Hinweisgeberschutzgesetz

12. Mai 2023

Sprechen wir über Compliance!

Hinweisgeberschutzgesetz

Das Hinweisgeberschutzgesetz strebt einen umfassenden Schutz für Whistleblower an. In der vom Bundestag beschlossenen Fassung enthält das Gesetz folgende Maßnahmen:

Einführung sicherer interner Hinweisgebersysteme: Unternehmen und Organisationen mit mehr als 50 Beschäftigten müssen sichere interne Meldekanäle für Whistleblower einrichten und betreiben. Kleinere Unternehmen zwischen 50 und 249 Beschäftigten erhalten eine Umsetzungsfrist bis zum 17. Dezember 2023. Für größere Unternehmen besteht eine Frist von einem Monat nach Veröffentlichung im Bundesgesetzblatt.

Verschiedene Meldewege: Whistleblower haben die Möglichkeit, Hinweise mündlich, schriftlich oder persönlich abzugeben, je nach ihren Präferenzen und Bedürfnissen.

Bestätigung der Meldung: Die interne Meldestelle ist verpflichtet, dem Whistleblower innerhalb von sieben Tagen eine Bestätigung über den Eingang seiner Meldung zukommen zu lassen.

Informationen über ergriffene Maßnahmen: Die Meldestelle muss innerhalb von drei Monaten den Whistleblower über die getroffenen Maßnahmen informieren, beispielsweise über die Einleitung interner Compliance-Untersuchungen oder die Weiterleitung der Meldung an eine zuständige Behörde.

Externe Meldestelle beim Bundesamt für Justiz: Neben den internen Meldestellen wird beim Bundesamt für Justiz eine externe Meldestelle eingerichtet. Die Bundesländer haben zudem die Möglichkeit, eigene Meldestellen einzurichten.

Wahlfreiheit für Whistleblower: Whistleblower können frei entscheiden, ob sie ihre Meldung an die interne Meldestelle ihres Unternehmens oder die externe Meldestelle richten möchten.

Möglichkeit zur anonymen Meldung: Das Gesetz sieht vor, dass auch anonymen Hinweisen nachgegangen wird.

Beweislastumkehr zum Schutz vor Repressalien: Zum Schutz der Whistleblower vor „Repressalien“ wird eine weitreichende Beweislastumkehr eingeführt. Wenn ein Whistleblower im Kontext seiner beruflichen Tätigkeit „benachteiligt“ wird, wird vermutet, dass diese Benachteiligung eine Repressalie darstellt. Der Whistleblower hat dann Schadensersatzansprüche aufgrund von Repressalien.

Das Hinweisgeberschutzgesetz zielt darauf ab, Whistleblowern einen angemessenen Schutz zu bieten und ihnen den Mut zu geben, Missstände aufzudecken, ohne negative Konsequenzen befürchten zu müssen. Es schafft klare Regeln und Verfahren, um die Integrität von Organisationen zu wahren und die Aufdeckung von Korruption, Betrug und Verstößen gegen Umwelt- und Tierschutzregeln zu erleichtern.

Das voraussichtliche Inkrafttreten des Gesetzes ist Mitte Juni 2023.

Für die Beantwortung Ihrer Fragen stehe Ihnen aber gerne zur Verfügung.

Ich verbleibe auf das Herzlichste
Ihr
Hartmut Frenzel

Diese Information soll Ihnen Hilfestellung bieten und erhebt daher keinen Anspruch auf Vollständigkeit. Obwohl diese Information mit größtmöglicher Sorgfalt erstellt wurde, kann keine Haftung für die inhaltliche Richtigkeit übernommen werden.


Sprechen wir über Compliance!

Zum Newsletter anmelden

Ihre Einwilligung in den Versand ist jederzeit widerruflich
(z. B. per E-Mail an die im Impressum angegebenen Kontaktdaten).
Der Newsletter-Versand erfolgt entsprechend unserer Datenschutzerklärung.

Kennzahlen und KPIs als Mittel zur Überwachung

4. Mai 2023

In eigener Sache

Kennzahlen und KPIs als Mittel zur Überwachung

Teilnahmebescheinigung „Kennzahlen und KPIs als Mittel zur Überwachung“

Schwerpunktthemen:

  • Definition, Zielsetzung und Umsetzung eines (Datenschutz) Managementsystems
  • Abgrenzung von Messwerten, Kennzahlen und KPIs
  • Zielsetzung und Bestimmung von Kennzahlen und KPIs im Datenschutz
  • Prozessgestaltung und Verantwortlichkeiten im Rahmen eines Kennzahlensystems
  • Beispiele für den Aufbau und die Nutzung eines Kennzahlensystems im Datenschutz
  • Chancen und Risiken
  • Erfahrungen in der Praxis und Ansatzpunkte für den Aufbau eines Kennzahlensystems
BvD-Mitglied
Dr. Hartmut Frenzel ist Mitglied im VDSI. VDSI ist die Abkürzung für Verband für Sicherheit, Gesundheit und Umweltschutz bei der Arbeit

BEM und Datenschutz

6. April 2023

Sprechen wir über Compliance!

Bundesarbeitsgericht | AZR 162/22 | Betriebliches Eingliederungsmanagement

Das Urteil des Bundesarbeitsgerichts, Betriebliches Eingliederungsmanagement – Integrationsamt, 2 AZR 162/22, setzt sich mit dem Datenschutz auseinander.

Auszüge aus dem Urteil

„… Die Klägerin teilte mit, dass sie an einem bEM teilnehmen wolle, sie unterzeichnete aber die ihr diesbezüglich von der Beklagten übermittelte datenschutzrechtliche Einwilligung nicht, sondern stellte Rückfragen und wählte eigene Formulierungen. Hierauf erhielt die Klägerin eine Einladung zu einem Gespräch am 24. Juli 2019. In diesem wurde die Klägerin darauf hingewiesen, dass ohne ihre Unterschrift unter die vorformulierte Datenschutzerklärung ein bEM-Verfahren nicht durchgeführt werden könne. In der Folgezeit wies die Beklagte die Klägerin mehrfach, zuletzt in einem Gespräch vom 27. August 2019, darauf hin, dass die Durchführung eines bEM ohne die datenschutzrechtliche Einwilligung nicht möglich sei. In der Zeit vom 17. September 2019 bis zum 29. Oktober 2019 war die Klägerin bei der Beklagten im Rahmen einer Wiedereingliederung tätig. …“

„… Die fehlende Bereitschaft der Klägerin, die datenschutzrechtliche Einwilligung zu unterzeichnen, stehe einer fehlenden Zustimmung zur Durchführung eines bEM gleich. …“

Entscheidungsgründe

„… Die Beklagte durfte die Einleitung des bEM-Verfahrens nicht davon abhängig machen, dass die Klägerin die von der Beklagten vorformulierte Datenschutzerklärung über die Verarbeitung ihrer personenbezogenen sowie Gesundheitsdaten unterzeichnet. …“

Fazit

Zusammenfassend hat das Urteil des Bundesarbeitsgerichts wichtige Klarstellungen zum Datenschutz im Rahmen des BEM gebracht und verdeutlicht, dass Arbeitgeber bei der Erhebung von Gesundheitsdaten besonders sorgfältig vorgehen müssen.

 

Zur Entscheidung

Für die Beantwortung Ihrer Fragen stehe Ihnen sehr gerne zur Verfügung.

Ich verbleibe auf das Herzlichste
Ihr
Hartmut Frenzel

Diese Information soll Ihnen Hilfestellung bieten und erhebt daher keinen Anspruch auf Vollständigkeit. Obwohl diese Information mit größtmöglicher Sorgfalt erstellt wurde, kann keine Haftung für die inhaltliche Richtigkeit übernommen werden.

Dr. Hartmut Frenzel ist externer Datenschutzbeauftragte – nach nach BvD e.V. Verbandskriterien verpflichtet

Externer Datenschutzbeauftragter (E-DSB)

2. April 2023

In eigener Sache

Externer Datenschutzbeauftragter nach Verbandskriterien verpflichtet

Externer Datenschutzbeauftragter nach Verbandskriterien verpflichtet

Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e. V. führt eine Übersicht von externen Datenschutzbeauftragten, die sich auf das berufliche Leitbild des Datenschutzbeauftragen verpflichtet haben.

Dr. Hartmut Frenzel gehört seit April 2023 dazu.

 

Dr. Hartmut Frenzel ist externer Datenschutzbeauftragte – nach nach BvD e.V. Verbandskriterien verpflichtet

e-dsb.biz

DS-GVO – Auskunftsanspruch

17. März 2023

Sprechen wir über Compliance!

10.000 Euro Schadensersatz wegen Verletzung des DS-GVO-Auskunftsanspruchs

Unternehmer aufgepasst:

Ein Unternehmen wurde vom Arbeitsgericht Oldenburg verurteilt, einem ehemaligen Mitarbeiter aufgrund der Verletzung seines Auskunftsanspruchs gemäß Art. 15 Abs. 1 DS-GVO einen immateriellen Schadensersatz in Höhe von 10.000 EUR zu zahlen.

Anders als das Bundesarbeitsgericht, welches in einem ähnlichen Fall einen Schadensersatz in Höhe von 1.000 EUR als ausreichend erachtete, ist das ArbG hier der Ansicht, dass aufgrund des deutlich höheren Auskunftsinteresses des Klägers sowie des langen Zeitraums der Nichterfüllung der Auskunftspflicht ein Schadensersatz in Höhe von 10.000 EUR gerechtfertigt ist.

Die Nichterfüllung des Auskunftsanspruchs stellt bereits eine Verletzung der DS-GVO dar und führt zu einem auszugleichenden immateriellen Schaden, für den eine detaillierte Darlegung nicht erforderlich ist.

Unternehmen müssen sicherstellen, dass sie Auskunftspflichten gemäß Art. 12 Abs. 3 DS-GVO innerhalb eines Monats erfüllen.

Mehr erfahren

Für die Beantwortung Ihrer Fragen stehe Ihnen sehr gerne zur Verfügung.

Ich verbleibe auf das Herzlichste
Ihr
Hartmut Frenzel

Diese Information soll Ihnen Hilfestellung bieten und erhebt daher keinen Anspruch auf Vollständigkeit. Obwohl diese Information mit größtmöglicher Sorgfalt erstellt wurde, kann keine Haftung für die inhaltliche Richtigkeit übernommen werden.

Coordinated Enforcement Framework (CEF) – Datenschutzbeauftragte

15. März 2023

Sprechen wir über Compliance!

Koordinierte Prüfung zu Stellung und Aufgaben von<br /> Datenschutzbeauftragten

Koordinierte Prüfung zu Stellung und Aufgaben von Datenschutzbeauftragten

Hintergrund:

Der Europäische Datenschutzausschuss hatte bereits in seiner konstituierenden Sitzung am 25. Mai 2018 Leitlinien in Bezug auf Datenschutzbeauftragte („DSB“) verabschiedet, die gemeinsam mit mehreren aktuellen Entscheidungen des Europäischen Gerichtshofs, u.a. vom 22. Juni 2022 und 27. Oktober 2022, grundlegende Maßstäbe für die gemeinsame Prüfaktion der europäischen Datenschutzaufsichtsbehörden vermitteln. Im Mittelpunkt der Prüfung stehen neben Fragen der Qualifikation und Ressourcenausstattung vor allem mögliche Beeinträchtigungen der unabhängigen und effektiven Aufgabenwahrnehmung. Insbesondere die Ausübung von Zusatzfunktionen kann dabei Interessenkonflikte begründen, wie etwa bei Compliance-Beauftragten, IT-Verantwortlichen bzw. Personalverantwortlichen. Ein besonderes Augenmerk gilt außerdem der Anforderung, dass Datenschutzbeauftragte unmittelbar der höchsten Managementebene des Verantwortlichen oder Auftragsverarbeiters zu berichten haben. Präsident Will erläutert hierzu: „Auf Grundlage unserer Prüfbefugnisse werden wir die Handlungsbedingungen der betrieblichen Datenschutzbeauftragten gezielt in den Blick nehmen und uns sowohl Organigramme als auch Jahresberichte der Datenschutzbeauftragten vorlegen lassen. Wir werden sehr genau hinterfragen, wie Datenschutzbeauftragte, die nur über eine sog. dotted line über verschiedene Hierarchieebenen hinweg an die Unternehmensleitung herantreten können, dem Erfordernis jederzeitiger unmittelbarer Berichtsrechte genügen, um so ein klares Bild zur Situation der Datenschutzorganisation zu vermitteln und Fehlentwicklungen entgegenzutreten.“

Quelle: Bayerisches Landesamt für Datenschutzaufsicht – Pressestelle

Jedes Unternehmen sollte unverzüglich eine gründliche Überprüfung der Rolle und Aufgaben des Datenschutzbeauftragten durchführt und gegebenenfalls notwendige organisatorische Verbesserungen schnellstmöglich umsetzt.

Dies sollte kurzfristig geschehen – insbesondere im Hinblick auf die bevorstehende behördliche Prüfung.

Für die Beantwortung Ihrer Fragen stehe Ihnen sehr gerne zur Verfügung.

Ich verbleibe auf das Herzlichste
Ihr
Hartmut Frenzel

Diese Information soll Ihnen Hilfestellung bieten und erhebt daher keinen Anspruch auf Vollständigkeit. Obwohl diese Information mit größtmöglicher Sorgfalt erstellt wurde, kann keine Haftung für die inhaltliche Richtigkeit übernommen werden.


Sprechen wir über Compliance!

Zum Newsletter anmelden

Ihre Einwilligung in den Versand ist jederzeit widerruflich
(z. B. per E-Mail an die im Impressum angegebenen Kontaktdaten).
Der Newsletter-Versand erfolgt entsprechend unserer Datenschutzerklärung.