Whistleblowing

Whistleblower-Richtlinie und Hinweisgebergesetz

Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Christian Kuss ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH in Köln. Sein Tätigkeitsschwerpunkt liegt auf IT- und Datenschutzrecht.
Wie sind Whistleblower in Deutschland und Europa geschützt? Welche Richtlinien und Gesetze dabei eine Rolle spielen und wie deren aktueller Stand ist, beschreibt dieser Artikel.
Ab dem 17. Dezember 2021 hätte die EU-Whistleblower-Richtlinie über das Hinweisgeberschutzgesetz in deutschem Recht verankert werden müssen. Nun soll sie verspätet im zweiten Anlauf umgesetzt werden.
Ab dem 17. Dezember 2021 hätte die EU-Whistleblower-Richtlinie über das Hinweisgeberschutzgesetz in deutschem Recht verankert werden müssen. Nun soll sie verspätet im zweiten Anlauf umgesetzt werden.
Foto: Daniel Beckemeier - shutterstock.com

Unter Whistleblowing versteht man die Veröffentlichung von Missständen oder Fehlverhalten im Unternehmen durch Mitarbeiter. Das wohl bekannteste Beispiel für Whistleblowing ist der Fall des ehemaligen US-amerikanischen Geheimdienstmitarbeiter Edward Snowden, welcher im Jahr 2013 mit seinen Enthüllungen über das weltweite Ausmaß an Überwachungs- und Spionagetätigkeiten für Aufsehen sorgte.

Auch in Deutschland gab es bisher keinen systematischen Schutz von Whistleblowern. Nachdem die EU-Whistleblower-Richtlinie (EU-Richtlinie 2019/1937 vom 23.10.2019) am 19.12.2019 beschlossen wurde, hätte sich dies spätestens bis zum 17.12.2021 ändern sollen. Bis dahin musste die Richtlinie eigentlich in nationales Recht umgesetzt werden, sodass ein systematischer Schutz von Whistleblowern garantiert werden kann. Eine längere Frist bis zum 17.12.2023 gilt nur im Hinblick auf die Verpflichtung zur Einrichtung interner Hinweisgebersysteme bei juristischen Personen mit 50 bis 249 Arbeitnehmern.

In Deutschland sowie in vielen anderen EU-Mitgliedsstaaten wurde die Richtlinie jedoch noch nicht fristgemäß umgesetzt.

Der Referentenentwurf des Hinweisgeberschutzgesetzes

Mit Hinblick auf die Umsetzungsfrist hatte das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) Ende 2020 einen Entwurf für ein Hinweisgeberschutzgesetz erarbeitet und die Ressortabstimmung eingeleitet. Jedoch konnten sich die damaligen Koalitionspartner über die konkrete Ausgestaltung nicht einigen. Da durch diesen Streit die Umsetzungsfrist zum 17.12.2021 erfolglos verstrich, wurde im Februar 2022 von der EU-Kommission ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet. Nun liegt seit dem 13.04.2022 ein neuer Referentenentwurf vor, für den die neue Koalition einen Kabinettsbeschloss noch vor der Sommerpause anstrebt.

Nachstehend werden die wichtigsten Regelungen des neuen Referentenentwurfs überblicksartig angeführt:

  • Inhaltlich orientiert sich der Referentenentwurf größtenteils an der EU-Richtlinie. So schafft er ein mehrstufiges Meldesystem und konstituiert die Pflicht zur Schaffung von internen und externen Hinweisgebersystemen und definiert Vorgaben zur Durchführung des Verfahrens bei internen Meldungen.

  • Auch untersagt er jedwede Vergeltungsmaßnahmen gegenüber Hinweisgebern und schafft eine Regelung zur Beweislastumkehr bei Kündigungen. Arbeitgeber müssen künftig nachweisen, dass Kündigungen nicht im Zusammenhang mit der Aufdeckung von Missständen stehen.
    Für den Fall, dass Meldungen behindert oder keine Meldestellen unterhalten werden, ist ein Bußgeld vorgesehen.

  • Geschützt sind neben dem Hinweisgeber auch Personen, die diesen bei der Meldung unterstützt haben.

  • Der Entwurf sieht einen Schadensersatzanspruch für Repressalien vor, jedoch auch eine Schadensersatzpflicht bei Falschmeldung, um gewillkürten Meldungen entgegenzuwirken.

  • Dem Hinweisgeber soll ein Wahlrecht zwischen interner und externer Meldung, jedoch mit Appel zum Vorrang der internen Meldestellen, zustehen.

  • Im Unterschied zur EU-Richtlinie umfasst das Hinweisgeberschutzgesetz auch Verstöße gegen nationale Vorschriften. Bußgeldbewährtes Verhalten ist nur insofern erfasst, als die verletzte Vorschrift dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient.

  • Vom Schutzbereich sind alle Informationen aus Nachrichtendiensten und ähnlichen sicherheitsrelevanten Stellen ausgenommen.

  • Eine weitere Einschränkung besteht darin, dass nur Verstöße meldefähig sein sollen, die im Rahmen einer beruflichen, unternehmerischen oder dienstlichen Tätigkeit begangen werden.

  • Auch enthält der neue Entwurf Regelungen zur finanziellen Erleichterung der Umsetzung für die Privatwirtschaft. So können Konzerne eine zentrale konzernweite Meldestelle einrichten, sofern die originäre Verantwortung beim jeweils betroffenen Unternehmen verbleibt. Darüber hinaus soll es Unternehmen mit 50 bis 249 Mitarbeitern ermöglicht werden, eine Meldestelle mit anderen Unternehmen zu teilen.

Umsetzung interner Hinweisgebersysteme

Von besonderer praktischer Relevanz für Unternehmen ist die Umsetzung der internen Hinweisgebersysteme. Dabei rücken insbesondere IT-basierte Hinweisgebersysteme, wie ein E-Mail-Postfach, eine Telefon-Hotline, ein Chat- oder Talk-Bot sowie eine Online-Plattform in den Fokus. Neben dem Umstand, dass interne Hinweisgebersysteme so konzipiert, eingerichtet und betrieben werden müssen, dass die Identität des Hinweisgebers und Dritter, die in der Meldung erwähnt werden, stets vertraulich bleibt und unbefugten Mitarbeitern der Zugriff darauf verwehrt wird, ist die Einhaltung der Vorschriften der DSGVO von besonderer Bedeutung.

Die besonderen Herausforderungen an die Etablierung interner Hinweisgebersysteme unter Einhaltung der Vorschriften der DSGVO werden durch die Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines deutlich. Um das Spannungsverhältnis zwischen dem Referentenentwurf des Hinweisgeberschutzgesetzes und der DSGVO aufzuzeigen, sollen nachstehend exemplarisch durch das Hinweisgeberschutzgesetz tangierte Grundsätze der DSGVO im Überblick angeführt werden.

Rechtsgrundlage für die Verarbeitung der erhaltenen personenbezogenen Daten

Als Rechtsgrundlagen kommen das Hinweisgeberschutzgesetz, das Gesetz über das Kreditwesen sowie Art. 6 Abs. 1 lit. c DSGVO in Betracht. Die bei Art. 6 Abs. 1 lit. f DSGVO gebotene Interessenabwägung wird bei konkreten, auf relevante Verfehlungen hinweisenden Verdachtsmomenten zumeist zugunsten des berechtigten Interesses des Unternehmens ausfallen, insbesondere wenn dadurch u.a. auch rechtliche Konsequenzen durch Strafverfolgung, Schadensersatzforderungen und Imageschaden vermieden werden sollen.

Informationspflichten

Werden personenbezogene Daten ohne Kenntnis der betroffenen Person verarbeitet, besteht für den Verarbeiter eine Informationspflicht gem. Art. 14 DSGVO. Diese Informationspflicht kann jedoch gem. Art. 14 Abs. 5 lit. b DSGVO so lange aufgeschoben werden, solange die Gefahr einer Beeinträchtigung einer wirksamen Untersuchung des Vorwurfs oder Sammlung der erforderlichen Beweise besteht. Insofern steht die Informationspflicht der Aufklärung eines möglichen Verstoßes nicht entgegen.

Auskunftsansprüche

Der Auskunftsanspruch nach Art. 15 DSGVO kollidiert zwar mit einer für das Meldeverfahren möglichen anonymen Meldung. Eine Auskunftsverpflichtung besteht jedoch gem. Art. 23 Abs. 1 lit. d und lit. i DSGVO dann nicht, wenn durch Rechtsvorschriften der Union oder der Mitgliedstaaten zur Verhütung oder Aufdeckung von Straftaten oder zum Zweck des Schutzes der betroffenen Person oder Rechte und Freiheiten anderer Personen beschränkt wird. Eine solche Beschränkung findet sich in § 29 Abs.1 Satz 2 Bundesdatenschutzgesetz (BDSG), wonach das Recht auf Auskunft nicht besteht, soweit durch die Auskunft Informationen offenbart würden, die wegen der überwiegenden berechtigten Interessen eines Dritten geheim gehalten werden müssen.

Datenschutzfolgenabschätzung notwendig

Unter Berücksichtigung der möglichen Folgen ist von einer hohen Datensensibilität bei durch IT-basierte Hinweisgebersysteme gesammelten Daten auszugehen. Dadurch gelten gemäß Art. 32 DSGVO erhöhte Anforderungen an technische und organisatorische Maßnahmen. Von besonderer Bedeutung sind

  • ein Berechtigungskonzept,

  • eine Passwortrichtlinie sowie

  • die hinreichende Pseudonymisierung oder Verschlüsselung der Daten.

  • Auch sollte eine Datenschutzfolgenabschätzung nach Art. 35 Abs. 3 DSGVO durchgeführt werden.

Wird das interne Hinweisgebersystem ausgelagert, ist ebenfalls daran zu denken, dass mit allen an einem Hinweisgebersystem beteiligten Dienstleistern Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO abgeschlossen werden.

Know-how-Schutz durch das Geschäftsgeheimnisgesetz

Neben dem Hinweisgeberschutz ist auch das Gesetz zum Schutz von Geschäftsgeheimnissen für den Schutz von Whistleblowern relevant. Das Gesetz befasst sich mit dem Schutz von Informationen, welche aufgrund ihrer wirtschaftlichen Bedeutung für Unternehmen äußerst wichtig und somit besonders schützenswert sind. Im Gesetz sind sowohl erlaubte Handlungen als auch Handlungsverbote festgehalten. Trotzdem lässt es über die angegebenen, allerdings nicht abschließenden, Rechtfertigungsgründe noch "Spielraum" hinsichtlich der Erlangung sowie der Nutzung oder Offenlegung für berechtigte Interessen. Diese berechtigten Interessen können sowohl ideeller als auch wirtschaftlicher Art sein.

So fällt beispielsweise der Whistleblower-Schutz unter die Rechtfertigungsgründe für eine Offenlegung. Demnach ist die Offenlegung vertraulicher Informationen zur Aufdeckung einer rechtswidrigen Handlung oder eines beruflichen oder sonstigen Fehlverhaltens gerechtfertigt, wenn die das Geschäftsgeheimnis erlangende, nutzende oder offenlegende Person (der Whistleblower) in der Absicht handelt, das allgemeine öffentliche Interesse zu schützen. Damit wird dem potenziellen Whistleblower zwar die Bürde aufgelastet, eine Prüfung der Rechtmäßigkeit der vermeintlich rechtwidrigen Handlung vorzunehmen sowie berufliches oder sonstiges Fehlverhalten in ihrer Schwere zu bewerten.

Da das Gesetz aber nicht davor abschrecken soll, aus Angst vor eigenen rechtlichen Konsequenzen Fehlverhalten zu melden, obliegt dem Geheimnisträger die Nachweispflicht. Das betroffene Unternehmen muss darlegen, weshalb eben kein Rechtfertigungsgrund in Form von öffentlichem Interesse oder unethischem Verhalten vorliegt.

Hinweissysteme schaffen und DSGVO einhalten

Es wird davon ausgegangen, dass das Hinweisgeberschutzgesetz im Herbst 2022 in Kraft tritt. Von dem Hinweisgeberschutzgesetz betroffene Unternehmen müssen daher in naher Zukunft interne Hinweissysteme etablieren. Da meist eine umfassende Einbindung in das ComplianceCompliance Management System und jedenfalls eine DSGVO-konforme Ausgestaltung erfolgen muss, ist eine zeitnahe Umsetzung dringend geraten. Alles zu Compliance auf CIO.de

Dabei dient dies nicht nur dem Schutz von Whistleblowern, sondern auch der Minimierung arbeits- und zivilrechtlicher sowie strafrechtlicher Risiken. Denn nicht nur wird den Mitarbeitern die Möglichkeit gegeben, Fehlverhalten melden zu können ohne arbeitsrechtliche Konsequenzen befürchten zu müssen oder Geschäftsgeheimnisse zu verraten, Whistleblower geben den Unternehmen auch die Chance ohne Reputationsverlust gegen interne Missständen vorgehen zu können. (bw)

Zur Startseite