Eine englische Version finden sie hier.
Am 07.10 beschloss die Europäische Union mit Unterzeichnung durch den Präsidenten des Europäischen Parlaments und des Rates die Richtlinie „zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“.
Die Richtlinie bedarf noch der Umsetzung durch die einzelnen Mitgliedstaaten der EU, wofür diese nach Inkrafttreten durch Veröffentlichung der Richtlinie gut zwei Jahre Zeit haben.
Wer wird zu einem Whistleblowingsystem verpflichtet?
Nach Art. 8 Abs. 3 der Richtlinie sollen Unternehmen mit 50 oder mehr Arbeitnehmern unabhängig von ihrer Tätigkeit ein Whistleblowingsystem einrichten müssen. Den Mitgliedstaaten bleibt es aber darüber hinaus nach Art. 8 Abs. 7 freigestellt auch anderen Unternehmen solch ein System vorzuschreiben, so zum Beispiel aufgrund erheblicher Risiken, die sich aus der Tätigkeit des Unternehmens ergeben. Darüber hinaus bestehen nach Art. 8 Abs. 4 unabhängig von der Anzahl der Arbeitnehmer Verpflichtungen nach bestimmten Rechtsakten der EU, wie im Rahmen von Finanzdienstleistungen, Whistleblowingsysteme einzuführen.
Die Richtlinie gilt nach Art. 8 Abs. 9 auch für Gemeinden mit mehr als 10.000 Einwohnern.
Was muss Gegenstand eines Whistleblowingsystems sein?
Es sollen nach Art. 2 Abs. 1 Verstöße gemeldet werden, die die Rechtsakte der EU in den Bereichen
- öffentliches Auftragswesen,
- Finanzdienstleistungen, Finanzprodukte und Finanzmärkte sowie Verhinderung von Geldwäsche und Terrorismusfinanzierung,
- Produktsicherheit und -konformität,
- Verkehrssicherheit,
- Umweltschutz,
- Strahlenschutz und kerntechnische Sicherheit,
- Lebensmittel- und Futtermittelsicherheit, Tiergesundheit und Tierschutz,
- öffentliche Gesundheit,
- Verbraucherschutz,
- finanzielle Interessen,
- Binnenmarktvorschriften
betreffen.
Ausdrücklich benennt die Richtlinie in Art. 2 Abs. 1 auch die Achtung der Privatsphäre und den Schutz der personenbezogenen Daten, in denen Whistleblower einen Beitrag erbringen können, Verstöße gegen Unionsrecht aufzudecken. Dasselbe gilt für Verstöße gegen die Richtlinie über die Sicherheit von Netz- und Informationssystemen. Dies betrifft in Deutschland das IT-Sicherheitsgesetz bei den Kritischen Infrastrukturen (KRITIS).
Darüber hinaus können die Mitgliedstaaten nach Art. 2 Abs. 2 den Schutz nach nationalem Recht weiter ausdehnen. Hier bleibt abzuwarten, ob Deutschland von dieser Möglichkeit Gebrauch machen wird, nachdem im Bundestag im Jahre 2012 ein Whistleblowinggesetz diskutiert aber nicht durch den Bundestag gebracht wurde.
Wie soll ein Whistleblowingsystem aussehen?
Die Mitgliedstaaten werden durch Art. 8 Abs. 1 der Richtlinie verpflichtet sicherzustellen, dass Kanäle und Verfahren für interne Meldungen und Folgemaßnahmen eingerichtet werden. Dies soll ggf. unter Rücksprache und im Einvernehmen mit Sozialpartnern geschehen. Diese Kanäle und Verfahren sollen die Meldung von Informationen über Verstöße ermöglichen. Solche Kanäle können nach Art. 8 Abs. 5 intern von hierfür benannten Personen oder Abteilung betrieben oder extern von Dritten bereitgestellt werden. Der Erwägungsgrund 56 stellt dabei klar, dass in kleineren Unternehmen u.a. auch der Datenschutzbeauftragte diese Stellung übernehmen kann.
Dabei müssen nach Art. 9 die Kanäle so sicher konzipiert, eingerichtet und betrieben werden, dass die Vertraulichkeit der Identität des Hinweisgebers und Dritter, die in der Meldung erwähnt werden, gewahrt bleibt und nicht befugten Mitarbeitern der Zugriff darauf verwehrt wird.
Außerdem ist dem Hinweisgeber innerhalb von 7 Tagen der Eingang seiner Meldung zu bestätigen und nach maximal drei Monaten eine Rückmeldung zu geben.
Die Meldung muss in schriftlicher oder mündlicher Form möglich sein, wobei mündliche Meldungen per Telefon oder Sprachübermittlung sowie im Wege einer persönlichen Besprechung möglich sein.
Die Folgemaßnahmen, also Untersuchung der Meldung, ist durch eine unparteiische Person oder Abteilung durchzuführen.
Darüber hinaus sollen nach Art. 10 Behörden als externe Meldekanäle von den Mitgliedstaaten benannt werden, welche auch Informationen über die Möglichkeit einer Meldung veröffentlichen müssen.
Die Identität des Whistleblowers muss nach Art. 9 gewahrt werden und darf nur Personen offengelegt werden, die für die Entgegenahme der Meldung und die Folgemaßnahmen zuständig sind. Eine Offenlegung darf erst im Rahmen von behördlichen Untersuchungen oder Gerichtsverfahren erfolgen, damit die betroffene Person auch ihre Verteidigungsrechte wahrnehmen kann. Ob anonyme Meldungen nach dieser Richtlinie entgegengenommen werden müssen, sollen die Mitgliedstaaten entscheiden.
Außerdem wird den Mitgliedstaaten nach Art. 7 Abs. 2 und Art. 21 auferlegt, die Whistleblower vor Repressalien zu schützen. So soll eine Haftung der Whistleblower ausgeschlossen werden, wobei allerdings eingeschränkt wird, dass die gemeldeten Informationen nicht durch eine Straftat erlangt wurden.
Beachtung der DSGVO
Ausdrücklich sollen nach Erwägungsgrund 83 und Art. 17 der Richtlinie die Grundsätze des Datenschutzes nach Art. 5 DSGVO beachtet werden. Außerdem sind bei der Ausgestaltung des Whistleblowingsystems nach Art. 25 DSGVO geeignete organisatorische und technische Maßnahmen zur Einhaltung der Datenschutzgrundsätze wirksam umzusetzen.
Direkt aus Art. 17 der Richtlinie ergibt sich die Pflicht, personenbezogene Daten einer Meldung nicht zu erheben, bzw. sofort zu löschen, wenn diese offensichtlich nicht für die Bearbeitung einer Meldung relevant sind.
Fazit
Whistleblowingsysteme werden demnächst einem Gesetz unterliegen, auf deren Grundlage personenbezogene Daten verarbeitet werden können. Die Richtlinie ist bei der Ausgestaltung sehr nah an der Orientierungshilfe der Datenschutzaufsichtsbehörden, so dass bei bestehenden Systemen ein Anpassungsbedarf eher gering ausfallen wird.
Wichtig wird das Gesetz allerdings für alle Unternehmen mit mehr als 50 Beschäftigten, die bisher kein Whistleblowingsystem haben. Da dies eine gesetzlich vorgeschriebene organisatorische Maßnahme wird, wird beim Fehlen eines Whistleblowingsystems eine Ordnungswidrigkeit nach § 130 OWiG im Raume stehen.
New Rules for the Protection of Whistleblowers – datenschutz-notizen | News-Blog der datenschutz nord Gruppe
3. Dezember 2019 @ 11:05
[…] find a german version here. The Council of Europe announced through a press release on the 7th of October 2019 that it had […]