DatenschutzEU-Whistleblower-Richtlinie – das müssen Sie beachten

Was beinhaltet die EU-Whistleblower-Richtlinie? Wer ist davon betroffen? In welchem Zusammenhang stehen Whistleblowing und Datenschutz in der Praxis? Und: Was Sie aus Sicht des Datenschutzes beachten müssen, wenn die Meldung eines Whistleblowers in Ihrem Unternehmen eingeht.

Was ist die EU-Whistleblower-Richtlinie?

Mit der EU-Whistleblower-Richtlinie will die EU-Kommission in Brüssel den Hinweisgeberschutz erstmals in der Europäischen Union regeln und harmonisieren. Das Ziel ist ein besserer Schutz für Whistleblower. Wer Missstände in Unternehmen oder Organisationen aufdeckt, soll beruflich keine Degradierungen, Mobbing oder die Kündigung befürchten müssen.

Whistleblower dürfen künftig weder zivil- noch straf- oder verwaltungsrechtlich für das Offenlegen von Rechtsverstößen und Missständen belangt werden.

Die Neuregelungen sollen dazu beitragen, dass Zuwiderhandlungen gegen das geltende EU-Recht aufgedeckt werden. Damit das gelingt, sollen Betriebe geeignete Strukturen schaffen und die Anonymität der Hinweisgeber wahren.

Wen betrifft die EU-Whistleblower-Richtlinie?

EU-weit sichere interne Meldekanäle für Hinweisgeber bereitstellen müssen:

  • kleine und große Unternehmen ab 50 Beschäftigten
  • Einrichtungen des öffentlichen Sektors
  • Behörden
  • Gemeinden ab 10.000 Einwohnern

Für größere Unternehmen ab 250 Beschäftigten sieht die Richtlinie diese Pflicht bereits seit dem 17. Dezember 2021 vor – eine unmittelbare Wirkung entfaltet die Richtlinie aber nicht. Sie muss durch ein nationales Gesetz in nationales Recht überführt werden. In Deutschland erfolgt dies im Hinweisgeberschutzgesetz (HinSchG).

Eine längere Übergangsfrist gewährt die Richtlinie Firmen mit mehr als 50 und weniger als 250 Beschäftigten. Diesen Betrieben wird für die Einführung der Meldekanäle und Maßnahmen zum Hinweisgeberschutz bis zum 17. Dezember 2023 Zeit gegeben.

Warum ist Whistleblowing für Unternehmen wichtig?

Whistleblowing ist für jede Organisation unerlässlich, die eine Kultur der Verantwortlichkeit und Integrität fördern will.

Fehlverhalten wird sofort geahndet

Es ermöglicht den Mitarbeitenden, sich intern ohne Angst über Dinge wie Korruption, Machtmissbrauch und Diskriminierung zu beschweren.

Das hilft Organisationen, diese Probleme sofort anzugehen. In den meisten Fällen haben Whistleblower eine Insider-Perspektive auf die gemeldeten Probleme, weil sie das Innenleben aus erster Hand kennen. Deshalb können sie aufschlussreiche Details zu den Missständen liefern.

Whistleblowing schafft ein sicheres Umfeld für Angestellte

Werden die Mitarbeitenden ermutigt, offen zu kommunizieren und ihre Identität zu schützen, trägt dies zum Aufbau von Engagement und Vertrauen bei und kann sogar die Produktivität steigern.

Transparenz wird gefördert

Ein transparenter Arbeitsplatz stärkt das Vertrauen zwischen dem Management und den Mitarbeitenden. Er vermittelt zudem ein Gefühl der Gerechtigkeit.

Wie hängen Whistleblowing und Datenschutz zusammen?

Der Datenschutz und die Datensicherheit spielen bei Whistleblowing-Verfahren eine zentrale Rolle. Das jeweilige Fallmanagement und die interne Untersuchung hängen untrennbar von der Einhaltung des Datenschutzes ab, dieser zählt zu den absoluten Notwendigkeiten. Der Schutz der personenbezogenen Daten ist für die betroffenen Personen in Whistleblowing-Fällen von größtem Interesse, da sie ihre Identität schützen wollen.

Ermittlungsexperten zufolge gehören Fragen des Datenschutzes zu den größten Herausforderungen bei ihren internen Ermittlungen. Wenn Sie durch E-Mail-Screening Beweise sammeln wollen, sollten Sie den Datenschutz ernst nehmen. Dies ist auch später wichtig, wenn vor Gericht rechtmäßige Beweise vorzulegen sind.

Vorgehen nach Eingang eines Whistleblower-Berichts

Damit die Datenschutzbestimmungen eingehalten werden, müssen Sie zunächst wissen, welche Rechtsgrundlage für die zulässige Verarbeitung der Daten anwendbar ist und diese darlegen. Infrage kommen etwa:

  • nationales Recht
  • EU-Whistleblower-Richtlinie
  • Einwilligung
  • Betriebsvereinbarung
  • berechtigtes Interesse

Sofern die EU-Whistleblowing-Richtlinie oder nationales Recht anwendbar ist, können Sie die Verarbeitung von Daten auf Artikel 6 Absatz 1 Nummer 1c DSGVO in Verbindung mit dem jeweiligen nationalen Whistleblowing-Gesetz stützen.

Ist die EU-Whistleblowing-Richtlinie nicht anwendbar, müssen Sie Ihre Verarbeitung personenbezogener Daten auf ein berechtigtes Interesse stützen.

In Deutschland gibt es spezielle Rechtsgrundlagen für die Verarbeitung von Daten im Beschäftigungskontext laut § 26 Bundesdatenschutzgesetz (BDSG) mit eng gefasstem Geltungsbereich. Es könnten auch Betriebsvereinbarungen zwischen Arbeitgebern und Betriebsräten bestehen, die jedoch für Außenstehende nicht bindend sind.

Wenn Sie Whistleblowing-Systeme einrichten, gibt es faktisch nur zwei Rechtsgrundlagen für die Verarbeitung personenbezogener Daten: die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung oder die Verarbeitung auf der Grundlage eines berechtigten Interesses.

Folgende vier Hauptbereiche spielen beim Datenschutz eine relevante Rolle:

  • Rechtsgrundlagen der Verarbeitung
  • Transparenz- und Informationspflichten
  • Aufbewahrungs- und Löschungsfristen
  • Verantwortlichkeiten bei der Verarbeitung

Wie funktioniert die interne Untersuchung zu Whistleblowing datenschutzkonform?

Die Rechts- oder Compliance-Abteilungen sind üblicherweise für die eingehenden Whistleblowing-Hinweise, Beschwerden und Berichte zuständig und haben ein Interesse daran, Beweise zu sammeln. Diese Abteilungen müssen darauf achten, dass sie die beteiligten Parteien nicht über die laufende Untersuchung informieren.

Sie müssen während der internen Untersuchung genügend Beweise sammeln, um Verstöße zu unterbinden sowie aktuellen und künftigen Schaden vom Unternehmen abzuwenden. Datenschutzrechtliche Informations- und Auskunftspflichten müssen erfüllt werden – aber erst nach Abschluss der Ermittlungen. Bis zum Abschluss des Verfahrens dürfen sie aus datenschutzrechtlicher Sicht Informationen zurückhalten.

In Deutschland bestehen dafür spezielle Vorschriften im Bundesdatenschutzgesetz. Das Hauptproblem ist, dass diese nationalen deutschen Sonderregelungen laut einiger Datenschutzbehörden nicht mit dem EU-Recht vereinbar sind. Doch die neue Whistleblowing-Richtlinie besagt eindeutig, dass nationale Vorschriften Ausnahmen für Transparenz- und Informationspflichten vorsehen können.

Wann Sie Informationen zurückhalten dürfen

Sie können die Weitergabe von Informationen aufschieben, wenn etwa die Gefahr besteht, dass der Sachverhalt nicht oder nicht mehr aufgeklärt werden kann, die Geltendmachung oder Abwehr von zivilrechtlichen Ansprüchen beeinträchtigt oder die Vorbereitung von Strafanzeigen erheblich erschwert werden würde.

Wann immer Sie entscheiden müssen, ob Informationen zurückgehalten werden sollen oder nicht, müssen Sie eine Interessenabwägung vornehmen. Diese Prüfung muss von Fall zu Fall erfolgen. Zudem gibt es Rechtsprechung, wonach Sie die Identität des Hinweisgebers nicht gegenüber dem Beschuldigten oder den beteiligten Parteien offenlegen müssen.

Tipp

Digitales Whistleblowing-System nutzen

Ein digitales Whistleblowing-System kann Ihnen bei der Bewältigung der neuen Herausforderungen helfen. Es stellt einen wesentlichen Baustein für ein effektives Compliance-Management-System zur Verfügung. Es hilft auch, die Vertraulichkeit der Identität der Beteiligten zu schützen und Sie auf dem Laufenden zu halten, was die Einhaltung wichtiger EU- oder nationaler Rechtsvorschriften betrifft.

Wann müssen Daten nach einer Ermittlung zu Whistleblowing gelöscht werden?

Derzeit gibt es eine Kontroverse über den Zeitraum, in dem Daten aufbewahrt werden können. Die deutschen Gesetze besagen, dass die Dokumentation von Whistleblowing zwei Jahre nach Abschluss des Verfahrens gelöscht werden muss. Die Datenschutzbehörden geben in älteren Empfehlungen den Zeitraum jedoch mit nur zwei Monaten an.

In der Praxis stellt sich aber die Frage, was das auslösende Ereignis sein kann:

  • Abschluss der internen Ermittlung
  • Abschluss externer Ermittlung durch Strafverfolgungsbehörden
  • Abschluss eines möglichen Rechtsstreits

Das Gesetz und die Gesetzesbegründung schweigen hierzu, was für Organisationen Unsicherheit bedeutet.

Dazu im Management-Handbuch

Weiterlesen

Vorlagen nutzen

Excel-Tipps