Deutschland hat nun ein Hinweisgeberschutzgesetz – und die EU plant noch mehr: Data Act, AI Act und Chatkontrolle

In diesem Monat kommen wir ganz ohne Gerichtsentscheidungen aus – stattdessen gibt es für die Justiz womöglich neues Futter von der Politik: Die EU hat den Data Act beschlossen und der Bundestag das Hinweisgeberschutzgesetz. Und auch die Gesetzentwürfe für Künstliche Intelligenz und die sogenannte „Chatkontrolle“ nehmen langsam Form an.

Aber der Reihe nach: Über die Pläne für den Data Act (offiziell: Verordnung über harmonisierte Vorschriften für den fairen Zugang zu und die Nutzung von Daten) hatte ich schon im März 2022 berichtet. Nun haben sich die Vertreter von EU-Staaten und Europaparlament auf die letzten Details geeinigt (EU-Parlament und der Rat der Mitgliedstaaten müssen noch formal zustimmen), wer wie Mehrwert aus Daten erzielen kann. Mit dem Internet der Dinge sind Daten heute überall – in smarten Spülmaschinen und Druckern wie in Autos und Windrädern.

Bisher hatten oft nur die Hersteller und nicht die Nutzer oder die Konkurrenz Zugang zu den Daten, sodass gewisse Monopole entstanden: Man muss immer wieder zum Original-Verkäufer, wenn eine Reparatur erforderlich ist, oder das Gerät lässt Einkäufe nur auf den hauseigenen Plattformen zu etc. – mit dem Data Act will die EU nun das wirtschaftliche und gesellschaftliche Potenzial von Daten freisetzen und zum Aufbau eines Binnenmarkts auch für Daten beitragen.

Auch der Dominanz der US-Tech-Firmen soll so etwas entgegengesetzt werden: Große Cloud-Anbieter wie Amazon Web Services, Microsoft und Google sollen verpflichtet werden, illegalen Zugriff auf Daten zu verhindern und Standards für einen erleichterten Anbieterwechsel zu etablieren. Diese wiederum kritisierten, dass der internationale Datentransfer beeinträchtigt werden könnte – und deutsche Firmen warnten, dass eine Weitergabe von Geschäftsgeheimnissen erzwungen werden könnte.

Und nun zum Hinweisgeberschutzgesetz – was in der Praxis für Sie größere Auswirkungen haben dürfte: Nicht nur, weil es schon einen Schritt weiter und am 2. Juli endlich konkret in Deutschland in Kraft getreten ist – nach zähen Verhandlungen im Vermittlungsausschuss und nachdem die EU Deutschland wegen der schleppenden Umsetzung der Richtlinie 2019/1937 bereits verklagt hatte. Sondern vor allem auch, weil nun nur noch wenig Zeit bleibt, zu handeln und Meldestellen einzurichten. Aufgrund des langen Gesetzgebungsverfahren sind die Fristen dafür nicht besonders lang.

Welchen Zweck hat das „HinSchG“? Es soll Whistleblower ermutigen, Missstände und Gesetzesverstöße im beruflichen Umfeld zu melden, ohne deshalb Nachteile fürchten zu müssen. Neben aktuellen Arbeitnehmern und Azubis können auch Bewerber oder frühere Angestellte, FSJler, Solo-Selbstständige, die Geschäftsführungsebene, Aufsichtsratsmitglieder, Beamte, Soldaten, Richter, Kunden, Dienstleister, Lieferanten etc. melden. Auch wer Hinweisgeber unterstützt oder mit ihnen in Verbindung steht (z.B. Ehegatten), wird geschützt – wie, hat der DGB hier zusammengetragen.

Hinweisgeber sollen sich dabei zunächst nach Möglichkeit an eine interne Meldestelle wenden – diese müssen Unternehmen mit mehr als 250 Beschäftigten möglichst direkt ab 2. Juli 2023 einrichten; kleinere Unternehmen mit 50 bis 249 Angestellten haben noch eine Schonfrist bis 17. Dezember 2023. Und in weiten Teilen der Finanzbranche gilt die Pflicht unabhängig von der Beschäftigtenzahl. Aber keine Panik: Wer den internen Meldeweg nicht rechtzeitig einrichtet, darf erst ab dem 2. Dezember 2023 mit Bußgeldern belegt werden; und außerdem kann die interne Meldestelle auch an einen Dritten, z.B. ihren Datenschutzbeauftragten ausgelagert werden. J

Externe Meldestellen soll es z.B. beim Bundesamt der Justiz, bei der BaFin und beim Bundeskartellamt geben. Diese sind laut EU-Richtlinie gleichrangig zu den internen Meldestellen, aber dem deutschen Gesetz zufolge soll man sich an sie nur wenden, wenn man explizit Repressalien seitens des betroffenen Unternehmens befürchtet. Unternehmen sollen den internen Meldeprozess möglichst „ansprechend“ gestalten. So haben sie auch die Chance, etwaige Verstöße abzustellen, bevor sie nach außen dringen und so deren potenzielle Auswirkungen auf ein Minimum zu beschränken.

Bei den internen Meldestellen müssen sowohl schriftliche als auch (fern-)mündliche, und auf Wunsch auch persönliche Meldungen entgegengenommen werden. Egal wie gemeldet wird, ist immer die Vertraulichkeit des Hinweisgebers, aber auch die der Personen, die Gegenstand der Meldung sind, sowie der sonstigen in der Meldung erwähnten Personen zu wahren. Theoretisch sind Meldungen auch anonym möglich, allerdings müssen Unternehmen anonyme Meldungen nicht unbedingt bearbeiten (sie „sollen“ es aber, so das Gesetz).

Die interne Meldestelle kann ein Mitarbeiter direkt im Unternehmen sein, allerdings müssen hierbei Interessenkonflikte ausgeschlossen werden können. Da außerdem viele Meldungen zwangsläufig personenbezogene Daten (z.B. den Namen der beschuldigten Person) enthalten, ist auch die DSGVO inkl. der relevanten Löschfristen etc. zu beachten – zwei weitere Gründe, warum die Auslagerung an ihren externen Datenschutzbeauftragten sinnvoll sein kann.

Die Meldestelle muss dem Whistleblower dann innerhalb einer Woche den Eingang seiner Meldung schriftlich bestätigen, diese prüfen und angemessen auf sie reagieren und innerhalb von drei Monaten dem Whistleblower mitteilen, welche Maßnahmen infolge des Hinweises ergriffen wurden und warum. Konkretere Vorgaben gibt es dabei nicht. Alles soll hinreichend dokumentiert und in der Regel nach drei Jahren gelöscht werden.

Die Pläne der EU zur sogenannten „Chatkontrolle“ (primär gegen Kinderpornografie) sind derweil bei der EU-Kommission noch nicht ausgereift und zwischen den Mitgliedsstaaten umstritten. Auch diverse Rechtsgutachten, z.B. vom Juristischen Dienst des EU-Ministerrats, lassen aufgrund ihres weiten Interpretations- und Überwachungsspielraums kein gutes Haar an den Plänen. Schließlich würde das präventive Durchleuchten von Chats einen sehr weitreichenden Eingriff in das Grundrecht auf Privatsphäre bedeuten. Die EU-Kommission schaltet angesichts der wachsenden Kritik derweil in den Verteidigungsmodus. Und zum Glück hat auch noch das EU-Parlament ein Wörtchen mitzureden.

Auch über den AI Act, der als erstes umfassendes Gesetz weltweit Künstliche Intelligenz regeln soll, wird in Brüssel und Straßburg noch verhandelt. Wir bleiben an beiden Themen dran.

Foto Credits: Adobe Stock by Daniel Beckemeier