Was bedeutet Hinweisgeberschutz für den Datenschutz?
Ziel der neuen Richtlinie
Die EU nimmt die Unternehmen beim Hinweisgeberschutz in die Pflicht. Mit den Schutzmaßnahmen will die EU gewährleisten, dass Hinweisgeber keine negativen Konsequenzen fürchten müssen. Die Richtlinie soll das Melden in den Bereichen Bilanzfälschung, Geldwäsche, Korruption, Wirtschaftsspionage, Betrug, Diebstahl, Unterschlagung, Mobbing oder sexuelle Übergriffe in Unternehmen oder Behörden fördern.
Für wen gilt die neue Richtlinie?
Für Unternehmen und Behörden gleichermaßen. Sie müssen zukünftig ab einer Größe von 50 Mitarbeitern geeignete interne Meldekanäle bereitstellen. Für die Unternehmen ab 250 Mitarbeiter gilt diese Pflicht ab 17. Dezember 2021. Für kleinere Unternehmen gilt voraussichtlich noch eine Schon- und Übergangsfrist von zwei Jahren bis zum 17. Dezember 2023.
Wie soll das Melden von Verstößen gefördert werden?
Hierzu sollen Unternehmen und Behörden neue Meldekanäle einrichten, damit Meldungen entweder schriftlich über ein Online-System, einen Briefkasten oder per Postweg abgegeben werden können. Natürlich sind auch Telefonie oder ein Anrufbeantwortersystem grundsätzlich möglich. Bei allen Meldewegen muss die Vertraulichkeit des Whistleblowers geschützt sein.
Und der Datenschutz?
Daher ist es nur konsequent, dass alle personenbezogenen Daten, sowohl die des Hinweisgebers als auch etwaiger beschuldigter Personen, DSGVO-konform verarbeitet werden müssen. Aber hier gibt es zahlreiche Fragen, die noch völlig unbeantwortet sind. Beispiele: Wie setzt sich der Kreis der Personen zusammen, die die eingehenden Meldungen einsehen dürfen? Wie werden die Prozesse dokumentiert? Wie sieht es mit Auskunftsrechten und Informationspflichten aus?
Dies gilt gerade vor dem Hintergrund, dass alle eingegangenen Meldungen sicher aufbewahrt werden müssen, damit sie als Beweismaterial verwandt werden können. Es wird deutlich, dass der Datenschutz sehr eng mit der Whistleblower-Richtlinie verknüpft ist. „Die Umsetzung der Whistleblower-Regelungen – egal wie sie national ausgestaltet werden – kann nur unter genauer Berücksichtigung der bestehenden DSGVO-Regeln erfolgen“, empfiehlt UIMC-Geschäftsführer Dr. Jörn Voßbein den betroffenen Firmen und Behörden.
Die UIMC wird die Umsetzung der EU-Whistleblowing-Richtlinie in nationales Recht weiter beobachten und Unterstützungsmöglichkeiten insbesondere im Hinblick auf die genannten Datenschutzanforderungen erarbeiten. Zu diesem Thema bietet die UIMC ein Seminar an: www.uimc.de/webecollege.
Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.
UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de