Tipps

Die EU Whistleblowing Richtlinie - Neue Hinweisgeberpflichten für Unternehmen

27.01.2023

Was sind Whistleblower?

Whistleblower sind natürliche Personen, die Rechtsverstöße in einem Unternehmen aufdecken. Auf Deutsch werden sie Hinweisgeber genannt. Durch bekannte Whistleblower wie Edward Snowden sind sie in die Wahrnehmung der Öffentlichkeit getreten.

Obwohl sie gesellschaftlich wünschenswert handeln, sind Whistleblower vielen Benachteiligungen ausgesetzt: Werden Missstände aufgedeckt, drohen Repressalien von Benachteiligungen am Arbeitsplatz bis Kündigungen. Teilweise greifen Whistleblower im Rahmen ihrer Aufdeckungen auch auf vertrauliche Informationen aus ihrem Arbeitsverhältnis zurück und verletzen so Pflichten aus dem Arbeitsvertrag.

Die wichtigsten Inhalte der Whistleblower-Richtlinie

Die Whistleblower-Richtlinie setzt diesen Repressalien Grenzen. Sie schreibt vor, dass Unternehmen für Meldungen von Rechtsverstößen interne Meldekanäle aufsetzen müssen. Diese Kanäle sind u.a. für Meldungen aus Bereichen öffentliches Auftragswesen, Finanzdienstleistungen, Produktsicherheit und Datenschutz vorgesehen. Wenn Arbeitnehmer einen internen Kanal zur Meldung nutzen, dürfen Unternehmen keine Repressalien ergreifen.

Der interne Kanal muss sicher ausgestaltet sein und die Anonymität des Hinweisgebers im Verfahren wahren. Nur sehr wenige Mitarbeiter, die eintreffende Hinweise bearbeiten, dürfen Zugriff auf die Informationen nehmen. Ihre Experten von heyData geben gern Hinweise bei der Wahl des richtigen Systems!

Wenn Unternehmen eine Meldung erhalten müssen sie zwei Fristen streng einhalten. Erstens ist innerhalb von sieben Tagen der Eingang der Meldung zu bestätigen. Zweitens hat das Unternehmen drei Monate Zeit eine inhaltliche Rückmeldung zu geben. Nur in zu begründenden Ausnahmefällen kommt eine Fristverlängerung in Betracht.

heyData-Tipp: Behalten Sie diese Fristen genau im Blick! Am besten Sie tracken die Fristen elektronisch, um sie nicht zu verpassen.

Zusätzlich schreibt die Whistleblower-Richtlinie vor, dass der Staat externe Meldekanäle einzurichten hat. Diese stehen parallel neben internen Meldekanälen und können ebenso zur Meldung von Verstößen zum Einsatz kommen.

Für diese Unternehmen gilt die Whistleblower-Richtlinie

Die Richtlinie findet ab 17. Dezember 2021 zunächst auf Unternehmen ab 250 Mitarbeitern Anwendung. Diese sollten ab diesem Datum interne Meldekanäle vorhalten. Ab 2023 sind dann zusätzlich Unternehmen mit mindestens 50 Mitarbeitern verpflichtet, ein Meldesystem einzurichten.

Die Umsetzung der Whistleblower-Richtlinie in Deutschland

Als EU-Richtlinie müssen die Regelungen noch in deutsches Recht umgesetzt werden, um voll Anwendung zu finden. Das wird nicht rechtzeitig geschehen. Unklar sind die Folgen der Verzögerung. Es ist wahrscheinlich, dass der Schutz für Mitarbeiter bereits ab 17. Dezember 2021 gilt: Melden sie Rechtsverstöße in Unternehmen direkt an Behörden, weil keine internen Meldekanäle vorhanden sind, dürfen sie nicht abgemahnt oder gekündigt werden.

Empfehlung von heyData: Wir empfehlen deshalb die Richtlinie bereits vor ihrer Umsetzung zu befolgen und rechtzeitig ein internes Meldesystem einzurichten.

Nach Verabschiedung eines deutschen Umsetzungsgesetzes werden zusätzlich Bußgelder für Unternehmen drohen, die kein internes Meldesystem einrichten.

Schaut euch hierzu auch heyDatas neuestes Produkt mattersOut an, das neben einem digitalen Compliance Verfahren zur Einhaltung gesetzlicher Standards auch viele weitere Vorteile, unter anderem für eure Mitarbeitenden, bereithält.

Welche Folgen hat das für den Datenschutz?

Wichtig ist die Whistleblower-Richtlinie schon deshalb, weil Datenschutz ein Rechtsbereich ist, für den Whistleblower Rechtsverstöße melden können. Die Richtlinie ist also ein weiterer Grund, warum Unternehmen Datenschutzvorgaben einhalten sollten. Sie wird dazu führen, dass Datenschutzverstöße weiter in den Fokus der Öffentlichkeit rücken.

Gleichzeitig spielt der Datenschutz bei der Umsetzung der Systeme eine Rolle:

  • Hinweisgebersysteme müssen technisch so konzipiert sein, dass sie die Vertraulichkeit und insbesondere die Identität des Hinweisgebers wahren.
  • Nur diejenigen Mitarbeiter, die die Meldungen bearbeiten, dürfen Zugriff auf sie haben. Sie sind auf strenge Vertraulichkeit zu verpflichten.
  • Da bei der Umsetzung in einem technischen System personenbezogene Daten verarbeitet werden, sind die Mitarbeiter nach allgemeinen Datenschutzvorgaben darüber zu informieren.
  • Bei der Einrichtungen sind die Vorgaben der Datenminimierung aus Art. 5 DSGVO zu beachten. Gerade ein Hinweisgebersystem sollte technisch nur die absolut erforderlichen personenbezogenen Daten verarbeiten.

Wenn ihr zu den neuen Hinweisgeber-Pflichten Fragen habt, helfen euch gern eure Datenschutzexperten von heyData weiter. Informiert euch über unser Produkt mattersOut, das bei Umsetzung der Richtlinie hilft oder meldet euch direkt bei uns via mattersout@heydata.eu

 


Über den Autor

Weitere Artikel

Technical and organizational measures (TOMs)

Technische und Organisatorische Maßnahmen

Technische und organisatorische Maßnahmen (TOMs) sind entscheidende Leitlinien der DSGVO zum Schutz personenbezogener Daten. Sie umfassen digitale Aspekte wie Benutzerkonten, Backups und Firewalls und sollten von der Datensammlung an dokumentiert werden, um den branchenspezifischen Anforderungen gerecht zu werden. TOMs umfassen technische und organisatorische Maßnahmen, einschließlich Zugangskontrolle und Datenverschlüsselung, die auf spezifische Kontrollkategorien zugeschnitten sind. Artikel 32 (1) der DSGVO schreibt vor, Technologie und Risiken zu berücksichtigen, um Datenresilienz und -sicherheit zu gewährleisten. Die Priorisierung von TOMs trägt dazu bei, personenbezogene Daten zu schützen und die Einhaltung der DSGVO-Vorschriften im Falle von Verstößen nachzuweisen.

Mehr erfahren

Was hat es mit dem Artikel 13 DSGVO der EU auf sich?

Um für Betroffene gewisse Informationsrechte abzusichern, ist besonders der Artikel 13 der DSGVO zu beachten, da dieser die gegebenen Informationsrechte, wenn eine Erhebung von personenbezogenen Daten stattfindet, regelt.

Mehr erfahren
5 Schritte zur Datenschutzkonformität

5 Schritte, wie man zur perfekten Datenschutzkonformität gelangt

In der digitalen Welt sind Datenschutz und DSGVO-Compliance für Start-ups von höchster Bedeutung. Unsere Webseite bietet eine umfassende Einführung in die DSGVO und unterstützt dich dabei, von Anfang an datenschutzkonform zu agieren, um kostspielige Anpassungen und Bußgelder zu vermeiden. Wir erklären, wann ein Datenschutzbeauftragter notwendig ist und ob interne oder externe Experten die bessere Wahl sind. Zusätzlich erfährst du, wie du bei Kaltakquise und Newsletter-Marketing die Zustimmung der Kunden dokumentierst. Die korrekte Verarbeitung und Weitergabe von personenbezogenen Daten, insbesondere Mitarbeiter- und Bewerberdaten, wird erläutert. Zudem zeigen wir, wie du eine datenschutzkonforme Online-Präsenz gestaltest, inklusive Datenschutzerklärung, Cookie-Banner und Impressum. Nutze unsere Ressourcen, um ein starkes Datenschutzfundament zu legen und langfristigen Erfolg zu sichern.

Mehr erfahren

Lerne jetzt unverbindlich unser Team kennen!

Kontakt aufnehmen