Ein Überblick über die neue Whistleblowing-Richtlinie

Ein Überblick über die neue Whistleblowing-Richtlinie

Was bedeutet die neue Richtlinie für Unternehmen und Cyber Security-Dienstleister?

Das Thema Whistleblowing ist besonders seit dem Sommer 2013 präsent. Damals löste der jetzt ehemalige US-Geheimdienst-Mitarbeiter Edward Snowden mit seinen Veröffentlichungen einen handfesten, weltweiten Skandal ausund stürzte CIA, FBI, NSA in eine Krise. In seinen Publikationen dokumentierte der US-Amerikaner eindrucksvoll, welche Daten nicht nur gesammelt werden, sondern wofür diese Daten auch verwendet werden, aber auch, über welche Wege die Daten in die jeweiligen Server gerieten, verriet er. Aufgrund dessen ist der Begriff „Whistleblowing“ negativ konnotiert – also warum nennt die EU eine neue Richtlinie „Whistleblowing-Richtlinie“?

Auch wenn der Begriff negativ belastet ist, so beschreibt er am besten, was die Richtlinie bezwecken soll. Mitarbeiter sollen anonym und ohne Konsequenzen befürchten zu müssen, u.a. Datenrechtsverstöße melden können. Solche Verstöße oder gar Diebstähle haben nicht nur eine rechtliche Konsequenz, sondern sind auch schädlich für das Image. Mit den rechtlichen Konsequenzen kennt sich unsere Aufsichtsratsvorsitzende Edith Krüger mehr als „nur gut“ aus. So hat Sie sich sehr gerne die Zeit genommen, um über die neue EU-Richtlinie zu informieren und dabei auch andere Aspekte und Themen zu beleuchten.

Welche Pflichten haben die Unternehmen durch die Whistleblowing-Richtlinie

Zu Beginn ein Überblick, was Unternehmen in Zukunft beachten müssen. Kleine und große Unternehmen ab 50 Mitarbeitern, Einrichtungen des öffentlichen Sektors, Behörden sowie Gemeinden ab 10.000 Einwohnern müssen EU-weit künftig sichere interne Meldekanäle für Hinweisgeber bereitstellen. Für die Unternehmen ab 250 Mitarbeitern gilt diese Pflicht bereits Ende 2021, für Unternehmen zwischen 50 und 250 Mitarbeitern gibt es eine Übergangsfrist von weiteren zwei Jahren. Hinweisgeber sollen die Möglichkeit erhalten, Meldungen entweder schriftlich über ein Online-System, einen Briefkasten oder per Postweg abzugeben und/oder mündlich per Telefonhotline oder Anrufbeantwortersystem. Auf Verlangen des Hinweisgebers soll auch ein persönliches Treffen ermöglicht werden. Bei allen Meldewegen muss die Vertraulichkeit des Whistleblowers geschützt sein.

Unternehmen ab 250 Mitarbeiter müssen diese Anforderung bereits bis zum 17. Dezember 2021, Unternehmen zwischen 50 und 249 Mitarbeitern bis zum 17. Dezember 2023 erfüllen. Dies schreibt die im Dezember 2019 in Kraft getretene Whistleblower-Richtlinie der Europäischen Union vor, die vom deutschen Gesetzgeber bis dato noch in nationales Recht umzusetzen ist. Die Whistleblowing-Richtlinie bedeutet eine zunehmende Änderung der Unternehmenspraxis, da nun die Verpflichteten nicht mehr nur Missstände intern melden müssen. Durch die neue Richtlinie müssen alle Verpflichteten einen richtlinienkonformen Meldekanal zur Verfügung stellen – etwa eine Online-Plattform, über die Meldungen im Sinne der Richtlinie sicher, anonym und vertraulich abgegeben und bearbeitet werden können. Hierdurch werden künftig Hinweisgeber deutlich besser vor Nachteilen wie einer Kündigung oder Versetzung geschützt. Dies bedeutet jedoch erheblich mehr Aufwand für die Verpflichteten.

Wie Cyber Security und Datenschutz ineinandergreifen

Das eingeführte Hinweisgebersystem soll dafür sorgen, dass Compliance-Risiken und -Verstöße durch anonyme Hinweise von sogenannten Whistleblowern frühzeitig erkannt werden. Das klappt nur, wenn die Identität der Whistleblower geheim bleiben kann. An dieser Stelle kommt der Datenschutz ins Spiel: Egal, wie ein Unternehmen sein Hinweisgebersystem umsetzt, die personenbezogenen Daten über den Hinweisgeber sind besonders sensibel und müssen dementsprechend besonders gut geschützt werden. Die Umsetzung von Cyber Security geht nicht ohne den Datenschutz im Rahmen der Richtlinie.

Gewinn durch die Zusammenarbeit von Datenschutz und Cyber Security

Ein strukturiertes Compliance-Management sorgt für Wettbewerbsvorteile: Oftmals werden größere Aufträge von Kunden nur dann vergeben, wenn ein entsprechendes Management-System existiert. Bereits implementierte Prozesse und Methoden im Datenschutz können in anderen Compliance-Bereichen, so wie der Informationssicherheit, zum Einsatz kommen. Denn eines ist klar: starke Datenschutzmaßnahmen schützen Hinweisgeber – eine gesetzliche Anforderung der Hinweisgeberrichtlinie. Das Risiko für Compliance-Verstöße hängt auch von der Art der eingesetzten Technologien und dem Grad der Vernetzung ab. Dies haben auch die Verantwortlichen in den Unternehmen erkannt und bewerten den Risikograd ihrer Technologien unterschiedlich. 

Gemeinsame Lösung

Die Digitalisierung stellt die Compliance jedoch nicht nur vor Herausforderungen, sondern bietet ihr auch neue Möglichkeiten, potenziellen Compliance-Risiken zu begegnen: Die Kanzlei Krüger bietet die Gesamtlösung – rechtssicher und praktikabel. Mit ihrem Hinweisgebersystem erhalten Unternehmen eine Plattform, über welche sie die Vorgaben der Whistleblowing-Richtlinie einfach und schnell erfüllen können. Auch betreuen sie das System vollständig als externer Compliance-Officer mit langjähriger Erfahrung im Datenschutz und Compliance-Bereich.

Ein Überblick über die neue Whistleblowing-Richtlinie

Fragen an Edith Krüger, Rechtsanwältin und Aufsichtsratsvorsitzende der QUANTUM cyber lab AG

Welche Herausforderungen sehen Sie durch die Richtlinie für die Unternehmen? 

Innerhalb des Unternehmens soll die „am besten geeignete“ Person zum Erhalt und Nachverfolgen der Meldungen bestimmt werden. Laut EU könnten das sein: Compliance Officer, Personalleiter, Legal Counsel, Chief Financial Officer, Mitglied des Vorstands oder der Geschäftsführung - absolute Verschwiegenheit ist dabei unerlässlich. Ebenfalls können Unternehmen die Bearbeitung von Hinweisen auslagern, beispielsweise an einen Rechtsanwalt. Es gibt diverse Fristen zu beachten und die Bearbeitung muss zielführend erfolgen. Ansonsten drohen Bußgelder. Viele mittelständische Unternehmen sind mit den Anforderungen überfordert, weil es eben nicht zu dem täglichen Arbeitsablauf gehört – zudem haben statistische Untersuchungen ergeben, dass je 100 Mitarbeiter ca. 1 Meldung im Monat erfolgt. Damit lohnt es sich schlichtweg einfach nicht, eine Person komplett für diese Tätigkeit einzusetzen. Wird die Bearbeitung allerdings nur „nebenbei“ erfolgen, geht der Inhaber des Unternehmens das Risiko ein, dass die Auflagen nicht eingehalten werden.

Spielen neben Datenschutzaspekten auch Themen aus der Cyber Security eine Rolle?

Alle personenbezogenen Daten, sowohl die des Hinweisgebers als auch etwaiger beschuldigter Personen, dürfen nur DSGVO-konform verarbeitet werden. Zudem müssen alle eingegangenen Meldungen sicher aufbewahrt werden, damit sie gegebenenfalls als Beweismaterial verwendbar sind. Das bedeutet – gerade im Hinblick auf sehr sensible Themen wie Steuerbetrug o.ä. – muss gewährleistet sein, dass Beweismaterial verfügbar und sicher ist. Schutzmaßahmen sind daher in jedem Fall erforderlich – insbesondere aus IT-Sicherheitserwägungen heraus.

Warum ist eine Umsetzung so wichtig und wie kann man die Anforderungen einfach und richtig umsetzen?

Die Umsetzung ist nicht diskutabel. Die Richtlinie muss in nationales Recht umgesetzt werden, bis dahin gilt die Richtlinie unmittelbar. Insofern gibt es keine Entscheidungsmöglichkeit. Sinnvoll ist es m.E. eine externe Stelle zu beauftragen, so können Kosten und Risiko minimiert werden. Eine einfache und praktikable Lösung für das Handling der eingehenden Meldungen ist ein online-basiertes Tool. Die Bearbeitung der Meldungen kann dann intern oder extern – wie bereits geschildert – erfolgen.

Wir danken Ihnen, Frau Krüger, dass Sie sich die Zeit genommen haben und uns alle Fragen, welche wir zu der neuen EU-Richtlinie hatten, beantwortet haben!

Sollten Sie weitere Fragen zur Whistleblowing-Richtlinie oder zu unseren weiteren Dienstleistungen haben oder benötigen Sie Hilfe bei der Umsetzung des Hinweisgebersystems, dann nehmen Sie noch heute zu unserem Team auf. Wir beraten Sie gerne unverbindlich und ehrlich.




Jetzt kontaktieren