Symbolbild für Whistleblowing Richtlinie

Die neue Whistleblowing Richtlinie

Bereits am 17. Dezember 2021 endete die Deadline für die EU-Mitgliedsstaaten, um die sogenannte “Whistleblower”-Richtlinie in eigene nationale Gesetze umzusetzen. Deutschland verpasste diese Frist – doch steht die Umsetzung der Richtlinie in das nationale Hinweisgeberschutzgesetz nun unmittelbar bevor.

2021-09-17

Logo

Wir haben für Sie zusammengefasst, was die Richtlinie und der Entwurf des Hinweisgeberschutzgesetztes konkret vorgeben und welche Auswirkungen das auf Unternehmen hat.

Was sind Whistleblower beziehungsweise Hinweisgeber?

Julian Assange und Edward Snowden sind vermutlich die bekanntesten Fälle von Whistleblowern in den vergangenen Jahren. Doch auch wenn sich diese Beispiele nach vereinzelten spektakulären Ereignissen anhören, ist das Whistleblowing an sich weiter verbreitet als erwartet. Ein Whistleblower, zu Deutsch Hinweisgeber, kann prinzipiell jede natürliche Person sein, die Informationen über Verstöße oder illegale Vorgänge einer juristischen Person besitzt und diese Hinweise an interne oder externe Meldestellen weitergibt. Eine interne Meldestelle ist dabei im Bereich der juristischen Person, also innerhalb des Unternehmens eingerichtet. Eine externe auf Seiten der zuständigen Behörde.

Hinweise von Whistleblowern sind wichtig, um Missstände, Verstöße und illegale Machenschaften in Unternehmen aufzudecken und somit die Gesellschaft zu schützen. Da Unternehmen oder anderen juristischen Personen entsprechende Strafen bei Vergehen jeglicher Art drohen, gelten Whistleblower in Unternehmen als großes Risiko. Eine regelrechte Stigmatisierung, Repressalien und Vergeltungsmaßnahmen sind nicht selten die Folge. Um dennoch Hinweise von Whistleblowern zu erlangen, wurde die EU-weite Richtlinie auf den Weg gebracht, welche bis Ende 2021 in ein nationales Gesetz umgewandelt werden sollte.

Das Hinweisgeberschutzgesetz – was steckt dahinter?

Das Hinweisgeberschutzgesetz, kurz HinSchG, ist die deutsche Umsetzung der EU-“Whistleblowing”-Richtlinie (EU) 2019/1937. Diese wurde von der Europäischen Union 2019 mit dem Ziel ins Leben gerufen, Whistleblower besser zu schützen. Im gleichen Zuge wurde beschlossen, dass alle EU-Mitgliedsstaaten diese Direktive bis zum 17. Dezember 2021 in ein nationales Gesetz umsetzen müssen. Das Ziel der EU-“Whistleblowing”-Richtlinie, Hinweisgeber besser zu schützen, ist bei der Ausgestaltung des nationalen Gesetzes entsprechend zu berücksichtigen. In Deutschland wurde diese Umsetzungsfrist nicht eingehalten, weshalb die EU-Kommission ein sog. Vertragsverletzungsverfahren gegen die Bundesrepublik eingeleitet hat.

Aktuell werden Hinweisgeber in Deutschland nur unzureichend vor Repressalien geschützt. Mit dem Gesetz zum Schutz von Geschäftsgeheimnissen 2019 wurden Whistleblowern in Deutschland zusätzliche Steine in den Weg gelegt. Da sich allerdings in der Vergangenheit gezeigt hat, dass durch Whistleblower wichtige nationale und internationale Verstöße ans Licht gekommen sind und nur so illegale Machenschaften gestoppt werden konnten, soll der Schutz von Hinweisgebern in Zukunft einen höheren Stellenwert erlangen.

Wie geht es weiter mit dem Hinweisgeberschutzgesetz?

Aktuell wurde der Entwurf für das Hinweisgeberschutzgesetz in Deutschland noch nicht verabschiedet. Ende 2020 wurde von dem deutschen Bundesministerium für Justiz und Verbraucherschutz (BMJV) ein erster Gesetzentwurf vorgelegt, der allerdings Ende April 2021 von der CSU/CDU gekippt wurde. Aufgrund der Bundestagswahl und der darauffolgenden Koalitionsbildung konnte die Umsetzungsfrist bis zum 17. Dezember 2021 nicht eingehalten werden. Am 27. Juli 2022 hat das Bundeskabinett der Ampelkoalition nunmehr ihren Entwurf des Hinweisgeberschutzgesetzes beschlossen. Es wird damit gerechnet, dass es zeitnah nach der Sommerpause des Bundestages zur Verabschiedung des Gesetzes kommt. Sodann wird das Gesetz kurzfristig in Kraft treten.

Welche Rolle spielt der Datenschutz?

Da durch Hinweisgeber Daten weitergegeben werden, spielt hierbei auch der Datenschutz eine wichtige Rolle. Hierbei muss man allerdings unterscheiden zwischen

  • Meldungen, die aufgrund von Datenschutzverstößen gemacht werden und

  • Meldungen, in denen der Datenschutz aufgrund der Meldung an sich eine große Rolle spielt.

Der letztgenannte Fall tritt insbesondere dann ein, wenn:

  • Wenn Dritte zur Entgegennahme externer Mitteilungen verpflichtet werden, dann müssen diese „entsprechende Garantien“ für Datenschutz-Schutzmaßnahmen bieten (Erwägungsgrund 54 der Richtlinie). Das gilt entsprechend für externe Meldestellen.

  • Der Adressat muss sicherstellen, dass aufseiten des Empfängers der Mitteilung kein Interessenkonflikt und kein Mangel an Integrität oder Unabhängigkeit besteht.

  • Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO) (Erwägungsgrund 83 der Richtlinie) müssen gewährleistet werden.

  • Schutz des Whistleblowers vor missbräuchlicher Ausnutzung von DSGVO-Betroffenenrechten, wie bspw. vor der Offenlegung seines Namens durch ein Auskunftsersuchen.

  • Bei Datenschutzverstößen des Melders durch die Meldung/Offenlegung ist ein Haftungsausschluss vor Gericht gemäß Art. 21 Abs. 7 der Richtlinie möglich. Ausgenommen sind hier jedoch Straftaten des Melders.

Was bedeutet das Hinweisgeberschutzgesetz für Unternehmen?

Auch wenn der Gesetzentwurf noch nicht verabschiedet ist, sollten Unternehmen bereits jetzt dringend auf das kommende Hinweisgeberschutzgesetz reagieren – denn nach Verabschiedung des Gesetzes wird dieses kurzfristig in Kraft treten.

  • Unternehmen ab 50 Mitarbeitern müssen sichere, interne Hinweisgebersysteme einführen. Das kann durch das Einrichten einer internen Meldestelle erfolgen. Ziel ist es, jederzeit einen Verstoß melden zu können - egal ob schriftlich, mündlich oder persönlich. Dazu muss ein Verfahren zur Entgegennahme von Meldungen eingerichtet werden. Eine interne Meldestelle kann auch von einem geeigneten, externen Dienstleister betrieben werden.

  • Der Hinweisgeber muss binnen sieben Tagen eine Bestätigung über den Eingang der Meldung erhalten. Ein fehlerfreies System im Umgang mit Meldungen ist hierbei das A und O.

  • Die Meldestelle ist verpflichtet, dem Hinweisgeber innerhalb von drei Monaten mitzuteilen, welche Konsequenzen die Meldung nach sich gezogen hat und wie der aktuelle Stand ist. Das dient vor allem dem Schutz des Hinweisgebers.

Sie stehen vor der Herausforderung eine Meldestelle einzurichten? Wir helfen Ihnen weiter! Hier erfahren Sie mehr.

datenschutzexperte.de-Tipp:Das Hinweisgeberschutzgesetz sieht vor, zwei Kanäle, einen internen und einen externen, zur Meldung von Verstößen zur Verfügung zu stellen. Der Hinweisgeber kann dann zwischen dem internen Meldekanal des Unternehmens und dem externen Meldekanal der hierfür zuständigen Behörde wählen. Als externe Meldestellen sieht das Hinweisgeberschutzgesetz unter anderem das Bundeskartellamt und die Bundesanstalt für Finanzdienstleistungsaufsicht vor.

Das Thema Whistleblowing ist ein wichtiges Thema, das auch aus datenschutzrechtlicher Sicht nicht unterschätzt werden darf. Es ist wichtig, sowohl Hinweisgeber zu schützen, wie auch sichere Meldesysteme aufzubauen, um auch in Zukunft von Hinweisgebern profitieren zu können.

Der Umgang mit Hinweisen ist für Unternehmen oftmals eine ungewohnte Situation. Sich so zu verhalten, dass die Datenschutzkonformität in einem solchen Vorgang gewahrt wird, ist hierbei immer wieder aufs Neue eine Herausforderung. Um Sie in diesem Bereich zu unterstützen, bieten wir eine umfangreiche Datenschutzberatung an, die Sie auch im Umgang mit Whistleblowing-Vorgängen umfassend unterstützt. Unsere Expertenberatung kann ganz einfach und unverbindlich angefragt werden – wir freuen uns auf Ihre Nachricht!

Autor: Team datenschutzexperte.de
Artikel veröffentlicht am 17.09.2021 Artikel aktualisiert am 11.08.2022

Kontaktieren Sie uns

Unsere Datenschutzexperten stehen Ihnen gerne bei allen datenschutzrechtlichen Fragen zur Verfügung.

Bitte füllen Sie das Formular möglichst vollständig aus. Wir kontaktieren Sie mit passenden Terminvorschlägen für Ihre persönliche Beratung. Oder lassen Sie sich unverbindlich beraten unter:

089 / 250 039 220

Sie wissen nicht, was zu tun ist? Treten Sie mit uns in Kontakt – wir beraten Sie gerne

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Portraits unserer Datenschschutzexperten Dominik Fünkner, Dorothea Teichman, Nathalie Dold und Hauke Gerdey
Portraits unserer Datenschschutzexperten Dominik Fünkner, Dorothea Teichman, Nathalie Dold und Hauke Gerdey

Wir managen Ihren Datenschutz

Unsere zertifizierten Datenschutzbeauftragten helfen Ihnen, Datenschutzvorgaben sicher und pragmatisch umzusetzen. Profitieren Sie von unserem Knowhow aus über 1.800 Kundenprojekten in über 50 Branchen.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr