current language
Schweiz verfügbar in folgenden Sprachen:
oder wählen Sie Ihr TÜV Rheinland Land / Ihre Region aus:
Land und Sprache

EU-Whistleblowerrichtlinie

Hinweisgebersystem gemäß EU-Whistleblowerrichtlinie

Hinweisgebersystem - Optimal vorbereitet sein auf die EU-Whistleblower Richtlinie

Seit dem 17.12.2020 gilt die sog. „Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ (EU-Whistleblower-Richtlinie).

Ziel der EU-Richtlinie ist die Schaffung von Mindeststandards für den Schutz von hinweisgebenden Personen sowie die Förderung von Hinweisen zur Aufdeckung von Rechtsverstößen und Non-Compliance in Unternehmen.

Hierzu wird die Einrichtung sog. „Hinweisgebersysteme“ zur gesetzlichen Pflicht.

Das bedeutet konkret: Ab sofort sind Unternehmen gesetzlich verpflichtet eine interne Meldestelle einzurichten.

Was ist Inhalt der EU-Whistleblower-Richtlinie?
Sie trifft Vorkehrungen zum Schutz von hinweisgebenden Personen und verpflichtet Organisationen des privaten und öffentlichen Sektors zur Einrichtung und Bereitstellung geeigneter, interner Meldekanäle.

Warum wurde die Richtlinie geschaffen?
Die Garantie eines EU weiten, einheitlichen Standards zum Schutz von Hinweisgebenden, soll deren Meldebereitschaft zu Verstößen in Unternehmen fördern und zur (frühzeitigen) Aufklärung von Missständen (Non-Compliance) führen.

Wie ist die Richtlinie anzuwenden?
Organisationen sind zur Konzeption und Betrieb einer internen Meldestelle (technisch, organisatorisch, personell) sowie der Entwicklung von Prozessen zu Meldungen und Folgemaßnahmen (Richtlinien für Mitarbeitenden, Templates für Hinweise, Löschverfahren) verpflichtet. Insbesondere sind Vorkehrungen zur Wahrung der Vertraulichkeit und des Datenschutzes zu treffen.

Wer ist zur Umsetzung der Richtlinie verpflichtet?
Alle Unternehmen mit mindestens 50 Angestellten sowie juristische Personen des öffentlichen Sektors sind zur Umsetzung der Vorgaben der EU-Richtlinie verpflichtet. Eine Empfehlung gilt darüber hinaus für alle Unternehmen, unbeachtlich der konkreten Zahl an Mitarbeitenden.

Wann muss die Richtlinie umgesetzt werden?
Alle Anforderungen sind seit Inkrafttreten der EU-Richtlinie am 17.12.2021 umzusetzen. Je nach Ausprägung der kommenden nationalen Umsetzung in deutsches Recht, findet ggf. eine Befreiung für Unternehmen mit 50- 249 Angestellten bis 16.12.2023 Anwendung.

Machen Sie jetzt den Readiness-Check zum Start der EU-Whistleblower Richtlinie

  • Ist mein Unternehmen von der EU-Richtlinie / kommender nat. Umsetzung betroffen?
  • Besteht ein geeigneter, richtlinienkonformer Meldekanal?
  • Ist eine Meldestelle entsprechend der Vorgaben eingerichtet (z.B. unter Ausschluss eines Interessenskonfliktes der Bearbeitenden / mit ausreichenden Ressourcen)?
  • Sind Melde-/ Bearbeitungsprozess vorhanden und dokumentiert?
  • Ist die Meldestelle mit befähigtem und geschulten Personal besetzt?
  • Ist das System „sicher“ (z.B. Anonymität, Vertraulichkeit, Datenschutz)?
  • Wurde ein Awarenessprogramm für alle Beschäftigten durchgeführt?
  • Sind Prozesse für Folgemaßnahmen und Dokumentationen im Zuge der „Beweislastumkehr“ oder „Internal Investigations“ festgelegt?

Unsere Hinweisgebersystem für Sie

Unser Hinweisgebersystem basiert auf einer SaaS-Lösung. Diese fungiert als Meldekanal und gewährleistet eine systematische Bearbeitung von eingehenden Hinweisen. Sie stellt die Kerninhalte der EU-Richtlinie sicher, ist individuell anpassbar und bietet alle Funktionen zur intuitive und vertraulichen Kommunikation mit Hinweisgebern.

Auf Wunsch wird die Plattform in Ihrem Corporate Design oder mit unserem TÜV Rheinland Branding bereitgestellt. Der Meldekanal ist schnell und sicher über den Internetbrowser zu erreichen. Je nach Bedarfslage, werden zusätzliche Meldekanäle (z.B. Telefonhotline, persönliche Treffen) ergänzt.

In drei Schritten zur Operationalisierung der EU-Whistleblower Richtlinie

Unsere Services für die konforme und bedarfsgerechte Umsetzung der EU-Whistleblower Richtlinie besteht aus drei aufeinander abgestimmten Modulen.

Implementierung
Betrieb
Ombudsservice

Zu Beginn wird die konkrete Bedarfslage sowie bereits bestehende Umsetzungen analysiert und bewertet.

Hierauf aufbauend findet eine bedarfsgerechte Implementierung und Inbetriebnahme des Meldekanals statt. Neben der Konfiguration des Hinweisgebersystems, wird auch die entsprechende Prozessdokumentation, das Rollen und Berechtigungskonzept sowie eine zielgerichtet Awarenesskampagne entwickelt.

Modul 1 endet mit der technischen Anbindung und Go-Live des Hinweisgebersystems.

Im Betrieb stellen wir für Sie den Meldekanal als SaaS (auf Wunsch im vertrauensvollen TÜV Rheinland Branding) zur Verfügung.

Die Bereitstellung umfasst dabei u.a. Umsetzung/ Implementierung von neuen (gesetzlichen) Anforderungen, Anpassung der Hinweis- und Rechtstexte, Konfiguration neuer Prozesse/ Workflows sowie regelmäßige Refresher für Schulungs- /Awarenessmaßnahmen.

Erhalten Sie zudem dauerhaft die wichtigsten News zu gesetzlichen Änderungen sowie Benachrichtigungen bei akutem Handlungsbedarf.

Der Ombudsservice entlastet ihre internen Ressourcen, ist unparteiisch, diskret und frei von Interessenskonflikten.

Es wird eine erfahrene und zuverlässige Ombudsperson eingesetzt. Diese übernimmt das Case-Management und stellt die Anforderungen der EU-Richtlinie zum Hinweisgeberschutz sicher.

Dabei wird die Bearbeitung aller eingehenden Meldungen (Entgegennahme, Sichtung und Plausibilitätsprüfung), eine schnelle Einschätzung bestehender Risiken und abzuleitenden (ad hoc) Handlungsempfehlungen übernommen.

Neben der vertraulichen, fachlichen Bearbeitung, sorgt die Ombudsperson auch für den Aufbau eines Vertrauensverhältnisses zum Hinweisgeber sowie dessen Schutz der Identität.

Ihre spezifischen Unternehmens- und Compliance-Richtlinien werden in die Bearbeitung und Auswertung von Hinweisen einbezogen sowie Erkenntnisse und Handlungsempfehlungen in ein abgestimmtes Berichtswesen überführt.

Mit unseren Expertinnen und Experten setzen Sie regelkonform und zuverlässig die Anforderungen der EU-Richtlinie zum Hinweisgeberschutz um und sind optimal auf die nationale Umsetzung vorbereitet.

Wir verfügen aufgrund langjähriger Erfahrungen über eine hohe Expertise im Bereich Compliance, Informationssicherheit und Datenschutz. Dadurch sind wir in der Lage, Sie optimal im Rahmen der Umsetzung der EU-Richtlinie zu unterstützen.

Kontaktieren Sie uns und erfahren Sie mehr über unsere Services zur konformen und optimalen Umsetzung der EU-Richtlinie zum Hinweisgeberschutz: Implementierung, Betrieb & Ombudsservice

Alle anzeigen Ausblenden

Was ist der Unterschied zwischen externer und interner Meldestelle?

Die interne Meldestelle wird durch die eigene Organisation betrieben oder aber zumindest verantwortet. Eingehende Meldungen werden initial ausschließlich durch die eigenen Mitarbeitenden oder die ggf. eingesetzten externen Dienstleister gesichtet und verbleiben in der eigenen Organisation.

Externe Meldestellen werden durch den Bund und die Länder betrieben. Diese sollen „unabhängige und autonome externe Meldekanäle für die Entgegennahme und Bearbeitung von Informationen über Verstöße einrichten.“ Eine Meldung an eine externe Meldestelle verlässt somit ihre Organisation und wird ggf. direkt an u.a. staatliche Aufsichts- oder Ermittlungsbehörden übergeben.

Im Sinne der Organisation sollte die interne Meldestelle so geschaffen und kommuniziert werden, dass diese stets die erste Anlaufstelle für den jeweiligen Hinweisgebenden darstellt.

Kann eine interne Meldestelle auch durch einen externen Dienstleister bereitgestellt werden?

Eine interne Meldestelle bzw. Hinweisgebersystem kann durch einen externen Dienstleister bereitgestellt und betrieben werden. Trotz der Verlagerung der Meldestelle auf einen externen Dienstleister, bleibt diese und wird diese auch betrieben wie eine interne Meldestelle. Die EU Whistleblowing-Richtlinie sieht den Einsatz von externen Dritten explizit vor (Art. 8 Abs. 5 Whistleblowing-RL).

Der Betrieb der internen Meldestelle bzw. Hinweisgebersystem durch einen hierfür spezialisierten Dienstleister entlastet die Organisation und stellt eine effektive und gesetzeskonforme Umsetzung sichern.

Welche möglichen Strafen und Bußgelder kommen auf die Unternehmen zu?

Die Nicht-Einrichtung und das Nicht-Betreiben eines internen Meldesystems kann zu einer Geldbuße von bis zu 20.000 € führen.

Bei Verhinderung von Meldungen oder der Ausübung von Repressalien gegen Hinweisgebende können Bußgelder bis 100.000 € verhängt werden.

Sollte man den Verantwortlichen für Datenschutz in die Konzeption und Implementierung des Hinweisgebersystems einbeziehen?

Der Datenschutzbeauftragte sollte von Beginn an in die Konzeption eines Hinweisgebersystems eingebunden werden. Die enthaltene interne Meldestelle stellt ein Verfahren im Sinne des Datenschutzes dar und unterliegt den Bedienungen der EU-DSGVO. Aufgrund der zu erwartenden hoch sensiblen Meldungen (personenbezogene Daten) sollte der Datenschutz einen hohen Stellenwert im Bereich des Hinweisgeberschutzes einnehmen.

Sollte die Möglichkeit einer anonymen Meldung gegeben sein?

Nach dem aktuellen Entwurf der nationalen deutschen Umsetzung der EU Whistleblowing-Richtlinie sind Unternehmen nicht verpflichtet einen Meldeweg zur anonymen Meldung bereitzustellen.

Es wird jedoch dringend empfohlen einen solchen anonymen Meldeweg bereitzustellen. Die Hemmschwelle zur Abgabe von Hinweisen sollte möglichst gering sein. Nicht getätigte Hinweise können zu einer Schädigung des Unternehmens statt der Möglichkeit zur internen Aufklärung führen. Meldungen können in diesem Fall auch ggf. direkt an externe (staatliche) Meldestelle getätigte werden, Informationen verlassen so das eigene Unternehmen und grenzen den Handlungsspielraum zur Aufklärung und Bearbeitung ein.

Wie lange dürfen Hinweise gespeichert werden?

Meldungen sollen „nicht länger aufbewahrt werden als dies erforderlich und verhältnismäßig ist [...]“ Die Aufbewahrungs- und Informationspflichten im Zusammenhang mit Hinweisen sind eng mit Vorgaben der EU-Datenschutzgrundverordnung verknüpft. Wie auch für viele anderen Verarbeitungen, muss das Verfahren der „internen Meldestelle“ datenschutzrechtlich bewertet und entsprechende Löschkonzepte abgeleitet werden.

Wann kommt die nationale Umsetzung der EU-Richtlinie?

Im April 2022 hat das Justizministerium einen neuen Entwurf für das „Gesetz für einen besseren Schutz hinweisgebender Personen“ vorgestellt. Derzeit wird in diversen Gremien und Verbänden Feedback eingeholt und gesichtet. Dies stellt einen der finalen Schritte dar. Voraussichtlich wird das neue Gesetz noch dieses Jahr durch das Kabinett beschlossen.

Gilt die EU Whistleblower-Richtlinie auch in Bezug auf Verstöße gegen nationales bzw. deutsches Recht?

Im aktuellen Entwurf des Justizministerium aus dem April 2022 ist eine Ausweitung des Anwendungsbereich des Gesetzes auf nationales Recht vorgesehen (überschießende Umsetzung).

Kontakt

Fordern Sie ein Angebot an!

Fordern Sie ein Angebot an!

Nehmen Sie Kontakt zu uns auf!

Das könnte Sie auch interessieren

Externer Datenschutzbeauftragter (eDSB)

Externer Datenschutzbeauftragter (externer DSB) nach EU-DSGVO | TÜV Rheinland

Unsere Datenschutzbeauftragten unterstützen Sie beim Schutz Ihrer Daten gemäß neuer EU-DSGVO.

mehr

Zuletzt besuchte Dienstleistungsseiten