EU-Whistleblower-Richtlinien – wie werden Whistleblower in der EU geschützt?

Die Whistleblower-Richtlinie (Richtlinie (EU) 2019/1937 des Europäischen Parlaments und Rates), ist bereits am 23. Oktober 2019 in Kraft getreten. Das darin formulierte Ziel ist der „Schutz von Personen, die Verstöße gegen das Unionsrecht melden“. Um diesen Schutz zu gewährleisten, haben bereits zahlreiche Unternehmen eigene Meldestellen und Hinweisgebersysteme eingerichtet. Mit deren Hilfe sollen Whistleblower Fehlverhalten im Unternehmen frühzeitig melden und aufdecken können, ohne Konsequenzen fürchten zu müssen. Eine gesetzliche Pflicht, beispielsweise die Integration von Meldestellen, besteht für Unternehmen bisher nicht. Die neue EU-Whistleblower-Richtlinie soll dies aber ändern.

Zur Umsetzung der EU-Whistleblower-Richtlinie in nationales Recht hat das Bundeskabinett am 27.7.2022 einen Regierungsentwurf (HinSchG-E) beschlossen und somit das Gesetzgebungsverfahren zum Hinweisgeberschutzgesetz eingeleitet. Es wird erwartet, dass das Hinweisgeberschutzgesetz noch in 2022 verabschiedet und drei Monate später in Kraft tritt.

• Vor April 2018: Flächendeckende Richtlinien zum Schutz von Whistleblowern in der EU existieren nicht. Da ein Schutz ihrer Arbeit nur geringfügig gegeben ist, werden Missstände in Unternehmen eher selten gemeldet.
• April 2018: Ein erster Richtlinienvorschlag der EU-Kommission liegt vor, der einheitlichen Schutz leisten soll.
• März 2019: „Provisorische Einigung“ des EU-Parlaments und der Botschafter der EU-Mitgliedstaaten entsteht.
• 16. April 2019: Einigung auf die Regeln eines EU-weiten Hinweisgeberschutzes durch das EU-Parlament.
• Oktober 2019: Der EU-Rat nimmt die Richtlinie offiziell an.
• 23. Dezember 2019: Inkrafttreten der EU-Whistleblower-Richtlinie 2019/1937.
• 17. Dezember 2021: Fristende zur Implementierung der Richtlinie durch die EU-Mitgliedsstaaten in nationales Recht.
• 13. April 2022: Veröffentlichung eines Referentenentwurfs des deutschen Hinweisgeberschutzgesetzes
• 27. Juli 2022: Veröffentlichung eines Regierungsentwurfs des deutschen Hinweisgeberschutzgesetzes durch das Bundeskabinett

Die neue EU-Whistleblower-Richtlinie trat am 17. Dezember 2021 in Kraft, was dazu führen sollte, dass die bisher beschlossenen Regelungen möglichst einheitlich und national übergreifend in Gesetzen verabschiedet werden. Das ist obligatorisch für alle EU-Staaten und verpflichtet sie zu einer Überführung der Richtlinien in nationales Recht. Die EU-Whistleblower-Richtlinie soll den Schutz von Whistleblowern manifestieren.

Das Einführen eines Systems mit entsprechenden Meldekanälen, zum Schutz von Hinweisgebern, wird EU-weit künftig Pflicht für Betriebe – auch hierzulande in Deutschland. Damit können Mitarbeiter mögliche Missstände anzeigen, ohne negative arbeitsrechtliche Konsequenzen befürchten zu müssen. Unternehmen können bereits jetzt auf die kommende EU-Whistleblower-Richtlinie bzw. das Hinweisgeberschutzgesetz in Deutschland reagieren:

Für Unternehmen bedeutet dies, dass die Einführung von internen Hinweisgebersystemen, zum Beispiel durch eine zentrale Meldestelle, ab einer Anzahl von 50 Mitarbeitern erforderlich ist. In jedem Fall muss aber gewährleistet sein, dass ein Vorfall sowohl auf schriftlichem als auch auf mündlichem Wege gemeldet werden kann. Dazu muss zudem ein Verfahren zur Meldungsabgabe bestehen.

Doch Hinweisgeber wollen bei der Abgabe eines Hinweises darauf vertrauen können, dass Sie anonym bleiben. Einige Hinweisgebersysteme (z. B. eine Meldung per E-Mail, ein physikalischer Briefkasten oder die einfache Meldung beim Vorgesetzten) können dies nicht erfüllen, da sie unsicher sind oder die Anonymität des Hinweisgebers nicht wahren. Die Akzeptanz innerhalb der Belegschaft darf nur dann als gegeben angesehen werden, wenn eine sichere und vor allem anonyme Mitteilung gewährleistet ist, weshalb die Vorteile eines elektronischen Hinweisgebersystems überwiegen.

Ferner muss die hinweisgebende Person eine Eingangsbestätigung erhalten, sollte sie einen Verstoß in einem Unternehmen melden wollen. Auch dazu muss von den Unternehmen ein System bereitgestellt werden, was dies sicherstellt. Dabei ist die Meldestelle verpflichtet, den Hinweisgeber innerhalb von drei Monaten über Konsequenzen und die aktuelle Situation in Kenntnis zu setzen.

Sollte eine Person Hinweise an ein Unternehmen weitergeben, handelt es sich hierbei immer um personenbezogene Daten. Daher nimmt der Datenschutz bei Whistleblowern und gleichzeitig bei der EU-Whistleblower-Richtlinie eine tragende Position ein. Unterschieden wird dabei zwischen:

• Hinweisen, die aus einem Verstoß des Datenschutzes entstehen und
• Hinweisen, in denen es aufgrund der Meldung um Datenschutz geht.

Da durch Hinweisgeber Daten weitergegeben werden, spielt hierbei auch der Datenschutz eine wichtige Rolle. Hierbei wird außerdem unterschieden zwischen:

• Meldungen, die aufgrund von Datenschutzverstößen gemacht werden und
• Meldungen, in denen der Datenschutz aufgrund der Meldung an sich eine Rolle spielt.

Richten Unternehmen ein Whistleblowing-System ein, so muss sichergestellt sein, dass dieses System die Anforderungen der DSGVO im Bereich Datensicherheit umsetzt. Das heißt im Konkreten, dass die entsprechenden technischen und organisatorischen Maßnahmen dokumentiert und von Mitarbeiterinnen und Mitarbeitern anerkannt und beachtet werden müssen.

Zu den technischen Maßnahmen gehören insbesondere der Schutz der gespeicherten personenbezogenen Daten vor unbefugtem Zugriff, beispielsweise durch Anonymisierung, Pseudonymisierung oder Verschlüsselung. So soll grundsätzlich die Identität eines Hinweisgebers bei einer Meldung geschützt werden. Organisatorische Aktionen belaufen sich auf Regelungen zur Rechtevergabe sowie zur Speicherung und fristgerechten Löschung der Daten. Insbesondere das Entfernen der Daten bedarf einer technischen Kontrolle und Durchführung.

Wenn Sie als Unternehmen auf der Suche nach einem externen Datenschutzbeauftragten sind, dann kontaktieren Sie uns gerne über unser Kontaktformular und vereinbaren Sie einen Termin für ein Beratungsgespräch. Als Datenschutzbeauftragte Ihres Unternehmens beraten wir Sie persönlich und antworten schnell auf Ihre Fragen. Dabei bieten wir Ihnen optimale Lösungen an, die den Regelungen der DSGVO gerecht werden und individuell auf Ihre Unternehmensabläufe und Ihren Datenschutzbedarf zugeschnitten sind. Um einen ersten Eindruck von unserem Angebot zu erhalten, werfen Sie gerne einen Blick auf unser Dienstleistungsportfolio.

Neben Datenschutzanliegen beraten und unterstützen wir Sie gerne auch in IT-Fragen. Genau auf Ihr Unternehmen abgestimmt erarbeiten wir passende Maßnahmen und Lösungen rund um Ihre IT-Systeme. So können wir Ihr Unternehmen beispielsweise auch bei der Einrichtung eines Hinweisgebersystems in technischer Hinsicht begleiten, damit Sie zeitnah und professionell auf die EU-Whistleblower-Richtlinie reagieren können.