Compliance

Die EU-Whistleblower-Richtlinie – was Unternehmen jetzt beachten sollten

Verfasst von: Julian Lang
Berater für Datenschutz und IT-Sicherheit

Am 16. Dezember 2019 ist die „EU-Whistleblower-Richtlinie (EUWBR)“ in Kraft getreten. Bis zum 17. Dezember 2021 gilt eine Übergangsfrist. Die Richtlinie ist durch den nationalen Gesetzgeber in Form von Kontrollinstitutionen (Aufsichtsbehörden) umzusetzen.

Was sind Hintergrund und Zweck der EUWBR?

Der Schutz von Hinweisgebern in der EU war bis dato nicht einheitlich geregelt. Die meisten EU-Länder gewähren nur teilweise Schutz in bestimmten Wirtschaftszweigen oder für gewisse Kategorien von Arbeitnehmern.

Mit der Richtlinie verspricht sich die EU eine einheitliche Regelung, die Hinweisgeber (engl. Whistleblower) schützt, die Verstöße gegen das EU-Recht melden.

Was sind Whistleblower?

Ein Whistleblower oder eine Whistleblowerin ist eine Person, die geheime Informationen der Öffentlichkeit preisgibt. Diese Informationen sind für die Allgemeinheit relevant, da mit diesen in der Regel Missstände oder Verbrechen in der Politik, in Unternehmen oder Behörden und Ämtern aufgedeckt werden.

Was bedeutet die neue Richtlinie für private und öffentliche Organisationen?

  • Unternehmen, die mehr als 50 Mitarbeitende beschäftigen (oder Gemeinden ab 10.000 Einwohner), sind verpflichtet, ein Whistleblowing-System einzurichten.
  • Über die Whistleblowing-Systeme sollen Hinweise über Verstöße gegen das EU-Recht, sowie Hinweise gegen Verstöße nationaler Rechtsverletzungen, gemeldet werden können.
  • Den Whistleblowern obliegt die Entscheidung, Verstöße an die interne Stelle oder direkt an die zuständigen Behörden zu melden. Als letzte Eskalationsstufe wird außerdem die Offenlegung eines Hinweises möglich sein.
  • Hinweisgeber sollen durch diese Richtlinie geschützt werden. Geschützt werden nicht nur Mitarbeitende, die Missstände melden, sondern auch ehemalige Mitarbeitende, Bewerber oder Bewerberinnen, Unterstützer der hinweisgebenden Person oder Journalisten. Die benannten Personengruppen sind vor Entlassungen, Degradierungen und sonstigen Diskriminierungen zu schützen.

Wird der Datenschutz gewahrt?

Alle personenbezogenen Daten in diesem Zusammenhang dürfen ausschließlich DSGVO-konform verarbeitet werden!

Wie werden Unternehmen, die sich nicht an die EUBWR halten, sanktioniert?

In der EUBWR sind auch Sanktionen bei Verstößen vorgesehen. Unternehmen, die das Melden von Missständen behindern, müssen mit Strafen rechnen. Gleiches gilt, wenn Unternehmen die Identität der meldenden Person nicht vertraulich behandeln. Zusätzlich sollen „Vergeltungsmaßnahmen“ gegen die Hinweisgeber geahndet werden. Die Höhe der Sanktionen bestimmen die nationalen Gesetzgeber.

Insgesamt gibt es eine Vielzahl von Maßnahmen, die Unternehmen mit dem Inkrafttreten der EUWBR berücksichtigen müssen. Sollten Sie bei der Umsetzung Unterstützung benötigen, beraten wir sie gerne!

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.