Digitalization

Das Wort Whistleblower ist unweigerlich mit Edward Snowden oder Chelsea Manning verbunden. Um Hinweisgeber zu schützen, wurde im Dezember 2019 die EU-Whistleblower-Richtline verabschiedet - und muss bis zum 17. Dezember 2021 in nationales Recht umgesetzt sein. Unternehmen sollten sich mit der Umsetzung beeilen. Das Zeitfenster schließt sich.

Es gibt viele prominente Fälle von Whistleblowing. Jüngstes Beispiel sind die Enthüllungen der ehemaligen Facebook-Mitarbeiterin Frances Haugen. Nach einer Artikelserie im Wall Street Journal (WSJ) gab sich die 37-jährige zu erkennen. Nach einem Interview auf CBS sagte Haugen mittlerweile auch vor dem US-Senat aus – und die Öffentlichkeit war live dabei. 

Aber nur die wenigsten Whistleblower – zu Deutsch: Hinweisgeber – schaffen es, so eine öffentliche Wahrnehmung zu generieren. Über die wenigsten wird ein Film gedreht oder per Live-Stream die ganze Welt zu deren Aussagen zugeschalten. Die Realität sieht meistens ganz anders aus. Auf Mitarbeiter, die Missstände oder Straftaten im eigenen Unternehmen aufdecken, wartet kein Glamour, vielmehr werden sie als Unruhestifter stigmatisiert.

 

EU-Whistleblower-Richtlinie: Aktueller Stand der Umsetzung

Um Hinweisgeber zu schützen, wurde im Dezember 2019 die EU-Richtlinie verabschiedet. Whistleblower sollen künftig die Möglichkeit haben, über interne oder externe Meldekanäle Missstände (anonym) anzeigen zu können, ohne negative Auswirkungen am Arbeitsplatz oder ähnliches fürchten zu müssen. Bis zum 17. Dezember 2021 muss die Richtlinie in nationales Recht umgesetzt sein. Der Referentenentwurf des Hinweisgeberschutzgesetzes wurde im Dezember 2020 vorgelegt. Doch bisher konnte sich die Regierung noch nicht einigen.

Doch nur wenige Monate vor dem Inkrafttreten der Richtlinie hinken viele Unternehmen noch hinterher. Bisher erfüllt nur jedes siebte deutsche Unternehmen alle Anforderungen der Whistleblower-Richtlinie. Dies ist das Ergebnis des „Whistleblowing Reports 2021“, für den rund 1.250 Unternehmen in Deutschland, Frankreich, Großbritannien und der Schweiz befragt wurden. Die Studie wurde von der Fachhochschule Graubünden in Zusammenarbeit mit der EQS-Group erstellt. Zudem zeigt die Studie, wie wichtig ein funktionierendes Meldesystem ist. Knapp jedes dritte Unternehmen in Deutschland meldete 2020 ein illegales oder unethisches Verhalten und somit Verstöße gegen interne Richtlinien.

Zwar sind bis Dezember 2021 nur Unternehmen mit mehr als 250 Mitarbeitern betroffen. Ab 2023 müssen dann auch kleinere Unternehmen mit mehr als 50 Beschäftigten ein Hinweisgebersystem eingerichtet haben. Zudem sind auch Gemeinden und Behörden mit mehr als 10.000 Einwohnern hierzu verpflichtet. Als interne Meldesystem können E-Mail-Postfächer und Online-Plattformen, auch Telefonhotlines eingesetzt werden. Im Idealfall erfolgt die Meldung anonym. Ist dies nicht möglich, ist es sehr wichtig, dass die Identität des Hinweisgebers und Dritter vertraulich behandelt wird und diese natürlich vor dem Zugriff unbefugter Mitarbeiter geschützt ist. „Das Zeitfenster für die Umsetzung schließt sich – zumindest für größere Unternehmen“ warnt Tobias Müller, Geschäftsfeldleiter Informationssicherheit bei TÜV Hessen. „Mit der bloßen Einrichtung des Meldesystems ist es nicht getan. Danach müssen Mitarbeiter entsprechend geschult werden und die neuen Prozesse sollten organisatorisch wie technisch implementiert und auf ihre Sicherheit und DSGVO-Konformität geprüft werden.“

 

EU-Whistleblower-Richtlinie und Datenschutz im Spannungsfeld?

Gerade an das Thema Datenschutz und DSGVO sollte man bei der Implementierung eines Meldesystems frühzeitig denken, da man eine wirksame datenschutzrechtliche Rechtsgrundlage für die Erhebung und Verarbeitung personenbezogener Daten benötigt. Der Whistleblower muss transparent darüber informiert werden, wie und zu welchem Zweck seine Daten verarbeitet werden. „Ein anderes Thema sind die Informationspflichten“, erklärt Tobias Müller. „Werden personenbezogene Daten erhoben, ohne dass die Person davon weiß, muss diese gem. Art. 14 DSGVO bezüglich der Datenverarbeitung informiert werden.“ Außerdem hat die betroffene Person gem. Art 15 DSGVO auch das sogenannte Auskunftsrecht.

Die Umsetzung der Whistleblower-Richtlinie in Einklang mit der DSGVO ist sicherlich kein leichtes Unterfangen, aber auch kein Ding der Unmöglichkeit. „Wichtig ist, dass alle Verantwortlichen inklusive Datenschutzbeauftragter und Compliance-Beauftragter von Anfang an eingebunden sind“, rät Tobias Müller. „Unternehmen sollten diese Aufgabe als Chance sehen: Mit der Richtlinie haben nicht nur Beschäftigte die Möglichkeit, geschützt auf Missstände hinzuweisen, sondern Unternehmen werden auf diese aufmerksam gemacht und können dagegen vorgehen – das kommt schlussendlich wiederrum dem Unternehmen zugute.“

 


Hinweis: Wir übernehmen keinerlei Haftung für die Inhalte und Aussagen auf externen Seiten. Bei Beanstandungen wenden Sie sich bitte an den Urheber der jeweiligen Seite. Vielen Dank für Ihr Verständnis.