Kurzübersicht
Die Richtlinie 2019/1937 ist jetzt voll in Kraft. Hier ist das, was Ihre Organisation haben muss – sichere Meldekanäle, Protokollierung, Anti-Rettungsschutz und ein Antwortverfahren, das unter Aufsicht hält.
- Was der Einhaltung-Workflow beweisen muss.
- Welche Kontrollen und Beweise Käufer sollten überprüfen.
- Wie HubSecure passt, ohne Rechtsberatung zu ersetzen.
EU-Whistleblowing-Richtlinie: Ein Einhaltung-Leitfaden für regulierte Unternehmen: Alles geregelte Unternehmen müssen über die EU Whistleblowing Richtlinie wissen (2019/1937): wer muss einhalten, sichere Meldekanäle,..
HubSecure ist relevant, wenn Teams sichere Client-Aufzeichnungen, Dokumentensammlung, Workflow-Besitz, rollenbasierter Zugriff und audit-ready-Anweisungen in einem geregelten Workspace benötigen.
Die EU- Whistleblowing-Richtlinie (Richtlinie 2019/1937/EU) verpflichtet jede Organisation mit 50 oder mehr Mitarbeitern, einen vertraulichen internen Meldekanal zu betreiben. Kleinere regulierte Unternehmen – insbesondere in den Bereichen Finanzdienstleistungen, Gesundheitswesen und Recht – stehen unabhängig von der Leistungsbilanz derselben Verpflichtung gegenüber. Die nationalen Umsetzungsfristen sind nun in allen EU-Mitgliedstaaten vergangen. Wenn Sie noch nicht konform sind, sind Sie bereits gefährdet.
Dieser Leitfaden umfasst die Kernanforderungen der Richtlinie, die gemeinsamen Durchführungsfehler und eine praktische 12-stufige Einhaltung-Checkliste.
Verwandte HubSecure Kaufpfad
Einhaltung CRM-Leitfaden Einhaltung CRM für wachsende Unternehmen CRM-Modul HubSpot-Vergleich Einhaltung CRM-Leitfaden Bibliothek buchen eine Workflow-Demo
Zugehörige Ressourcen zu Sicherheit, Datenschutz und Governance
Weiter mit HubSecure Sicherheits- und Trustcenter, Datenverarbeitungsvereinbarung, Unterauftragsverarbeiter, Einhaltung-Workflows, geregelter KI-Betreiber.
Verwandter Anwendungsfall
Dieser Leitfaden gehört zum Cluster Workspace Alternatives and Tool Consolidation Guides. Fahren Sie mit dem Produkt-Hub für Arbeitsplatzalternativen und Werkzeugkonsolidierung fort.
Geltungsbereich: Wer muss die Vorschriften einhalten?
Die Richtlinie hat einen weiten Anwendungsbereich. Es gelten verbindliche interne Meldewege für:
Privatwirtschaftliche Organisationen
- Über 50 Mitarbeiter – vollständige Verpflichtungen, einschließlich schriftlicher Verfahren, Reaktionsfristen und Aufbewahrung von Aufzeichnungen
- 10–49 Mitarbeiter – können Kanäle nach nationalem Recht mit anderen KMU teilen, es gelten jedoch grundlegende Schutzmaßnahmen
- Unter 50 Mitarbeiter in regulierten Sektoren (AML, Finanzdienstleistungen, Luftfahrt, Nukleartechnik) – volle Verpflichtungen unabhängig von der Größe
- Alle juristischen Personen im Finanzdienstleistungsbereich, die den in Teil II des Anhangs aufgeführten Gesetzen unterliegen
Für die meisten Anwaltskanzleien, Fintechs, Buchhaltungsfirmen und Gesundheitsorganisationen bedeutet die Ausgliederung des „regulierten Sektors“, dass die Mitarbeiterschwelle irrelevant ist – Sie sind vom ersten Tag an im Geltungsbereich.
Die sieben Kernanforderungen
Sicherer, vertraulicher Meldekanal
Der Kanal muss eine Berichterstattung in schriftlicher Form (elektronisch oder in Papierform) und auf Wunsch auch mündlich ermöglichen. Die Kanäle müssen die Identität des Reporters und aller erwähnten Dritten schützen. Telefonleitungen dürfen nicht aufzeichenbar sein, es sei denn, der Reporter stimmt zu; Aufgezeichnete Anrufe müssen transkribiert und zur Überprüfung zur Verfügung gestellt werden.
Ausgewiesener, unparteiischer Betreuer
Es muss eine unparteiische Person oder Abteilung benannt werden, die den Reporter empfängt, weiterverfolgt und mit ihm kommuniziert. Der Verantwortliche kann ein interner (z. B. Einhaltung-Beauftragter, Leiter der Rechtsabteilung) oder ein externer Dritter sein – er muss jedoch von der operativen Leitung unabhängig sein.
Bestätigung innerhalb von 7 Tagen
Reporter müssen innerhalb von 7 Kalendertagen eine schriftliche Bestätigung erhalten. Das ist eine harte Frist. Die meisten Organisationen scheitern hier einfach daran, dass ihnen ein Workflow fehlt, um die Bestätigung automatisch auszulösen.
Sorgfältige Nachverfolgung und Rückmeldung innerhalb von 3 Monaten
Es muss eine sorgfältige Nachverfolgung erfolgen und innerhalb von drei Monaten nach der Bestätigung muss eine Rückmeldung darüber erfolgen, welche Maßnahmen ergriffen wurden (oder warum keine ergriffen wurden). Das Feedback muss so detailliert sein, wie es die Vertraulichkeit zulässt.
Klare Informationen auf externen Kanälen
Reporter müssen über externe Meldekanäle informiert werden – zuständige nationale Behörden, EU-Institutionen und in geeigneten Fällen über die Offenlegung. Die Bereitstellung dieser Informationen stellt keinen Verzicht auf interne Berichterstattung dar; es handelt sich um eine richtungsweisende Anforderung.
Schutz vor Vergeltungsmaßnahmen
Jede Form von Vergeltung gegen einen Reporter – Entlassung, Degradierung, Belästigung, negative Leistungsbeurteilung, Disziplinarmaßnahmen – ist verboten und muss rückgängig gemacht werden. Die Beweislast liegt beim Arbeitgeber: Sie müssen nachweisen, dass etwaige nachteilige Maßnahmen nicht mit der Meldung in Zusammenhang stehen.
Aufbewahrung der Aufzeichnungen für 5 Jahre
Alle Berichte, Folgemaßnahmen und Mitteilungen müssen mindestens 5 Jahre lang aufbewahrt werden. Aufzeichnungen müssen sicher gespeichert, zugriffskontrolliert und für Prüfungen verfügbar sein. Sie dürfen nicht länger als nötig aufbewahrt werden – es muss ein Gleichgewicht zwischen Mindestaufbewahrung und Datenminimierung gemäß DSGVO gefunden werden.
Der Schnittpunkt der DSGVO
Das Betreiben eines Whistleblowing-Kanals bedeutet die Verarbeitung personenbezogener Daten – oft sensibler Daten über vermutetes Fehlverhalten. Dadurch entsteht ein direkter Konflikt zwischen Ihrer Pflicht zur gründlichen Untersuchung und Ihrer Pflicht, die Verarbeitung personenbezogener Daten auf ein Minimum zu beschränken.
Wichtige DSGVO-Verpflichtungen für Whistleblowing-Kanäle
- Rechtsgrundlage: Artikel 6 Absatz 1 Buchstabe c – rechtliche Verpflichtung – deckt sowohl die obligatorische Einrichtung als auch den Betrieb des Kanals ab
- Daten besonderer Kategorie: Wenn es sich bei den Meldungen um kriminelle Vorwürfe, Gesundheits- oder Gewerkschaftsaktivitäten handelt, gilt Artikel 9 Absatz 2 Buchstabe b oder g
- Rechte der betroffenen Person: Verdächtige (gemeldete Personen) haben begrenzte – nicht gar keine – Rechte. Sie können die Offenlegung von Informationen verzögern, wenn dies die Untersuchung gefährden würde
- Aufbewahrung: gemäß Richtlinie mindestens 5 Jahre; Die DSGVO verlangt, dass Sie Ihre Daten nicht länger als nötig aufbewahren. Dokumentieren Sie Ihre Aufbewahrungsgründe explizit
- DPA-Benachrichtigung: Mehrere nationale DPAs (darunter die niederländische AP und die französische CNIL) haben spezifische Leitlinien herausgegeben, die eine DPIA für Whistleblower-Systeme erfordern
Strafen bei Nichteinhaltung
| Verstoß | Strafanzeige | Wer setzt durch |
|---|---|---|
| Fehler beim Einrichten eines Kanals | Nationales Recht – typischerweise 10.000–1 Mio. US-Dollar und mehr | Nationale zuständige Behörde |
| Vergeltung gegen einen Reporter | Zivilrechtliche Haftung, Wiedereinstellung, Schadensersatz | Arbeitsgerichte + zuständige Behörde |
| Verletzung der Vertraulichkeit | Strafrechtliche Verantwortlichkeit in einigen Mitgliedstaaten | Staatsanwaltschaft |
| Verhinderung einer Meldung (Behinderung) | Straf-/verwaltungsrechtliche Bußgelder | Zuständige Behörde |
| DSGVO-Verstoß (Kanalmissbrauch) | Bis zu 20 Millionen US-Dollar / 4 % weltweiter Umsatz | Datenschutzbehörde |
Häufige Implementierungsfehler
1. E-Mail als Berichtskanal verwenden. E-Mail garantiert keine Vertraulichkeit, erstellt gemischte Retentionsprobleme und kann keine Zugangskontrollen durchsetzen. Die meisten nationalen DPAs haben generische E-Mail-Postfächer als nicht-konform markiert.
2. Nennen nur den CEO oder HR-Direktor als Henker. Reporter werden keinen Kanal verwenden, wenn sie glauben, dass er zurück zu Management. Der Handler muss wirklich unparteiisch sein – idealerweise der Einhaltung Officer oder ein externer Anbieter.
3. Keine schriftliche Politik, die dem Personal veröffentlicht wird. Mitarbeiter müssen über die Existenz des Kanals informiert werden, wie es zu verwenden ist, und die Schutzmaßnahmen, die ihnen zur Verfügung stehen. Eine Politik, die im Mitarbeiterhandbuch vergraben ist, erfüllt dies nicht. Es muss aktiv kommuniziert werden.
4. Fehlen der 7-tägigen Anerkennung. Diese Frist wird oft versäumt, da kein automatisierter Workflow eine Bestätigung auslöst. Eine einzige versäumte Frist ist ein nachweisbarer Richtlinienbruch.
5. Failing zu dokumentieren "keine Aktion" Ergebnisse. Wird ein Bericht als unbegründet beurteilt und keine Maßnahmen ergriffen, so muss dies mit Begründung dokumentiert werden. Ein leerer Rekord impliziert, dass der Bericht ignoriert wurde.
Anonyme Meldung: Muss man das akzeptieren?
Die Richtlinie verlangt nicht, dass Organisationen anonyme Berichte akzeptieren. Das nationale Recht ist jedoch unterschiedlich:
- Frankreich: Die Sapin II Tradition bedeutet, dass anonyme Berichte akzeptiert und behandelt werden müssen
- Deutschland (HinSchG): Anonyme Kanäle empfohlen, aber nicht zwingend
- Niederlande: Anonyme Berichte sollten "soweit wie möglich" behandelt werden
- Irland, UK (post-Brexit PIDA): Anonyme Offenlegungen akzeptiert, aber reduzierte Schutzmaßnahmen
Best Practice ist es, anonyme Berichte zu akzeptieren, sie mit der gleichen Nachfolge-Diligence zu behandeln und zu dokumentieren, dass der Reporter gewählt, anonym zu bleiben. Wenn ein Bericht ohne weitere Informationen nicht sinnvoll untersucht werden kann, dokumentieren Sie warum.
12-stufige Einhaltung-Checkliste
Checkliste für die Umsetzung
Eingebautes Whistleblowing Modul
HubSecure umfasst einen DS-GVO-konformen Whistleblowing-Kanal mit verschlüsselten Einreichungen, automatisierte 7-Tage-Erkennung, 3-Monats-Tracking und 5-Jahres-Audit-ready Retention – kein Bolzen-on-Tool erforderlich.