AdOrga Solutions GmbH - Compliance

In den letzten Jahren rückte das Thema Whis­t­­le­b­­lower-Schutz ver­stärkt in das öf­fent­li­che Be­wusst­sein und wurde zu­neh­mend in der Politik und in den Medien dis­ku­tiert. Anlass hierfür ist die vom EU-Par­la­­ment be­schlos­se­ne „Whis­t­­le­b­­lower-Rich­t­­li­­nie“, welche seit 16.12.2019 in Kraft ist und bis 17.12.2021 in na­tio­na­les Recht um­ge­setzt werden muss.

Die Whis­t­­le­b­­lower-Rich­t­­li­­nie ver­pflich­tet Un­ter­neh­men und Or­ga­ni­sa­tio­nen, ein Hin­weis­ge­ber­sys­tem ein­zu­rich­ten, über das Mit­ar­bei­ter, Ge­schäfts­part­ner und Kunden mög­li­che Ge­set­zes­ver­stö­ße münd­lich oder schrift­lich, offen oder anonym, melden können und die Un­ter­neh­men diesen Hin­wei­sen dann auch nach­ge­hen müssen. Die Person im Un­ter­neh­men, die Mel­dun­gen ent­ge­gen­nimmt oder be­ar­bei­tet, muss hierfür un­ab­hän­gig sein und darf bei der Tä­tig­keit nicht in einen In­ter­es­sen­kon­flikt kommen.

Ziel

Grund­le­gen­des Ziel des Ge­set­zes ist, die Auf­de­ckung und Un­ter­bin­dung von Ver­stö­ßen zu for­cie­ren, gleich­zei­tig jedoch auch den Hin­weis­ge­ber („Whist­leb­lower“) sowie ge­ge­be­nen­falls Dritte, die bei der Meldung un­ter­stüt­zen, besser zu schüt­zen, sodass für diese keine ne­ga­ti­ven zivil-, straf- oder ver­wal­tungs­recht­li­chen oder in­ter­nen Kon­se­quen­zen als Folge der Meldung zu be­fürch­ten sind.

Das Hin­weis­ge­ber­schutz­ge­setz (HinSchG) macht keinen Un­ter­schied hin­sicht­lich der Or­ga­ni­sa­ti­on (§ 1 HinSchG-E). Es soll für Un­ter­neh­men und Be­hör­den glei­cher­ma­ßen gelten und stellt somit die glei­chen An­for­de­run­gen an nicht-öf­­f­en­t­­li­che wie auch öf­fent­li­che Stellen. Eines der Haupt­zie­le, sowohl auf EU- als auch auf na­tio­na­ler Ebene, ist, An­ony­mi­tät für den Hin­weis­ge­ber zu ge­wäh­ren und si­cher­stel­len zu können. Das Gesetz sieht keine Pflicht einer an­ony­men Meldung vor.

Daten­schutz

Die da­ten­schutz­recht­li­chen Vor­ga­ben bleiben von der Whis­t­­le­b­­lower-Ge­­set­z­­ge­­bung un­be­rührt, d. h. die DSGVO, das BDSG und andere spe­zi­al­ge­setz­li­che Normen sind auch hier im Umgang mit den per­so­nen­be­zo­ge­nen Daten ein­zu­hal­ten. Dies sind vor­ran­gig, das Aus­kunfts­recht (Art. 15 DSGVO), die In­for­ma­ti­ons­pflicht des Ver­ant­wort­li­chen (Art. 14 DSGVO), die tech­­nisch-or­­ga­­ni­­sa­­to­­ri­­schen Maß­nah­men (Artt. 32, 25 DSGVO), das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten (Art. 30 DSGVO) sowie die Er­for­der­lich­keit der Durch­füh­rung einer Da­ten­­schutz-Fol­­gen­a­b­­schä­t­­zung (Art. 35 DSGVO). Der (be­trieb­li­che bzw. be­hörd­li­che) Datenschutz­beauftragte sollte recht­zei­tig in­for­miert, in die Planung in­vol­viert sowie bei der Im­ple­men­tie­rung be­tei­ligt werden.

Spe­zi­al­ge­setz­lich werden die Da­ten­ver­ar­bei­tungs­be­fug­nis­se in § 10 HinSchG-E nor­miert. Mel­dun­gen, die per­so­nen­be­zo­ge­ne Daten ent­hal­ten und durch Mel­de­stel­len im Rahmen ihrer Auf­ga­ben (§§ 13, 23 HinSchG-E) ent­ge­gen­ge­nom­men werden, dürfen hier­nach ent­ge­gen­ge­nom­men, aus­ge­wer­tet, be­ar­bei­tet und wei­ter­ge­ge­ben werden. Dies gilt auch für Folgemaßnahmen.

Nach­weis­pflicht

Analog der Re­chen­schafts­pflicht des Artikel 5 Abs. 2 der Da­ten­­schutz-Grun­d­­ver­­or­d­­nung gilt auch beim HinSchG, dass die Or­ga­ni­sa­ti­on die Ein­hal­tung nach­wei­sen können muss. Vor allem ist es emp­feh­lens­wert – und ei­gent­lich zwin­gend er­for­der­lich – die Pro­zes­se für die hin­weis­ge­ben­de Person trans­pa­rent darzulegen.

Gemäß §§ 32 ff. HinSchG-E hat die Or­ga­ni­sa­ti­on Maß­nah­men zu treffen, die die hin­weis­ge­ben­de Person ins­be­son­de­re vor Re­pres­sa­li­en und Be­nach­tei­li­gun­gen oder Of­fen­le­gung des Sach­ver­halts schützt. Der „Nicht­schutz“, d.h. ein Verstoß gegen dieses Verbot, be­grün­det Scha­dens­er­satz­pflich­ten des Ver­ur­sa­chers (z.B. un­be­fug­te Of­fen­le­gung) ge­gen­über dem Hin­weis­ge­ber (§ 32 HinSchG-E) und ist gemäß § 39 Abs. 1 Nr. 3 HinSchG-E auch bußgeldbewährt.

Der Hin­weis­ge­ber soll au­ßer­dem für die Meldung oder Of­fen­le­gung der In­for­ma­tio­nen oder für daraus evtl. ent­ste­hen­den Schäden auf Seiten des Be­trof­fe­nen nicht ver­ant­wort­lich gemacht werden können. Dies setzt aber voraus, dass der Hin­weis­ge­ber recht­mä­ßig Zugriff auf die In­for­ma­tio­nen nehmen konnte und Grund zu der Annahme hat, dass die In­for­ma­ti­ons­wei­ter­ga­be er­for­der­lich war, um den Vorstoß auf­zu­de­cken (§ 34 HinSchG-E).

Mel­de­ka­nä­le

Diese ge­setz­li­chen An­for­de­run­gen machen auch die Er­for­der­lich­keit der Mög­lich­keit eines absolut ver­trau­ens­wür­di­gen Mel­de­ka­nals er­sicht­lich. Eine wei­test­ge­hen­de An­ony­mi­tät kann auch durch einen „neu­tra­len“ und au­ßer­halb der Or­ga­ni­sa­ti­on be­find­li­chen An­sprech­part­ner (z.B. ex­ter­ner Da­ten­schutz­be­auf­trag­ter als Om­buds­per­son), ge­währ­leis­tet werden. Im We­sent­li­chen lässt sich das Mel­de­ver­fah­ren in drei Stufen un­ter­tei­len: interne Meldung, Meldung an die zu­stän­di­ge Behörde und Meldung an die Öffentlichkeit.

Kom­mu­ni­ka­ti­ons­we­ge:
  • Te­le­fo­nisch
    Ein­rich­tung einer te­le­fo­ni­schen, für den Anrufer kos­ten­lo­sen Hotline: Da die Meldung zu jeder Zeit möglich sein muss, muss bei einer per­sön­li­chen Hotline si­cher­ge­stellt werden, dass diese per­ma­nent besetzt ist und sich keine sprach­li­chen Bar­rie­ren ergeben.
  • Per­sön­lich / physisch
    Auch hier bietet sich als di­rek­ter An­sprech­part­ner der Datenschutz­beauftragte an sowie der Com­pli­an­ce Officer oder die Revision.
  • E-Mail
    Zugriff durch einen kleinen und de­fi­nier­ten Kreis; vor allem ist aber zu ge­währ­leis­ten, dass Ab­we­sen­hei­ten von An­sprech­part­nern nicht zu Be­ar­bei­tungs­ver­zö­ge­run­gen führen.
  • Per Post
    Die Post sollte mög­lichst durch die hin­weis­ge­ben­de Person ent­spre­chend adres­siert werden. Un­ge­ach­tet dessen muss bei der Be­ar­bei­tung des Post­ein­gangs ab­so­lu­te Ver­trau­lich­keit und Still­schwei­gen ge­währ­leis­tet sein.
  • Ein IT-ge­­stüt­z­­tes Hin­weis­ge­ber­sys­tem ist ge­setz­lich nicht ver­pflich­tend, aber möglich.

Sank­tio­nen

Eine Zu­wi­der­hand­lung gegen Ver­pflich­tun­gen aus dem HinSchG stellt eine Ord­nungs­wid­rig­keit dar und es drohen Buß­gel­der bis zu 100.000 Euro. Das Fehlen einer in­ter­nen Mel­de­stel­le ist sank­ti­ons­los. Es liegt jedoch im eigenen In­ter­es­se der Or­ga­ni­sa­ti­on, eine interne Auf­klä­rung zu er­mög­li­chen und zu ver­mei­den, dass Hin­weis­ge­ber sich an die Öf­fent­lich­keit wenden.

Verstoß gegen Schutz des Hinweisgebers

  • Verbot von Re­pres­sa­li­en (§ 35 HinSchG-E) mit Beweislastumkehr
  • Scha­dens­er­satz nach Re­pres­sa­li­en (§ 36 HinSchG-E)
  • Buß­geld­sank­tio­nen (§ 39 HinSchG-E)

Verstoß gegen die Datenschutzbestimmungen

  • sowohl in Bezug auf Hin­weis­ge­ben­de als auch vom Hinweis Betroffene
  • Art. 82 DSGVO ma­te­ri­el­le und im­ma­te­ri­el­ler Schaden
  • Art. 83 DSGVO Geldbußen

Aus­blick

Ob der Re­fe­ren­ten­ent­wurf des BMJV im Herbst 2021 das par­la­men­ta­ri­sche Ver­fah­ren durch­läuft und die Frist bis zum 19. De­zem­ber 2021 ein­ge­hal­ten werden kann, bleibt ab­zu­war­ten. Dies gilt auch für das Verbandssanktionengesetz.

Fest­zu­hal­ten bleibt: Gelingt der Re­gie­rungs­ko­ali­ti­on die Ver­ab­schie­dung nicht, droht Deutsch­land ein Ver­trags­ver­let­zungs­ver­fah­ren. Au­ßer­dem könnte sich eine hin­weis­ge­ben­de Person, sofern es die Ver­let­zung von EU-Rechten be­trifft, ggf. un­mit­tel­bar auf die EU-Whis­t­­le­b­­lower-Rich­t­­li­­nie berufen. Für die Or­ga­ni­sa­tio­nen be­deu­tet dies Rechts­un­si­cher­heit und ggf. un­ter­schied­li­che staats­an­walt­li­che Ansätze.

Bis zum 17. De­zem­ber 2021 bleibt nicht mehr viel Zeit – sowohl für den Ge­setz­ge­ber als auch für die Or­ga­ni­sa­tio­nen. Ins­be­son­de­re für Un­ter­neh­men gilt: eine Über­gangs­frist ist nicht geplant. Es sollte daher zeitnah mit der Pro­zess­pla­nung be­gon­nen werden – und der Datenschutz­beauftragte ein­ge­bun­den werden. 

 

Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns: consulting@AdOrgaSolutions.de.
Com­pli­an­ce ist ein Prozess – wir un­ter­stüt­zen Sie dabei.

 

Links:

Related Posts

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!

Email schrei­ben
08142 4624920