EU-Hinweisgeber-Richtlinie! – Was ist das nun schon wieder?

Jeden Tag ist das Risiko vorhanden. Mitarbeiter*innen setzen, bewusst oder unbewusst, durch Gesetzesverstöße das gute
Image von dem Unternehmen auf Spiel. „Complaince“ steht nicht nur für Korruption. Nein, es verkörpert noch viel mehr,
u.a. die Einhaltung von Gesetzen. Natürlich kommt es nicht in jedem Unternehmen und auch nicht jeden Tag vor, dass
Mitarbeiter*innen falsch laufende Prozesse oder nicht eingehaltenen Gesetzesanforderungen erkennen und
veröffentlichen. Aber es kommt vor und es betrifft grundsätzlich jedes Unternehmen. Nicht selten wird dann bei diesen
Mitarbeiter*innen das Verhalten sanktioniert.
Nicht selten muss die Geschäftsführung für Schäden aufkommen und diese vom privaten Vermögen zahlen, wenn
Mitarbeiter*innen Fehlhandlungen vornehmen, wie bspw. Firmengelder auf private Konten transferieren. Der Schaden ist
enorm.
Und nun?
Es wurde die EU-Hinweisgeber-Richtlinie eingeführt. Ziel von dieser Richtlinie ist es, dass Whistleblower geschützt werden.
Also Mitarbeiter*innen, die Missstände aufdecken bzw. Hinweise hierzu geben.
Was bezweckt die Richtlinie? Unternehmen müssen Mitteilungskanäle einrichten, so dass Mitarbeiter*innen anonym
Hinweise geben können.
• Betrifft das jedes Unternehmen? Naja, grundsätzlich schon. Konkret müssen aber „nur“ Unternehmen mit mehr als
50 Miterbeiter*innen diese Richtlinie beachten und umsetzen. Dennoch schadet es nicht, dass auch kleinere
Unternehmen sich hierüber Gedanken machen.
• Bis wann muss die Richtlinie umgesetzt werden? Für Unternehmen mit 250+ Mitarbeiter*innen bis Ende 2021.
Unternehmen mit 50-250 Mitarbeiter*innen haben noch ein wenig Zeit, bis Ende 2023.
• Was konkret? Es müssen sichere Meldekanäle eingerichtet werden. Die kann durch eine Unterstützung mit einem
Tool und somit eines externen Dienstleisters erfolgen oder man bietet den Mitarbeiter*innen als Anlaufadresse
einen Rechtsanwalt oder Datenschutzbeauftragten an. Wichtig hierbei ist die Verschwiegenheit. Höchstes Ziel ist
der Schutz der Hinweisgeber.
Die Richtlinie wird nicht beachtet. Was dann?
Wenn es keinen Kanal für Hinweisgeber*innen gibt, dürfen diese ohne Konsequenzen oder Sanktionen durch das
Unternehmen diesen Missstand an die Öffentlichkeit melden. Auch drohen dem Unternehmen dann Bußgelder, die in etwa
in dem Bereich liegen wie die Bußgelder bei DSGVO-Verstößen.
Wenn nun das Unternehmen meint, dass mit Einrichtung eines Hinweisgeber-Systems das Problem gelöst sei, begeht es
einen fatalen Fehler. Das System muss leben und betreut werden. Nach spätestens 7 Tagen nach Eingang einer Meldung
muss der Hinweisgeberin bzw. dem Hinweisgeber Feedback gegeben werden. Man muss über die Bearbeitung informieren.
Nach spätestens 3 Monaten muss, einfach gesagt, das Problem gelöst sein. Es muss eine Lösung für den Missstand
gefunden und kommuniziert worden sein. Hält man als Unternehmen sich nicht an diese Fristen, können
Hinweisgeber*innen ohne Sanktionierung an die Öffentlichkeit.
Bußgelder im Juli?
Es ist nur eine kleine Übersicht! Aber es sind Fälle, die in jedem Unternehmen vermutlich immer mal wieder auftreten.
• Verstoß gegen Speicherbegrenzung bei Kunden- und Interessentendaten: Behörde: CNIL (Frankreich), Branche:
Versicherung, Verstoß: Art. 5 Abs. 1 lit. e DSGVO, Art. 13 DSGVO, Art. 14 DSGVO, Bußgeld: 1.750.000 Euro
• Unzulässiger Einsatz von Profiling im Rahmen der Fahrerverwaltung: Behörde: GPDP (Italien), Branche:
Lieferdienst, Verstoß: Art. 5 Abs. 1 lit. a, c, e DSGVO, Art. 13 DSGVO, Art. 22 Abs. 3 DSGVO, Art. 25 DSGVO, Art.
30 Abs. 1 lit. a, b, c, f, g DSGVO, Art. 32 DSGVO, Art. 35 DSGVO, Art. 37 Abs. 7 DSGVO, Bußgeld: 2.600.000
Euro
• Mangelnde Einbindung und Unabhängigkeit des Datenschutzbeauftragten: Behörde: CNPD (Luxemburg),
Branche: Unternehmen unbekannt. Verstoß: Art. 38 Abs. 1 und 3 DSGVO, Art. 39 Abs. 1 lit. a und b DSGVO,
Bußgeld: 15.000 Euro
Fazit?
Die Hinweisgeber-Richtlinie zeigt erneut auf, dass es wichtig ist eine größtmögliche Transparenz umzusetzen. Sowohl
Kunden als auch Mitarbeiter sollten frühestmöglich über die Verarbeitung von Daten informiert werden. Ein regelmäßiger
Austausch zur Minimierung von möglichen Risiken ist enorm wichtig.
Ein Bußgeld tut zwar weh (soll es ja auch gem. der DSGVO), aber für Unternehmen ist es in vielen Fällen kritischer, wenn
das Image leidet und dadurch das Vertrauen von Kunden schwindet. Im nächsten Schritt bleiben dann die Kunden weg.
Sie haben Fragen? Melden Sie sich bitte bei uns! Es bleibt spannend!