HR NEWS
Immer UpToDate im Arbeitsrecht
HR NEWS
HR NEWS
Immer UpToDate im Arbeitsrecht
Whistleblowing
Subscribe Abonnieren Sie die Beiträge von Whistleblowing

Datenschutzrechtliche Pflichten & mögliche Stolperfallen beim Whistleblowing

Von am Jul 14, 2023
Veröffentlicht In , , , ,

Mit dem Inkrafttreten des Hinweisgeberschutzgesetzes (HinSchG) am 2. Juli 2023 stehen Unternehmen vor neuen datenschutzrechtlichen Herausforderungen. Regelmäßig enthalten bei einer Meldestelle eingehende Hinweise personenbezogene Daten. Dazu gehören insbesondere der Name des Hinweisgebers (sofern kein anonymer Hinweis erfolgte) und Angaben zum Sachverhalt sowie zu betroffenen Personen. Diese Daten müssen auch im Interesse des Unternehmens – als potenzieller Adressat von Bußgeldern und Schadensersatzansprüchen – in Übereinstimmung mit den Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) erfasst und verarbeitet werden.

Vorgaben bei der Einrichtung und dem Betreiben einer Meldestelle
Im Folgenden zeigen wir wesentliche Aspekte auf, die bei der Einrichtung und dem Betrieb einer Meldestelle berücksichtigt werden sollten.

  • Datenschutz-Folgenabschätzung: Vor der Einrichtung eines Meldekanals muss aufgrund des hohen Risikos der Datenverarbeitung für die Rechte und Freiheiten natürlicher Personen eine Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO durchgeführt und dokumentiert werden. Ziel einer solchen Datenschutz-Folgenabschätzung ist es, derartige Risiken durch technische und organisatorische Maßnahmen zu minimieren.
  • Verarbeitungsverzeichnis: Auch das Hinweisgeberverfahren ist in das Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 DSGVO aufzunehmen.
  • Vertraulichkeitsvereinbarung: Um die Funktionsfähigkeit des Hinweisgeberschutzsystems zu gewährleisten, sieht das Hinweisgeberschutzgesetz in §§ 8, 9 HinSchG einen weitgehenden Schutz der Identitäten aller von einer Meldung betroffenen Personen vor. Demnach darf ihre Identität ausschließlich internen Meldestellen sowie für Folgemaßnahmen zuständigen Personen bekannt gemacht werden. Nur in bestimmten Ausnahmefällen, zum Beispiel auf Verlangen von Strafverfolgungsbehörden, dürfen Informationen zur Identität einer hinweisgebenden Person weitergegeben werden. Dieses Vertraulichkeitsgebot ist gesetzlich vorgesehen. Es bietet sich jedoch für Arbeitgeber im Rahmen ihrer Fürsorgepflicht an, die für die interne Meldestelle zuständigen Personen auf die Folgen der Nichteinhaltung dieser Vorschriften im Rahmen einer zusätzlichen Vertraulichkeitsvereinbarung hinzuweisen.
  • Schulungspflicht: Nach § 15 Abs. 2 HinSchG haben Unternehmen dafür Sorge zu tragen, dass die mit den Aufgaben einer internen Meldestelle beauftragten Personen über die notwendige Fachkunde verfügen, insbesondere um die Vertraulichkeit der Identität betroffener Personen zu wahren. Dies ist ggf. durch geeignete Schulungen sicherzustellen und umfasst auch den datenschutzkonformen Umgang bei der Erfassung und Verarbeitung eingehender Hinweise.
  • Dokumentationspflicht: Die interne Meldestelle ist gem. § 11 HinSchG verpflichtet, alle eingehenden Meldungen unter Beachtung des Vertraulichkeitsgebots in dauerhaft abrufbarer Weise zu dokumentieren.
  • Aufbewahrungs- und Löschpflichten: Die Dokumentation der eingegangenen Meldung gem. 30 DSGVO grundsätzlich drei Jahre nach Abschluss des Verfahrens zu löschen. Eine darüberhinausgehende Aufbewahrungsfrist ist möglich, solange dies erforderlich und verhältnismäßig ist.
  • Technisch organisatorische Maßnahmen: Unternehmen müssen technisch organisatorische Maßnahmen gem. Art. 32 DSGVO treffen, um eine DSGVO-konforme Verarbeitung personenbezogener Daten sicherzustellen. Das ist auch dann der Fall, wenn Dritte mit den Aufgaben einer internen Meldestelle betraut wurden.
  • Auslagerung der internen Meldestelle: Das Hinweisgeberschutzgesetz sieht in § 14 Abs. 1 Hin-SchG die Möglichkeit vor, Dritte mit den Aufgaben einer internen Meldestelle zu betrauen. Dies befreit den Beschäftigungsgeber jedoch nicht von der Pflicht, selbst geeignete Maßnahmen zu ergreifen, um einen durch das Hinweisgebersystem gemeldeten Verstoß abzustellen. Zudem sollte die Klärung der datenschutzrechtlichen Verantwortlichkeiten je nach konkreter Ausgestaltung der Zusammenarbeit z.B. im Rahmen eines Auftragsverarbeitungsvertrages (Art. 28 DSGVO) erfolgen.
  • Datenschutzbeauftragter als Meldestelle: Gerade für kleine Unternehmen mit geringerem Bedarf ist es zumindest denkbar, die Person des [...]

    Weiterlesen


Update Whistleblowing: Das Hinweisgeberschutzgesetz kommt

Von und am Mai 22, 2023
Veröffentlicht In , , , ,

„Was lange währt, wird endlich gut“ – dies dürfte zumindest eingeschränkt für das verabschiedete Hinweisgeberschutzgesetz gelten. Nachdem der Bundestag Ende 2022 mit ohnehin schon etwa einjähriger Verspätung einen Entwurf des Gesetzes für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (Hinweisgeberschutzgesetz) verabschiedet hatte, verzögerte sich das Gesetzgebungsverfahren weiter aufgrund der verweigerten Zustimmung des Bundesrats vom 10. Februar 2023. Mit Beschluss vom 11. bzw. 12. Mai 2023 haben Bundestag und Bundesrat nun den vom Vermittlungsausschuss vorgeschlagenen Kompromiss auf den Weg gebracht.

Zwar steht die Ausfertigung des Gesetzes noch aus. Diese dürfte aber in Kürze zu erwarten sein, sodass das Hinweisgeberschutzgesetz aller Voraussicht nach in wenigen Wochen in Kraft treten dürfte.

Auch wenn das Hinweisgeberschutzgesetz große Herausforderungen für Unternehmen mit sich bringt, schafft die vermittelte Fassung zumindest eine Verbesserung wesentlicher Kritikpunkte. Auf Grundlage des geänderten Entwurfs sind weder anonymen Meldungen zu ermöglichen noch immateriellen Schäden zu ersetzen. Auch reduziert sich die maximale Bußgeldhöhe von 100.000 Euro auf die Hälfte. Welche Pflichten Unternehmen zukünftig im Einzelnen zu beachten haben, stellen wir nachfolgend dar:

1. ANWENDUNGSBEREICH
Als hinweisgebende Personen werden natürliche Personen bezeichnet, die im Vorfeld oder im Zusammenhang mit ihrer beruflichen Tätigkeit Informationen über Verstöße erlangt haben und diese Verstöße melden oder offenlegen. Das Gesetz sieht zur Durchsetzung der Meldungen die Einrichtung interner und externer Meldestellen vor. Dagegen soll eine Offenlegung nur unter besonderen Umständen geschützt sein.

Obwohl das Hinweisgeberschutzgesetz die europäische Richtlinie umsetzt, geht es im sachlichen Anwendungsbereich über die unionsrechtlichen Vorgaben hinaus und umfasst nicht nur Verstöße gegen das Unionsrecht. In den Schutzbereich des Gesetzes fallen beispielsweise strafrechtlich und bußgeldrelevante Verstöße, steuerrechtliche Verstöße und Verstöße gegen gesetzliche Vorgaben zur Geldwäsche, Produktsicherheit, Sicherheit des Straßenverkehrs, Förderung erneuerbarer Energien, zum Umweltschutz und Verbraucherschutz. Die einzelnen Verstöße sind abschließend in § 2 Hinweisgebergesetz-E aufgezählt. In Änderung des anfänglichen Entwurfs sind nun auch Verstöße gegen die unionsrechtlichen Vorgaben zu den digitalen Märkten und Äußerungen von Beamten enthalten.

2. PFLICHTEN
Neben den externen Meldestellen, die im Wesentlichen bei der Bundesanstalt für Finanzdienstleistungen, dem Bundesamt für Justiz und dem Bundeskartellamt vorgesehen sind, werden auch Unternehmen in die Pflicht genommen. Sie haben – je nach Größe des Unternehmens – interne Meldestellen einzurichten. Die Einrichtung umfasst die Betreibung von Meldekanälen, das Führen der Verfahren und die Ergreifung von Folgemaßnahmen.

Grundsätzlich sollen Unternehmen mit mindestens 50 in der Regel beschäftigten Arbeitnehmern Meldestellen errichten. Beschäftigt ein Unternehmen in der Regel also weniger als 50 Arbeitnehmer, ist es grundsätzlich nicht von den Pflichten betroffen. In besonders sensiblen Bereichen, wie dem Bankwesen und dem Wertpapierhandel, besteht die Pflicht allerdings unabhängig von der Unternehmensgröße. Unternehmen mit in der Regel 50-249 Beschäftigten müssen erst bis zum 17. Dezember 2023 der Einrichtung von Meldestellen nachgekommen sein (ausgenommen sind sog. sensible Bereiche). Ihnen wird zudem die Möglichkeit gewährt, gemeinsame Meldestellen zu errichten. Dies könnte insbesondere bei einem Konzernverbund sinnvoll sein und zur Erleichterung führen. Nur große Unternehmen mit in der Regel mindestens 250 Beschäftigten sind unmittelbar ab Inkrafttreten des Hinweisgeberschutzgesetzes ohne Umsetzungsfrist in [...]

Weiterlesen



Neues zum Whistleblowing – Neuer Referentenentwurf zum Hinweisgeberschutzgesetz

Von und am Apr 22, 2022
Veröffentlicht In , , , ,

Am 13. April 2022 veröffentlichte das Bundesministerium der Justiz einen Referentenentwurf für ein Hinweisgeberschutzgesetz („HinSchG-E“). Umgangssprachlich als „Whistleblowergesetz“ bezeichnet, setzt es eine entsprechende Richtlinie des Europäischen Parlaments und des Rates um (RL (EU) 2019/1937) („Richtlinie“). Aus arbeitsrechtlicher Sicht ist insbesondere der vorgesehene Schutz von Whistleblowern vor Kündigungen, Versetzungen oder Disziplinarmaßnahmen bemerkenswert. Das gilt nicht nur bei der Meldung von Verstößen gegen das Unionsrecht, sondern – über die europäischen Vorgaben hinausgehend – auch bei Verstößen gegen rein nationales Recht. Auf die bis Mitte Mai stattfindende Verbände- und Länderbeteiligung zum Referentenentwurf folgt dann die Abstimmung in Bundestag und Bundesrat.

ENTSTEHUNGSGESCHICHTE

Bereits von der letzten Bundesregierung wurde ein Referentenentwurf zum Hinweisgeberschutz auf den Weg gebracht. Das damalige Gesetzgebungsverfahren scheiterte jedoch an Unstimmigkeiten zwischen SPD und Union. Streitpunkt war, ob Whistleblower nur geschützt werden sollten, wenn es um Verstöße gegen EU-Recht geht oder weitergehend auch bei gemeldeten Verstößen gegen nationales Recht. Während die SPD schon damals eine nun auf den Weg gebrachte überschießende Umsetzung der Richtlinie befürwortete, kritisierte die Union die damit einhergehende Bürokratie und zusätzliche Regulierung.

Am 17. Dezember 2021 ist die in der Richtlinie vorgegebene Umsetzungsfrist verstrichen. Anfang 2022 hatte die EU-Kommission daraufhin ein Vertragsverletzungsverfahren eingeleitet. Bis zum Inkrafttreten des HinSchG können sich Beschäftigte gegebenenfalls unmittelbar auf einzelne Artikel der Richtlinie berufen.

INHALT DES REFERENTENENTWURFS

Im Wesentlichen entspricht der Referentenentwurf demjenigen aus der letzten Legislaturperiode. Hinsichtlich des persönlichen Anwendungsbereichs des HinSchG-E ist klarzustellen, dass u.a. auch Vorstände und Geschäftsführer als Hinweisgeber in Frage kommen und damit vom Hinweisgeberschutz profitieren können. In sachlicher Hinsicht werden Verstöße gegen Vorschriften aus dem Strafrecht, bestimmte Ordnungswidrigkeiten und Unions- sowie korrespondierendes nationales Recht erfasst. Dem HinSchG-E zufolge sind unternehmensinterne und externe Meldekanäle zu errichten, an die sich Whistleblower wenden können. Das interne Meldesystem kann nach dem HinSchG-E beispielsweise auch über eine konzernweite Meldestelle gewährleistet werden. Die originäre Verantwortung dafür, einen festgestellten Verstoß zu beheben und weiterzuverfolgen, muss dabei bei dem jeweiligen beauftragenden Tochterunternehmen verbleiben. Zwischen beiden Meldekanälen haben Hinweisgeber ein Wahlrecht. Bei Einhaltung der gesetzlich geregelten Anforderungen an eine Meldung werden die Beschäftigten umfangreich vor Repressalien wie Kündigung oder sonstigen Benachteiligung geschützt.

ABWEICHUNGEN VOM BISHERIGEN ENTWURF

Der sachliche Anwendungsbereich sollte nach dem Entwurf von 2021 noch die Meldung und Offenlegung von Informationen über Verstöße, die straf- oder bußgeldbewehrt sind, sowie sonstige Verstöße gegen Gesetze, Rechtsverordnungen und sonstige Vorschriften des Bundes und der Länder und bestimmte EU-Rechtsakte erfassen. Der jetzige Entwurf ist dahingehend etwas enger formuliert und umfasst bußgeldbewehrte Verstöße nur insoweit, als die verletzte Vorschrift dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient (§ 2 Abs. 1 Nr. 2 HinSchG-E). Zudem soll statt wie im alten Entwurf vorgesehen nicht der Bundesdatenschutzbeauftragte, sondern das Bundesamt für Justiz für die externe Meldestelle zuständig sein. Die Begründung des aktuellen Entwurfs stellt zudem anders als die des vorhergehenden klar, dass die erwähnten konzernweiten Meldestellen als „Dritte“ im Sinne des Gesetzes gelten.

WESENTLICHE ASPEKTE IN ARBEITSRECHTLICHER HINSICHT

Auswirkungen auf das Arbeitsrecht hat insbesondere der Schutz der Beschäftigten vor benachteiligenden Handlungen oder Unterlassungen [...]

Weiterlesen



Neues zum Whistleblowing – Meinungsfreiheit und Staatsbürgerpflicht vs. Loyalität im Arbeitsverhältnis

Von und am Feb 18, 2021
Veröffentlicht In , ,

Zumeist sind es Arbeitnehmer, die Missstände oder Straftaten melden, welche ihnen im Zusammenhang mit ihrem Arbeitsverhältnis bekannt geworden sind. Mangels ausdrücklicher gesetzlicher Regelung besteht jedoch für Arbeitnehmer eine große Unsicherheit, unter welchen Voraussetzungen sie insbesondere extern gegenüber Behörden Hinweise geben dürfen, ohne Gefahr zu laufen, durch den Arbeitgeber wirksam gekündigt zu werden. Genauso kann der Arbeitgeber nur schwerlich abschätzen, wann er zur Kündigung des Arbeitsverhältnisses berechtigt ist. Abhilfe soll künftig das Hinweisgeberschutzgesetz („HinSchG“) schaffen, dass die EU-Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden („Whistleblower-Richtlinie“) noch im Laufe dieses Jahres umsetzen soll. Ganz aktuell sorgt nun ein Urteil des Europäischen Gerichtshofs für Menschenrechte („EGMR“) für Aufsehen, weil es dem hinweisgebenden Arbeitnehmer Prüfungspflichten auferlegt, welche der Referentenentwurf des HinSchG und die Whistleblower-Richtlinie gerade nicht vorsehen.

Bisherige Grundsätze des EGMR zum Whistleblowing
Der EGMR prüft regelmäßig, ob die infolge des Whistleblowings des Arbeitnehmers ausgesprochene Kündigung durch den Arbeitgeber und die kündigungsstattgebenden Urteile der nationalen Gerichte den Arbeitnehmer in seinem Recht auf freie Meinungsäußerung verletzen. Dabei stellt sich der EGMR insbesondere folgende Prüfungs- und Abwägungsfragen:

  • Besteht ein öffentliches Interesse an der Information?
  • Hat der Arbeitnehmer die Information sorgfältig daraufhin geprüft, ob sie zuverlässig ist?
  • Überwiegt das Interesse gegenüber dem möglichen Schaden für den Arbeitgeber?
  • Welche Motivation treibt den Arbeitnehmer? Handelt er im guten Glauben oder um dem Arbeitgeber zu schaden?
  • War es dem Arbeitnehmer zumutbar, interne Meldekanäle zu nutzen?

EGMR-Urteil vom 16. Februar 2021
In dem Urteil des EGMR vom 16. Februar 2021 ging es um einen deutschen Arzt, der in einem Krankenhaus in Liechtenstein tätig gewesen war. Bei der Durchsicht von elektronischen Patientenakten war ihm aufgefallen, dass mehrere Patienten direkt nach einer Behandlung durch einen Kollegen mit Morphin gestorben waren. Aufgrund weiterer Notizen in der elektronischen Akte ging der Arzt davon aus, dass der Kollege aktive Sterbehilfe geleistet hatte. Diesen Verdacht brachte der Arzt bei der Staatsanwaltschaft zur Anzeige, die daraufhin die Ermittlungen aufnahm. Der Arzt ergänzte seinen bisherigen Verdacht im Laufe der Ermittlungen noch um weitere sechs Fälle. Nach Prüfung der wesentlich umfangreicheren Papierakten stellte sich jedoch heraus, dass die Behandlung mit Morphin angemessen und der Verdacht deshalb unbegründet war. Das Krankenhaus kündigte dem Arzt daraufhin fristlos. Die Klage des Arztes gegen die Kündigung blieb in allen Instanzen – einschließlich derjenigen des Lichtensteiner Verfassungsgerichts – erfolglos.

Dem Verfassungsgericht im Ergebnis folgend erkannte der EGMR in der Kündigung und den Arbeitsgerichtsentscheidungen keine Verletzung des Art. 10 EMRK. Maßgeblich sei nach dem EGMR, dass der Arzt nicht alle ihm zumutbaren und möglichen Versuche unternommen habe, zu prüfen, ob die Verdachtsmomente genau und zuverlässig sind. Er habe als erfahrener und schon länger im besagten Krankenhaus beschäftigter Arzt gewusst, dass die elektronischen Akten kein vollständiges Bild vermittelten. Deshab hätte er sich zusätzlich die Papierakten beschaffen müssen. Ihm wäre dann die Haltlosigkeit seiner Vorwürfe aufgefallen.

Widerspruch zu HinSchG und Whistleblower-Richtlinie?
Ausweislich des Referentenentwurfs des HinSchG soll eine Voraussetzung für den Schutz von Whistleblowern sein, dass die Informationen zutreffend sind, oder zum Zeitpunkt der Meldung oder Offenlegung hinreichender Grund [...]

Weiterlesen



FOLGE UNS

Jetzt anmelden

THEMENBEREICHE

ARCHIV