Gibt es hier Spezialisten, die mit der Umsetzung bzw. Implementierung der EU-Whistleblower-Richtlinie (Richtlinie 2019/1937) schon weiter sind und Erfahrung haben?
Meines Wissens nach hat der deutsche Gesetzgeber die EU-Whistleblowing-Richtlinie nicht mehr rechtzeitig innerhalb der vorgegebenen Frist vom 17. Dezember 2021 in ein nationales Gesetz überführt.
Die Orientierungshilfe der DSK zu Whistleblowing-Hotlines aus 2018 ist mir, so wie die üblichen Internetseiten dazu natürlich schon bekannt.
Gibt es hier in der Community andere Informationen?
Gibt es praktikable Ansätze, wie mit der DSGVO, der Transparenz und notwendiger Informationspflicht (oder temporär gerade auch nicht), dem “Beschäftigtendatenschutz”, vielleicht auch mit dem Betriebsrat umgegangen werden muss, es wird ja eine gesetzliche Vorgabe werden?
Vielleicht hat jemand schon Kommunikation oder Austausch mit der Aufsichtsbehörde?
Wie wird es in der Praxis gemacht?
Aktuelle Infos, Ideen, Umsetzungsbeispiele, Hürden und Tipps sind gerne willkommen.
da sich Ende 2021 herauskristallisiert hat, dass, wie Du schon sagtest, keine Umsetzung in nationales Recht erfolgen wird, haben wir bereits ein Hinweisgebersystem implementiert um “Vorlauf” zu haben falls dann alles doch “ganz schnell” geschehen muss. Durch die somit entstandene Testphase können wir nun auch absehen, wie stark das Hinweisgebersystem genutzt wird, welche Kategorien von Anfragen eintreffen, wie zeitaufwändig der ganze Prozess insgesamt ist und wie wir somit weiter planen müssen.
Zu allen anderen Fragen kann ich leider nichts beitragen, da ich die Verantwortung nach der Implementierung abgegeben habe.
Durch die fehlende Umsetzung der WB-Richtlinie in deutsches Recht ist Deutschland auf EU-Ebene vertragsbrüchig geworden. Der EuGH nimmt in solchen Fällen unter gewissen Voraussetzungen eine unmittelbare Anwendung von Richtlinien an, damit sich Mitgliedstaaten nicht ihren Verpflichtungen entziehen können (Stichwort: effet utile bzw. “praktische Wirksamkeit”). Wichtig: es gilt nicht automatisch die gesamte Richtlinie unmittelbar, sondern diese Frage muss man für jede einzelne Norm beantworten. Eine Richtlinien-Norm muss für ihre unmittelbare Anwendung inhaltlich unbedingt und hinreichend bestimmt, also auch in der Praxis ohne Weiteres umsetzbar sein. Man spricht auf von einer sog. “self-executing-Norm”, d.h. auch ohne nationalen Umsetzungsakt kann der Normgehalt bestimmt werden. Wichtige weitere Voraussetzung der unmittelbaren Anwendung ist jedoch: Richtlinienvorgaben gelten niemals zuungsten von Privaten. Pflichten können erst durch die Umsetzung durch nationales Recht auferlegt werden.
Das bedeutet ganz praktisch, dass die Antwort lautet: Kommt drauf an. Unternehmen können sich noch etwas zurücklehnen, wenngleich es natürlich zu empfehlen ist, sich die Vorgaben bereits jetzt anzusehen und eine Umsetzung vorauszudenken. Denn in irgendeiner Form wird die Umsetzung ja kommen. Anders liegt es für den öffentlichen Sektor: also Behörden (auch Kommunen!) und öffentliche Unternehmen. Hier greift die Unmittelbarkeit bereits jetzt, so dass man sich genau ansehen muss, welche Vorgaben hinreichend bestimmt sind.
Art. 9 WB-RL verpflichtet zur Einrichtung eines internen Hinweisgebersystems. Diese Vorgaben sind hinreichend bestimmt, so dass auf jeden Fall ein internes Meldesystem implementiert werden sollte - bestenfalls bereits implementiert ist. Das externe Hinweisgebersystem in Art. 11 WB-RL lässt dagegen einen gewissen Umsetzungsspielraum des deutschen Gesetzgebers und ist nicht unmittelbar anwendbar.
Vielen Dank für Ihre Ausführungen.
Ich hoffe aber mal, dass trotz der unklaren Rechtslage, hier in der Community noch weitere Meinungen und Umsetzungsbeispiele vorliegen.
Kritisch ist es derzeit für Behörden. Solange der Bundesgesetzgeber nichts regelt, gilt für sie seit 17.12.2021 die EU-Richtlinie unmittelbar.
Sie sieht vor: dass ein nicht unbedingt anonymer, sicherer Meldeweg für Leute im Beschäftigungsverhältnis einschließlich Bewerber und Ehemalige eingerichtet wird, der gewährleistet, dass die Hinweisgeber keinerlei Nachteile erleiden und niemand Unbefugtes von den Hinweisen erfährt.
D.h.
Die Sache ist mitbestimmungspflichtig.
Eine DSFA ist erforderlich.
Das Verfahren muss ins VVT.
Die TOMs müssen stimmen, d.h. technische Zugangs und Zugriffsbegrenzung und praktische Beschränkung des Zugangs auf wenige Personen, am besten in der Compliance oder Innenrevision, die zu besonderer Verschwiegenheit verpflichtet werden.
ich greife das Thema nochmal auf, weil mir eine Frage zu den Informationspflichten “über den Weg gelaufen” ist:
Ich habe in einem Seminar gehört, dass Informationsschreiben an den Hinweisgeber (wohl sofern nicht anonym) und an den “Beschuldigten” formuliert werden müssen (Art. 13, 14 DSGVO)
Hier stellt sich für mich die Frage nach der Notwendigkeit dieser Schreiben.
Da es sich um Mitarbeiter handelt, sind die Daten bereits erhoben worden und die Informationspflichten wurden im Rahmen des Beginns des Beschäftigungsverhältnisses erfüllt.
Oder entstehen hier die Info-Pflichten wegen des geänderten Zwecks erneut?
Bisher wurde evtl. nicht über den Zweck informiert, dass Daten im Rahmen von Hinweisen verarbeitet werden. Außerdem ist es eine Zweckänderung, weil die Daten (ursprünglich und laufend) für andere Zwecke erhoben wurden.
D., der die Information (bzw. die ernsthafte Überlegung dazu) in jeden Hinweis-Vorgang einbauen würde. Damit wäre auch immer dokumentiert, warum mal nicht (sofort) informiert wird.
Moin Rumpelberta, ich darf fragen, wie euer System in die nun geschaffenen Rechtssituation passt und ob es wirklich “in Nutzung” gegangen ist?
Hab vielen Dank
Ich meine, Info und Auskunft ja, aber eingeschränkt. Hier sind die Info-Pflichten des Beschäftigungsgebers und auch die Auskunfts-Rechte der Betroffenen eingeschränkt, lese ich aus § 29 Abs. 1 S. 1 und 2 BDSG i.Z.m. § 8 HinSchG heraus, alles andere wäre bei der ganzen Vertraulichkeit - bis dahin, dass sogar anonyme Hinweise bearbeitet werden sollen - ja absurd.
Was meint ihr?
Datenschutzerklärung für den Hinweisgeber, klar, vor allem als Grundlage für etwaige Einwilligungen
Keine Datenschutzerklärung für weitere Personen, die mit der Meldung in Zusammanhang stehen aus Art. 23 DSGVO und dann spezifiziert in § 29 und § 33 BDSG.
Keine Auskunft aus § 34 BDSG für alle Personen
ggf. Bedingungen und Dokumentationspflichten aus den Paragraphen beachten!