Ende 2019 wurde die EU-Whistleblowing-Richtlinie verabschiedet. Alle EU-Mitgliedstaaten müssen die Richtlinie nun in nationales Recht überführen und Unternehmen ab 2021 zum Aufbau eigener Hinweisgebersysteme verpflichten. Doch wie sollten diese organisiert sein? Welche Herausforderungen stellen sich dabei insbesondere datenschutzrechtlich? Welche sonstigen Anforderungen sind aus Unternehmenssicht zu beachten? Antworten liefert der folgende Beitrag.
Das Wichtigste in Kürze
- Die EU-Whistleblowing-Richtlinie verpflichtet Unternehmen in Europa dazu, bis Ende 2021 Hinweisgebersysteme zu implementieren
- Ziel ist es etwaige Compliance Risiken und Verstöße frühzeitig zu erkennen und entsprechend zu handeln, um das Unternehmen vor empfindlichen materiellen und immateriellen Schäden zu vermeiden
- Das Spektrum der Umsetzungsmöglichkeiten reicht von Hotline-Lösungen über Online-Meldeplattformen bis zu externen Ombudsmännern
- Die Herausforderungen aus datenschutzrechtlichen Vorgaben lassen sich in enger Abstimmung mit dem Datenschutzbeauftragten lösen
In diesem Beitrag
- Welche Rolle spielt Whistleblowing im Compliance Management?
- Was besagt die EU-Whistleblowing-Richtlinie, was ändert sich?
- Warum gibt es neben der EU-Richtlinie noch einen deutschen Gesetzesentwurf?
- Für wen gilt die EU-Whistleblowing-Richtlinie?
- Was sollten Whistleblowing-Systeme leisten, wie sind sie im Allgemeinen aufgebaut?
- Welche Möglichkeiten der Implementierung gibt es?
- Was ist das ideale Hinweisgebersystem?
- Welche arbeitsrechtlichen Herausforderungen sind bei der Umsetzung zu beachten?
- Welche datenschutzrechtliche Rechtsgrundlagen sind für Hinweisgebersysteme nutzbar?
- Was passiert, wenn ein Verstoß gemeldet wird?
- Dürfen Unternehmen ihre Erkenntnisse eigentlich weitergeben?
- Sollten die Daten in einem Hinweisgebersystem besonders geschützt werden?
- Wie sieht es mit den datenschutzrechtlichen Vorgaben aus?
- Das Fazit
Welche Rolle spielt Whistleblowing im Compliance Management?
Whistleblowing-Systeme sind eine feste Compliance-Säule. Wer sich um regelkonformes Verhalten kümmert, kommt um sie nicht herum. So ist Whistleblowing etwa in der Korruptionsbekämpfung und Betrugsprävention sowie im Hinblick auf Kartellrecht und Geldwäsche wichtig.
Auch in Unternehmen gehören Hinweisgebersysteme mehr und mehr zum Standard. Zum Teil gibt es bereits Vorgaben, beispielsweise im deutschen Corporate Governance Codex. Im Fokus stehen Antidiskriminierung, Mobbing, sexuelle Belästigung aber auch Datenpannen oder systematische Verstöße gegen Umweltauflagen. Ziel ist es, Rechtsverstöße oder Verstöße gegen ethische Standards frühzeitig zu erkennen, um möglichst proaktiv und präventiv handeln zu können. So vermeiden Unternehmen teure Skandale und Sanktionen.
Was besagt die EU-Whistleblowing-Richtlinie, was ändert sich?
Die EU-Richtlinie hebt das Thema nun auf ein neues Niveau. Bisher gab es in Europa regulatorisch einen Flickenteppich: In einigen Ländern gab es für den Schutz von Whistleblowern und die Förderung von Hinweisgebersystemen erste Regelungen, in anderen nicht. Dabei hilft eine einheitliche Regelung, wie die neue EU-Richtlinie auch bei der Etablierung einer Unternehmenskultur, um Verstöße zu vermeiden und aufzudecken. In Deutschland fehlt ein allgemeines Gesetz zu Hinweisgebersystemen und dem Schutz von Hinweisgebern, Regelungen finden sich nur für einzelne Branchen. Das wird sich mit der 2019 verabschiedeten EU-Hinweisgeberrichtlinie ändern. Bis Ende 2021 haben die EU-Mitgliedsstaaten Zeit, die Richtlinie in ihr nationales Recht zu überführen. Der deutsche Entwurf des Bundesjustizministeriums liegt dem Gesetzgeber bereits vor und befindet sich aktuell in der Ressortabstimmung. Mit dem Inkrafttreten des sogenannten Hinweisgeberschutzgesetzes ist noch im Jahr 2021 zu rechnen.
Kernaufgabe wird der Schutz der Hinweisgeber sein. Die EU-Whistleblowing-Richtlinie sieht vor: Wer Verstöße gegen geltendes Recht oder ethische Standards meldet, muss vor Jobverlust und anderen Negativfolgen geschützt werden. Der deutsche Gesetzesentwurf geht sogar noch einen Schritt weiter. Er untersagt Repressalien und Vergeltungsmaßnahmen gegen Hinweisgeber und kehrt die Beweislast bei Kündigungen um. In der Praxis würde dies bedeuten: Arbeitgeber müssten nachweisen, dass Kündigungen nicht im Zusammenhang mit Arbeitnehmer-seitig gegebenen Hinweisen auf mögliche Missstände stehen.
Generell muss es Whistleblowern möglichst leicht gemacht werden, Verstöße zu melden. Dafür ist ein Hinweisgebersystem zu implementieren. Dieses kann zum Beispiel per E-Mail funktionieren, per Telefon, über einen Ombudsmann oder mithilfe einer Meldeplattform. Wichtig ist, dass die Abläufe und Zuständigkeiten im Unternehmen klar geregelt sind und der Meldeprozess gut erklärt und kommuniziert wird. Laut Entwurf des Hinweisgebergesetzes soll in Deutschland zudem ein externer Meldeweg bei einer unabhängigen Stelle geschaffen werden – zum Beispiel beim Bundesdatenschutzbeauftragten.
Darüber hinaus gibt die EU-Richtlinie bereits einige Details vor. Beispiel: Innerhalb von sieben Tagen muss eine erste Rückmeldung an Hinweisgeber erfolgen, diese haben zudem den Anspruch, spätestens drei Monate nach Meldung über den Stand der Dinge informiert zu werden. Kurzum: Die EU-Richtlinie und das kommende Hinweisgebergesetzt bedeuten, dass sich viele Unternehmen, Kommunen und Behörden nun intensiver oder erstmals mit dem Thema auseinandersetzen müssen.
Warum gibt es neben der EU-Richtlinie noch einen deutschen Gesetzesentwurf?
Das deutsche Hinweisgebergesetz hat in erster Linie die Aufgabe, EU-Recht in nationales Recht zu übersetzen. Wichtig: Die EU-Richtlinie kann Vorgaben ausschließlich für Hinweise auf Verstöße gegen EU-Recht machen. Zugleich weist sie aber darauf hin, dass es den EU-Mitgliedsstaaten freigestellt ist, nicht nur Verstöße gegen EU-Recht, sondern auch Verstöße gegen nationales Recht einzubeziehen. Der Entwurf des deutschen Hinweisgebergesetzes sieht genau dies vor. Geplant ist eine „überschießende Umsetzung“ der Richtlinie, indem auch straf- und bußgeldbewährte nationale Vorschriften einbezogen werden. Dadurch sollen Wertungswidersprüche und Rechtsunsicherheiten vermieden sowie eine praktikable Anwendung des Hinweisgeberschutzes gewährleistet werden.
Weitere wichtige Unterschiede sind die für das Hinweisgebergesetz vorgeschlagene Beweislastumkehr im Kündigungsfall sowie die geplante Einrichtung von unabhängigen externen Meldestellen. Hinweisgebern soll es in Deutschland explizit freistehen, ob sie vermutete Verstöße an die interne oder eine externe Stelle melden. Im Gegenzug drohen Unternehmen, die ihrer Pflicht zur Einrichtung einer internen Meldestelle nicht nachkommen, keine direkten Sanktionen. Vielmehr soll durch die Gleichstellung von internen und externen Meldewegen ein „Wettbewerb der Systeme“ entfacht werden, damit Unternehmen ihre internen Hinweisgebersysteme möglichst attraktiv gestalten. Ob es so kommt, ist offen – zumal sich das deutsche Hinweisgebergesetz im Entwurfsstatus befindet.
Für wen gilt die EU-Whistleblowing-Richtlinie?
Grundsätzlich gilt die Richtlinie für alle Unternehmen ab 50 Mitarbeitern sowie für Behörden und Kommunen ab einer Größe von 10.000 Einwohnern. Vermutlich wird es für Unternehmen zwischen 50 und 250 Mitarbeitern eine zusätzliche Übergangsfrist von zwei Jahren geben. Diese müssten also erst Ende 2023 ein Hinweisgebersystem etabliert haben. Für größere Unternehmen sind die EU-Vorgaben jetzt schon ein Thema, das bis Ende 2021 gelöst sein muss. Diese Regelungen sieht unverändert auch der deutsche Gesetzesentwurf vor.
Was sollten Whistleblowing-Systeme leisten, wie sind sie im Allgemeinen aufgebaut?
Whistleblowing-Systeme ermöglichen eine geschützte Form der Kontaktaufnahme innerhalb von Unternehmen. Diese möchten darüber Hinweise auf mögliche Verstöße gegen Gesetze oder gegen Verhaltensrichtlinien der Unternehmen wie Code of Conducts erhalten – Hinweise, die Mitarbeiter ohne ein solches System häufig nicht geben würden. Ziel ist es, Missstände frühzeitig zu erkennen und so in der Lage zu sein, materielle wie immaterielle Schäden zu vermeiden. Zudem versprechen sich Unternehmen auch Wettbewerbsvorteile durch eine Kultur der Transparenz und Offenheit sowie durch ethisch richtiges Handeln.
Ein Schlüssel dazu sind interne Hinweisgebersysteme. Gibt es sie nicht, nutzen Whistleblower womöglich externe Veröffentlichungsmöglichkeiten und wenden sich beispielsweise an die Polizei, die Staatsanwaltschaft, Aufsichtsbehörden, die Presse oder externe Meldestellen wie sie etwa der Entwurf zum deutschen Hinweisgebergesetzt vorschlägt. Interne Systeme haben also den Vorteil, dass Unternehmen das Heft des Handelns in der Hand behalten, auf Hinweise reagieren, das Richtige tun können und schadensminimierende Maßnahmen ergreifen können.
Welche Möglichkeiten der Implementierung gibt es?
Im Wesentlichen stehen drei Implementierungsmöglichkeiten zur Auswahl: Hotline-Lösungen, internetbasierte Hinweisgeberplattformen und Ombudsmann-Konzepte. Jeder dieser Ansätze hat seine Vor- und Nachteile:
- Whistleblowing-Hotline
Eine Hotline ist täglich rund um die Uhr erreichbar. Anrufe können anonym getätigt werden, die Schwelle zur Kontaktaufnahme ist niedrig. Hotline-Mitarbeiter nehmen Meldungen jedoch nur auf und bearbeiten sie nicht. Qualifizierte Rückfragen an den Hinweisgeber sind nur möglich, wenn der Anrufer seine Kontaktdaten hinterlässt.
- Internetbasierte Meldeplattform
Die Kontaktaufnahme erfolgt schriftlich und ist jederzeit möglich. Anonymität kann gewährleistet werden. Die Hinweise können von Spezialisten ausgewertet und effizient bearbeitet werden, Rückfragen sind – je nach Umsetzung – schnell und einfach möglich. Die gesammelten Daten lassen sich automatisiert auswerten, zum Beispiel um Präventionskonzepte zu entwickeln. Der finanzielle Aufwand ist allerdings vergleichsweise hoch, die Nutzer müssen Vertrauen in die Technik haben.
- Ombudsmann
Als Ombudsmann wird meist ein externer Rechtsanwalt eingesetzt. Er agiert als Ansprechpartner der Hinweisgeber und ist zur Verschwiegenheit verpflichtet. Als Spezialist kann der Ombudsmann bei jedem Hinweis sofort eine qualifizierte Risikoeinschätzung treffen und Nachfragen stellen. Anschließend berichtet er gemäß der vereinbarten Berichtspflichten an das Unternehmen.
Was ist das ideale Hinweisgebersystem?
Die Antwort hängt von vielen Faktoren ab. Beispielsweise davon, wie ein Unternehmen strukturiert ist, von seiner Größe sowie der Unternehmenskultur. Unabhängig davon sind auch Kombinationen denkbar – bestehend etwa aus einer Hotline mit nachgeschaltetem Ombudsmann. Die verschiedenen Ansätze können sich also auch ergänzen.
Langfristig dürften digitale Meldeplattformen die wichtigste Rolle spielen. Die Gründe: Nur diese können die Anforderungen in Bezug auf Sicherheit und Anonymität letztlich zu 100 Prozent erfüllen und bieten dennoch die Möglichkeit zum Dialog mit den Hinweisgebern. In Deutschland zeichnet sich diesbezüglich ein Sonderweg ab. So sieht der Entwurf zum Hinweisgebergesetz zum einen vor, dass dem Hinweisgeber auf Verlangen ein persönliches Vorsprechen zu gewähren ist. Zum anderen sollen die Meldestellen nicht verpflichtet werden, anonymen Hinweisen nachzugehen.
Auf einen Blick: Die Vorteile digitaler Hinweisgebersysteme:
- ... gegenüber Hotlines
Es besteht kein persönlicher Kontakt und die Anonymität bleibt erhalten. Die Hemmschwelle für Hinweisgeber sinkt.
- ... gegenüber Briefkästen
Dank verschlüsselter 2-Wege-Kommunikation können Unternehmen mit einem Hinweisgeber in direkten Kontakt treten und Rückfragen stellen. - ... gegenüber E-Mails
Eine sichere Verschlüsselung und Übertragung ist garantiert und die Anforderungen der DS-GVO erfüllt.
Welche arbeitsrechtlichen Herausforderungen sind bei der Umsetzung zu beachten?
Ganz gleich, für welchen Ansatz sich ein Unternehmen entscheidet: Die Implementierung eines Hinweis-gebersystems benötigt eine arbeitsrechtlich wirksame, schriftlich fixierte Grundlage. Geeignete Grundlage können Betriebsvereinbarungen, Anweisungen oder Richtlinien wie z.B. der Code of Conduct eines Unternehmens oder eine separate Whistleblowing-Richtlinie sein. Theoretisch könnten die Regelungen zum Hinweisgebersystem auch im Arbeitsvertrag beschrieben und vereinbart werden. In der Praxis ist dies jedoch nicht zu empfehlen, da jede Änderung oder Ergänzung für jeden Einzelfall eine beidseitige Zustimmung in Schriftform erfordert (d.h. Ergänzung zu jedem einzelnen Arbeitsvertrag). Kollektivrechtliche Lösungen wie Betriebsvereinbarungen oder Richtlinien sind daher der einfachere und effizientere Weg zur Umsetzung eines Hinweisgebersystems.
Wichtig: Entwicklung, Implementierung und Betrieb eines Whistleblowing-Systems sind Teamwork-Aufgaben. Deshalb ist es wichtig, alle Stakeholder von Anfang an einzubeziehen und die Umsetzung im Dialog zwischen Management, Betriebsrat, Personalabteilung, IT, Rechtsabteilung und anderen Interessengruppen voranzutreiben. Sofern im Unternehmen ein Betriebsrat vorhanden ist, ist dessen Beteiligung nach § 87 Nr. 1, 6 BetrVG gesetzlich vorgeschrieben, insbesondere wenn der Aufbau einer digitalen Meldeplattform vorgesehen ist, da diese je nach Ausgestaltung als technische Einrichtung zur Überwachung der Belegschaft gelten kann.
Welche datenschutzrechtlichen Rechtsgrundlagen sind für Hinweisgebersysteme nutzbar?
Die Implementierung eines Hinweisgebersystems benötigt eine wirksame datenschutzrechtliche Rechtsgrundlage. Artikel 6 Abs. 1 lit. c DS-GVO (Erfüllung einer gesetzlichen Verpflichtung aus Unionsrecht oder Recht der Mitgliedsstaaten) ist als Rechtsgrundlage für ein Hinweisgebersystem in bestimmten Branchen nutzbar. Dies gilt insbesondere für den Bankensektor, da das KWG ein Hinweisgebersystem vorschreibt.
Sektoren außerhalb der Bankenbranche finden eine geeignete Rechtsgrundlage im berechtigten Interesse des Unternehmens zur Aufdeckung von Straftaten im Beschäftigungsverhältnis im oben genannten Artikel der DS-GVO sowie im BDSG. Artikel 6 Abs. 1 lit. f DS-GVO i.V.m. in §26 Abs. 1 Satz 2 BDSG. Die Interessen des Unternehmens an der Datenverarbeitung zur Aufdeckung von Rechtsverstößen überwiegen regelmäßig die Interessen der betroffenen Personen an der Nicht-Verarbeitung der personenbezogenen Daten. Voraussetzung für die Verarbeitung personenbezogener Daten im Hinweisgebersystem nach dieser Rechtsgrundlage ist allerdings das Vorhandensein von Anhaltspunkten für eine Straftat.
Zudem kann Artikel 6 Abs. 1 lit f DS-GVO je nach Einzelfall geeignete Rechtsgrundlage für die Datenverarbeitung zum Zwecke der Aufdeckung von Verstößen gegen Menschenrechte, das Allgemeine Gleichbehandlungsgesetz (AGG) sowie Umweltschutzvorschriften sein.
Das berechtigte Interessen nach DS-GVO ist allerdings wahrscheinlich keine geeignete Rechtsgrundlage für die Datenverarbeitung im Rahmen von Verstößen gegen Unternehmensrichtlinien und Code of Conducts, da im Einzelfall gegebenenfalls die Interessen der betroffenen Person an der Nicht-Verarbeitung überwiegen könnten. Eine geeignete Lösung für diese Problematik ist § 26 Abs. 4 Satz 1 BDSG der Kollektivvereinbarungen (z.B. Tarifverträge und Betriebsvereinbarungen) als Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis.
Die Einwilligung nach Art. 6 DS-GVO ist grundsätzlich aufgrund der Widerruflichkeit und der hohen Anforderungen an die Informiertheit keine geeignete Rechtsgrundlage. Nur im Einzelfall ist eine freiwillige Einwilligung der betroffenen Person als Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten im Rahmen eines Hinweisgebersystems vorstellbar.
Was passiert, wenn ein Verstoß gemeldet wird?
Wird ein Verstoß gemeldet, beginnen interne Ermittlungen. Dabei sind diverse komplexe strafrechtliche Vorschriften (z.B. Belehrungspflichten, Aussageverweigerungsrechte) zu berücksichtigen. Es muss u.a. gewährleistet sein, dass Zeugen und Beschuldigte vor der ersten Befragung über ihre Situation und ihre Rechte aufgeklärt werden. Mitarbeiter können von ihrem Aussage- und Auskunftsver-weigerungsrecht gebrauch machen. Auch dürfen interne Ermittler keinesfalls E-Mail-Nachrichten oder Kommunikationsdaten auswerten, dieses wäre ein Verstoß gegen das Post- und Fernmeldegeheimnis.
Unternehmen sollten im Meldefall mit Vorsicht und Bedacht agieren, um sich am Ende nicht selber strafbar zu machen. Ermittlungen sollten daher ausschließlich durch entsprechendqualifizierte Personen (Compliance Officer, Rechtsanwälte, Personalabteilung, externe Spezialisten) erfolgen.
Dürfen Unternehmen ihre Erkenntnisse eigentlich weitergeben?
Die Weitergabe personenbezogener Daten und Informationen aus einem Hinweisgebersystem ist nach DS-GVO grundsätzlich nicht zulässig. Davon unberührt bleiben Akteneinsichtsrechte im Rahmen etwaiger Strafverfahren. Personenbezogene Daten einer beschuldigten Person dürfen allerdings nach Art. 6 Abs. 1 lit. f DS-GVO in Verbindung mit § 24 Abs. 1 Nr. 1 BDSG an Dritte übermittelt werden, wenn und soweit dies der Verfolgung von Straftaten dient.
Sollten die Daten in einem Hinweisgebersystem besonders geschützt werden?
Ja, es gelten erhöhte Anforderungen da aus einem Hinweisgebersystem gesammelte Daten sensibel sind und von hoher Brisanz für einzelne Personen sein können. Die negativen Auswirkungen eines unberechtigten Zugriffs auf diese Daten für die Betroffenen können schwerwiegend sein. Es gelten gemäß Art. 32 DS-GVO daher erhöhte Anforderungen an technische und organisatorische Maßnahmen. Elementar wichtig sind ein Berechtigungskonzept, eine Passwortrichtlinie sowie die hinreichende Pseudonymisierung oder Verschlüsselung der Daten. Gegebenenfalls ist auch eine Datenschutzfolgenabschätzung nach Art. 35 Abs. 3 DS-GVO erforderlich.
Angesichts der hohen Datensensibilität ist besonderes Augenmerk auch auf die Datenverarbeitung durch berechtigte Dritte zu legen. Dafür müssen mit allen an einem Hinweisgebersystem beteiligten Dienstleistern wie etwa dem externen Ombudsmann, einem Plattformbetreiber, Hosting-Anbieter und weiteren externen Dienstleistern Auftragsverarbeitungsverträge gemäß Art. 28 DS-GVO abgeschlossen werden. Im konkreten Fall ist zudem sehr genau zu prüfen, wer alles Zugriff auf die Daten hat – etwa im Zuge von Wartungs- und Support-Arbeiten. Zusätzliche Problematiken können bei cloudbasierten IT-Plattformen und Datenübermittlungen in Drittländer entstehen.
Bei einem zentralen, konzerninternen Hinweisgebersystem sind auch mit eigenen Tochter- und Konzerngesellschaften separate Auftragsverarbeitungsverträge abzuschließen.
Wie sieht es mit den weiteren datenschutzrechtlichen Vorgaben aus?
Die EU-Richtlinie besagt, dass die Datenverarbeitung durch Hinweisgebersysteme im Einklang mit der DS-GVO stehen muss. Dadurch entstehen verschiedene Spannungsfelder.
Beispiel Anonymität: Blieben Hinweisgeber komplett anonym, wäre datenschutzrechtlich alles unbedenklich. Zielführend wäre ein solches System jedoch nicht. Zum Zwecke der Ermittlung muss es schließlich möglich sein, Nachfragen zu stellen. Daher ist gemäß Art. 38 DS-GVO frühzeitig der Datenschutzbeauftragte einzubinden.
Darüber hinaus gelten gemäß Art. 5 DS-GVO bei der Datenverarbeitung die Grundprinzipien von Transparenz, Vertraulichkeit und Zweckbindung. In der Grundlage des Hinweisgebersystems (Betriebsvereinbarung, Richtlinie etc.) muss schriftlich genau festgelegt sein, welche personenbezogen Daten wann, wie, von wem und zu welchen Zwecken verarbeitet werden. Ist dies nicht der Fall, erfüllt das Unternehmen seine Transparenzverpflichtung gemäß DS-GVO nicht.
Eine weitere Herausforderung ergibt sich im Hinblick auf die Informationspflichten. Werden Daten eines Beschuldigten verarbeitet, hat dieser nach Art. 14 DS-GVO ein Recht darauf dies zu erfahren. Aber: Würde er sofort informiert, könnte der Beschuldigte Beweise vernichten. Der Ermittlungszweck wäre ad absurdum geführt. Art. 14 Abs. 5 DS-GVO erlaubt es daher, den Beschuldigten erst nachträglich über die Datenverarbeitung zu informieren – innerhalb einer angemessenen Frist, sobald der Grund für den Aufschub entfallen ist. Eine dauerhafte Geheimhaltung ist nach Ansicht der deutschen Datenschutzbehörde nicht zulässig.
Im Dissens zueinander stehen gegebenenfalls auch zivilrechtliche und strafrechtliche Aufbewahrungs- und Verjährungsfristen auf der einen und das Recht auf Datenlöschung gemäß DS-GVO auf der anderen Seite. Die Erfüllung der datenschutzrechtlichen Betroffenenrechte (z.B. Löschungsantrag nach Art. 17 DS-GVO) müssen mit der Einhaltung der gesetzlichen Aufbewahrungsfristen in Einklang gebracht werden; d.h. bei Antrag auf Löschung ist die Verarbeitung zwingend nach Art. 18 DS-GVO einzuschränken, da durch Löschung ansonsten ein DS-GVO-Verstoß erfolgt. Für die vielfältigen Detailfragen in diesem Zusammenhang muss in Zusammenarbeit mit dem Datenschutzbeauftragten eine individuell geeignete Lösung für das jeweilige Hinweisgebersystem gefunden werden.
Das Fazit
Die EU-Whistleblowing-Richtlinie und das künftige deutsche Hinweisgebergesetz stellen Unternehmen insbesondere im Datenschutz vor eine Reihe zusätzlicher Herausforderungen. Diese sind jedoch gut lösbar, wenn alle Stakeholder und der Datenschutzbeauftragte von Beginn an eingebunden werden. Der Umgang mit den durch das Hinweisgebersystem erfassten personenbezogenen Daten sollte transparent und umfassend geregelt sein – idealerweise im Rahmen einer Betriebsvereinbarung oder einer speziellen Richtlinie.
Für den Erfolg eines Whistleblowing-Systems ist es zudem wichtig, die Hemmschwellen in der Belegschaft gering zu halten: zum Beispiel durch die Möglichkeit zur Anonymität in der ersten Meldestufe, durch eine hohe Akzeptanz des Systems bei allen Stakeholdern sowie durch fortlaufende Aufklärung und Kommunikation rund um das Thema Compliance.
Sie haben Fragen zur Einhaltung der DS-GVO oder zu weiteren Datenschutzspezifischen Themen?
Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen: