<img height="1" width="1" src="https://www.facebook.com/tr?id=228279331375773&amp;ev=PageView &amp;noscript=1">
Newsletter

» EQS Industry Newsletter «

Subscribe to our newsletters to get a monthly update on industry related web articles straight to your inbox.
    Back to overview

    Auswirkungen der DSGVO auf Hinweisgebersysteme

    Die Europäischen Datenschutz-Grundverordnung (DSGVO) soll ab dem 25. Mai 2018 einheitliche Standards im Umgang mit persönlichen Daten schaffen. Wir verraten, welchen Einfluss die Regelungen auf Hinweisgebersysteme haben.

    t
    l
    X

    Mit der Europäischen Datenschutz-Grundverordnung (DSGVO) steht die Einführung eines einflussreichen Rahmenwerks im Bereich der Datensicherheit kurz bevor. In ganz Europa soll durch die Verordnung eine einheitliche Grundlage für nationale Datenschutzregelungen geschaffen werden. Die Verordnung wurde im April 2016 verabschiedet und tritt ab 25. Mai 2018 für alle Unternehmen, die persönliche Daten verarbeiten, verbindlich in Kraft. Dadurch wird die DSGVO auch Einfluss auf die Ausgestaltung von Hinweisgebersystemen nehmen.

    Zukünftig sind Compliance-Verantwortliche verpflichtet, persönliche Daten nach strikten Regeln zu verarbeiten, insbesondere wenn diese in Zusammenhang mit Hinweisgebersystemen stehen.

    Im modernen Arbeitsalltag wird überwiegend auf digitale Arbeitsabläufe gesetzt, bei denen große Mengen an Daten gesammelt werden. Um Missbrauch vorzubeugen, sind Compliance-Beauftragte gezwungen, darauf zu achten, dass persönliche Daten europäischer Bürger gemäß der gesetzlichen Vorgaben verarbeitet werden.

    Schutz europäischer Whistleblower

    Die DSGVO soll in Europa einheitliche Standards zum Schutz persönlicher Daten setzen.

    1. Strafen

    Der missbräuchliche Umgang mit persönlichen Daten ist einer der Hauptgründe, weshalb ab Mai striktere Regeln zur Verarbeitung dieser Daten eingeführt werden. In diesem Zuge werden auch gestaffelte Strafzahlungen für Verstöße gegen die DSGVO eingeführt. Schwerwiegende Verstöße können mit Strafzahlungen in Höhe von bis zu 4 % des Jahresumsatzes oder 20 Millionen Euro (je nach dem was höher ist) belegt werden. Hierzu zählt zum Beispiel, wenn Kunden der Verarbeitung ihrer Daten nicht ausreichend zugestimmt haben. Weniger umfangreiche Verletzungen, wie beispielsweise das fehlerhafte Melden von Datenschutzverstößen bei den jeweiligen Aufsichtsbehörden, fordern Strafen von bis zu 2 % des Jahresumsatzes (Artikel 28). Es ist wichtig anzumerken, dass diese Regeln sowohl für den Verantwortlichen als auch den Auftragsverarbeiter gelten – was auch bedeutet, dass Cloud-Systeme von der DSGVO nicht ausgeschlossen sind. Gerade Hinweisgebersysteme verarbeiten eine große Menge sensibler Daten, deren Schutz dringend sichergestellt werden muss.

    2. Recht auf Vergessenwerden

    Wenn im Rahmen der DSGVO das „Recht auf Vergessenwerden“ in Anspruch genommen wird, ist das datenverarbeitende Unternehmen dazu aufgefordert, persönliche Informationen über das Datensubjekt zu löschen, die weitere Verbreitung dieser Daten einzustellen, und potenziellen Dritten die Verarbeitung der Daten zu untersagen. Artikel 17 regelt hierbei die Voraussetzungen, die zu einer Löschung führen. So kann die Löschung der Daten erfolgen, wenn der ursprüngliche Zweck der Verarbeitung erlischt oder das Datensubjekt die Zustimmung zur Verarbeitung entzieht. Im Gegensatz zu Meldeverfahren über E-Mail oder Telefon, können digitale Hinweisgebersysteme diese Anforderungen relativ leicht und strukturiert erfüllen.

    3. Einwilligung

    Eine weitere Neuerung ist, dass der Verarbeitung von Daten zukünftig noch expliziter zugestimmt werden muss. Unternehmen ist es daher nicht mehr erlaubt, lange und unverständliche Geschäftsbedingungen voller Fachjargon zu verwenden. Es muss leicht und einfach verständlich sein, der Verarbeitung persönlicher Daten zuzustimmen. Genauso leicht muss es jedoch auch sein, diese Einwilligung wieder zu entziehen. In Hinblick auf die neue rechtliche Situation müssen nun auch Hinweisgebersysteme über ein solches Zustimmungsverfahren verfügen und gleichzeitig weitere nationale oder organisatorische Regularien beachten.


    Sie wollen die neuesten Infos zu Compliance-Themen direkt in Ihrem Feed lesen?

    Folgen Sie uns auf Twitter.


    4. Meldepflicht von Verstößen

    Um die Rechte und Freiheiten von Individuen besser zu schützen, wird es mit Einführung der DSGVO verpflichtend, Datenschutzverstöße innerhalb von 72 Stunden nach Feststellung zu melden. Datenverarbeiter sind außerdem dazu aufgefordert, ihre Kunden umgehend über den Verstoß zu informieren. Gerade der Umgang mit sensiblen Daten aus Whistleblowing-Meldungen setzt eine besondere Art der Transparenz voraus.

    5. Interne Strukturen – Eingebauter Datenschutz

    Die DSGVO ist eine Herausforderung für die Unternehmensstrukturen, die sich mit dem Schutz persönlicher Daten und der Konformität mit verschiedenen Datenschutzbestimmungen auseinandersetzen. Darunter fällt die Umsetzung angemessener technischer und organisatorischer Maßnahmen (vgl. Artikel 23) zur Erfüllung der Vorgaben, wie zum Beispiel der limitiere Zugang zu persönlichen Daten, die Regelung der Datenspeicherung, die Ernennung eines Datenschutzbeauftragten und die verschlüsselte Transaktion persönlicher Daten.

    Ein Hinweisgebersystem muss all diese Prinzipien von Privatsphäre und Sicherheit respektieren, um das Vertrauen potentieller Whistleblower zu gewinnen und ihnen Diskretion zuzusichern. Der Einsatz verschlüsselter Technologien, granulare Rechteverwaltungen oder Maßnahmen zur Anonymisierung des Hinweisgebers sind Grundvoraussetzungen eines DSGVO-konformen Hinweisgebersystems.

    whistleblowing-system

    Potentielle Whistleblower legen großen Wert darauf, dass ihre Daten vertraulich behandelt werden.

    Das Management von Whistleblowing-Fällen setzt eine geeignete Unternehmenskultur voraus, die die Absichten der Organisation hinterfragt und persönliche Daten und Whistleblowing-Berichte vertraulich und mit einem höchsten Maß an Sicherheit behandelt.

    Die Umsetzung der DSGVO mag vor allem für kleinere und mittlere Unternehmen nach sehr viel Arbeit aussehen. Doch besonders in Hinblick auf die Whistleblower-Thematik wird sich dieser Aufwand lohnen. Hinweisgeber fühlen sich sicherer, wenn sie wissen, dass ihre Daten nach strengen Vorgaben geschützt sind. Dadurch kann die DSGVO dazu beitragen, eine globale Hinweisgeberkultur zu fördern.


    Dieser Artikel erschien zuerst bei ETHIC Intelligence.

    t
    X
    Released:
    April 04, 2018
    |
    Updated:
    April 04, 2018