Datenschutz und Cybersecurity

Bundeskabinett beschließt Hinweisgeberschutzgesetz

Verfasst von

Dr. Jan-Peter Ohrtmann

Das Bundeskabinett hat am 27. Juli 2022 den Entwurf eines Gesetzes für einen besseren Schutz hinweisgebender Personen beschlossen.

 Dadurch ist Deutschland der Pflicht zur Umsetzung der Richtlinie (EU) 2019/1937 – sog. „Hinweisgeberschutzrichtlinie“ – nun nachgekommen. Mit einer Verkündung des Gesetzes wird im September gerechnet, so dass es noch im Dezember 2022 in Kraft treten könnte.

Folgende Kernaussagen des Gesetzes sind insbesondere hervorzuheben:

  • Der Anwendungsbereich des Gesetzentwurfs umfasst auch Verstöße gegen Europäisches und nationales Recht und geht somit über die Mindestanforderungen der EU-Richtlinie hinaus.
  • Unternehmen und Organisationen ab 50 Beschäftigten müssen sichere interne Hinweisgebersysteme installieren und betreiben. Kleineren Unternehmen mit weniger als 250 Beschäftigten wird dafür eine verlängerte Frist bis 17. Dezember 2023 eingeräumt.
  • Zwar soll es nach wie vor keine Pflicht zur Bearbeitung von anonymen Hinweisen geben. Jedoch sollen interne und externe Meldestellen auch anonyme Hinweise berücksichtigen, „soweit dadurch die vorrangige Bearbeitung nichtanonymer Meldungen nicht gefährdet wird“. Anonyme Hinweisgebende fallen ebenfalls unter die Schutzbestimmungen des Hinweisgeberschutzgesetzes, wenn ihre zunächst verdeckte Identität später bekannt wird.
  • Schließlich wird der Schutz der Hinweisgebenden durch das Verbot von Repressalien gewährleistet. Dazu zählen alle ungerechtfertigten Nachteile wie Kündigung, Abmahnung etc., die auf eine Meldung folgen, inklusive einer Beweislastumkehr.

Empfehlung

Unternehmen sollten jetzt prüfen, ob die bei ihnen bestehenden Hinweisgeberprozesse den geplanten gesetzlichen Anforderungen genügen und ggf. ihre Prozesse anpassen. Aus Datenschutzsicht sind insbesondere zu berücksichtigen:

  • Vertraulichkeit: Informationen über den Hinweisgeber und den Beschuldigten sind streng vertraulich zu behandeln.
  • Erforderlichkeit & Qualität der Daten: Es werden von vornherein nur relevante Informationen erhoben.
  • Transparenz: Die Betroffenen müssen – sobald als möglich ohne die Untersuchung zu gefährden – über die Erhebung informiert werden.
  • Auskunftsrecht: Bei geltend gemachten Auskunftsansprüchen müssen alle in einem solchen Antrag involvierten Interessen, einschließlich der des Hinweisgebers und der beschuldigten Person(en), berücksichtigt werden.
  • Speicherbegrenzung: Meldungen müssen nach Abschluss der Untersuchung oder des darauf eingeleiteten Verfahrens gelöscht werden. Hierzu sind Fristen festzulegen. Die Artikel 29-Datenschutzgruppe votierte hier für eine Frist von zwei Monaten (Link) nach Abschluss der Untersuchung.
  • Datensicherheit: Angesichts der Sensitivität der verarbeiteten Daten, müssen diese technisch und organisatorisch streng geschützt werden.

Daneben ist natürlich die Mitbestimmung zu berücksichtigen.

Die Datenschutzaufsicht betrachtet diesen Bereich aufmerksam. So hat jüngst die italienische Datenschutzaufsicht ein Bußgeld (Link) wegen unzureichenden Datenschutzmaßnahmen bei einem Whistleblowing-System verhängt.

PwC bietet eine PwC Whistleblower and Ethics Reporting Channel als Managed Service (Link).