Gesetze

In dieser Rubrik lesen Sie alle Blog-Beiträge zum Thema Gesetze. Sei es die DSGVO, das LkSG oder das TTDSG.

Beiträge

Neues Jahr, neue Regierung, neue Gesetze

Compliance-Management: das ändert sich 2022

Von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Mit der neuen Regierung entscheidet erstmals auf Bundesebene die Ampel-Koalition aus Grünen, FDP und SPD. Mit dem verabschiedeten Koalitionsvertrag ergeben sich auch einige Änderungen im Compliance-Umfeld für das aktuelle Jahr 2022. Das betrifft unter anderem das Hinweisgeberschutzgesetz sowie das Lieferkettengesetz. Welche Anforderungen aus den Gesetzen auf Sie zukommen, lesen Sie in diesem Blog-Beitrag:

Compliance in Unternehmen / allgemeines Unternehmensrecht

„Wir schützen ehrliche Unternehmen vor rechtsuntreuen Mitbewerberinnen und Mitbewerbern. Wir überarbeiten die Vorschriften der Unternehmenssanktionen einschließlich der Sanktionshöhe, um die Rechtssicherheit von Unternehmen im Hinblick auf Compliance-Pflichten zu verbessern und für interne Untersuchungen einen präzisen Rechtsrahmen zu schaffen.”, steht im Koalitionsvertrag.

Auch wenn das Verbandssanktionsgesetz, das in 2021 im Entwurf veröffentlicht wurde, hier nicht mehr explizit genannt wird, wird das Thema Compliance generell weiter in den Fokus geraten. Auch für Unternehmen, die bisher nicht in stark regulierten Branchen unterwegs sind. Grundsätzlich ist also die Auseinandersetzung mit Compliance und die Etablierung von entsprechenden Prozessen auf jeden Fall sinnvoll und wichtig für die Zukunftssicherheit von Unternehmen jeglicher Branche und Größe.  

Hinweisgeberschutzgesetz (HinSchG)

Bild einer Trillerpfeife

„Wir setzen die EU-Whistleblower-Richtlinie rechtssicher und praktikabel um“, schreibt die Regierung im Koalitionsvertrag. Das Hinweisgeberschutzgesetz soll den Hinweisgebern mehr Rechtssicherheit bei Missstandsmeldungen bringen. Hinweisgeber können aus Unternehmenssicht die eigenen Mitarbeiter sein, Lieferanten, Partner oder Dienstleister, die während ihrer beruflichen Tätigkeit Verstöße gegen das geltende Recht festgestellt haben. Das Gesetz sieht vor, dass alle Unternehmen ab 50 Mitarbeitern ein Hinweisgebersystem mit interner Meldestelle einführen müssen. Für Unternehmen mit bis zu 249 Mitarbeitern gilt eine Übergangsfrist bis zum 17. Dezember 2023. Eine interne Meldestelle hat für Unternehmen einen großen Vorteil: Sie haben die Möglichkeit Missstände zu beseitigen, bevor die Öffentlichkeit und die Presse davon erfahren. So können sie einem möglichen Imageschaden vorbeugen. Welche Anforderungen das Hinweisgebersystem erfüllen muss und wieso eine digitale Lösung sinnvoll ist, lesen Sie in unserem Blog-Beitrag „Hinweisgeberschutzgesetz“.

Lieferkettengesetz (LkSG)

Sinnbild für das Lieferkettengesetz„Wir unterstützen ein wirksames EU-Lieferkettengesetz, basierend auf den UN-Leitprinzipien Wirtschaft und Menschenrechte, das kleinere und mittlere Unternehmen nicht überfordert. […]“, so steht es im Koalitionsvertrag. Am 11. Juni 2021 hat der Deutsche Bundestag das Lieferkettengesetz in Deutschland verabschiedet. Mit diesem Gesetz wird erstmals die unternehmerische Verantwortung für die Einhaltung von Menschenrechten in den Lieferketten geregelt. Offiziell heißt es „Gesetz über die unternehmerischen Sorgfaltspflichten zur Vermeidung von Menschenrechtsverletzungen in Lieferketten (Lieferkettensorgfaltspflichtengesetz – LkSG)“ oder eben kurz: Lieferkettengesetz. Es sieht vor, dass Unternehmen ab 1.000 Mitarbeitern nachweisen müssen, dass ihre Lieferkette sicher ist. Dazu haben Unternehmen mit über 3.000 Beschäftigten bis Januar 2023 Zeit. Bei Unternehmen mit mehr als 1.000 Mitarbeitenden verschiebt sich die Frist um ein Jahr nach hinten auf Januar 2024. Was es für konkrete Anforderungen vorsieht und welche Sanktionen bei Non-Compliance drohen, lesen Sie in unserem Blog-Beitrag „Das Lieferkettengesetz kommt“.

Fazit

2022 wird ein spannendes Jahr für das Compliance-Umfeld. Es ergeben sich einige Änderungen und die Anforderungen aus den neu in Kraft tretenden Gesetzen erhöhen sich. Um allen Anforderungen gerecht zu werden ist es ratsam sich frühzeitig mit der Umsetzung auseinanderzusetzen, auch wenn Sie beispielsweise das HinSchG erst bis 2023 umsetzen müssen. Um den Überblick im Gesetzesdschungel zu behalten, bietet sich eine Compliance-Management-Software an, die beim Dokumentieren unterstützt. So können alle Compliance-Themenfelder unter einem Software-Dach zusammengehalten werden und greifen auf dieselbe Datenbasis zu. Das erleichtert das konsistente Arbeiten und das monitoren aller Maßnahmen bis hin zur Report-Erstellung auf Knopfdruck. Übrigens: Wir bieten mit unserem GRC-COCKPIT eine Software an, die genau das kann. Wenn Sie interessiert sind, vereinbaren Sie gerne online einen Termin bei uns und wir erörtern, wie Sie das GRC-COCKPIT mit Ihren individuellen Bedürfnissen nutzen können.

Über den Autor

Foto Ingo SimonIngo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: 040 80 90 81 446

Das Lieferkettengesetz kommt:

Das müssen deutsche Unternehmen jetzt umsetzen

Der Handel erstreckt sich durch die Globalisierung und Digitalisierung über die ganze Welt. Produkte legen teilweise mehrere Tausend Kilometer zurück, bevor sie in deutschen Geschäften liegen. Entlang dieser Lieferkette gibt es viele Stationen und viele Personen, die am Prozess beteiligt sind. Einige dieser Menschen leiden unter schlechten Arbeitsbedingungen, darunter auch Kinder. Deshalb haben die Vereinte Nationen und die OECD Vorschläge gemacht, welche Sorgfaltspflichten Unternehmen bei ihren globalen Lieferketten erfüllen sollten. Am 11. Juni 2021 hat der Deutsche Bundestag dann das Lieferkettengesetz in Deutschland verabschiedet. Mit diesem Gesetz wird erstmals die unternehmerische Verantwortung für die Einhaltung von Menschenrechten in den Lieferketten geregelt.

Für wen gilt das deutsche Lieferkettengesetz?

Das Gesetz heißt offiziell „Gesetz über die unternehmerischen Sorgfaltspflichten zur Vermeidung von Menschenrechtsverletzungen in Lieferketten (Lieferkettensorgfaltspflichtengesetz – LkSG)“ oder eben kurz: Lieferkettengesetz. Es sieht vor, dass Unternehmen ab 1.000 Mitarbeitern nachweisen müssen, dass ihre Lieferkette sicher ist. Dazu haben Unternehmen mit über 3.000 Beschäftigten bis Januar 2023 Zeit. Bei Unternehmen mit mehr als 1.000 Mitarbeitenden verschiebt sich die Frist um ein Jahr nach hinten auf Januar 2024.

Sanktionen bei Non-Compliance

Der deutsche Entwurf des Lieferkettengesetzes sieht als Sanktionen bei Nichteinhaltung Bußgelder von bis zu 800.000 Euro (§ 24 Abs. 1 LkSG) vor. Wenn Unternehmen einen Jahresumsatz von 400 Millionen Euro übersteigen, dann sieht das Lieferkettengesetz ein Bußgeld von bis zu zwei Prozent des weltweiten Umsatzes als Strafe vor (§ 24 Abs. 3 LkSG). Außerdem sollen sie bei schwerwiegenden Verstößen (bei einer Geldbuße von mindestens 175.000 Euro) bis zu drei Jahre von der öffentlichen Beschaffung, also der Auftragsvergabe durch öffentliche Stellen wie Gemeinden oder Ministerien, ausgeschlossen werden (§ 22 LkSG). Zivilrechtliche Haftungen sind im deutschen Gesetz nicht vorgesehen. Das Lieferkettengesetz wird durch das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) kontrolliert.

Entwurf EU-Lieferkettengesetz vs. deutsches Gesetz

Die EU arbeitet parallel an einem eigenen Lieferkettengesetz. Der EU-Entwurf geht bisher deutlich über das hinaus, was im deutschen Lieferkettengesetz steht. So soll es beispielsweise für Unternehmen ab 250 Mitarbeiter gelten und nicht nur für diejenigen mit mehr als 1.000 Mitarbeitern. Im deutschen Entwurf wird nur die direkte Lieferkette berücksichtigt. Der EU-Entwurf fordert hingegen, dass auch die indirekten Lieferanten berücksichtigt werden. Darüber hinaus sieht der europäische Entwurf härtere Sanktionen bei Verstößen vor. Es sind anstatt reiner Geldbußen auch zivilrechtliche Haftungen vorgesehen.

Welche Anforderungen müssen deutsche Unternehmen erfüllen?

Das Lieferkettengesetz legt eine umfassende Risikoanalyse entlang der Lieferkette fest. Außerdem müssen Unternehmen Maßnahmen zur Prävention und Abhilfe festlegen. Ganz konkret heißt das:

  • Unternehmen müssen ein Risikomanagementsystem einrichten (§ 4 Absatz 1 LkSG)
  • Es muss einen betriebsinternen Zuständigen für den Menschenrechtsschutz geben (§ 4 Absatz 3 LkSG)
  • Es müssen regelmäßige Risikoanalysen durchgeführt werden (§ 5 LkSG)
  • Das Unternehmen muss eine Grundsatzerklärung verabschieden (§ 6 Abs. 2 LkSG)
  • Es müssen Präventionsmaßnahmen im eigenen Geschäftsbereich verankert werden (§ 6 Absatz 1 und 3 LkSG) und gegenüber direkten Zulieferern (§ 6 Absatz 4 LkSG)
  • Wenn eine geschützte Rechtsposition verletzt wird, müssen Abhilfemaßnahmen ergriffen werden (§ 7 Abs. 1 bis Absatz 3 LkSG)
  • Es muss ein Beschwerdeverfahren eingerichtet werden, damit Menschenrechtsverstöße gemeldet werden können (§ 8 LkSG) (siehe hierzu auch unseren Blog-Beitrag zum Thema Hinweisgeberschutzgesetz)
  • Unternehmen müssen ihre Sorgfaltspflichten in Bezug auf Risiken bei direkten Zulieferern umsetzen (§ 9 LkSG)
  • Unternehmen sind dazu verpflichtet die Erfüllung ihrer Sorgfaltspflichten zu dokumentieren (§ 10 Absatz 1 LkSG) und darüber Bericht erstatten (§ 10 Absatz 2 LkSG)

Wie können Unternehmen den Anforderungen gerecht werden?

Wenn noch nicht vorhanden, sollten Unternehmen zeitnah ein digitales Compliance-Management-System einführen. Mit diesem Compliance-Management-System sollten sie dann alle Anforderungen, unter anderem aus dem Lieferkettengesetz und dem Hinweisgeberschutzgesetz, abbilden können. Innerhalb dieses Systems muss es möglich sein, Risiken aus den Anforderungen abzuleiten, Maßnahmen zu erstellen und deren Erfüllung regelmäßig zu monitoren. Außerdem sollten Unternehmen ein Hinweisgebersystem einführen, das im besten Fall direkt in Ihr Compliance-Management-System integriert ist. So sind alle Informationen zu den Prozessen in einem System und auf einen Blick verfügbar und auch auch das regelmäßige, konsistente Monitoring an die Geschäftsführung ist leichter. Informieren Sie sich dazu auch gerne auf unserer Webseite über unsere Compliance-Management Lösung, das GRC-COCKPIT.

Quellen:
Gesetz Lieferkettensorgfaltspflichtengesetz – LkSG
BMZ
EQS-Blog
MMLogistik

TTDSG – schon wieder ein neues Gesetz?

Was steht im Telekommunikation-Telemedien-Datenschutz-Gesetz?

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

Was bisher geschah: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: Datenschutz.

Heute wollen wir uns das TTDSG (Telekommunikation-Telemedien-Datenschutzgesetz) genauer ansehen. Als ich das erste Mal davon gehört habe dachte ich: ach nein, nicht schon wieder ein neues Datenschutzgesetz … Bei näherem Betrachten tauchen aber bald alte Bekannte auf: das Telekommunikationsgesetz (TKG) und das Telemediengesetz (TMG). Diese beiden älteren Gesetze stehen leider nicht im Einklang mit der aktuellen DSGVO und da kommt nun das neue TTDSG zur Harmonisierung ins Spiel. Datenschutzbestimmungen aus dem TMG und TKG wurden überarbeitet und sind nun dort mit eingeflossen.

Im Gesetzentwurf des Bundesministeriums für Wirtschaft und Energie (BMWi) vom 10.02.2021 heißt es wie folgt:

„Mit dem Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) sollen die bisher im Telekommunikationsgesetz (TKG) enthaltenen Bestimmungen zum Schutz des Fernmeldegeheimnisses und des Datenschutzes sowie die im Telemediengesetz enthaltenen Bestimmungen in einem neuen Stammgesetz zusammengeführt werden. Dabei werden die geltenden Bestimmungen an die europäische Datenschutz-Grundverordnung und an die neuen Begriffsbestimmungen des Telekommunikationsgesetzes angepasst. Der Entwurf flankiert den bereits vorgelegten Entwurf für ein neues Telekommunikationsgesetz und berücksichtigt die vom Bundestag am 28. Januar 2021 beschlossenen Regelungen zur Bestandsdatenauskunft im Telemediengesetz.“

Am 20.05.2021 hat der Bundestag den Entwurf des „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ mehrheitlich angenommen und zum 01.12.2021 tritt das TTDSG nun gemeinsam mit dem neuen Telekommunikationsgesetz (TKG) in Kraft. Damit sollen dann bisher unklare bzw. offene Lücken geschlossen werden. Zudem wurden im TTDSG auch weitestgehend die Vorgaben der ePrivacy-Richtlinie (nicht zu verwechseln mit der noch ausstehenden ePrivacy-Verordnung!) umgesetzt.

Alle Paragraphen des TTDSG können Sie u.a. hier einsehen: https://gesetz-ttdsg.de/

Begriffsbestimmungen

Unter § 2 TTDSG findet man wichtige Begriffsbestimmungen:

Anbieter von Telemedien

„jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt,“

Bestandsdaten

„im Sinne des Teils 3 dieses Gesetzes die personenbezogenen Daten, deren Verarbeitung zum Zweck der Begründung, inhaltlichen Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Anbieter von Telemedien und dem Nutzer über die Nutzung von Telemedien erforderlich ist,“

Nutzungsdaten

„die personenbezogenen Daten eines Nutzers von Telemedien, deren Verarbeitung erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen; dazu gehören insbesondere

1. Merkmale zur Identifikation des Nutzers,
2. Angaben über Beginn und Ende sowie Umfang der jeweiligen Nutzung und
3. Angaben über die vom Nutzer in Anspruch genommenen Telemedien,“

Nachricht

„jede Information, die zwischen einer endlichen Zahl von Beteiligten über einen Telekommunikationsdienst ausgetauscht oder weitergeleitet wird; davon ausgenommen sind Informationen, die als Teil eines Rundfunkdienstes über ein öffentliches Telekommunikationsnetz an die Öffentlichkeit weitergeleitet werden, soweit die Informationen nicht mit dem identifizierbaren Nutzer, der sie erhält, in Verbindung gebracht werden können,“

Dienst mit Zusatznutzen

„jeder von einem Anbieter eines Telekommunikationsdienstes bereitgehaltene zusätzliche Dienst, der die Verarbeitung von Verkehrsdaten oder anderen Standortdaten als Verkehrsdaten in einem Maße erfordert, das über das für die Übermittlung einer Nachricht oder für die Entgeltabrechnung des Telekommunikationsdienstes erforderliche Maß hinausgeht,“

Endeinrichtung

„jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten; sowohl bei direkten als auch bei indirekten Anschlüssen kann die Verbindung über Draht, optische Faser oder elektromagnetisch hergestellt werden; bei einem indirekten Anschluss ist zwischen der Endeinrichtung und der Schnittstelle des öffentlichen Netzes ein Gerät geschaltet.“

Für wen gilt das TTDSG?

Das neue Gesetz gilt für Anbieter von Telemedien (siehe o.g. Begriffsbestimmungen), also für sämtliche Anbieter/Betreiber von Webseiten und Apps. Rein private Webseiten fallen nicht darunter. Der Begriff Telemedien wird im Telemediengesetz näher definiert (§ 1 TMG): unter Telemedien sind alle elektronischen Informations- und Kommunikationsdienste zu verstehen.

Welche Inhalte des TTDSG sind besonders hervorzuheben?

§ 1 TTDSG: Anwendungsbereich

Der Anwendungsbereich ist erweitert worden: mit den bereits genannten Endeinrichtungen (§ 2 TTDSG) sind auch alle mit dem Internet verbundenen Geräte gemeint, z.B. Messenger-Dienste wie WhatsApp oder auch Smarthome Anwendungen wie Alarmsysteme, Haushaltsgeräte etc.

Außerdem gilt – wie auch in der DSGVO – das „Marktortprinzip“ (§ 1 Abs. 3 TTDSG): „Diesem Gesetz unterliegen alle Unternehmen und Personen, die im Geltungsbereich dieses Gesetzes eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen.“

§ 4 TTDSG: Umgang mit dem digitalen Erbe

Bislang gab es keine gesetzliche Regelung zum Umgang mit den digitalen Daten eines Verstorbenen (z.B. Daten bei Facebook). Jetzt geht auch der digitale Nachlass an die Erben über:

„Das Fernmeldegeheimnis steht der Wahrnehmung von Rechten gegenüber dem Anbieter des Telekommunikationsdienstes nicht entgegen, wenn diese Rechte statt durch den betroffenen Endnutzer durch seinen Erben oder eine andere berechtigte Person, die zur Wahrnehmung der Rechte des Endnutzers befugt ist, wahrgenommen werden.“

§ 7 TTDSG: Verlangen eines amtlichen Ausweises

Lange war unklar, ob ein geklickter Button zur Bestätigung des Alters als Bestätigung wirklich ausreicht. Jetzt dürfen Anbieter zur Begründung eines Vertragsverhältnisses die Vorlage eines Ausweises verlangen. Der Ausweis kann in physischer Form vorgelegt werden, aber auch ein elektronischer Identitätsnachweis ist möglich. Der Anbieter darf eine Kopie erstellen, diese muss aber unverzüglich nach Feststellung der Identität vernichtet werden.

§§ 22 + 24 TTDSG: Auskunftsverfahren bei Bestands- und Nutzungsdaten

Immer wieder kommt es vor, dass behördliche Stellen (z.B. Strafverfolgungsbehörde, Bundeskriminalamt, Verfassungsschutzbehörde etc.) nach Bestands- und Nutzungsdaten fragen. Unklar war bis jetzt, ob und inwieweit die Daten herausgegeben werden dürfen. Dies ist jetzt im TTDSG geregelt. Was genau unter Bestandsdaten und Nutzungsdaten zu verstehen ist, haben wir oben bereits unter § 2 TTDSG erläutert.
Die Herausgabe von Passwörtern und sonstigen Zugangsdaten ist grundsätzlich ausgeschlossen. Nur in bestimmten Einzelfällen (§ 23 TTDSG) ist die Herausgabe möglich, z.B. in einem Strafprozess einer besonders schweren Straftat.

§ 25 TTDSG: Schutz der Privatsphäre bei Endeinrichtungen

Hier geht es um die bereits bekannten Cookies und Cookie-Banner. Laut § 25 Abs. 1 TTDSG ist nun eine ausdrückliche Einwilligung für Tracking, Cookies und Co. gesetzlich vorgeschrieben:
„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 (=DSGVO) zu erfolgen.“

Im Absatz 2 sind zwei Ausnahmen aufgeführt nämlich dann,

  • wenn „der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist“
  • wenn „die Speicherung unbedingt erforderlich ist, um den ausdrücklich vom Nutzer gewünschten Telemediendienst zur Verfügung stellen zu können“ (technisch notwendige Cookies)

Solche technisch notwendigen Cookies sind z.B. Warenkorb- oder Session-Cookies. Diese verhindern, dass der bereits gefüllte Warenkorb wieder geleert wird, nur weil ich auf Unterseiten weitersurfen bzw. weitershoppen möchte.

§ 26 TTDSG: Anerkannte Dienste zur Einwilligungsverwaltung (PIMS)

Durch diesen Paragraphen soll die Möglichkeit geschaffen werden, Einwilligungen über sogenannte Personal Information Management Systems (PIMS) zu verwalten. Als Endnutzer trifft man einmalig bestimmte Voreinstellungen und je nach Einstellung würden dann bestimmte Dienste (z.B. Cookies) angenommen oder blockiert, ohne dass separat ein Cookie-Banner durchgeklickt werden muss. Allerdings müssen sich Anbieter solcher PIMS zertifizieren lassen, damit das angewandte Verfahren auch offiziell anerkannt ist und bestimmte Voraussetzungen erfüllt sind (z.B. ausreichendes Sicherheitskonzept, kein wirtschaftliches Eigeninteresse etc.). Dazu fehlt allerdings noch die entsprechende Rechtsverordnung der Bundesregierung. Es wird also noch eine Weile dauern und bis dahin bleibt uns auch der Cookie-Banner erhalten.

§§ 27 + 28 TTDSG: Straf- und Bußgeldvorschriften

„Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer

  • entgegen § 5 Absatz 1 eine Nachricht abhört oder in vergleichbarer Weise zur Kenntnis nimmt,
  • entgegen § 5 Absatz 2 Satz 1 eine Mitteilung macht oder
  • entgegen § 8 Absatz 1 eine dort genannte Telekommunikationsanlage herstellt oder auf dem Markt bereitstellt.“

Je nach Verstoß fällt die Höhe des Bußgeldes unterschiedlich aus:

  • bis zu 300.000 € (z.B. bei einer fehlenden Einwilligung, § 25 TTDSG)
  • bis zu 100.000 € (z.B. bei der unrechtmäßigen Verarbeitung von Verkehrsdaten, § 12 TTDSG)
  • bis zu 50.000 € (z.B. bei falscher oder nicht rechtzeitiger Information des Endnutzers, § 13 TTDSG)
  • bis zu 10.000 € (z.B., wenn eine Aufsichtsbehörde nicht rechtzeitig in Kenntnis gesetzt wurde, § 12 TTDSG)

Bei einer fehlenden Einwilligung drohen Bußgelder nicht nur nach dem TTDSG, sondern auch nach der DSGVO!

Aktuell aus unserer Praxis

Bis zum Inkrafttreten des TTDSG ist nicht mehr viel Zeit. Deshalb laufen unsere Maßnahmen in vollem Gang:

  • Welche einwilligungsbedürftigen Cookies und Tools werden von uns genutzt?
  • Sind unsere Cookie-Banner auf dem aktuellen Stand?
  • Muss unsere Datenschutzerklärung ergänzt / angepasst werden?
  • Wie können wir uns schon jetzt auf ein zukünftiges PIMS vorbereiten?

Wie sieht es bei Ihnen aus? Haben Sie sich schon mit dem TTDSG beschäftigt?

…to be continued:

Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse zum Thema „TTDSG“:

  • das TTDSG schließt einige Lücken
  • ein Cookie-Banner ist Pflicht!
  • bestimmten Behörden darf Auskunft erteilt werden
  • PIMS vielleicht bald die Lösung für Einwilligungen?
Porträtfoto Karin Selzer

Karin Selzer (Consultant Compliance & Datenschutz) im Büro der SAVISCON GmbH.

Über die Autorin:

Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder karin.selzer@saviscon.de

Hinweisgeberschutzgesetz

Das müssen deutsche Unternehmen jetzt beachten

von Uwe Straßberger, Director Marketing & Sales bei der SAVICON GmbH

Die Flugbegleiterin, die Missstände bei ihrer Airline öffentlich aufdeckt, kann häufig kurz darauf ihre Sachen packen. Ziel des Hinweisgeberschutzgesetzes ist es, die Hinweisgeber in solchen Situationen besser zu schützen. Menschen, die auf Missstände hinweisen, sollen nicht länger um ihre berufliche Existenz bangen müssen. Denn in den allermeisten Fällen handeln sie mit guten Absichten. Am 17. Dezember 2021 soll das Gesetz in Kraft treten, das den Hinweisgebern mehr Rechtssicherheit verspricht. Was das für deutsche Unternehmen bedeutet, lesen Sie in unserem Blog-Beitrag:

Was ist ein Hinweisgeber?

Ein Hinweisgeber wird häufig auch Whistleblower genannt (zu Deutsch so viel wie: die Trillerpfeife benutzen, auf etwas aufmerksam machen). Das sind Personen, die Verstöße gegen das geltende Recht melden, die sie während ihrer beruflichen Tätigkeit festgestellt haben. Das können aus Unternehmenssicht die eigenen Mitarbeiter sein, Lieferanten, Partner oder Dienstleister, die das Unternehmen beauftragt.

Hintergrund: EU-Richtlinie zum Schutz von Whistleblowern

Am 16. Dezember 2019 ist die Richtlinie (EU) 2019/1937 zum Schutz von Whistleblowern in Kraft getreten. Die Mitgliedsstaaten haben zwei Jahre Zeit, um die Richtlinie in nationales Recht umzusetzen. In Deutschland hat das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) im Dezember 2020 einen ersten Referentenentwurf veröffentlicht. Und genau hier stockt es zurzeit: Die Gespräche zwischen Union und SPD zum Hinweisgeberschutzgesetz sind Ende April 2021 vorerst gescheitert. Streitpunkt ist, dass die Bundesjustizministerin Christine Lambrecht (SPD) in Ihrem Gesetzentwurf – anders als ursprünglich in der EU-Richtlinie vorgesehen – den Schutz von Hinweisgebern beim Melden von Verstößen gegen das deutsche Recht mit einbezieht. In der Richtlinie ist nur die Rede von Verstößen gegen Das EU-Recht. „Denn sonst wäre geschützt, wer einen Verstoß gegen europäische Datenschutzvorschriften meldet, aber nicht geschützt, wer auf Schmiergeldzahlungen, Steuerhinterziehung oder auf Verstöße gegen deutsche Umweltschutz- oder Arbeitsschutzbestimmungen hinweist“, erläutert Lambrecht ihr Vorhaben.

Das hat der Gesetzesentwurf vorgesehen

In dem Gesetzesentwurf vom BMJV sind zwei Meldewege vorgesehen (§§ 7 bis 30). Diese sollen gleichwertig nebeneinander stehen und die hinweisgebenden Personen sollen frei zwischen ihnen wählen können. Das ist zum einen der interne Meldeweg, der innerhalb des Unternehmens geschaffen werden muss und zum zweiten ein externer Meldeweg, der bei einer unabhängigen Stelle eingerichtet wird. So besagt der Entwurf: „Eine externe Meldestelle auf Ebene des Bundes wird bei dem beziehungsweise der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit angesiedelt.

Außerdem heißt es im Gesetzesentwurf weiter: „Gegen hinweisgebende Personen gerichtete Repressalien sind verboten. Das gilt auch für die Androhung und den Versuch, Repressalien auszuüben. Sollte vom Arbeitgeber dennoch eine mutmaßliche Repressalie ausgeübt werden, gilt die Beweislast. So liegt es in der Verantwortung des Unternehmens nachzuweisen, dass die ergriffenen Maßnahmen auf Gründen basieren, die nichts mit der Meldung des Missstands zu tun haben.“

Wenn Hinweisgeber allerdings vorsätzlich oder grob fahrlässig unrichtige Informationen weitergeben, sollen sie für den entstandenen Schaden aufkommen müssen.

Der Whistleblower-Netzwerk e. V. hat den Referentenentwurf auf ihrer Homepage veröffentlicht.

Müssen alle Unternehmen ein Hinweisgebersystem einführen?

Ob und wann ein Hinweisgebersystem eingeführt werden muss, richtet sich nach der Unternehmensgröße:

  • Unternehmen mit bis zu 49 Mitarbeitern werden kein Hinweisgebersystem installieren müssen
  • Unternehmen und Behörden ab 50 Mitarbeitern werden verpflichtet ein internes Hinweisgebersystem einzurichten
  • Für Unternehmen und Behörden mit bis zu 249 Mitarbeitern wird eine Übergangsfrist gelten, sie müssen ein Hinweisgebersystem bis zum 17. Dezember 2023 eingerichtet haben
  • Unternehmen und Behörden mit mehr als 250 Mitarbeitern müssen mit Inkrafttreten des Gesetzes ein internes Hinweisgebersystem umsetzen

Vorteile für Unternehmen

Ein internes Hinweisgebersystem hat einen großen Vorteil für Unternehmen: Sie haben die Möglichkeit Missstände zu beseitigen, bevor die Öffentlichkeit und die Presse davon erfahren. So können sie einem möglichen Imageschaden vorbeugen. Risiken werden früher erkannt und Unternehmer können proaktiv gegen Verstöße vorgehen. Wenn Unternehmen im Streitfall vor Gericht ein strukturiertes Compliance-Management-System mit entsprechender Weiterbearbeitung von Hinweisen vorlegen können, wirkt sich das in der Regel positiv aus.

Anforderungen an das Hinweisgebersystem

Wenn Unternehmen ein internes Hinweisgebersystem installieren, sollten sie bereits die folgenden Aspekte der EU-Richtlinie berücksichtigen:

  • Nach Eingang einer Meldung muss der Hinweisgebende innerhalb von sieben Tagen eine Eingangsbestätigung erhalten
  • Den Hinweisgebenden muss innerhalb von drei Monaten nach Bestätigung des Eingangs der Meldung eine Rückmeldung gegeben werden
  • In dieser Rückmeldung müssen die geplanten und bereits ergriffenen Folgemaßnahmen sowie deren Begründung beschrieben sein
  • Das Hinweisgebersystem muss datenschutzkonform eingesetzt werden
  • Alle eigegangenen Meldungen müssen dokumentiert und revisionssicher abgelegt werden

Vorteile eines digitalen Hinweisgebersystems

  • Ermöglicht effizientes und zusammenhängendes Arbeiten durch direkte Fallbearbeitung im angeschlossenen Compliance-Management-System
  • Es können Wiedervorlagen gesetzt werden
  • Das System kann an gesetzliche Fristen zur Bearbeitung erinnern
  • Ist für Interne und Externe jederzeit übers Web erreichbar
  • Daten können verschlüsselt übermittelt werden
  • Nachfragen beim Hinweisgeber zur Klärung des Sachverhalts sind anonym möglich

Beispiele für bekannte Fälle

Whistleblowing ist spätestens seit Edward Snowden ein Begriff. Der ehemalige CIA-Mitarbeiter löste mit seinen Hinweisen rund um die weltweiten Überwachungs- und Spionagepraktiken von Geheimdiensten die National Scurity Agency-Affäre aus. Inzwischen gab es einige weitere Fälle mit großer medialer Aufmerksamkeit, beispielsweise 2015 rund um VW und den Abgasskandal. VW setzt als Hinweisgebersystem das BKMS ® Incident Reporting des Berliner Unternehmens Business Keeper GmbH ein. Es ist für jedermann online zugänglich: zum Hinweisgeberportal von VW.

Kommentar: Integriertes Management System

Anstatt noch ein weiteres System einzuführen, sollten Unternehmen zuerst prüfen, ob ihre bestehenden Softwarelösungen aus den Fachbereichen Risiko- und Compliance-Management bereits die Option für ein internes Hinweisgebersystem bieten. Es ist in jedem Falle ratsam die Synergien der unterschiedlichen Disziplinen zu nutzen und die Missstandsmeldungen ohne Brüche in einem System zu dokumentieren und zu bearbeiten. Möglich ist das beispielsweise auch mit einer GRC-Management-Software, die bereits auf der gemeinsamen Betrachtung von Governance-, Risk- und Compliance-Management samt IT-Sicherheit und Datenschutz fußt. Wir von der SAVISCON GmbH haben es uns als Ziel gesetzt mit unserem GRC-COCKPIT genau diese Synergien zwischen Governance, Risk, Compliance, IT-Sicherheit und Datenschutz zu nutzen. Aus diesem Grund ist das Hinweisgebersystem schon von Anfang an in unserem GRC-COCKPIT integriert gewesen und in allen Versionen enthalten.

Porträtfoto Uwe StraßbergerÜber den Autor:

Uwe Straßberger ist Director Sales & Marketing bei der SAVISCON GmbH. Seit 2019 steht er unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Wenn Sie Fragen zur Installation eines integrierten und digitalen GRC-Management-Systems samt Hinweisgebersystem haben, kontaktieren Sie uns gerne: 040 80 90 81 446 oder uwe.strassberger@saviscon.de

SAVISCON GmbH | Wohldorfer Damm 1a | 22395 Hamburg | Geschäftsführer: Ingo Simon, Marian Grzabel

SAVISCON GmbH | Wohldorfer Damm 1a | 22395 Hamburg | Geschäftsführer: Ingo Simon, Marian Grzabel