EU-Whistleblower-Richtlinien – Wie werden Whistleblower in der EU geschützt?

Im Konkreten ist ein Whistleblower, ein „Hinweisgeber“, eine geschützte Person, welche durch spezifische, der Öffentlichkeit nicht zugängliche Informationen imstande ist, Unternehmen potenziell illegaler Tatbestände zu überführen. Hinweisgeber leisten damit einen signifikanten Beitrag für die Gesellschaft und Ordnungsmäßigkeit in Unternehmen. Dabei benötigen sie allerdings besonderen Schutz, wenn sie solch einen Vorfall melden, da sie sich in diesem Moment gegen den eigenen Arbeitgeber wenden. Daher hat die Europäische Union eine Richtlinie verabschiedet, die ab Dezember 2021 in Kraft treten soll. Bis zu diesem Zeitpunkt sollen die Mitgliedsstaaten der EU einschließlich Deutschland die Inhalte der Richtlinie in einem nationalen Umsetzungsakt verarbeiten. In Deutschland wird hierfür klassischerweise ein Bundesgesetz erlassen. Diese nationalen Umsetzungsakte dienen dazu, einen allumfassenden Schutz sicherzustellen.

Um diesen Schutz zu gewährleisten, haben bereits zahlreiche Unternehmen eigene Meldestellen und Hinweisgebersysteme eingerichtet. Mit deren Hilfe sollen Whistleblower Fehlverhalten im Unternehmen frühzeitig melden und aufdecken können, ohne Konsequenzen fürchten zu müssen. Eine gesetzliche Pflicht, beispielsweise die Integration von Meldestellen, besteht für Unternehmen bisher nicht. Die neue EU-Whistleblower-Richtlinie soll dies aber ändern.

Der Weg zur Whistleblower-Richtlinie

Die Whistleblower-Richtlinie (Richtlinie (EU) 2019/1937 des Europäischen Parlaments und Rates), ist bereits am 23. Oktober 2019 in Kraft getreten. Das darin formulierte Ziel ist der „Schutz von Personen, die Verstöße gegen das Unionsrecht melden“.

Die Historie der EU-Whistleblower-Richtlinie

  • Vor April 2018: Flächendeckende Richtlinien zum Schutz von Whistleblowern in der EU existieren nicht. Da ein Schutz ihrer Arbeit nur geringfügig gegeben ist, werden Missstände in Unternehmen eher selten gemeldet.
  • April 2018: Ein erster Richtlinienvorschlag der EU-Kommission liegt vor, der einheitlichen Schutz leisten soll.
  • März 2019: „Provisorische Einigung“ des EU-Parlaments und der Botschafter der EU-Mitgliedstaaten entsteht.
  • 16. April 2019: Einigung auf die Regeln eines EU-weiten Hinweisgeberschutzes durch das EU-Parlament.
  • Oktober 2019: Der EU-Rat nimmt die Richtlinie offiziell an.
  • 23. Dezember 2019: Inkrafttreten der EU-Whistleblower-Richtlinie 2019/1937.
  • 17. Dezember 2021: Fristende zur Implementierung der Richtlinie durch die EU-Mitgliedsstaaten in nationales Recht.

Die neue EU-Whistleblower-Richtlinie trat am 17. Dezember 2021 in Kraft, was dazu führen sollte, dass die bisher beschlossenen Regelungen möglichst einheitlich und national übergreifend in Gesetzen verabschiedet werden. Das ist obligatorisch für alle EU-Staaten und verpflichtet sie zu einer Überführung der Richtlinien in nationales Recht. Die EU-Whistleblower-Richtlinie soll den Schutz von Whistleblowern manifestieren.

Wie organisiert sich dieser Schutz gemäß der neuen EU-Whistleblower-Richtlinie?

Das Einführen eines Systems mit entsprechenden Meldekanälen, zum Schutz von Hinweisgebern, wird EU-weit künftig Pflicht für Betriebe – auch hierzulande in Deutschland. Damit können Mitarbeiter mögliche Missstände anzeigen, ohne negative arbeitsrechtliche Konsequenzen befürchten zu müssen.

Auch wenn der Gesetzentwurf für das Hinweisgeberschutzgesetz in Deutschland noch nicht verabschiedet ist, können Unternehmen bereits jetzt auf die kommende EU-Whistleblower-Richtlinie reagieren:

Für Unternehmen bedeutet dies, dass die Einführung von internen Hinweisgebersystemen, zum Beispiel durch eine zentrale Meldestelle, ab einer Anzahl von 50 Mitarbeitern erforderlich ist. In jedem Fall muss aber gewährleistet sein, dass ein Vorfall sowohl auf schriftlichem als auch auf mündlichem Wege gemeldet werden kann. Dazu muss zudem ein Verfahren zur Meldungsabgabe bestehen.

Ferner muss die hinweisgebende Person eine Eingangsbestätigung erhalten, sollte sie einen Verstoß in einem Unternehmen melden wollen. Auch dazu muss von den Unternehmen ein System bereitgestellt werden, was dies sicherstellt. Dabei ist die Meldestelle verpflichtet, den Hinweisgeber innerhalb von drei Monaten über Konsequenzen und die aktuelle Situation in Kenntnis zu setzen.

Welche Rolle spielt bei der EU-Whistleblower-Richtlinie der Datenschutz?

Sollte eine Person Hinweise an ein Unternehmen weitergeben, handelt es sich hierbei immer um personenbezogene Daten. Daher nimmt der Datenschutz bei Whistleblowern und gleichzeitig bei der EU-Whistleblower-Richtlinie eine tragende Position ein. Unterschieden wird dabei zwischen:

  • Hinweisen, die aus einem Verstoß des Datenschutzes entstehen und
  • Hinweisen, in denen es aufgrund der Meldung um Datenschutz geht.

Da durch Hinweisgeber Daten weitergegeben werden, spielt hierbei auch der Datenschutz eine wichtige Rolle. Hierbei wird außerdem unterschieden zwischen:

  • Meldungen, die aufgrund von Datenschutzverstößen gemacht werden und
  • Meldungen, in denen der Datenschutz aufgrund der Meldung an sich eine Rolle spielt.

Richten Unternehmen ein Whistleblowing-System ein, so muss sichergestellt sein, dass dieses System die Anforderungen der DSGVO im Bereich Datensicherheit umsetzt. Das heißt im Konkreten, dass die entsprechenden technischen und organisatorischen Maßnahmen dokumentiert und von Mitarbeiterinnen und Mitarbeitern anerkannt und beachtet werden müssen.

Zu den technischen Maßnahmen gehören insbesondere der Schutz der gespeicherten personenbezogenen Daten vor unbefugtem Zugriff, beispielsweise durch Anonymisierung, Pseudonymisierung oder Verschlüsselung. So soll grundsätzlich die Identität eines Hinweisgebers bei einer Meldung geschützt werden. Organisatorische Aktionen belaufen sich auf Regelungen zur Rechtevergabe sowie zur Speicherung und fristgerechten Löschung der Daten. Insbesondere das Entfernen der Daten bedarf einer technischen Kontrolle und Durchführung.

Datenschutz mit datenzeit

Wenn Sie als Unternehmen auf der Suche nach einem externen Datenschutzbeauftragten sind, dann kontaktieren Sie uns gerne über unser Kontaktformular und vereinbaren Sie einen Termin für ein Beratungsgespräch. Als Datenschutzbeauftragte Ihres Unternehmens beraten wir Sie persönlich und antworten schnell auf Ihre Fragen. Dabei bieten wir Ihnen optimale Lösungen an, die den Regelungen der DSGVO gerecht werden und individuell auf Ihre Unternehmensabläufe und Ihren Datenschutzbedarf zugeschnitten sind. Um einen ersten Eindruck von unserem Angebot zu erhalten, werfen Sie gerne einen Blick auf unser Dienstleistungsportfolio.

Neben Datenschutzanliegen beraten und unterstützen wir Sie gerne auch in IT-Fragen. Genau auf Ihr Unternehmen abgestimmt erarbeiten wir passende Maßnahmen und Lösungen rund um Ihre IT-Systeme. So können wir Ihr Unternehmen beispielsweise auch bei der Einrichtung eines Hinweisgebersystems in technischer Hinsicht begleiten, damit Sie zeitnah und professionell auf die EU-Whistleblower-Richtlinie reagieren können.