Bis Ende 2021 müssen Unternehmen ihren Mitarbeitern die Möglichkeit einräumen, Verstöße zu melden, ohne dass sich die Hinweisgeber vor negativen rechtlichen oder internen Konsequenzen fürchten müssen. Welche Meldekanäle möglich sind und wie diese im Sinne des Datenschutzes zu bewerten sind, haben wir hier zusammengestellt.
Hintergrund
Die EU-Hinweisgeber-Richtlinie schützt natürliche Personen, die Verstöße gegen geltendes Recht melden. Dies wird als „Whistleblowing“ bezeichnet. Die Mitarbeiter eines Unternehmens müssen die Möglichkeit bekommen, solche Verstöße im eigenen Unternehmen zu melden und dabei anonym zu bleiben. Die EU-Whistleblowing-Richtlinie verpflichtet Unternehmen mit mehr als 50 Mitarbeitern, bis Dezember 2021 Meldekanäle einzurichten, Verfahren für die Bearbeitung der Meldungen zu erarbeiten und die Verfolgung der Maßnahmen zu etablieren.
Das stellt vor allem kleine und mittlere Unternehmen des Mittelstandes vor eine Herausforderung, da sowohl die EU-Richtlinie als auch die Datenschutzgrundverordnung (DSGVO) einige Anforderungen an die Hinweisgeber-Lösung stellen.
Inhalte der Whistleblowing-Richtlinie
Mitarbeiter nehmen Verstöße gegen geltendes Recht im Unternehmen ebenso wie die Gefährdung oder Schädigung des öffentlichen Interesses im Zusammenhang mit ihrer Tätigkeit häufig als erste wahr. Allerdings schrecken diese potentiellen Hinweisgeber aus Angst vor Repressalien davor zurück, auf diese Umstände intern hinzuweisen.
Grundlegendes Ziel der EU-Richtlinie ist es daher, die Aufdeckung von Verstößen zu forcieren und gleichzeitig den Hinweisgeber/Whistleblower sowie Dritte bei der Meldung zu unterstützen und diese besser zu schützen.
Im Wesentlichen kann eine Meldung in drei Stufen unterteilt werden:
Interne Meldung
Meldung an zuständige Behörden
Meldung an die Öffentlichkeit
Da die Hinweisgeber häufiger vor internen Meldungen zurückschrecken, aus Angst vor beruflichen Konsequenzen, wenden sie sich an die Öffentlichkeit. Sie erhoffen sich dadurch den Schutz und die Unterstützung der Öffentlichkeit. Dies führt nicht selten zu einem Reputationsverlust des Unternehmens, auch wenn der Verstoß nur ein geringes Ausmaß hat.
Unternehmen wird daher empfohlen einen anonymen Hinweisgeberkanal für interne Meldungen einzuführen. Folgende Anforderungen sollte dieser Meldekanal erfüllen:
Meldung muss schriftlich oder mündlich möglich sein, ebenso sollte ein persönlicher Austausch auf Wunsch stattfinden können.
Jede übermittelte Information ist angemessen zu dokumentieren.
Meldungen müssen durch alle Personen, die im Kontakt mit dem Unternehmen stehen, möglich sein (z.B. Mitarbeiter, Lieferanten, Geschäftspartner und weitere interessierte Parteien).
Hinweisgeber müssen klare und leicht zugängliche Informationen über die Meldemöglichkeit erhalten.
Die Vertraulichkeit des Hinweisgebers muss gewahrt werden, ebenso muss die Meldung vor unbefugtem Zugriff Dritter geschützt werden.
Alle Anforderungen der DSGVO und des BDSG sind unbedingt einzuhalten.
Mögliche Meldekanäle
Die Meldekanäle können sowohl intern betrieben werden, als auch von Dritten bereitgestellt werden.
Die folgende Übersicht zeigt verschiedene Optionen für Meldekanäle und die jeweiligen Vor- und Nachteile:
Nächste Schritte für die Umsetzung
Die EU-Whistleblower-Richtlinie verpflichtet Unternehmen zur Einführung von Meldekanälen unter Berücksichtigung der Anforderungen aus der Richtlinie sowie der DSGVO und zur Ergreifung von Maßnahmen zur Verfolgung von Hinweisen.
Die professionelle, effiziente und vertrauliche Bearbeitung von Hinweisen kann vor allem kleinere Unternehmen des Mittelstandes vor eine Herausforderung stellen.
Als externer Dienstleister im Bereich Datenschutzmanagement unterstützen wir Sie gerne bei der Auswahl und Umsetzung eines geeigneten Meldekanals.
Comments