EU-Whistleblowing-Richtlinie: Alle Herausforderungen aus Expertensicht

 

Die Fakten auf einen Blick

  • Am 16. Dezember 2019 trat die EU-Richtlinie 2019/1937 zum Schutz von Hinweisgebern (Whistleblowern) in Kraft.
  • Gemäß dieser Richtlinie müssen alle Unternehmen, öffentliche wie private, mit 50 oder mehr Mitarbeitern in einem Land der Europäischen Union sichere und effektive interne Meldewege entwickeln und einrichten. Außerdem müssen sie Whistleblowern Vertraulichkeit zusichern.
  • Ziel der Whistleblowing-Richtlinie ist es, Hinweisgebern die Möglichkeit zu geben, ihre Anliegen ohne Angst vorzubringen, und ihnen in allen EU-Ländern umfangreichen Schutz zu bieten.

Dr. Frank Schemmel, Senior Director International für Privacy und Compliance bei DataGuard, veranschaulicht im Folgenden, was Whistleblowing für in der EU tätige Unternehmen bedeutet und warum es wichtig ist.

DataGuards Experte erläutert, was sich rund um Whistleblowing und Datenschutz tut und wie Unternehmen vorgehen können, wenn sie eine Meldung erhalten. Außerdem zeigt er auf, wie DataGuard Ihnen dabei helfen kann, Compliance sicherzustellen und die Vorschriften einzuhalten.

 

Das Wichtigste zuerst: Warum sich Unternehmen um Whistleblowing kümmern sollten

Ein Hinweisgebersystem ist unerlässlich für jedes Unternehmen, das eine Kultur der Verantwortlichkeit und Integrität fördern will. Dafür gibt es mehrere Gründe:

1. Es verhindert Fehlverhalten. 

Ein Whistleblowing-System ermöglicht Mitarbeiterinnen und Mitarbeitern, sich intern ohne Angst über Dinge wie Korruption, Machtmissbrauch und Diskriminierung zu beschweren. Das hilft Organisationen dabei, diese Probleme sofort anzupacken. In den meisten Fällen blicken Hinweisgeber als Insider auf die gemeldeten Probleme und kennen das Unternehmen in- und auswendig. Sie können daher aufschlussreiche Details zu den Problemen liefern

2. Es schafft ein sicheres Umfeld für die Belegschaft.

Ein Hauptanliegen von Whistleblowern ist die Vertraulichkeit. Wenn man die Mitarbeiterinnen und Mitarbeiter dazu ermutigt, offen zu kommunizieren, ohne dass Ihre Identität kompromittiert wird, sorgt dies für mehr Engagement und Vertrauen – und kann sogar die Produktivität steigern.

3. Es ermutigt zu Transparenz. 

Ein transparenter Arbeitsplatz stärkt das Vertrauen zwischen Management und Belegschaft. Er vermittelt den Eindruck, dass Mitarbeitende fair geführt und belohnt werden.

Transparenz ist heutzutage unabdingbar, wenn ein Gefühl für Gerechtigkeit am Arbeitsplatz entstehen soll und Probleme effektiv gelöst werden sollen.

Wer muss sich an die Whistleblowing-Richtlinie der EU halten und welche Fristen gibt es?

Die Whistleblowing-Richtlinie gilt für alle Unternehmen, öffentliche wie private, die in der EU tätig sind. Die EU-Mitgliedstaaten hatten ab der Einführung im Jahr 2019 bis Dezember 2021 Zeit, die Whistleblowing-Gesetze durchzusetzen. Bislang ist dies jedoch nur der Hälfte der Mitgliedstaaten gelungen. Da es sich aber „nur“ um eine EU-Richtlinie handelt, ist sie ohne ein entsprechendes nationales Umsetzungsgesetz nicht direkt anwendbar.

Wichtige Termine 

Es gibt zwei wichtige Termine, die Unternehmen beachten müssen; beide hängen von der Größe der Belegschaft ab:

  • Unternehmen und Behörden mit 250 oder mehr Beschäftigten müssen die Richtlinie ab dem Dezember 2021 einhalten.
  • Unternehmen und Behörden mit 50 bis 249 Beschäftigten müssen die Vorschriften bis zum 17. Dezember 2023 erfüllen.

Beachten Sie: Wenn Sie 250 oder mehr Beschäftigte haben, müssen Sie die Vorschriften schon jetzt erfüllen – vorausgesetzt, Sie sind in einem Mitgliedstaat tätig, der ein nationales Whistleblowing-Gesetz eingeführt hat.

Informieren Sie sich detailliert über die Entwicklungen in unserem aktuellen Webinar: Updates zur EU-Whistleblower-Richtlinie

 

Kann Whistleblowing ohne Einhaltung des Datenschutzes erfolgen?

Die Antwort ist ganz einfach: Nein.

Der Datenschutz und das Recht auf Privatsphäre spielen bei Whistleblowing-Verfahren eine zentrale Rolle. Das jeweilige Fallmanagement und die interne Untersuchung hängen davon ab, dass die Daten geschützt werden. Die Einhaltung des Datenschutzes ist also unabdingbar. Bedenken Sie, dass betroffene Personen in Whistleblowing-Fällen ihre Identität wahren wollen und der Schutz ihrer Privatsphäre für sie deshalb von größtem Interesse ist.

Nehmen Sie den Datenschutz ernst! 

Ermittlungsexperten berichten, dass der Schutz der Privatsphäre eine der größten Herausforderungen bei internen Untersuchungen ist. Wenn Sie durch Maßnahmen wie E-Mail-Screening Beweise sammeln wollen, sollten Sie den Datenschutz von Anfang an ernst nehmen. Dies nützt Ihnen auch später, wenn es darum geht, vor Gericht rechtmäßige Beweise zu erbringen.

Was sind typische Datenschutzaufgaben und Rechtsgrundlagen für die Verarbeitung, wenn die Meldung eines Whistleblowers eingeht?

Folgende vier Hauptbereiche sind üblicherweise für den Datenschutz relevant:

  • Rechtsgrundlagen für die Verarbeitung
  • Transparenz-/Informationspflichten
  • Aufbewahrungspflichten und Löschungsfristen
  • Verantwortlichkeiten bei der Verarbeitung

Zunächst müssen Sie wissen, welche Rechtsgrundlage anwendbar ist, und diese darstellen. Wenn Sie Whistleblowing-Systeme einrichten, gibt es zwei rechtliche Grundlagen für die Verarbeitung personenbezogener Daten: die Erfüllung einer rechtlichen Verpflichtung oder ein berechtigtes Interesse.

Ist die Whistleblowing-Richtlinie der EU oder nationales Recht anwendbar, können Sie die Verarbeitung auf Artikel 6 Absatz 1 Nummer 1 Buchstabe c DSGVO stützen - er sagt aus, dass die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, welcher der für die Verarbeitung Verantwortliche unterliegt. Dies gilt in Verbindung mit dem jeweiligen nationalen Whistleblowing-Gesetz.

Ist die Whistleblowing-Richtlinie der EU nicht anwendbar, müssen Sie Ihre Verarbeitung auf ein berechtigtes Interesse stützen. 

In Deutschland gibt es spezielle Rechtsgrundlagen für Angelegenheiten rund um die Beschäftigung (§ 26 Bundesdatenschutzgesetz), aber deren Anwendungsbereich ist eng. Zwischen Arbeitgebern und Betriebsräten könnten außerdem Tarifverträge bestehen, die jedoch für Außenstehende nicht bindend sind. 

Was ist die größte Herausforderung für Whistleblowing und Datenschutz?

Eindeutig: Transparenz- und Informationspflichten.

Die Rechts- oder Compliance-Abteilungen sind für die eingehenden Meldungen zuständig und haben ein vitales Interesse daran, Beweise zu sammeln. Die Verantwortlichen in diesen Abteilungen müssen jedoch vermeiden, die beteiligten Parteien absichtlich oder versehentlich über die laufenden Ermittlungen zu informieren. Während der internen Untersuchung müssen sie genügend Beweise sammeln, um Verstöße zu unterbinden und aktuellen und künftigen Schaden vom Unternehmen abzuwenden. Sie sollten aber auch darauf achten, den beschuldigten Parteien keine Informationen vorzuenthalten.

In Deutschland gibt es dafür spezielle Vorschriften im Datenschutzgesetz. Das Hauptproblem besteht darin, dass viele Kommentatoren und bestimmte Datenschutzbehörden der Ansicht sind, dass diese nationalen deutschen Sonderregelungen nicht mit dem EU-Recht vereinbar sind.  

Was können Unternehmen dagegen tun?

Die neue Whistleblowing-Richtlinie besagt eindeutig, dass nationale Regelungen Ausnahmen für Transparenz- und Informationspflichten vorsehen können. Das erlaubt Ihnen, Informationen zurückzuhalten, solange einer der drei Gründe zutrifft: 

  1. Es besteht die Gefahr, dass der Sachverhalt nicht oder nicht mehr aufgeklärt werden kann.
  2. Die Geltendmachung oder Abwehr von zivilrechtlichen Ansprüchen wäre beeinträchtigt.
  3. Die Vorbereitung von Strafanzeigen würde erheblich erschwert.

Was sind die wichtigsten Informationspflichten in Whistleblowing-Fällen?

Wann immer Sie entscheiden müssen, ob Sie Informationen zurückhalten dürfen oder nicht, müssen Sie prüfen, wie die Interessen abzuwägen sind. Diese Prüfung müssen Sie von Fall zu Fall durchführen, wobei Sie selbst eine Interessenabwägung vornehmen können.

Es gibt auch allgemeine Rechtsprechung, die besagt, dass Sie die Identität des Hinweisgebers dem Beschuldigten oder den beteiligten Parteien gegenüber nicht offenlegen müssen. 

Was bedeuten die Aufbewahrung und die Löschung von Daten für das Whistleblowing?

Derzeit wird kontrovers diskutiert, wie lange Daten aufbewahrt werden dürfen. 

Die deutschen Gesetze legen fest, dass die Dokumentation zwei Jahre nach Abschluss des Verfahrens gelöscht werden muss. Die Datenschutzbehörden geben dagegen zwei Monate vor.

In der Praxis ist die Frage ausschlaggebend, was das auslösende Ereignis für die Löschung ist. Welches auslösende Ereignis ein Verfahren abschließt, muss jedoch noch genauer diskutiert und festgelegt werden.

Mehr zu Aufbewahrungspflichten und Löschfristen in der der DSGVO finden Sie in diesem Beitrag.

 

Ein Blick in die Zukunft 

Die Whistleblowing-Richtlinie stellt Unternehmen, die in der EU tätig sind, vor völlig neue Herausforderungen. Unternehmen müssen jetzt deutlich mehr Verantwortung tragen, wenn es um Vergeltungsmaßnahmen gegen Hinweisgeber geht.

Gute Aussichten: Ein digitales Whistleblowing-System kann Ihnen enorm dabei helfen, die neuen Aufgaben zu bewältigen. Es bietet einen wesentlichen Baustein für ein effektives Compliance-Management-System. Außerdem trägt es dazu bei, Ihre Mitarbeiterinnen und Mitarbeiter zu schützen, das Korruptionsrisiko zu verringern und Sie auf dem Laufenden zu halten, damit Sie die vorgeschriebenen EU-Rechtsvorschriften einhalten können. Und schließlich versetzt es Sie in die Lage, die höchsten Anforderungen an Datensicherheit und Datenschutz im Rahmen der DSGVO zu erfüllen.

Wie kann DataGuard Unternehmen in Bezug auf Whistleblowing helfen?

DataGuard konzentriert sich darauf, Kunden zu unterstützen, die ihr Unternehmen schützen wollen und die Einhaltung der Digitalisierungsvorschriften gewährleisten müssen. Die Whistleblowing-Lösung von DataGuard bietet Ihnen die spezialisierte Rechtsberatung und die Software, die Sie benötigen, damit Sie die Whistleblowing-Richtlinie einhalten können.

Wenn Ihnen die Lektüre dieses Artikels gefallen hat, interessiert Sie wahrscheinlich auch das kostenlose Whitepaper Compliance digitalisieren – so profitieren Compliance Manager von Cloud-basierten Lösungen.

Vereinbaren Sie noch heute einen Termin für eine kostenlose Demo mit einem der Compliance-Experten von DataGuard, um die Whistleblowing-as-a-Service-Lösung in Aktion zu erleben.

 
Whistleblowing 101 212x234 DE Whistleblowing 101 800x600 MOBILE DE

Updates zur EU-Whistleblower-Richtlinie

Darauf sollten Sie sich vorbereiten

Jetzt Webinar ansehen

Über den Autor

Dr. Frank Schemmel Dr. Frank Schemmel
Dr. Frank Schemmel

Dr. Frank Schemmel, CIPP/E, CIPP/US, CIPM, CIPT, ist seit 2018 bei DataGuard in verschiedenen Managementpositionen tätig (zuletzt als Head of Privacy) und derzeit verantwortlich für die unternehmensweite inhaltliche und strategische Gestaltung sowie Optimierung der DataGuard Service Lines "Privacy" und "Compliance", einem hybriden Modell aus erstklassiger Beratung und Unterstützung durch selbstentwickelte, skalierbare Softwarelösungen. Als zertifizierter Datenschutzbeauftragter (TÜV) und Compliance Officer (Univ.) berät er zu allen Themen des Datenschutzes, der IT-Sicherheit und der allgemeinen Compliance. Vor seinem Wechsel zu DataGuard war er fünf Jahre für Allen & Overy LLP im Bereich Datenschutz und Arbeitsrecht als Berater und Legal Project Manager tätig. Er publiziert regelmäßig in einschlägigen Medien und gibt seine Erfahrung als Dozent an Hochschulen (u.a. Düsseldorf, Augsburg), Sprecher auf Konferenzen (u.a. euroforum Datenschutzkongress, bitkom Privacy Conference, IAPP Data Protection Intensive: Deutschland) und als Webinar-Host weiter.

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren