Melden Sie sich zu unserem Newsletter an!

In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".

Jetzt anmelden!

© Cottonbro, Pexels

Hinweisgeberschutzgesetz: Was Organisationen bei Whistleblowing beachten müssen

Julian Assange, Edward Snowden, Frances Haugen von Facebook – wer kennt sie nicht? Bei großen Organisationen und Einrichtungen kommt es immer wieder zu medienwirksamen Whistleblowing-Affären. Doch auch bei kleineren Organisationen gibt es Hinweisgeber:innen. Laut einer Statistik von Navex Global haben 2019 fünf von 1.000 Mitarbeitenden im europäischen Raum einen anonymen Hinweis abgegeben.

Genau diese Hinweisgeber:innen gilt es zu schützen, damit Missstände aufgedeckt werden können. Daher hat die Europäische Union die „Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ erlassen. Ab dem 17. Dezember 2021 gilt die europäische Richtlinie auch für deutsche Organisationen.

Wir haben für Sie die aktuelle Rechtslage und die Zielsetzung der Richtlinie zusammengefasst und werfen einen Blick auf die Auswirkungen auf Organisationen und die Einrichtung von Hinweiskanälen. 

Aktuelle Rechtslage

Bereits 2019 hat der Rat der Europäischen Union die „Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ verabschiedet. Die Mitgliedsstaaten hatten zwei Jahre Zeit, um die Richtlinie in nationales Recht umzusetzen und ergänzende Regelungen zu erlassen. Die zwei Jahre laufen am 17. Dezember ab und in Deutschland gibt es bisher lediglich einen Gesetzesentwurf zum Hinweisgeberschutzgesetz. Dass die Frist noch eingehalten wird, ist unwahrscheinlich.

Was gilt also? Auch ohne Umsetzung ins deutsche Recht gilt die europäische Richtlinie für Organisationen mit mind. 50 Mitarbeitenden, alle Unternehmen im Finanzdienstleistungsbereich und öffentliche Arbeitgeber ab dem 17. Dezember.

Bisher sind allerdings nur Hinweise zu Verstößen gegen europäisches Recht betroffen. Erst wenn das Hinweisgeberschutzgesetz verabschiedet ist, erweitert sich der Geltungsbereich auch auf deutsches Recht. 

Bereits 2019 hat der Rat der Europäischen Union die „Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ verabschiedet.

© Markus Spiske, Unsplash

Ziel der europäischen Richtlinie

Wie der Name nahelegt, geht es bei der Richtlinie darum, Hinweisgeber:innen mehr zu schützen und Verstöße zu unterbinden und aufzudecken. Das gelingt nur, wenn Meldende keine negativen zivil-, straf- oder verwaltungsrechtlichen sowie internen Konsequenzen befürchten müssen.
Hinweise können dabei (ehemalige) Angestellte, Praktikant:innen, Freiwillige, Bewerber:innen oder geschäftsführende Mitglieder geben – kurz: alle, die Informationen über Verstöße im beruflichen Kontext erlangen können. Alle diese Personen werden demnach auch von der europäischen Richtlinie geschützt.

Dafür werden öffentliche und private Organisationen sowie Behörden dazu verpflichtet, sichere Kanäle für die Meldung von Missständen einzurichten. Diese Meldungen können sich beispielsweise auf Produktsicherheit, Umweltschutz, Steuerhinterziehung oder den Datenschutz beziehen.

Den Hinweisgeber:innen steht dabei frei, über welchen Weg sie Hinweise geben möchten. Neben internen Systemen können sie sich auch direkt an die entsprechenden Behörden wenden. Erfolgt keine Rückmeldung und glaubt die Person, dass es im öffentlichen Interesse ist, dass die Missstände bekannt werden, kann sie sich auch an die Öffentlichkeit wenden. Bei beiden Varianten ist die Person geschützt.

Um den Schutz zu gewährleisten, beinhaltet die Richtlinie zusätzlich einen Katalog von unzulässigen Vergeltungsmaßnahmen. Dazu gehören z. B. Kündigungen, Gehaltskürzungen oder Diskriminierung.  

EU-Flaggen vor Gebäude

Web-Seminar TTDSG & Whistleblowing

Informieren Sie sich über die aktuelle Rechtslage und erfahren Sie konkret, welche Anforderungen Sie umsetzen müssen!

Jetzt anmelden!

Was Organisationen beachten müssen

Organisationen, die von der europäischen Richtlinie betroffen sind, müssen ein sicheres internes Meldesystem einrichten, das die Vertraulichkeit der Meldenden wahrt. Über dieses Meldesystem sollten die Mitarbeitenden im Anschluss informiert werden. Dafür sollten folgende Informationen bereitgestellt werden:

  • An wen wird die Meldung gerichtet?
  • Wer hat Zugriff auf die Meldung?
  • Wie wird mit Rückfragen verfahren?
  • Innerhalb welcher Frist erfolgt eine Rückmeldung?
  • Datenschutz-Informationen

Die entsprechenden Prozesse müssen Organisationen natürlich auch einführen. Der Ablauf eines derartigen Prozesses beginnt bei der Dokumentation und der Überprüfung der Stichhaltigkeit der eingehenden Meldung. Innerhalb von sieben Tagen muss zudem eine Eingangsbestätigung verschickt werden. Im Anschluss sind entsprechende Folgemaßnahmen wie z. B. interne Untersuchungen einzuleiten. Außerdem müssen Unternehmen innerhalb von drei Monaten auf eine Meldung Rückmeldung geben – sofern diese nicht anonym erfolgt ist.

Eingehende Hinweise und den Umgang damit sollte die Personalabteilung vor dem Hintergrund der Beweislastumkehr umfassend dokumentieren. So ist nachweisbar, dass mögliche Disziplinarmaßnahmen nicht mit etwaigen Hinweisen zusammenhängen.

Außerdem muss die Verarbeitung personenbezogener Daten entsprechend der DSGVO erfolgen. Dazu müssen Organisationen Zweckbindung, datenschutzfreundliche Voreinstellungen, Datenminimierung und Löschfristen beachten sowie ihr VVT anpassen.

Bei der Einführung von Systemen sollten Organisationen zudem Informations- und Mitbestimmungsrechte der zuständigen Personalvertretung bedenken. 

Die entsprechenden Prozesse müssen Organisationen natürlich auch einführen und dokumentieren. 

© Mohammad Danish, Pexels

Einrichtung von Meldesystemen

Bei der Einrichtung von Meldesystemen sollten Organisationen einige Punkte beachten. Zum einen sollte es möglich sein, Hinweise anonym zu geben. Für den Vorgang nicht benötigte Daten sollten gar nicht erst erhoben oder spätestens dann gelöscht werden, wenn ersichtlich ist, dass die Daten nicht benötigt werden.

Auch das System sollte sorgfältig ausgewählt werden. Prinzipiell gibt es verschiedene mögliche Meldewege:

  • Telefonisch
  • Schriftlich (Mail/Brief)
  • Persönlich
  • Per Portal

Die Hinweisgeber:innen sollten dabei wählen können, ob sie Hinweise schriftlich oder mündlich übermitteln wollen. Außerdem sollten die Kanäle datenschutzkonform und jederzeit erreichbar sein sowie Hilfestellungen in den relevanten Sprachen zur Verfügung stellen.

Bei der Bearbeitung der Hinweise sollten Organisationen darauf achten, dass nur entsprechend geschulte und befugte Mitarbeitende auf die Informationen zugreifen können.

Bei Organisationen, die effektive und leicht zu nutzende Meldesystemen einrichten, sind die Chancen größer, dass sich Hinweisgeber:innen zunächst an die Organisation und nicht an die Öffentlichkeit wenden, um auf Missstände aufmerksam zu machen. So können Organisationen Risiken früh erkennen und Finanz- und Reputationsschäden minimieren

Wir unterstützen Sie!

Sie sind unsicher, welches Meldesystem für Sie in Frage kommt oder wie die datenschutzkonforme Gestaltung funktioniert? Sie sind auf der Suche nach einem geeigneten System?

Wir unterstützen Sie – von dem datenschutzkonformen Aufsetzen Ihrer Prozesse bis zur Bereitstellung von Meldesystemen. Neben Hinweisdokumenten stellen wir eine Telefonhotline, eine Meldemöglichkeit über „hinweise.de“ sowie eine Mail-Adresse bereit. Die eingehenden Meldungen prüfen wir auf Plausibilität, veranlassen in Ihrem Unternehmen geeignete Folgemaßnahmen und informieren die Meldenden nach angemessener Frist.

Jetzt Angebot anfordern!
Person sitzt mit einer Zeitung auf einer Bank

Sie wollen up to date bleiben?

In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Und Sie sind konstant auf dem Laufenden!

Newsletter Anmeldung

Quellen

Amtsblatt der Europäischen Union (2019): „Richtlinie (EU) 2019/1937 des Europäischen Parlaments und des Rates vom 23. Oktober 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“, https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32019L1937, letzter Zugriff am 25. November 2021.

Birker, Ann-Kathrin und Karl Würz (2021=: „Hinweisgeberschutzgesetzt und die EU-Whistleblower-Richtlinie“, Haufe, 26. Februar 2021, https://www.haufe.de/compliance/recht-politik/hinweisgebersysteme-und-die-eu-whistleblower-richtlinie_230132_528700.html, letzter Zugriff am 25. November 2021.

IHK Region Stuttgart (o. J.): „Die Umsetzung der Whistleblower-Richtlinie: Was kommt auf die Unternehmen zu?“, https://www.stuttgart.ihk24.de/fuer-unternehmen/recht-und-steuern/arbeitsrecht/whistleblowing-5169770, letzter Zugriff am 25. November 2021. 

Wir verwenden Cookies
Cookie-Einstellungen
Unten finden Sie Informationen über die Zwecke, für welche wir und unsere Partner Cookies verwenden und Daten verarbeiten. Sie können Ihre Einstellungen der Datenverarbeitung ändern und/oder detaillierte Informationen dazu auf der Website unserer Partner finden.
Analytische Cookies Alle deaktivieren
Funktionelle Cookies
Andere Cookies
Wir verwenden technische Cookies, um die Inhalte und Funktionen unserer Webseite darzustellen und Ihren Besuch bei uns zu erleichtern. Analytische Cookies werden nur mit Ihrer Zustimmung verwendet. Mehr über unsere Cookie-Verwendung
Einstellungen ändern Alle akzeptieren
Cookies