Whistleblowing

Whistleblower-Richtlinie und Hinweisgebergesetz

Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Christian Kuss ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH in Köln. Sein Tätigkeitsschwerpunkt liegt auf IT- und Datenschutzrecht.
Wie sind Whistleblower in Deutschland und Europa geschützt? Welche Richtlinien und Gesetze dabei eine Rolle spielen und wie deren aktueller Stand ist, beschreibt dieser Artikel.

Unter Whistleblowing versteht man die Veröffentlichung von Missständen oder Fehlverhalten im Unternehmen durch Mitarbeiter. Das wohl bekannteste Beispiel für Whistleblowing ist der Fall des ehemaligen US-amerikanischen Geheimdienstmitarbeiter Edward Snowden, welcher im Jahr 2013 mit seinen Enthüllungen über das weltweite Ausmaß an Überwachungs- und Spionagetätigkeiten für Aufsehen sorgte.

Ab dem 17. Dezember 2021 soll die EU-Whistleblower-Richtlinie über das Hinweisgeberschutzgesetz in deutschem Recht verankert sein.
Ab dem 17. Dezember 2021 soll die EU-Whistleblower-Richtlinie über das Hinweisgeberschutzgesetz in deutschem Recht verankert sein.
Foto: Lightspring - shutterstock.com

Auch in Deutschland gab es bisher keinen systematischen Schutz von Whistleblowern. Nachdem die EU-Whistleblower-Richtlinie (EU-Richtlinie 2019/1937 vom 23.10.2019) am 19.12.2019 beschlossen wurde, wird sich dies spätestens bis zum 17.12.2021 ändern. Bis dahin muss die Richtlinie in nationales Recht umgesetzt werden, sodass ein systematischer Schutz von Whistleblowern garantiert werden kann.
Eine längere Frist bis zum 17.12.2023 gilt nur im Hinblick auf die Verpflichtung zur Einrichtung interner Hinweisgebersysteme bei juristischen Personen mit 50 bis 249 Arbeitnehmern.

Der Referentenentwurf des Hinweisgeberschutzgesetzes

Mit Hinblick auf die Umsetzungsfrist hat das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) Ende 2020 einen Entwurf für ein Hinweisgeberschutzgesetz erarbeitet und die Ressortabstimmung eingeleitet. Auch wenn sich die Koalitionspartner aufgrund einer überschießenden Umsetzung bis jetzt nicht auf den Referentenentwurf verständigen konnten, sollen nachstehend die wichtigsten Regelungen überblicksartig angeführt werden:

  • Inhaltlich orientiert sich der Referentenentwurf größtenteils an der EU-Richtlinie. So schafft er ein mehrstufiges Meldesystem und konstituiert die Pflicht zur Schaffung von internen und externen Hinweisgebersysteme.

  • Auch untersagt er jedwede Vergeltungsmaßnahmen gegenüber Hinweisgebern und schafft eine Regelung zur Beweislastumkehr bei Kündigungen. Arbeitgeber müssen künftig nachweisen, dass Kündigungen nicht im Zusammenhang mit der Aufdeckung von Missständen stehen.

  • Im Unterschied zur EU-Richtlinie umfasst das Hinweisgeberschutzgesetz jedoch auch Verstöße gegen nationale Vorschriften, was innerhalb der Koalition zu den angeführten Meinungsverschiedenheiten führte.

Umsetzung interner Hinweisgebersysteme

Von besonderer praktischer Relevanz für Unternehmen ist die Umsetzung der internen Hinweisgebersysteme. Dabei rücken insbesondere IT-basierte Hinweisgebersysteme, wie ein E-Mail-Postfach, eine Telefon-Hotline, ein Chat- oder Talk-Bot sowie eine Online-Plattform in den Fokus. Neben dem Umstand, dass interne Hinweisgebersysteme so konzipiert, eingerichtet und betrieben werden müssen, dass die Identität des Hinweisgebers und Dritter, die in der Meldung erwähnt werden, stets vertraulich bleibt und unbefugten Mitarbeitern der Zugriff darauf verwehrt wird, ist die Einhaltung der Vorschriften der DSGVO von besonderer Bedeutung.

Die besonderen Herausforderungen an die Etablierung interner Hinweisgebersysteme unter Einhaltung der Vorschriften der DSGVO werden durch die Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines deutlich. Um das Spannungsverhältnis zwischen dem Referentenentwurf des Hinweisgeberschutzgesetzes und der DSGVO aufzuzeigen, sollen nachstehend exemplarisch durch das Hinweisgeberschutzgesetz tangierte Grundsätze der DSGVO im Überblick angeführt werden.

Rechtsgrundlage für die Verarbeitung der erhaltenen personenbezogenen Daten

Als Rechtsgrundlagen kommen das Hinweisgeberschutzgesetz, das Gesetz über das Kreditwesen sowie Art. 6 Abs. 1 lit. c DSGVO in Betracht. Die bei Art. 6 Abs. 1 lit. f DSGVO gebotene Interessenabwägung wird bei konkreten, auf relevante Verfehlungen hinweisenden Verdachtsmomenten zumeist zugunsten des berechtigten Interesses des Unternehmens ausfallen, insbesondere wenn dadurch u.a. auch rechtliche Konsequenzen durch Strafverfolgung, Schadensersatzforderungen und Imageschaden vermieden werden sollen.

Informationspflichten

Werden personenbezogene Daten ohne Kenntnis der betroffenen Person verarbeitet, besteht für den Verarbeiter eine Informationspflicht gem. Art. 14 DSGVO. Diese Informationspflicht kann jedoch gem. Art. 14 Abs. 5 lit. b DSGVO so lange aufgeschoben werden, solange die Gefahr einer Beeinträchtigung einer wirksamen Untersuchung des Vorwurfs oder Sammlung der erforderlichen Beweise besteht. Insofern steht die Informationspflicht der Aufklärung eines möglichen Verstoßes nicht entgegen.

Auskunftsansprüche

Der Auskunftsanspruch nach Art. 15 DSGVO kollidiert zwar mit einer für das Meldeverfahren möglichen anonymen Meldung. Eine Auskunftsverpflichtung besteht jedoch gem. Art. 23 Abs. 1 lit. d und lit. i DSGVO dann nicht, wenn durch Rechtsvorschriften der Union oder der Mitgliedstaaten zur Verhütung oder Aufdeckung von Straftaten oder zum Zweck des Schutzes der betroffenen Person oder Rechte und Freiheiten anderer Personen beschränkt wird. Eine solche Beschränkung findet sich in § 29 Abs.1 Satz 2 Bundesdatenschutzgesetz (BDSG), wonach das Recht auf Auskunft nicht besteht, soweit durch die Auskunft Informationen offenbart würden, die wegen der überwiegenden berechtigten Interessen eines Dritten geheim gehalten werden müssen.

Datenschutzfolgenabschätzung notwendig

Unter Berücksichtigung der möglichen Folgen ist von einer hohen Datensensibilität bei durch IT-basierte Hinweisgebersysteme gesammelten Daten auszugehen. Dadurch gelten gemäß Art. 32 DSGVO erhöhte Anforderungen an technische und organisatorische Maßnahmen. Von besonderer Bedeutung sind

  • ein Berechtigungskonzept,

  • eine Passwortrichtlinie sowie

  • die hinreichende Pseudonymisierung oder Verschlüsselung der Daten.

  • Auch sollte eine Datenschutzfolgenabschätzung nach Art. 35 Abs. 3 DSGVO durchgeführt werden.

Wird das interne Hinweisgebersystem ausgelagert, ist ebenfalls daran zu denken, dass mit allen an einem Hinweisgebersystem beteiligten Dienstleistern Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO abgeschlossen werden.

Know-how-Schutz durch das Geschäftsgeheimnisgesetz

Neben dem Hinweisgeberschutz ist auch das Gesetz zum Schutz von Geschäftsgeheimnissen für den Schutz von Whistleblowern relevant. Das Gesetz befasst sich mit dem Schutz von Informationen, welche aufgrund ihrer wirtschaftlichen Bedeutung für Unternehmen äußerst wichtig und somit besonders schützenswert sind. Im Gesetz sind sowohl erlaubte Handlungen als auch Handlungsverbote festgehalten. Trotzdem lässt es über die angegebenen, allerdings nicht abschließenden, Rechtfertigungsgründe noch "Spielraum" hinsichtlich der Erlangung sowie der Nutzung oder Offenlegung für berechtigte Interessen. Diese berechtigten Interessen können sowohl ideeller als auch wirtschaftlicher Art sein.

So fällt beispielsweise der Whistleblower-Schutz unter die Rechtfertigungsgründe für eine Offenlegung. Demnach ist die Offenlegung vertraulicher Informationen zur Aufdeckung einer rechtswidrigen Handlung oder eines beruflichen oder sonstigen Fehlverhaltens gerechtfertigt, wenn die das Geschäftsgeheimnis erlangende, nutzende oder offenlegende Person (der Whistleblower) in der Absicht handelt, das allgemeine öffentliche Interesse zu schützen. Damit wird dem potenziellen Whistleblower zwar die Bürde aufgelastet, eine Prüfung der Rechtmäßigkeit der vermeintlich rechtwidrigen Handlung vorzunehmen sowie berufliches oder sonstiges Fehlverhalten in ihrer Schwere zu bewerten.

Da das Gesetz aber nicht davor abschrecken soll, aus Angst vor eigenen rechtlichen Konsequenzen Fehlverhalten zu melden, obliegt dem Geheimnisträger die Nachweispflicht. Das betroffene Unternehmen muss darlegen, weshalb eben kein Rechtfertigungsgrund in Form von öffentlichem Interesse oder unethischem Verhalten vorliegt.

Hinweissysteme schaffen und DSGVO einhalten

Von dem Hinweisgeberschutzgesetz betroffene Unternehmen müssen bis zum 17.12.2021 interne Hinweissysteme etablieren. Da meist eine umfassende Einbindung in das ComplianceCompliance Management System und jedenfalls eine DSGVO-konforme Ausgestaltung erfolgen muss, ist eine zeitnahe Umsetzung dringend geraten. Alles zu Compliance auf CIO.de

Dabei dient dies nicht nur dem Schutz von Whistleblowern, sondern auch der Minimierung arbeits- und zivilrechtlicher sowie strafrechtlicher Risiken. Denn nicht nur wird den Mitarbeitern die Möglichkeit gegeben, Fehlverhalten melden zu können ohne arbeitsrechtliche Konsequenzen befürchten zu müssen oder Geschäftsgeheimnisse zu verraten, Whistleblower geben den Unternehmen auch die Chance ohne Reputationsverlust gegen interne Missständen vorgehen zu können. (bw)

Zur Startseite