Welches Ziel verfolgt die EU-Richtlinie?
Ziel der EU-Whistleblower-Richtlinie ist eine bessere Durchsetzung des Unionsrechts durch die Festlegung gemeinsamer Mindeststandards, die ein hohes Schutzniveau für Personen sicherstellen, die Verstöße gegen das Unionsrecht melden.
Kern der EU-Richtline ist die Einrichtung interner und externer Meldekanäle sowie der Schutz hinweisgebender Personen vor Repressalien. Während die externen Meldekanäle von einer dafür errichteten Behörde abgebildet werden sollen, sind Unternehmen mit 50 oder mehr Mitarbeitenden bis zum 17. Dezember 2021 verpflichtet, interne Meldekanäle zu implementieren. Das betrifft auch öffentliche Einrichtungen, Behörden und Kommunen ab 10.000 Einwohnern. Allerdings ist für Unternehmen mit 50 bis 249 Mitarbeitenden eine Übergangsfrist bis zum 17. Dezember 2023 vorgesehen.
Das Hinweisgeberschutzgesetz
Vor dem Hintergrund, dass es sich bei der EU-Whistleblower-Richtlinie nicht um eine Verordnung, wie beispielsweise die Datenschutz-Grundverordnung (DS-GVO) handelt, welche ohne Mitwirkung der nationalen Legislativorgane unmittelbare Wirkung in den Mitgliedstaaten der Europäischen Union entfaltet, besteht bei einer Richtlinie die Verpflichtung der Mitgliedstaaten, diese binnen einer bestimmten Frist (in diesem Fall bis zum 17. Dezember 2021) in ihr nationales Recht umzusetzen.
Mit dem HinSchG soll der bislang lückenhafte und unzureichende Schutz von Personen, die Verstöße gegen das Unionsrecht melden, ausgebaut und die EU-Richtlinie in nationales Recht umgesetzt werden. Nachdem der Bundesrat den Gesetzentwurf der Bundesregierung am 10. Februar 2023 abgelehnt hatte, wurde am 5. April 2023 der Vermittlungsausschuss angerufen, um einen Konsens zwischen Bundestag und Bundesrat zu erzielen. Der Konsens konnte dann am 09. Mai 2023 erzielt werden.
Schutz hinweisgebender Personen vor Repressalien
Sowohl die Richtlinie als auch das HinSchG sehen die Verbesserung der Durchsetzbarkeit von Ansprüchen der hinweisgebenden Personen wegen etwaiger Repressalien vor. Dies soll unter anderem durch Beratungsangebote sowie finanzielle Unterstützungsangebote gewährleistet werden. Außerdem sieht die EU-Richtline eine sog. Beweislastumkehr vor, d.h. dass Arbeitgebende im Zweifel nachweisen müssen, dass beispielsweise eine Kündigung nicht im Zusammenhang mit der Meldung der hinweisgebenden Person steht.
Einrichtung interner Meldekanäle
Die einzurichtenden Meldekanäle können sowohl von einer intern hierfür benannten Person oder Abteilung als auch extern von einem Dritten betrieben werden. Beachtet werden muss jedoch stets, dass die benannten Personen keinen Interessenkonflikten unterliegen.
Wie wir bereits im Dezember 2021 berichtet haben, scheidet ein schlichter Hinweisbriefkasten in Anbetracht der Anforderungen im Rahmen einer Datenschutz-Folgenabschätzung (DSFA) regelmäßig als ungeeigneter schriftlicher Meldekanal aus. Auch eine interne E-Mail-Adresse ist wegen des nicht zu verhindernden Zugriffs der internen IT-Administration als ungeeignet anzusehen.
Zur Einrichtung datenschutzkonformer, interner Meldekanäle eignen sich insbesondere IT-basierte Hinweisgebersysteme. Aus diesem Grund wird noch in Q3 eine Erweiterung des audatis MANAGER angeboten werden, mit welcher die gesetzlich notwendigen Vorgaben an eine interne Meldestelle mit entsprechendem Meldekanal umgesetzt werden können.
Frist zur Einrichtung interner Meldekanäle
Die Frage, welche Fristen konkret für die Einrichtung gelten, lässt sich nicht in allen Punkten leicht beantworten. Grundsätzlich hätten u.a. Unternehmen mit mehr als 249 Mitarbeitenden entsprechend der EU-Whistleblower-Richtlinie die Vorgaben bereits seit dem 17.12.2021 umgesetzt haben müssen. Denn Richtlinien können selbst dann unmittelbar anwendbar sein, wenn sie von dem jeweiligen Mitgliedstaat nicht oder nicht ordnungsgemäß umgesetzt wurden. Dies ist dann der Fall, wenn die Richtlinie inhaltlich unbedingt und hinreichend genau bestimmt ist. Diese Anforderungen dürfte die EU-Whistleblower-Richtlinie in weiten Teilen erfüllen.
Ansonsten gilt, dass Unternehmen mit mehr als 249 Mitarbeitenden die Einrichtung eines Meldesystems unverzüglich umzusetzen haben und Unternehmen mit 50 bis 249 Mitarbeitenden noch eine Frist bis zum 17. Dezember 2023 eingeräumt wird.
Anforderungen an ein internes Hinweisgebersystem
Nun stellt sich also die Frage, welche gesetzlichen Anforderungen ein internes Hinweisgebersystem erfüllen muss. Hier eine Übersicht über die wesentlichen Punkte:
Allgemeines
- Die Meldekanäle sollen sowohl für die eigenen Mitarbeitenden als auch für Auftragnehmer, Kunden und Lieferanten zugänglich sein.
- Eingegangene Meldungen müssen der hinweisgebenden Person innerhalb von 7 Tagen nach Eingang bestätigt werden.
- Eine Rückmeldung über geplante oder bereits ergriffene Folgemaßnahmen an die hinweisgebende Person hat innerhalb von 3 Monaten zu erfolgen.
- Meldekanäle müssen die Meldung in schriftlicher oder mündlicher Form ermöglichen.
- Beschäftigten sollen klare und leicht zugängliche Informationen über die Nutzung des internen Meldeverfahrens bereitgestellt werden.
- Die Möglichkeit einer externen Meldung darf hierdurch nicht beschränkt oder erschwert werden.
Vertraulichkeit
- Die Identität der hinweisgebenden Person und Dritter, die in der Meldung erwähnt werden, müssen gewahrt bleiben.
- Die Verarbeitung personenbezogener Daten muss im Einklang mit der DS-GVO erfolgen.
- Personenbezogene Daten, die für die Bearbeitung einer spezifischen Meldung offensichtlich nicht relevant sind, werden nicht erhoben bzw. unverzüglich wieder gelöscht, falls sie unbeabsichtigt erhoben wurden.
- Die Meldekanäle sind so zu gestalten, dass nur die für die Entgegennahme und Bearbeitung der Meldungen zuständigen sowie die sie bei der Erfüllung dieser Aufgaben unterstützenden Personen Zugriff auf die eingehenden Meldungen haben.
Dokumentation
- Alle eingehenden Meldungen sind in dauerhaft abrufbarer Weise zu dokumentieren.
- Meldungen werden nicht länger aufbewahrt, als dies erforderlich und verhältnismäßig ist, um die von der Richtlinie auferlegten Anforderungen oder andere Anforderungen nach Unionsrecht oder nationalem Recht zu erfüllen.
- Die Dokumentation wird drei Jahre nach Abschluss des Verfahrens gelöscht.
Besetzung der internen Meldestelle
Spätestens wenn das passende System gefunden wurde und im Unternehmen implementiert werden soll, stellt sich die Frage mit wem die Meldestelle besetzt wird, heißt wer die reinkommenden Meldungen bearbeiten wird. Die Fragestellung ob der Datenschutzbeauftragte eine Doppelfunktion einnehmen könnte, wird hier ausführlich bearbeitet.