Was bedeutet Hinweisgeberschutz für den Datenschutz?

Ein Déjà-vu zeichnet sich ab. Vor drei Jahren gingen viele Betriebe unvorbereitet in die Datenschutz-Grundverordnung (DSGVO), trotz Vorwarnungen. Jetzt schaut es bei einer neuen EU-Regelung nicht viel besser aus: Die Richtlinie zum Hinweisgeberschutz. Sie ist bereits seit dem 16. Dezember 2019 in Kraft und beinhaltet eine zweijährige Übergangsfrist, die Ende dieses Jahres ausläuft. Spätestens dann muss der deutsche Gesetzgeber das Europarecht in nationales Recht überführt haben. In der Regierungskoalition gibt es Streit über das sogenannte Whistleblower-Gesetz. Sollte kein nationales Gesetz zustande kommen, gilt das EU-Recht unmittelbar. Und das heißt: Unternehmen und Behörden über 250 Beschäftigte sind ab 17. Dezember 2021 betroffen und von Ende 2023 an Arbeitgeber mit unter 250 Beschäftigten. „Da kommen zahlreiche Handlungsanforderungen auf viele Unternehmen zu, von denen offenbar einige noch gar nichts ahnen. Auch datenschutzrechtliche Fragestellungen werden eine wichtige Rolle dabei spielen“, erklärt Datenschutzexperte Dr. Jörn Voßbein zur Whistleblower-Richtlinie und ihren Auswirkungen. Die Zeit rennt. Bis Ende des Jahres bleiben nur noch wenige Monate und ob die bisherige Regierungskoalition im heraufziehenden Wahlkampf noch eine Einigung erzielen kann, ist mehr als fraglich. Grund genug sich einen Überblick über das Bekannte zu verschaffen.

Ziel der neuen Richtlinie

Die EU nimmt die Unternehmen beim Hinweisgeberschutz in die Pflicht. Mit den Schutzmaßnahmen will die EU gewährleisten, dass Hinweisgeber keine negativen Konsequenzen fürchten müssen. Die Richtlinie soll das Melden in den Bereichen Bilanzfälschung, Geldwäsche, Korruption, Wirtschaftsspionage, Betrug, Diebstahl, Unterschlagung, Mobbing oder sexuelle Übergriffe in Unternehmen oder Behörden fördern.

Für wen gilt die neue Richtlinie?

Für Unternehmen und Behörden gleichermaßen. Sie müssen zukünftig ab einer Größe von 50 Mitarbeitern geeignete interne Meldekanäle bereitstellen. Für die Unternehmen ab 250 Mitarbeiter gilt diese Pflicht ab 17. Dezember 2021. Für kleinere Unternehmen gilt voraussichtlich noch eine Schon- und Übergangsfrist von zwei Jahren bis zum 17. Dezember 2023.

Wie soll das Melden von Verstößen gefördert werden?

Hierzu sollen Unternehmen und Behörden neue Meldekanäle einrichten, damit Meldungen entweder schriftlich über ein Online-System, einen Briefkasten oder per Postweg abgegeben werden können. Natürlich sind auch Telefonie oder ein Anrufbeantwortersystem grundsätzlich möglich. Bei allen Meldewegen muss die Vertraulichkeit des Whistleblowers geschützt sein.

Und der Datenschutz?

Daher ist es nur konsequent, dass alle personenbezogenen Daten, sowohl die des Hinweisgebers als auch etwaiger beschuldigter Personen, DSGVO-konform verarbeitet werden müssen. Aber hier gibt es zahlreiche Fragen, die noch völlig unbeantwortet sind. Beispiele: Wie setzt sich der Kreis der Personen zusammen, die die eingehenden Meldungen einsehen dürfen? Wie werden die Prozesse dokumentiert? Wie sieht es mit Auskunftsrechten und Informationspflichten aus?

Dies gilt gerade vor dem Hintergrund, dass alle eingegangenen Meldungen sicher aufbewahrt werden müssen, damit sie als Beweismaterial verwandt werden können. Es wird deutlich, dass der Datenschutz sehr eng mit der Whistleblower-Richtlinie verknüpft ist. „Die Umsetzung der Whistleblower-Regelungen – egal wie sie national ausgestaltet werden – kann nur unter genauer Berücksichtigung der bestehenden DSGVO-Regeln erfolgen“, empfiehlt UIMC-Geschäftsführer Dr. Jörn Voßbein den betroffenen Firmen und Behörden.

Die UIMC wird die Umsetzung der EU-Whistleblowing-Richtlinie in nationales Recht weiter beobachten und Unterstützungsmöglichkeiten insbesondere im Hinblick auf die genannten Datenschutzanforderungen erarbeiten. Zu diesem Thema bietet die UIMC ein Seminar an: www.uimc.de/webecollege.

Über die UIMC Dr. Vossbein GmbH & Co. KG

Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.

Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.

Firmenkontakt und Herausgeber der Meldung:

UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de

Ansprechpartner:

Dr. Jörn Voßbein
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de

Weiterführende Links

Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.