#Whistleblower-Richtlinie kommt – und #DSGVO #Compliance Risiken steigen

In Deutschland kämpfen die meisten Unternehmen mit der Umsetzung der europäischen Datenschutz-Grundverordnung (DSGVO). Nur jede fünfte Firma hat die seit 25.05.2018 gültige EU-DSGVO vollständig umgesetzt und auch Prüfprozesse für ein risikobasiertes, angemessenes Datenschutz- und Datensicherheitsmanagement, wie es die DSGVO vorschreibt, eingerichtet.
37 Prozent haben die Verordnung laut einer Umfrage des Digitalbranchenverbandes Bitkom aber immerhin „größtenteils umgesetzt“, die bitkom am 29.09.2020 veröffentlicht hat.
Das ist bei den sehr unterschiedlichen Signalen, die die zuständigen Aufsichtsbehörden einerseits und der deutsche Gesetzgeber mit nationalen Gesetzes Änderungen, die gerade für KMU die Pflichten und Sanktionen stark absenken sollen, und den großen Herausforderungen, die sich in der Praxis für die Unternehmen im Bereich Kundendaten, Mitarbeiterdaten, Bewerberdaten stellen, kein Wunder. Einerseits gibt es je nach Art und Schwere sowie weltweiter Umsatz des betroffenen Unternehmens bzw. Unternehmensgruppe drakonische Bußgelder wegen Verstößen gegen die DSGVO. So hat zuletzt der Hamburger Datenschutzbeauftragte ein Bußgeld von 35.258.708 Euro gegenüber einer Verarbeitung von intimen privaten Mitarbeiterdaten ohne Rechtsgrundlage gegenüber H&M Hennes & Mauritz Online Shop A.B. & Co.KG mit Sitz in Hamburg verhängt. Dies war ein relativ schwerer Verstoß gegen die Grundsätze, Daten für festgelegte Zwecke nur mit einer legitimen Rechtsgrundlage zu verarbeiten (Art. 5 und Art. 6 DSGVO). Dazu und eine Übersicht über die offiziell bestätigten Bußgelder findet sich auf https://www.enforcementtracker.com/
Das Risiko für Bußgelder, Schadenersatzklagen und nicht zuletzt erhebliche Rufschäden betroffener Unternehmen steigt aus mehreren Gründen. Einer davon ist, dass die EU mit der Whistleblower Richtlinie vom 23.10.2019 – EU 2019/1937 den Staaten auferlegt hat, den Unternehmen ab 50 Mitarbeitern oder Unternehmen aus den Bereichen kritischer Infrastrukturen auch unabhängig von der Mitarbeiterzahl die gesetzliche Pflicht aufzuerlegen, ein System zur anonymen Meldung von Verstößen des Unternehmens gegen EU-Recht einzurichten. Denn dadurch steigt zusätzlich das Risiko, dass Datenschutzverstöße von Mitarbeitern gemeldet werden, wenn sie Nachteile bei der internen Meldung an ihren Arbeitgeber fürchten müssen.
Zwar gilt die Whistleblower-Richtlinie noch nicht unmittelbar, sondern verpflichtet derzeit noch den nationalen Gesetzgeber, diese in nationales Recht umzusetzen, aber sollte der deutsche Gesetzgeber dies nicht oder nicht EU-rechtskonform in der Umsetzungsfrist bis 17. Dezember 2021 (vgl. Artikel Abs. 1 der Richtlinie) zustande bringen, wird die Richtlinie in 2021 bereits unmittelbar geltendes Recht. Es gibt inzwischen auch Anbieter wie z.B. die iwhistle GmbH aus Friedrichsdorf am Taunus, die den Unternehmen die Einrichtung einer solchen anonymen Hinweisgeber-Systems zur Umsetzung der Richtlinie anbieten. Nach den Erfahrungen mit der Umsetzung der DSGVO sollten die Unternehmen hier nicht zu spät beginnen, die entsprechenden Prozesse anzupassen und sich auf die fristgerechte Einrichtung eines solchen Hinweisgebersystems – je früher desto besser – vorbereiten, um die Compliance-Risiken zu begrenzen. Repressalien und sonstige Nachteile gegen die Hinweisgeber sind dann verboten. Spätestens sobald ein Hinweisgeber anonym gemeldet hat, wird die Geschäftsleitung nachweislich über bestehende Verstöße in Kenntnis gesetzt und steigen damit die Risken, dass im Falle eines Untätigbleibens des Unternehmens der Vorstand persönlich für die Schäden haftet. Bei Vorsatz tritt auch die Directors & Officers Haftpflichtversicherung in der Regel nicht ein.

Neue Termine Datenschutz-Workshop: Sind Sie fit für die Datenschutzgrundverordnung (EU-DSGVO)?

Datenschutz-Workshop mit praktischen Tipps zur Umsetzung für KMU

Veranstaltungsort: D-61169 Friedberg (Hessen)

Ist Ihr Unternehmen und sind Ihre Mitarbeiter auf die ab 25.05.2018 gültige EU-Datenschutzgrundverordnung und die Begleitgesetze vorbereitet? Die Änderungen sind gravierend und machen die Umsetzung zur Chefsache in den Unternehmen. Aufsichtsbehörden der Länder haben teilweise bereits Fragebögen versendet, da sie anlaßunabhängig prüfen werden. Hervorzuheben sind dabei:

  • Rechenschaftspflicht und Einrichtung eines effektiven Datenschutzmanagementsystems
  • Organisation des Meldesystems bei Pannen und Informationsrechte der Betroffenen
  • Ausweitung der Betroffenenrechte einschließlich Vermögensschadenersatzansprüche mit Beweislastumkehr
  • drakonischen Erhöhung der Bußgelder nach Artikel 83 bei Verstößen in Höhe von bis 4 % des weltweiten Umsatzes im Unternehmensverbund oder 20 Mio. EURO
  • Haftung und Bußgelder nicht versicherbar

Laut aktueller Umfragen haben viele Unternehmen noch erhebliche Schwierigkeiten, die Vorgaben rechtzeitig richtig umzusetzen und bestehen noch viele Unsicherheiten. Wir wollen Ihnen helfen. Gerne machen wir auch inhouse-Workshops in Ihrem Unternehmen, sprechen Sie uns an.

Für eine praxistaugliche Anleitung und Tipps, wie ein effektives und rechtskonformes Datenschutzmanagement eingerichtet und fortlaufend effizient durchgeführt werden kann, referiert der langjährig erfahrene Datenschutzbeauftragte Peter Suhling aus Weinheim (suhling.biz). Er ist ISO 27001 Lead Auditor Managementsysteme, Datenschutzbeauftragter, KRITIS-Auditor.

>update 02.01.2018: Ferner vermittelt Thomas Novak, IT-Sicherheitsspezialist und Geschäftsführer der @one it GmbH (http://www.one-it.de) den Teilnehmern wichtiges aktuelles Sicherheits-Know-how zur Abwehr von Hacking-Angriffen auf Ihre Unternehmenssysteme in einer kurzen Präsentation mit dem Titel „Cyber Defense für Windows-Umgebungen im deutschen Mittelstand“.<

Für die rechtlichen Fragestellungen möchte ich aus anwaltlicher Sicht als Fachanwältin für IT-Recht aus meiner Praxis eine Einführung geben und berichten, was Unternehmer zu der Reform meines Erachtens wissen sollten. Anhand aktueller Beispiele will ich Sie bei der Umsetzung unterstützen. Anschließend bietet der Workshop in kleinem Teilnehmerkreis die Möglichkeit zu vertiefender Diskussion.

Termine:

Freitag, 02. Februar 2018, 15.00 Uhr bis ca. 17:30 Uhr (Anmeldung bis 19.01.2018) oder

Freitag, 16. März 2018, 15.00 bis ca. 17.30 Uhr (Anmeldung bis 02. März) abgesagt


Veranstaltungsort: Kanzlei Hagendorff, Am Straßbach 2 (Eingang Pfingstweide), 61169 Friedberg (Hessen)

Mindestteilnehmerzahl: 8 Teilnehmer

Teilnahmeentgelt 369 € zzgl. 19 % USt. je Teilnehmer, ab 2. Teilnehmer je Unternehmen 269 € zzgl.USt. inklusive Getränke

Zielgruppe: Datenschutzbeauftragte, Führungskräfte aus kleinen und mittelständischen Unternehmen, Betriebsräte, Selbständige

Veranstaltet von Stefanie Hagendorff – it-fachanwaeltin.de

P.S. Bitte nutzen Sie diese Unterlagen für die Anmeldung: Sind Sie fit für die EU-DSGVO(T2+3)2