Die EU hat eine Whistleblower-Richtlinie erlassen, um Whistleblower besser zu schützen. Bis zum 17. Dezember 2021 hätte diese Richtlinie in nationales Recht umgesetzt werden müssen. Die Bundesregierung hat jedoch erst am 27. Juli 2022 den Entwurf des Hinweisgeberschutzgesetzes veröffentlicht. Wir haben diesen Entwurf im Hinblick auf seine Relevanz für die Informationssicherheit ausgewertet.
Das Gesetz schließt Informationen über kritische Infrastrukturen gemäß BSI-KritisV explizit vom Anwendungsbereich aus. Geschäftsgeheimnisse können jedoch in Hinweisen enthalten sein.
Whistleblower haben in Zukunft das Recht, sich an eine unternehmensinterne oder externe Meldestelle zu wenden. Unternehmen mit einer Größe von 50 Mitarbeitern oder mehr sind verpflichtet, eine solche Meldestelle einzurichten. Unternehmen mit bis zu 250 Mitarbeitern können jedoch eine gemeinsame Meldestelle mit anderen Unternehmen einrichten.
Für die Informationssicherheit ist besonders wichtig, dass Meldestellen die Vertraulichkeit über die Identität der Hinweisgeber wahren und nur zuständige Mitarbeiter Zugriff auf die Meldungen haben. Unternehmen müssen daher ein geeignetes Zugriffsmanagement in ihrer IT einführen, um sicherzustellen, dass das Management und die Personalabteilung keinen Zugriff auf entsprechende Daten haben.
Ein Verstoß gegen die Vertraulichkeit der Meldungen oder eine Repressalie gegen einen Whistleblower stellt eine Ordnungswidrigkeit dar und kann das Unternehmen bis zu 100.000 Euro kosten. Durch eine Beweislastumkehr wird vermutet, dass eine berufliche Schlechterstellung nach einem Hinweis kausal auf diesen zurückzuführen ist. Unternehmen können daher schadenersatzpflichtig werden, wenn sie gegen das Gesetz verstoßen.
Dem hier dargestellten Entwurf wurde jedoch am 10. Februar 2023 durch den Bundesrat nicht zugestimmt. Diese Entscheidung hat die Bundesregierung und den Bundestag veranlasst, den Vermittlungsausschuss anzurufen, um eine zustimmungsfähige Kompromisslösung zu erarbeiten.[1]
Aufgrund der damit immer noch fehlenden Umsetzung der Richtlinie sieht sich Deutschland nun mit sieben anderen Staaten von der Europäischen Kommission vor dem EuGH mit einem Vertragsverletzungsverfahren konfrontiert.
Bereits zuvor an einige Mitgliedstaaten gerichtete Stellungnahmen zur fehlenden Umsetzung und Aufforderungen zur Umsetzung wurden unter anderem von Deutschland nicht ausreichend beantwortet, was die Europäische Kommission nun zu dem Schritt der Klage veranlasst hat.[2]
[1] https://www.bundesrat.de/DE/plenum/bundesrat-kompakt/23/1030/02.html;jsessionid=93D5160C9A0D0B1D577F452DB7180A48.1_cid374?nn=19358428
[2] https://germany.representation.ec.europa.eu/news/aktuelle-vertragsverletzungsverfahren-klage-gegen-deutschland-wegen-mangelnden-schutzes-von-2023-02-15_de