutzer und zusammengeschaltete Netze, umfassen nun auch die Auswirkungen von Sicherheitsverletzungen von Diensten und es besteht künftig eine Zertifizierungsverpflichtung, betreffend kritische Komponenten nach § 2 Abs. 13 BSIG, für Betreiber von öffentlichen Kommunikationsnetzen mit erhöhtem Gefährdungspotenzial gemäß § 109 Abs. 2. Überdies werden Inhalt und Erstellung des Sicherheitskonzepts konkretisiert und ein Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten erstellt. Die Vorgaben des Sicherheitskatalogs treten am 23. Dezember 2021 in Kraft.

Mit dem 2. ITSiG kommt es zu einer erheblichen Stärkung des BSI, was eine deutliche Anhebung der staatlichen Schutzfunktion mit sich bringt sowie zu einer Verschärfung der unternehmerischen Vorsorgepflichten und somit zur Verbesserung des Verbraucherschutzes.

Sie wollen vollständig über das 2. ITSiG und über weitere Rechtsänderungen informiert werden und praxisbezogene Erläuterungen erhalten? Dann nutzen Sie unser Online Rechtsinformations-System CertLex. Von unseren Beratern wird Ihnen zunächst ein individualisiertes Rechtskataster erstellt. Anschließend werden Sie monatlich über Änderungen informiert.

Klicken Sie hier, wenn Sie Interesse haben, CertLex kostenlos zu testen.

Das könnte Sie auch interessieren

Änderung sechs abfallrechtlicher Verordnungen Adressatenkreis: Entsorgungsträger, Erzeuger, Behandler und Besitzer von (verpackten) Bioabfällen, Gemischhersteller, Hersteller von biologisch abbaubaren Kunststoff-Sammelbeuteln; Zertifizierte ... Weiterlesen
Das Gasspeichergesetz – Einführung von Füllstandsvorgaben von Gasspeicheranlagen im EnWG Adressatenkreis: Betreiber von Gasspeicheranlagen und Marktgebietsverantwortliche gem. § 3 Nr ... Weiterlesen
Die Erste Beobachtungsliste der für Wasser für den menschlichen Gebrauch bedenklichen Stoffe und Verbindungen Adressaten: Mitgliedsstaaten und Wasserversorger gem. Art ... Weiterlesen
EU-Taxonomie – Definition nachhaltiger Wirtschaftstätigkeiten Auf Grundlage des „Green Deal“ der EU aus dem Jahr 2019, ist am 12. Juli ... Weiterlesen

Wichtige Neuerungen, interessante News, informative Artikel – mit unserem Newsletter bleiben Sie immer auf dem Laufenden!

Letzte News

Arbeitsschutz

/
Im Rahmen der Umsetzung der „Arbeitsbedingungenrichtlinie“ (Richtlinie (EU) 2019/1152) ist ... mehr
/
Adressatenkreis: Unternehmen der handels- und energieintensiven Branchen nach Anhang 1 ... mehr
/
Adressatenkreis: Entsorgungsträger, Erzeuger, Behandler und Besitzer von (verpackten) Bioabfällen, Gemischhersteller, ... mehr
/
Adressatenkreis: Betreiber von Gasspeicheranlagen und Marktgebietsverantwortliche gem. § 3 Nr ... mehr

Suche

© 2021 CertLex AG

Login