Die EU Whistleblowing Richtlinie - Neue Hinweisgeberpflichten für Unternehmen
Was sind Whistleblower?
Whistleblower sind natürliche Personen, die Rechtsverstöße in einem Unternehmen aufdecken. Auf Deutsch werden sie Hinweisgeber genannt. Durch bekannte Whistleblower wie Edward Snowden sind sie in die Wahrnehmung der Öffentlichkeit getreten.
Obwohl sie gesellschaftlich wünschenswert handeln, sind Whistleblower vielen Benachteiligungen ausgesetzt: Werden Missstände aufgedeckt, drohen Repressalien von Benachteiligungen am Arbeitsplatz bis Kündigungen. Teilweise greifen Whistleblower im Rahmen ihrer Aufdeckungen auch auf vertrauliche Informationen aus ihrem Arbeitsverhältnis zurück und verletzen so Pflichten aus dem Arbeitsvertrag.
Die wichtigsten Inhalte der Whistleblower-Richtlinie
Die Whistleblower-Richtlinie setzt diesen Repressalien Grenzen. Sie schreibt vor, dass Unternehmen für Meldungen von Rechtsverstößen interne Meldekanäle aufsetzen müssen. Diese Kanäle sind u.a. für Meldungen aus Bereichen öffentliches Auftragswesen, Finanzdienstleistungen, Produktsicherheit und Datenschutz vorgesehen. Wenn Arbeitnehmer einen internen Kanal zur Meldung nutzen, dürfen Unternehmen keine Repressalien ergreifen.
Der interne Kanal muss sicher ausgestaltet sein und die Anonymität des Hinweisgebers im Verfahren wahren. Nur sehr wenige Mitarbeiter, die eintreffende Hinweise bearbeiten, dürfen Zugriff auf die Informationen nehmen. Ihre Experten von heyData geben gern Hinweise bei der Wahl des richtigen Systems!
Wenn Unternehmen eine Meldung erhalten müssen sie zwei Fristen streng einhalten. Erstens ist innerhalb von sieben Tagen der Eingang der Meldung zu bestätigen. Zweitens hat das Unternehmen drei Monate Zeit eine inhaltliche Rückmeldung zu geben. Nur in zu begründenden Ausnahmefällen kommt eine Fristverlängerung in Betracht.
heyData-Tipp: Behalten Sie diese Fristen genau im Blick! Am besten Sie tracken die Fristen elektronisch, um sie nicht zu verpassen.
Zusätzlich schreibt die Whistleblower-Richtlinie vor, dass der Staat externe Meldekanäle einzurichten hat. Diese stehen parallel neben internen Meldekanälen und können ebenso zur Meldung von Verstößen zum Einsatz kommen.
Für diese Unternehmen gilt die Whistleblower-Richtlinie
Die Richtlinie findet ab 17. Dezember 2021 zunächst auf Unternehmen ab 250 Mitarbeitern Anwendung. Diese sollten ab diesem Datum interne Meldekanäle vorhalten. Ab 2023 sind dann zusätzlich Unternehmen mit mindestens 50 Mitarbeitern verpflichtet, ein Meldesystem einzurichten.
Die Umsetzung der Whistleblower-Richtlinie in Deutschland
Als EU-Richtlinie müssen die Regelungen noch in deutsches Recht umgesetzt werden, um voll Anwendung zu finden. Das wird nicht rechtzeitig geschehen. Unklar sind die Folgen der Verzögerung. Es ist wahrscheinlich, dass der Schutz für Mitarbeiter bereits ab 17. Dezember 2021 gilt: Melden sie Rechtsverstöße in Unternehmen direkt an Behörden, weil keine internen Meldekanäle vorhanden sind, dürfen sie nicht abgemahnt oder gekündigt werden.
Empfehlung von heyData: Wir empfehlen deshalb die Richtlinie bereits vor ihrer Umsetzung zu befolgen und rechtzeitig ein internes Meldesystem einzurichten.
Nach Verabschiedung eines deutschen Umsetzungsgesetzes werden zusätzlich Bußgelder für Unternehmen drohen, die kein internes Meldesystem einrichten.
Schaut euch hierzu auch heyDatas neuestes Produkt mattersOut an, das neben einem digitalen Compliance Verfahren zur Einhaltung gesetzlicher Standards auch viele weitere Vorteile, unter anderem für eure Mitarbeitenden, bereithält.
Welche Folgen hat das für den Datenschutz?
Wichtig ist die Whistleblower-Richtlinie schon deshalb, weil Datenschutz ein Rechtsbereich ist, für den Whistleblower Rechtsverstöße melden können. Die Richtlinie ist also ein weiterer Grund, warum Unternehmen Datenschutzvorgaben einhalten sollten. Sie wird dazu führen, dass Datenschutzverstöße weiter in den Fokus der Öffentlichkeit rücken.
Gleichzeitig spielt der Datenschutz bei der Umsetzung der Systeme eine Rolle:
- Hinweisgebersysteme müssen technisch so konzipiert sein, dass sie die Vertraulichkeit und insbesondere die Identität des Hinweisgebers wahren.
- Nur diejenigen Mitarbeiter, die die Meldungen bearbeiten, dürfen Zugriff auf sie haben. Sie sind auf strenge Vertraulichkeit zu verpflichten.
- Da bei der Umsetzung in einem technischen System personenbezogene Daten verarbeitet werden, sind die Mitarbeiter nach allgemeinen Datenschutzvorgaben darüber zu informieren.
- Bei der Einrichtungen sind die Vorgaben der Datenminimierung aus Art. 5 DSGVO zu beachten. Gerade ein Hinweisgebersystem sollte technisch nur die absolut erforderlichen personenbezogenen Daten verarbeiten.
Wenn ihr zu den neuen Hinweisgeber-Pflichten Fragen habt, helfen euch gern eure Datenschutzexperten von heyData weiter. Informiert euch über unser Produkt mattersOut, das bei Umsetzung der Richtlinie hilft oder meldet euch direkt bei uns via mattersout@heydata.eu
Compliance-Newsletter
Abonniere jetzt unseren Newsletter und bleibe informiert über die neuesten Entwicklungen zu Datenschutz, DSGVO, Cybersicherheit und weiteren wichtigen Compliance-Regelungen wie revDSG, NIS 2 und ISO 27001. Erhalte wertvolle Tipps, exklusive Ressourcen und regelmäßigen Zugang zu Webinaren. Verpasse keine wichtigen Neuigkeiten mehr!
Weitere Artikel
Biometrische Daten und DSGVO: Die Balance zwischen Privatsphäre und Fortschritt
Biometrische Daten revolutionieren die Sicherheit und das Benutzererlebnis, aber die Einhaltung der DSGVO ist von entscheidender Bedeutung. In diesem Artikel werden die Herausforderungen beim Umgang mit biometrischen Daten, Lehren aus realen Fällen von Nichteinhaltung und praktische Tipps für die Einhaltung der DSGVO bei gleichzeitiger Nutzung biometrischer Technologie untersucht. Erfahre, wie du Datenschutz und Fortschritt mit Transparenz, sicheren Verfahren und proaktivem Datenmanagement in Einklang bringst. Stelle sicher, dass deine Organisation biometrische Daten verantwortungsbewusst nutzt und Vertrauen aufbaut, ohne Bußgelder zu riskieren.
Mehr erfahren
People & Culture trifft Datenschutz: So funktioniert’s in der Praxis
Bei heyData schützen wir die persönlichen Daten von Bewerber:innen und Mitarbeiter:innen durch zentrale Datenverwaltung, Rechte- und Rollenmanagement und automatisierte Prozesse. Wir nutzen Tools wie Personio und 1Password, um sicherzustellen, dass wir DSGVO-konform bleiben. Unsere Richtlinien umfassen regelmäßige Datenüberprüfungen, automatisierte Löschfristen und strenge Zugangskontrollen. Datenschutz ist ein fortlaufender Prozess, der durch kontinuierliche Schulungen und bewährte Methoden unterstützt wird, um höchste Sicherheitsstandards zu gewährleisten.
Mehr erfahren
Warum Dein Unternehmen einen externen Datenschutzbeauftragten braucht
Im heutigen digitalen Zeitalter ernennen Unternehmen Datenschutzbeauftragte (DSB), um den Datenschutz und die Einhaltung von Vorschriften zu gewährleisten. Interne Datenschutzbeauftragte sind zwar mit den Abläufen im Unternehmen vertraut, ihnen fehlt es aber möglicherweise an Objektivität und umfassender Erfahrung. Externe Datenschutzbeauftragte bieten Vorteile wie Fachwissen, Unparteilichkeit, Kosteneffizienz und umfassende Branchenerfahrung. Sie ermöglichen es, sich auf die Kernfunktionen des Unternehmens zu konzentrieren und durch die Zusammenarbeit mit internen Teams die Einhaltung von Vorschriften zu gewährleisten. Das steigert die Produktivität und die Datensicherheit und macht externe DSB zu einer guten Wahl für Unternehmen.
Mehr erfahren