Vor genau sechs Monaten, am 24.2.2023, wurde das HinweisgeberInnenschutzgesetz (HSchG) kundgemacht. Unternehmer und juristische Personen müssen die Verpflichtungen nun zeitlich gestaffelt umsetzen und dabei Hinweisgeberschutz und Datenschutz unter einen Hut bringen.
Was regelt das HSchG?
Aufgrund des HSchG, mit dem die EU-Whistleblowing-Richtlinie (Richtlinie 2019/1937) umgesetzt wurde, sind alle Unternehmer und juristischen Personen des öffentlichen Sektors 50 oder mehr Mitarbeitern verpflichtet, einen internen Meldekanal einzurichten. Über diesen Meldekanal können alle Personen unterschiedliche (mögliche) Rechtsverstöße melden. Ziel des Gesetzes ist es, die sogenannten Hinweisgeber bzw Whistleblower nicht aufgrund ihrer Meldung zu benachteiligen. Hierfür sind Vertraulichkeits- und Datenschutzbestimmungen einzuhalten. Bei einem Verstoß gegen das Gesetz drohen Geldstrafen.
Ab wann gilt das Gesetz für wen?
Unternehmer mit zwischen 50 und 249 Beschäftigten müssen die internen Hinweisgebersysteme bis 17. Dezember 2023 umsetzen, Unternehmer mit mindestens 250 Beschäftigten bis morgen, 25. August 2023.
Hinweisgeberschutz und Datenschutz – wie passt das zusammen?
Meldungen nach dem HSchG können mitunter sehr sensible Daten (zB über politische Meinungen) enthalten. Daher ist die Schnittstelle Hinweisgeberschutz und Datenschutz von zentraler Bedeutung. Hier einige wesentliche Punkte:
- Die Aufbewahrungsfrist beträgt fünft (statt der ursprünglich vorgesehenen 30) Jahre. Darüber hinaus sind Daten so lange aufzubewahren, wie dies für die Durchführung verwaltungsbehördlicher und gerichtlicher Verfahren notwendig ist.
- Um die Identität der Hinweisgeber und allfällige weitere Ermittlungen nicht zu gefährden, können die Betroffenenrechte eingeschränkt werden.
- Unternehmer, die ein Hinweisgeberschutzsystem (etwa innerhalb eines Konzerns) gemeinsam betreiben, sind gemeinsame Verantwortliche.
- Hinweisgeber, die personenbezogene Daten einmelden, von denen sie wissen, dass sie über das zur Weiterverfolgung des Hinweises Erforderliche hinausgehen, gelten diesbzgl als datenschutzrechtlich Verantwortliche. (Beispiel: Ein Hinweisgeber meldet ein, dass Geschäftsführer X Waffendeals mit Russlandbezug abwickelt und im Übrigen auch gerade von seiner Freundin Y verlassen wurde. Zweiteres ist für die Weiterverfolgung des Rechtsverstoßes nicht von Relevanz.)
- Zur Löschung verpflichtet ist aber immer derjenige, der das Whistleblowing-System betreibt, also der Unternehmer bzw die juristische Person. Dieser muss das Hinweisgebersystem so einrichten lassen, dass eine gezielte und selektive Löschung personenbezogener Daten möglich ist.
Wie können wir Sie dabei unterstützen?
Die anwender- und datenschutzkonforme Einrichtung eines Hinweisgeberschutzsystems kann einen hohen Zeit- und Kostenaufwand bedeuten. Sofern Sie sich durch einen Rechtsanwalt beraten lassen wollen, können Sie sich gerne mit uns in Verbindung setzen. Wir beraten Sie nicht nur aus Datenschutz- und Compliance-Sicht, sondern arbeiten als Rechtsanwälte auch mit einem erfahrenen Software-Anbieter zusammen. Sie können die Einrichtung, Koordination und Wartung Ihres Hinweisgeberschutzsystems also gerne an uns auslagern. Melden Sie sich gerne bei unserer Kanzlei. Weitere Informationen finden Sie auf unserer Homepage sowie office@geuer.at oder telefonisch unter +43-1-4380072. Wir freuen uns auf Ihre Anfrage.
Comments are closed!