Auslagerung der Meldestelle
Die Auslagerung der Meldestelle bezeichnet die Übertragung des Betriebs der internen Meldestelle auf einen externen Dritten, etwa eine Kanzlei, Ombudsperson oder einen spezialisierten Dienstleister, wobei die rechtliche Verantwortung beim Beschäftigungsgeber verbleibt.
Die Auslagerung der Meldestelle ist nach § 14 Abs. 1 HinSchG ausdrücklich zulässig: Der Beschäftigungsgeber kann mit dem Betrieb der internen Meldestelle einen Dritten betrauen. Als externe Dritte kommen insbesondere Rechtsanwaltskanzleien, externe Ombudspersonen, spezialisierte Compliance-Dienstleister oder Anbieter digitaler Hinweisgebersysteme in Betracht. Die Auslagerung ist für kleinere und mittlere Unternehmen häufig wirtschaftlich sinnvoll, weil der Aufbau interner Kapazitäten, die fachliche Schulung der Bearbeiter und die Sicherstellung der erforderlichen Unabhängigkeit mit erheblichem Aufwand verbunden sind.
Trotz der Übertragung des operativen Betriebs bleibt der Beschäftigungsgeber für die Einhaltung der Pflichten des HinSchG verantwortlich (§ 14 Abs. 1 Satz 2 HinSchG). Die Auslagerung entbindet das Unternehmen weder von der Verpflichtung, geeignete Folgemaßnahmen zu ergreifen, noch von der Wahrung des Vertraulichkeitsgebots oder der Einhaltung der Sieben-Tage- und Drei-Monats-Fristen. Der externe Dritte muss dieselben Anforderungen an Unabhängigkeit, Vertraulichkeit und fachliche Eignung erfüllen wie eine interne beauftragte Person. Die vertragliche Ausgestaltung sollte Zuständigkeiten, Eskalationswege, Datenschutzregelungen und die Schnittstelle zur internen Entscheidung über Folgemaßnahmen präzise festlegen.
Datenschutzrechtlich ist die Auslagerung regelmäßig als Auftragsverarbeitung nach Art. 28 DSGVO einzuordnen, sodass ein Auftragsverarbeitungsvertrag erforderlich ist; je nach konkreter Aufgabenverteilung kann auch eine gemeinsame Verantwortlichkeit oder eine eigenständige Verantwortlichkeit des Dritten in Betracht kommen. Für Unternehmen mit 50 bis 249 Beschäftigten erlaubt § 14 Abs. 2 HinSchG zudem den Betrieb einer gemeinsamen Meldestelle mehrerer Unternehmen, was eine besondere Form der ressourcenschonenden Bündelung darstellt. Maßgeblich bleibt in jedem Fall, dass die ausgelagerte Stelle organisatorisch so eingebunden ist, dass Hinweisgebende geschützt und Meldungen ordnungsgemäß bearbeitet werden.
Rechtliche Grundlage
§ 14 HinSchG; § 13 HinSchG; Art. 28 DSGVO
Praxisbeispiel
Ein Maschinenbauunternehmen mit 140 Beschäftigten verfügt über keine eigene Compliance-Abteilung. Die Geschäftsführung entscheidet sich, den Betrieb der internen Meldestelle an eine spezialisierte Kanzlei als externe Ombudsperson auszulagern. Im Vertrag werden die Entgegennahme und Bestätigung von Meldungen, die Plausibilitätsprüfung sowie der Kontakt zur hinweisgebenden Person der Kanzlei übertragen; die Entscheidung über konkrete Folgemaßnahmen wie eine interne Untersuchung verbleibt beim Unternehmen. Ergänzend wird ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen. So erfüllt das Unternehmen seine gesetzliche Pflicht zur Einrichtung einer internen Meldestelle, ohne eigene Kapazitäten aufbauen zu müssen, und stellt zugleich die erforderliche Unabhängigkeit und Vertraulichkeit sicher.
Häufige Fragen
So unterstützt preeco Sie
Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.
Mehr erfahren