EU-Whistleblower-Richtlinie und deren Umsetzung
Am 23. Oktober 2019 hat die Europäische Union ein neues Gesetz verabschiedet: die EU Whistleblower Richtlinie (2019/1937). Es legt fest, wie Personen besser geschützt werden sollen, wenn sie Verstöße oder Missstände melden. Alle Unternehmen mit 50 oder mehr Mitarbeitenden sowie alle öffentlichen Einrichtungen müssen diese Richtlinie umsetzen und die Pflicht zur Einrichtung einer internen Meldestelle einhalten.
Als Unternehmen mit ISO-27001 Zertifizierung unterstützen wir Sie mit unserer HINTBOX, die Richtlinie gesetzeskonform umzusetzen. Nehmen Sie gerne unverbindlich Kontakt mit uns auf.
Neue Empfehlung: Umsetzung der EU-Hinweisgeber-Richtlinie nach gescheitertem Entwurf
Personen, die Probleme und Fehlverhalten in Unternehmen aufdecken, sind entscheidend für eine offene und transparente Gesellschaft. Um diese mutigen Menschen besser vor Nachteilen und negativen Konsequenzen im Rahmen ihrer beruflichen Tätigkeit zu schützen, hat die EU am 16. Dezember 2019 die Whistleblower-Richtlinie 2019/1937 eingeführt.
Bisher war der Hinweisgeberschutz in den EU-Mitgliedsstaaten und mit den zuständigen Behörden sehr unterschiedlich geregelt. Hier soll die EU Whistleblower Richtlinie nun für mehr Einheitlichkeit sorgen.
Das neue Gesetz sagt aus, dass Menschen die Hinweise geben Leute, vor Kündigung, Degradierung oder Einschüchterungen geschützt werden sollen. Gleichzeitig müssen Unternehmen ein System einführen, bei dem Mitarbeitende Regelverstöße anonym oder persönlich melden können. Die Meldungen werden dann innerhalb des Unternehmens behandelt. Wenn nötig, werden die ergriffenen Folgemaßnahmen, wie zum Beispiel Untersuchungen oder Strafanträge eingeleitet.
Die Mitgliedsstaaten der Europäischen Union hatten daraufhin bis zum 17. Dezember 2021 Zeit, die EU-Hinweisgeber-Richtlinie in nationales Recht umzusetzen. In Deutschland waren mehrere Anläufe nötig, damit das Whistleblower Gesetz genehmigt wurde.
Im Jahr 2021 ist der Plan, die EU-Whistleblower-Richtlinie in Deutschland umzusetzen, gescheitert. Im Dezember 2022 hat der Bundestag den Vorschlag angenommen, aber im Februar 2023 hat der Bundesrat ihn abgelehnt. Das Gesetz ist erneut gescheitert. Anfang Mai 2023 hat sich dann der Vermittlungsausschuss getroffen und eine überarbeitete Version des Gesetzes vereinbart. Der Kompromiss beinhaltet Änderungen zu den möglichen Meldewegen für anonyme Hinweise, zu Geldstrafen und zum Anwendungsbereich.
Nach der Ausschussversammlung wurde das Gesetz mit den Änderungen im Mai 2023 vom Bundestag verabschiedet. Einige Tage später stimmte der Bundesrat dem Whistleblower Gesetz zu. Einen Monat nach der Verkündung ist das Gesetz in Deutschland am 02. Juli 2023 in Kraft getreten.
Ziele der Richtlinie:
Das EU Whistleblower Gesetz hat vor allem das Ziel, Verstöße in Unternehmen aufzudecken und zu stoppen. Durch die Implementierung von Meldekanälen sollen die Hinweisgebenden künftig besser vor Nachteilen geschützt werden. Die betroffenen Personen sollen künftig nicht mehr zivil- oder strafrechtlich in Bezug auf ihre Beschäftigung haftbar gemacht werden können.
Dem Aufwand zum Trotz: Die Vorteile eines Whistleblowing-Systems überwiegen
Auch wenn es einige Zeit dauern kann, ein Hinweisgebersystem einzurichten, sind deutsche Unternehmen nun verpflichtend, eins einzuführen.Trotzdem kann dies einen positiven Einfluss auf das Wachstum des Unternehmens und die Arbeitsatmosphäre haben.
Die Zufriedenheit der Mitarbeitenden kann ebenfalls steigen. Wenn sie einen hinreichenden Grund haben, können sie anonym Hinweise zu Missstände geben, ohne Angst vor negativen Konsequenzen haben zu müssen. Hinweisgebersysteme haben auch den Vorteil, dass sie zwischenmenschliche Vergehen wie sexuelle Belästigung oder Mobbing durch frühzeitige Meldungen betroffener Personen zu verhindern können.
Rechtsverstöße lassen sich dadurch auch frühzeitig erkennen. So können zum Beispiel wachstums- oder sogar existenzgefährdende Strafen umgangen werden. Hinweisgebersysteme können auch dazu beitragen, Imageschäden zu reduzieren oder sogar ganz abzuwenden. Außerdem sind die Systeme sehr wichtig für ein funktionierendes Compliance-Management im Unternehmen.
Einrichtung von Meldekanälen gemäß der Richtlinie für Vielzahl von Unternehmen in Europa verpflichtend
Doch für wen gilt die Richtlinie nun? Unternehmen, die in eine der folgenden Kategorien fallen, müssen das Gesetz beachten und entsprechende Maßnahmen umsetzen:
- Kleine und große Unternehmen ab 50 Mitarbeitenden
- Einrichtungen und juristische Personen des öffentlichen Sektors inkl. der Stellen, die im Eigentum oder unter Kontrolle einer juristischen Person stehen
- Behörden und Gemeinden ab 10.000 Einwohnern
Die wichtigste Maßnahme die laut dem Whistleblower Gesetz umgesetzt werden kann, ist die Einrichtung eines Meldekanals. Diese Kanäle lassen sich am besten durch die Nutzung eines digitalen Whistleblower-Systems realisieren. Mit einem solchen digitalen Hinweisgebersystem können Mitarbeitende und Stakeholder persönliche oder anonyme Meldungen und Informationen zu Verstößen bereitstellen.
Die eingehenden Meldungen werden dann intern im Unternehmen bearbeitet. Falls notwendig, werden direkt weitere Folgemaßnahmen unternommen, wie zum Beispiel Untersuchungen oder die Einleitung von Strafanträgen. Die EU-Richtlinie stellt sicher, dass alle Mitarbeiter, Bewerber, ehemalige Mitarbeiter, Unterstützer von Hinweisgebern und Journalisten vor negativen Konsequenzen geschützt werden.
Der Hinweisgeberschutz bezieht sich hier auf das Melden von Missständen mit Bezug auf EU-Recht. Tippgeber sind somit geschützt, wenn sie Hinweise zu folgenden Punkten abgeben:
- Hinweise zu Steuerbetrug,
- Geldwäsche oder Delikte im Zusammenhang mit öffentlichen Aufträgen,
- Produkt- und Verkehrssicherheit
- Umweltschutz
- Öffentliche Gesundheit
- Verbraucher- und Datenschutz
Schutzmaßnahmen der EU in Bezug auf dsd Whistleblowing-Gesetz
Damit Hinweisgeber nicht mit negativen Konsequenzen rechnen müssen, hat die EU Schutzmaßnahmen entworfen. Diese müssen bei Einrichtung eines Hinweisgebersystems eingehalten werden:
Meldekanal zur Verfügung stellen
Hinweisgeber können ihre Meldungen entweder schriftlich oder mündlich über verschiedene Wege abgeben. Das kann online über ein System, durch Einwurf in einen Briefkasten, per Post oder über eine Telefonhotline bzw. Anrufbeantworter erfolgen.
DSGVO-konformer Datenschutz
Bei allen Meldewegen muss die Vertraulichkeit des Whistleblowers geschützt sein. Außerdem dürfen personenbezogene Daten, sowohl des Hinweisgebers als auch von beschuldigten Personen, nur DSGVO-konform verarbeitet werden. Daher empfiehlt es sich, ein vertrauenswürdiges Online-System zu nutzen, bei dem die Sicherheit der Tippgeber Priorität hat.
Zuständigen Ansprechpartner bereitstellen
Damit sich die Meldungen entsprechend bearbeiten, beaufsichtigen und nachverfolgen lassen, sollte ein Ansprechpartner bestimmt werden, der sich darum kümmert. Das könnte laut EU zum Beispiel ein Compliance Manager, ein Personalleiter, ein Mitglied des Vorstands oder der Geschäftsführung sein. Alternativ können Unternehmen auch eine externe Person, einen sogenannten Ombudsmann beauftragen, um die Tätigkeit für die interne Meldestelle und die Bearbeitung von Hinweisen auszulagern. Es gibt somit interne und externe Möglichkeiten, ein Hinweisgebersystem bereitzustellen.
Bearbeitungsfrist
Unternehmen müssen innerhalb von sieben Tagen bestätigen, dass die Meldung oder Offenlegung eingegangen ist. Außerdem müssen sie die Person, die sie gemacht hat, über den Erhalt informieren. Innerhalb von drei Monaten sollten das Unternehmen über die umgesetzte Maßnahme und das Ergebnis informieren.
Informationspflicht
Jedes Unternehmen sollte den Mitarbeitern klare Informationen darüber geben, wie und wo sie Meldungen machen können. Diese Informationen sollten leicht verständlich und gut erreichbar sein, sowohl für Mitarbeiter als auch für Lieferanten, Dienstleister und Geschäftspartner.
Aufbewahrung der Daten
Alle internen Meldungen, die über den Meldekanal eingehen, müssen sicher aufbewahrt werden. Wenn Bedarf besteht, können sie als Beweismaterial verwendet werden.
Sanktionen
Unternehmen, die keine Meldestelle haben, die Meldungen behindern oder Hinweisgeber nicht vertraulich behandeln, erhalten Strafen. Wenn Unternehmen versuchen, sich an Whistleblowern zu rächen oder Vergeltung zu üben, müssen sie ebenfalls mit Strafen rechnen.
Wahlfreiheit bei internen Meldekanälen zur Einhaltung des Gesetzes
Da Hinweisgebersysteme viele wichtige und vertrauliche Informationen verarbeiten, müssen sie die Datenschutzregeln einhalten. Unternehmen haben laut der EU-Hinweisgeber-Richtlinie die Wahl, Meldungen telefonisch oder digital entgegenzunehmen.
Dabei ist es wichtig, die Gesetze zum Datenschutz und zur Datensicherheit zu beachten. Sie und Ihre Mitarbeiter können in unserem System bis zu drei interne Meldekanäle nutzen. Diese dienen dazu, die gemeldeten Verstöße oder Probleme datenschutzgerecht zu bearbeiten.
Im Grunde genommen genügt bereits ein digitaler Meldekanal in Form einer Software. Die HINTBOX kann leicht in Ihre Unternehmenssysteme integriert werden. Das ist möglich, indem unsere SaaS-Lösung („SaaS“ steht für „Software-as-a-Service“) einfach mit Ihren bestehenden Systemen verbunden wird.
Telefon und E-Mail sind weitere Meldekanäle für die Umsetzung der Richtlinie in Ihrem Betrieb. Telefon ermöglicht permanente Erreichbarkeit und E-Mail ist vertraut im Umgang. Hier muss aber sichergestellt sein, dass die beiden Meldekanäle datenschutzkonform sind. Wir beraten Sie gerne dabei, wie sich die EU-Whistleblower-Richtlinie in Ihrem Unternehmen am besten umsetzen lässt.
DSGVO und Sicherheit: Diese Vorgaben an Hinweisgebersysteme müssen bzw. sollten erfüllt werden!
Im Zeitalter zunehmender Digitalisierung und globaler Vernetzung stehen Unternehmen vor immer mehr Herausforderungen, besonders im Bereich Datenschutz. Die Whistleblowing Richtlinie fordert nicht nur den Schutz von Hinweisgebern, sondern legt auch großen Wert darauf, die gemeldeten Informationen datenschutzkonform zu verarbeiten. Unternehmen müssen daher sicherstellen, dass die Hinweisgebersysteme den Datenschutzrichtlinien entsprechen. Die Verarbeitung von personenbezogenen Daten müssen im Einklang mit der Datenschutz-Grundverordnung (DSGVO) stehen.
Eine der Schlüsselvoraussetzungen der EU-Richtlinie ist es, einen sicheren Meldekanal zur Verfügung zu stellen. Dieser muss nicht nur anonyme Meldungen ermöglichen, sondern auch sicherstellen, dass die Identität des Whistleblowers zu jedem Zeitpunkt geschützt bleibt. Da sie vor allem sensible und geschäftskritische Informationen übertragen und speichern, müssen sie alle datenschutzrechtlichen Grundlagen erfüllen. Im Kontext des Datenschutzrechts bedeutet dies, dass die Übermittlung und Verarbeitung von Informationen verschlüsselt und vor unbefugtem Zugriff geschützt sein müssen. Eine Verschlüsselung nach aktuellem Stand der Technik ist für Hinweisgebersysteme somit ebenfalls Pflicht. Unternehmen, die diese Anforderungen nicht erfüllen, riskieren erhebliche Geldstrafen gemäß der DSGVO.
Die DSGVO-konforme Verarbeitung von personenbezogenen Daten erstreckt sich nicht nur auf die Informationen des Whistleblowers. Auch diejenigen, die beschuldigt werden, müssen geschützt werden. Die Richtlinie betont, einen ausgewogenen Ansatz zu finden, um die Rechte aller Beteiligten zu schützen. Unternehmen sollten daher sicherstellen, dass ihre Whistleblower-Systeme die personenbezogenen Daten ordnungsgemäß verarbeiten, speichern und löschen.
Ein weiterer wichtiger Aspekt ist die transparente Weitergabe von Informationen. Unternehmen müssen klare Richtlinien festlegen, wie und wann sie die Hinweisgeber über den Fortschritt der Untersuchungen informieren. Dies schafft nicht nur Vertrauen, sondern stellt auch sicher, dass die Verarbeitung personenbezogener Daten transparent und fair geschieht.
Die EU-Whistleblower-Richtlinie stellt somit eine klare Verbindung zwischen Whistleblower-Schutz und Datenschutz her. Hinweisgebersysteme sind so einzusetzen, dass sie den gesetzlichen Anforderungen entsprechen. Außerdem sollen sie das Vertrauen der Mitarbeiter in Bezug auf den sicheren Umgang mit sensiblen Informationen stärken. Durch das Umsetzen von Datenschutzbestimmungen können Unternehmen nicht nur gesetzliche Compliance sicherstellen, sondern auch einen ethisch verantwortungsbewussten Umgang mit Daten fördern.
Werden diese Regeln nicht befolgt, müssen die Unternehmen mit Konsequenzen rechnen. So erging es dem Flughafen Bologna in Italien: Der Flughafen erhielt eine Strafe von 40.000€. Der Grund: sie haben ein Hinweisgebersystem ohne die vorgeschriebene verschlüsselte Datenübertragung genutzt. Der Anbieter erfüllte nicht alle gesetzlichen Anforderungen.
Zusätzlich ist es empfehlenswert, beim Hosting des Hinweisgebersystems auf die Zertifizierung des Hosters zu achten. Eine ISO-27001-Zertifizierung gehört zu den heutigen Mindeststandards für sichere Cloud-Infrastrukturen. Die HINTBOX erfüllt nicht nur die erforderlichen Standards, sondern geht sogar über die Vorgaben der EU-Whistleblower-Richtlinie hinaus. So können wir sicherstellen, dass unsere Whistleblower-Systeme alle relevanten Anforderungen erfüllen.
HINTBOX bietet Konformität zum Whistleblower Gesetz
Unsere Software bildet die Forderungen des EU-Gesetzes rechtskonform ab. Zudem unterstützt sie zuverlässig bei der Bearbeitung eingehender Fälle. Informationen und Beschreibungen zu den Features der HINTBOX finden Sie zusätzlich im FAQ.
Bei weiteren Fragen zur Implementierung eines Whistleblower-Systems oder zur Richtlinie und der Umsetzung, kontaktieren Sie uns gerne. Sie möchten keine Neuigkeiten zum Thema Hinweisgeberschutz verpassen und auf dem Neusten Stand über Veränderungen und Anforderungen bleiben? Folgen Sie uns auf LinkedIn.