Tipps

Die EU Whistleblowing Richtlinie - Neue Hinweisgeberpflichten für Unternehmen

27.01.2023

Was sind Whistleblower?

Whistleblower sind natürliche Personen, die Rechtsverstöße in einem Unternehmen aufdecken. Auf Deutsch werden sie Hinweisgeber genannt. Durch bekannte Whistleblower wie Edward Snowden sind sie in die Wahrnehmung der Öffentlichkeit getreten.

Obwohl sie gesellschaftlich wünschenswert handeln, sind Whistleblower vielen Benachteiligungen ausgesetzt: Werden Missstände aufgedeckt, drohen Repressalien von Benachteiligungen am Arbeitsplatz bis Kündigungen. Teilweise greifen Whistleblower im Rahmen ihrer Aufdeckungen auch auf vertrauliche Informationen aus ihrem Arbeitsverhältnis zurück und verletzen so Pflichten aus dem Arbeitsvertrag.

Die wichtigsten Inhalte der Whistleblower-Richtlinie

Die Whistleblower-Richtlinie setzt diesen Repressalien Grenzen. Sie schreibt vor, dass Unternehmen für Meldungen von Rechtsverstößen interne Meldekanäle aufsetzen müssen. Diese Kanäle sind u.a. für Meldungen aus Bereichen öffentliches Auftragswesen, Finanzdienstleistungen, Produktsicherheit und Datenschutz vorgesehen. Wenn Arbeitnehmer einen internen Kanal zur Meldung nutzen, dürfen Unternehmen keine Repressalien ergreifen.

Der interne Kanal muss sicher ausgestaltet sein und die Anonymität des Hinweisgebers im Verfahren wahren. Nur sehr wenige Mitarbeiter, die eintreffende Hinweise bearbeiten, dürfen Zugriff auf die Informationen nehmen. Ihre Experten von heyData geben gern Hinweise bei der Wahl des richtigen Systems!

Wenn Unternehmen eine Meldung erhalten müssen sie zwei Fristen streng einhalten. Erstens ist innerhalb von sieben Tagen der Eingang der Meldung zu bestätigen. Zweitens hat das Unternehmen drei Monate Zeit eine inhaltliche Rückmeldung zu geben. Nur in zu begründenden Ausnahmefällen kommt eine Fristverlängerung in Betracht.

heyData-Tipp: Behalten Sie diese Fristen genau im Blick! Am besten Sie tracken die Fristen elektronisch, um sie nicht zu verpassen.

Zusätzlich schreibt die Whistleblower-Richtlinie vor, dass der Staat externe Meldekanäle einzurichten hat. Diese stehen parallel neben internen Meldekanälen und können ebenso zur Meldung von Verstößen zum Einsatz kommen.

Für diese Unternehmen gilt die Whistleblower-Richtlinie

Die Richtlinie findet ab 17. Dezember 2021 zunächst auf Unternehmen ab 250 Mitarbeitern Anwendung. Diese sollten ab diesem Datum interne Meldekanäle vorhalten. Ab 2023 sind dann zusätzlich Unternehmen mit mindestens 50 Mitarbeitern verpflichtet, ein Meldesystem einzurichten.

Die Umsetzung der Whistleblower-Richtlinie in Deutschland

Als EU-Richtlinie müssen die Regelungen noch in deutsches Recht umgesetzt werden, um voll Anwendung zu finden. Das wird nicht rechtzeitig geschehen. Unklar sind die Folgen der Verzögerung. Es ist wahrscheinlich, dass der Schutz für Mitarbeiter bereits ab 17. Dezember 2021 gilt: Melden sie Rechtsverstöße in Unternehmen direkt an Behörden, weil keine internen Meldekanäle vorhanden sind, dürfen sie nicht abgemahnt oder gekündigt werden.

Empfehlung von heyData: Wir empfehlen deshalb die Richtlinie bereits vor ihrer Umsetzung zu befolgen und rechtzeitig ein internes Meldesystem einzurichten.

Nach Verabschiedung eines deutschen Umsetzungsgesetzes werden zusätzlich Bußgelder für Unternehmen drohen, die kein internes Meldesystem einrichten.

Schaut euch hierzu auch heyDatas neuestes Produkt mattersOut an, das neben einem digitalen Compliance Verfahren zur Einhaltung gesetzlicher Standards auch viele weitere Vorteile, unter anderem für eure Mitarbeitenden, bereithält.

Welche Folgen hat das für den Datenschutz?

Wichtig ist die Whistleblower-Richtlinie schon deshalb, weil Datenschutz ein Rechtsbereich ist, für den Whistleblower Rechtsverstöße melden können. Die Richtlinie ist also ein weiterer Grund, warum Unternehmen Datenschutzvorgaben einhalten sollten. Sie wird dazu führen, dass Datenschutzverstöße weiter in den Fokus der Öffentlichkeit rücken.

Gleichzeitig spielt der Datenschutz bei der Umsetzung der Systeme eine Rolle:

  • Hinweisgebersysteme müssen technisch so konzipiert sein, dass sie die Vertraulichkeit und insbesondere die Identität des Hinweisgebers wahren.
  • Nur diejenigen Mitarbeiter, die die Meldungen bearbeiten, dürfen Zugriff auf sie haben. Sie sind auf strenge Vertraulichkeit zu verpflichten.
  • Da bei der Umsetzung in einem technischen System personenbezogene Daten verarbeitet werden, sind die Mitarbeiter nach allgemeinen Datenschutzvorgaben darüber zu informieren.
  • Bei der Einrichtungen sind die Vorgaben der Datenminimierung aus Art. 5 DSGVO zu beachten. Gerade ein Hinweisgebersystem sollte technisch nur die absolut erforderlichen personenbezogenen Daten verarbeiten.

Wenn ihr zu den neuen Hinweisgeber-Pflichten Fragen habt, helfen euch gern eure Datenschutzexperten von heyData weiter. Informiert euch über unser Produkt mattersOut, das bei Umsetzung der Richtlinie hilft oder meldet euch direkt bei uns via mattersout@heydata.eu

 


Über den Autor

Weitere Artikel

Warum ihr eine Sicherheitsrisikobewertung für euer Unternehmen braucht

Eine Sicherheitsrisikobewertung kann euch dabei helfen, Schwachstellen in euren Systemen zu erkennen und Schutzmaßnahmen zu ergreifen, um euer Unternehmen zu schützen. Im Folgenden erfahrt ihr, warum ihr eine solche Bewertung benötigt.

Mehr erfahren
Personenbezogene Daten

Personenbezogene Daten und die DSGVO

Was sind personenbezogene Daten und wie geht man datenschutzkonform mit diesen um?

Mehr erfahren

Die EU Whistleblowing Richtlinie - Neue Hinweisgeberpflichten für Unternehmen

Am 17. Dezember 2021 tritt in der EU die Whistleblower-Richtlinie in Kraft. Höchste Zeit für kleine und mittlere Unternehmen die Auswirkungen der Richtlinie in den Blick zu nehmen! Wir geben einen Überblick, was die Whistleblower-Richtlinie für Unternehmen bedeutet:

Mehr erfahren

Lerne jetzt unverbindlich unser Team kennen!

Kontakt aufnehmen