Die Fakten auf einen Blick
- Am 16. Dezember 2019 trat die EU-Richtlinie 2019/1937 zum Schutz von Hinweisgebern (Whistleblowern) in Kraft.
- Gemäß dieser Richtlinie müssen alle Unternehmen, öffentliche wie private, mit 50 oder mehr Mitarbeitern in einem Land der Europäischen Union sichere und effektive interne Meldewege entwickeln und einrichten. Außerdem müssen sie Whistleblowern Vertraulichkeit zusichern.
- Ziel der Whistleblowing-Richtlinie ist es, Hinweisgebern die Möglichkeit zu geben, ihre Anliegen ohne Angst vorzubringen, und ihnen in allen EU-Ländern umfangreichen Schutz zu bieten.
Dr. Frank Schemmel, Senior Director International für Privacy und Compliance bei DataGuard, veranschaulicht im Folgenden, was Whistleblowing für in der EU tätige Unternehmen bedeutet und warum es wichtig ist.
DataGuards Experte erläutert, was sich rund um Whistleblowing und Datenschutz tut und wie Unternehmen vorgehen können, wenn sie eine Meldung erhalten. Außerdem zeigt er auf, wie DataGuard Ihnen dabei helfen kann, Compliance sicherzustellen und die Vorschriften einzuhalten.
Das Wichtigste zuerst: Warum sich Unternehmen um Whistleblowing kümmern sollten
Ein Hinweisgebersystem ist unerlässlich für jedes Unternehmen, das eine Kultur der Verantwortlichkeit und Integrität fördern will. Dafür gibt es mehrere Gründe:
1. Es verhindert Fehlverhalten.
Ein Whistleblowing-System ermöglicht Mitarbeiterinnen und Mitarbeitern, sich intern ohne Angst über Dinge wie Korruption, Machtmissbrauch und Diskriminierung zu beschweren. Das hilft Organisationen dabei, diese Probleme sofort anzupacken. In den meisten Fällen blicken Hinweisgeber als Insider auf die gemeldeten Probleme und kennen das Unternehmen in- und auswendig. Sie können daher aufschlussreiche Details zu den Problemen liefern
2. Es schafft ein sicheres Umfeld für die Belegschaft.
Ein Hauptanliegen von Whistleblowern ist die Vertraulichkeit. Wenn man die Mitarbeiterinnen und Mitarbeiter dazu ermutigt, offen zu kommunizieren, ohne dass Ihre Identität kompromittiert wird, sorgt dies für mehr Engagement und Vertrauen – und kann sogar die Produktivität steigern.
3. Es ermutigt zu Transparenz.
Ein transparenter Arbeitsplatz stärkt das Vertrauen zwischen Management und Belegschaft. Er vermittelt den Eindruck, dass Mitarbeitende fair geführt und belohnt werden.
Transparenz ist heutzutage unabdingbar, wenn ein Gefühl für Gerechtigkeit am Arbeitsplatz entstehen soll und Probleme effektiv gelöst werden sollen.
Wer muss sich an die Whistleblowing-Richtlinie der EU halten und welche Fristen gibt es?Die Whistleblowing-Richtlinie gilt für alle Unternehmen, öffentliche wie private, die in der EU tätig sind. Die EU-Mitgliedstaaten hatten ab der Einführung im Jahr 2019 bis Dezember 2021 Zeit, die Whistleblowing-Gesetze durchzusetzen. Bislang ist dies jedoch nur der Hälfte der Mitgliedstaaten gelungen. Da es sich aber „nur“ um eine EU-Richtlinie handelt, ist sie ohne ein entsprechendes nationales Umsetzungsgesetz nicht direkt anwendbar.
Wichtige Termine
Es gibt zwei wichtige Termine, die Unternehmen beachten müssen; beide hängen von der Größe der Belegschaft ab:
- Unternehmen und Behörden mit 250 oder mehr Beschäftigten müssen die Richtlinie ab dem Dezember 2021 einhalten.
- Unternehmen und Behörden mit 50 bis 249 Beschäftigten müssen die Vorschriften bis zum 17. Dezember 2023 erfüllen.
Beachten Sie: Wenn Sie 250 oder mehr Beschäftigte haben, müssen Sie die Vorschriften schon jetzt erfüllen – vorausgesetzt, Sie sind in einem Mitgliedstaat tätig, der ein nationales Whistleblowing-Gesetz eingeführt hat.
Informieren Sie sich detailliert über die Entwicklungen in unserem aktuellen Webinar: Updates zur EU-Whistleblower-Richtlinie
Kann Whistleblowing ohne Einhaltung des Datenschutzes erfolgen?
Die Antwort ist ganz einfach: Nein.
Der Datenschutz und das Recht auf Privatsphäre spielen bei Whistleblowing-Verfahren eine zentrale Rolle. Das jeweilige Fallmanagement und die interne Untersuchung hängen davon ab, dass die Daten geschützt werden. Die Einhaltung des Datenschutzes ist also unabdingbar. Bedenken Sie, dass betroffene Personen in Whistleblowing-Fällen ihre Identität wahren wollen und der Schutz ihrer Privatsphäre für sie deshalb von größtem Interesse ist.
Nehmen Sie den Datenschutz ernst!
Ermittlungsexperten berichten, dass der Schutz der Privatsphäre eine der größten Herausforderungen bei internen Untersuchungen ist. Wenn Sie durch Maßnahmen wie E-Mail-Screening Beweise sammeln wollen, sollten Sie den Datenschutz von Anfang an ernst nehmen. Dies nützt Ihnen auch später, wenn es darum geht, vor Gericht rechtmäßige Beweise zu erbringen.
Was sind typische Datenschutzaufgaben und Rechtsgrundlagen für die Verarbeitung, wenn die Meldung eines Whistleblowers eingeht?
Folgende vier Hauptbereiche sind üblicherweise für den Datenschutz relevant:
- Rechtsgrundlagen für die Verarbeitung
- Transparenz-/Informationspflichten
- Aufbewahrungspflichten und Löschungsfristen
- Verantwortlichkeiten bei der Verarbeitung
Zunächst müssen Sie wissen, welche Rechtsgrundlage anwendbar ist, und diese darstellen. Wenn Sie Whistleblowing-Systeme einrichten, gibt es zwei rechtliche Grundlagen für die Verarbeitung personenbezogener Daten: die Erfüllung einer rechtlichen Verpflichtung oder ein berechtigtes Interesse.
Ist die Whistleblowing-Richtlinie der EU oder nationales Recht anwendbar, können Sie die Verarbeitung auf Artikel 6 Absatz 1 Nummer 1 Buchstabe c DSGVO stützen - er sagt aus, dass die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, welcher der für die Verarbeitung Verantwortliche unterliegt. Dies gilt in Verbindung mit dem jeweiligen nationalen Whistleblowing-Gesetz.
Ist die Whistleblowing-Richtlinie der EU nicht anwendbar, müssen Sie Ihre Verarbeitung auf ein berechtigtes Interesse stützen.
In Deutschland gibt es spezielle Rechtsgrundlagen für Angelegenheiten rund um die Beschäftigung (§ 26 Bundesdatenschutzgesetz), aber deren Anwendungsbereich ist eng. Zwischen Arbeitgebern und Betriebsräten könnten außerdem Tarifverträge bestehen, die jedoch für Außenstehende nicht bindend sind.
Was ist die größte Herausforderung für Whistleblowing und Datenschutz?
Eindeutig: Transparenz- und Informationspflichten.
Die Rechts- oder Compliance-Abteilungen sind für die eingehenden Meldungen zuständig und haben ein vitales Interesse daran, Beweise zu sammeln. Die Verantwortlichen in diesen Abteilungen müssen jedoch vermeiden, die beteiligten Parteien absichtlich oder versehentlich über die laufenden Ermittlungen zu informieren. Während der internen Untersuchung müssen sie genügend Beweise sammeln, um Verstöße zu unterbinden und aktuellen und künftigen Schaden vom Unternehmen abzuwenden. Sie sollten aber auch darauf achten, den beschuldigten Parteien keine Informationen vorzuenthalten.
In Deutschland gibt es dafür spezielle Vorschriften im Datenschutzgesetz. Das Hauptproblem besteht darin, dass viele Kommentatoren und bestimmte Datenschutzbehörden der Ansicht sind, dass diese nationalen deutschen Sonderregelungen nicht mit dem EU-Recht vereinbar sind.
Was können Unternehmen dagegen tun?
Die neue Whistleblowing-Richtlinie besagt eindeutig, dass nationale Regelungen Ausnahmen für Transparenz- und Informationspflichten vorsehen können. Das erlaubt Ihnen, Informationen zurückzuhalten, solange einer der drei Gründe zutrifft:
- Es besteht die Gefahr, dass der Sachverhalt nicht oder nicht mehr aufgeklärt werden kann.
- Die Geltendmachung oder Abwehr von zivilrechtlichen Ansprüchen wäre beeinträchtigt.
- Die Vorbereitung von Strafanzeigen würde erheblich erschwert.
Was sind die wichtigsten Informationspflichten in Whistleblowing-Fällen?
Wann immer Sie entscheiden müssen, ob Sie Informationen zurückhalten dürfen oder nicht, müssen Sie prüfen, wie die Interessen abzuwägen sind. Diese Prüfung müssen Sie von Fall zu Fall durchführen, wobei Sie selbst eine Interessenabwägung vornehmen können.
Es gibt auch allgemeine Rechtsprechung, die besagt, dass Sie die Identität des Hinweisgebers dem Beschuldigten oder den beteiligten Parteien gegenüber nicht offenlegen müssen.
Was bedeuten die Aufbewahrung und die Löschung von Daten für das Whistleblowing?
Derzeit wird kontrovers diskutiert, wie lange Daten aufbewahrt werden dürfen.
Die deutschen Gesetze legen fest, dass die Dokumentation zwei Jahre nach Abschluss des Verfahrens gelöscht werden muss. Die Datenschutzbehörden geben dagegen zwei Monate vor.
In der Praxis ist die Frage ausschlaggebend, was das auslösende Ereignis für die Löschung ist. Welches auslösende Ereignis ein Verfahren abschließt, muss jedoch noch genauer diskutiert und festgelegt werden.
Mehr zu Aufbewahrungspflichten und Löschfristen in der der DSGVO finden Sie in diesem Beitrag.
Ein Blick in die Zukunft
Die Whistleblowing-Richtlinie stellt Unternehmen, die in der EU tätig sind, vor völlig neue Herausforderungen. Unternehmen müssen jetzt deutlich mehr Verantwortung tragen, wenn es um Vergeltungsmaßnahmen gegen Hinweisgeber geht.
Gute Aussichten: Ein digitales Whistleblowing-System kann Ihnen enorm dabei helfen, die neuen Aufgaben zu bewältigen. Es bietet einen wesentlichen Baustein für ein effektives Compliance-Management-System. Außerdem trägt es dazu bei, Ihre Mitarbeiterinnen und Mitarbeiter zu schützen, das Korruptionsrisiko zu verringern und Sie auf dem Laufenden zu halten, damit Sie die vorgeschriebenen EU-Rechtsvorschriften einhalten können. Und schließlich versetzt es Sie in die Lage, die höchsten Anforderungen an Datensicherheit und Datenschutz im Rahmen der DSGVO zu erfüllen.
Wie kann DataGuard Unternehmen in Bezug auf Whistleblowing helfen?
DataGuard konzentriert sich darauf, Kunden zu unterstützen, die ihr Unternehmen schützen wollen und die Einhaltung der Digitalisierungsvorschriften gewährleisten müssen. Die Whistleblowing-Lösung von DataGuard bietet Ihnen die spezialisierte Rechtsberatung und die Software, die Sie benötigen, damit Sie die Whistleblowing-Richtlinie einhalten können.
Wenn Ihnen die Lektüre dieses Artikels gefallen hat, interessiert Sie wahrscheinlich auch das kostenlose Whitepaper Compliance digitalisieren – so profitieren Compliance Manager von Cloud-basierten Lösungen.
Vereinbaren Sie noch heute einen Termin für eine kostenlose Demo mit einem der Compliance-Experten von DataGuard, um die Whistleblowing-as-a-Service-Lösung in Aktion zu erleben.