Whistleblower-Schutz: Definition und rechtliche Bedeutung (AI Act / Data Act)
Art. 87 AI Act schützt Whistleblower im AI-Act-Kontext: die Meldung von AI-Act-Verstößen (insbesondere nach Art. 5 verbotene Praktiken, nicht konforme Hochrisiko-KI) durch Beschäftigte, ehemalige Beschäftigte oder Personen in beruflicher Beziehung zu einem Unternehmen gilt als Whistleblowing im Sinne der Whistleblower-Richtlinie (EU) 2019/1937 (HinweisgeberRL). Die RL schützt Whistleblower vor Vergeltungsmaßnahmen (Kündigung, Diskriminierung, Einschüchterung), verpflichtet Unternehmen zur Einrichtung interner Meldekanäle und verlangt Vertraulichkeit. Deutschland hat die RL mit dem Hinweisgeberschutzgesetz (HinSchG) umgesetzt (in Kraft Juli 2023). AI-Act-Verstöße sind nach dem HinSchG als „Verstöße" erfasst. Eine kombinierte AI-Act-Plus-HinSchG-Compliance sichert Whistleblower und fördert die interne Aufklärung.
Steve Baka
Schutz durch Art. 87 und HinweisgeberRL
Art. 87 AI Act stellt klar, dass die Meldung von AI-Act-Verstößen (Art. 5 Verbote, nicht konforme Hochrisiko-KI, GPAI-Pflichten) durch Beschäftigte oder Personen in beruflicher Beziehung zu einem Unternehmen als Whistleblowing im Sinne der Whistleblower-Richtlinie (EU) 2019/1937 (HinweisgeberRL) gilt. Die RL schützt: Whistleblower vor Vergeltungsmaßnahmen (Kündigung, Disziplinarmaßnahmen, Diskriminierung, Einschüchterung, Schwarze Listen); Identität (Vertraulichkeit); Recht auf externe Meldung (Behörden, Medien in engen Grenzen). Sie verpflichtet Unternehmen mit 50+ Beschäftigten zur Einrichtung interner Meldekanäle und zur Untersuchung von Meldungen. Deutschland hat die RL mit dem Hinweisgeberschutzgesetz (HinSchG, in Kraft 2. Juli 2023) umgesetzt; Österreich mit dem Hinweisgeberschutzgesetz (HSchG); Schweiz sektoral.
Praxis: Interne Meldekanäle und Verfahren
Praktisch erforderlich für AI-Act-verpflichtete Unternehmen (insb. Anbieter/Betreiber hochrisiko-KI, GPAI-Anbieter): (1) interne Meldekanäle nach HinSchG (Ombudsperson, Hotline, digitale Plattform, vertraulich, anonym möglich); (2) klare Verfahren für Eingangsbestätigung (7 Tage), Untersuchung (3 Monate), Rückmeldung; (3) Schutzmaßnahmen für Whistleblower (Vertraulichkeit, Anti-Retaliation-Policy); (4) Schulung von Führungskräften, Beschäftigten; (5) Verbindung zur AI-Act-Compliance (Meldepflicht, Beschwerderecht Art. 85, Vorfall-Pipeline). AI-Act-Whistleblowing kann sich auf technische/substanzielle Pflichten beziehen (Risikobewertung, Bias, Cybersecurity, fehlende Konformitätsbewertung, Verbote). Die kombinierte HinSchG-/AI-Act-Compliance sichert Mitarbeiter und fördert die interne Aufklärung.
Sanktionen und externe Meldung
Sanktionen bei Verstoß gegen Whistleblower-Schutz: HinSchG-/nationales Recht (Bußgelder, zivilrechtliche/strafrechtliche Folgen); Kündigungsschutz (Schriftform, Anfechtbarkeit bei Vergeltung). AI-Act-Maßnahmen: Marktüberwachungsbehörden können Whistleblower-Meldungen als Auslöser für Ermittlungen nutzen; die Vertraulichkeit des Whistleblowers ist zu wahren (Art. 85). Externe Meldung: Whistleblower können sich an die Marktüberwachungsbehörde (Art. 85) oder das AI Office wenden; nach HinSchG-Staffelung (interne Meldung bevorzugt, externe/Öffentlichkeit bei Risiko/Inaktivität). In „Notfällen" (akute Gefahr für Leben/Gesundheit/Rechte) ist Öffentlichkeit gerechtfertigt. Für Unternehmen bedeutet das: Whistleblower-Schutz ist nicht optional — eine nachlässige Praxis kann zu Sanktionen, Reputationsschaden und verpasster interner Aufklärung führen. Eine verantwortungsvolle, vertrauensfördernde Whistleblower-Kultur ist Haft- und Vertrauensschutz.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
European Data Protection Board (EDPB)EDPB. EU-Datenschutzgremium mit KI-Leitlinien.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Council of Europe Framework Convention on AICouncil of Europe. Erstes völkerrechtliches Abkommen zu KI.
Häufige Fragen
Wer ist als AI-Act-Whistleblower geschützt?
Beschäftigte, ehemalige Beschäftigte, Personen in beruflicher Beziehung zu einem Unternehmen, die AI-Act-Verstöße melden (Art. 87 + HinweisgeberRL). Schutz vor Vergeltung, Vertraulichkeit.
Was müssen Unternehmen einrichten?
Interne Meldekanäle nach HinSchG (50+ Beschäftigte): Ombudsperson/Hotline/Plattform, vertraulich, anonym möglich. Verfahren mit Eingangsbestätigung (7 Tage), Untersuchung (3 Monate), Rückmeldung.
Darf der Whistleblower extern melden?
Ja nach HinSchG-Staffelung: interne Meldung bevorzugt, externe Meldung an Behörde/Öffentlichkeit bei Risiko/Inaktivität. In Notfällen (akute Gefahr) ist Öffentlichkeit gerechtfertigt.
Du willst EU AI Act und Data Act praktisch umsetzen?
Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.