Whistleblowing: Erkennbarer Handlungsbedarf für Unternehmen

Whistleblowing: Erkennbarer Handlungsbedarf für Unternehmen

„Whistleblower“ haben in der Vergangenheit zahlreiche Rechtsverstöße und -missbräuche aufgedeckt: Beispielhaft zu nennen sind Chelsea Manning (damals Bradley Manning) und natürlich - weltbekannt - Edward Snowden mit Informationen über US-amerikanische Programme zur Überwachung der weltweiten Internetkommunikation.

Die genannten Beispiele zeigen, dass Whistleblowing Zugang zu denjenigen Informationen schaffen kann, die geeignet sind, Gesetzesverstöße transparent zu machen. Dennoch haftet dem Whistleblowing allgemein als „Verpfeifen“ etwas Negatives an. Dabei ist die englische Formulierung „to blow the whistle“ für sich genommen natürlich völlig wertfrei. Bleibt man bei der positiver besetzten deutschen Formulierung „Hinweisgeber“, meint man damit eine Person, die einen Beitrag zur Aufklärung offener Fragen leisten oder im Fall der Fälle Alarm schlagen kann.

Die Europäische Union hat das Thema mittlerweile in umfassender Weise aufgegriffen: Die Richtlinie (EU) 2019/1937 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden, wurde am 23.10.2019 unterzeichnet und am 26.11.2019 im Amtsblatt der EU verkündet. Die Umsetzung in deutsches Recht steht derzeit noch aus. Es bleibt spannend.

Zur Richtlinie (EU) 2019/1937

Allgemeines

Der sachliche Anwendungsbereich der Richtlinie ist wegen der begrenzten Kompetenzen der EU auf Verstöße gegen bestimmte EU-Rechtsakte beschränkt.

Die Richtlinie gilt für Hinweisgeber, die im privaten oder im öffentlichen Sektor tätig sind und im beruflichen Kontext Informationen über Verstöße erlangt haben. Erfasst sind daher unter anderem Arbeitnehmer (Art. 4 der Richtlinie).

Meldeverfahren

Im Wesentlichen lässt sich das Meldeverfahren in drei Arten unterteilen:

  • Interne Meldung.
  • Externe Meldung an die zuständige Behörde.
  • Externe Meldung an die Öffentlichkeit.

Das Öffentlichmachen von Informationen ist nach der Richtlinie unter anderem möglich, wenn der Hinweisgeber zunächst intern und extern oder auf direktem Weg extern Meldung erstattet, dann aber zu seiner Meldung innerhalb des in der Richtlinie genannten Zeitrahmens (intern: Rückmeldung an den Hinweisgeber u.a. innerhalb von maximal drei Monaten ab der Bestätigung des Eingangs der Meldung, extern: Rückmeldung an den Hinweisgeber binnen maximal drei Monaten, bzw. sechs Monaten in hinreichend begründeten Fällen) keine geeigneten Maßnahmen ergriffen werden.

Umsetzung der Richtlinie in Deutschland

Zur Umsetzung der Richtlinie liegt seit Ende 2020, also noch unter der alten Bundesregierung, ein Referentenentwurf vor. Die Vorgaben der Richtlinie sollen im Wesentlichen in einem Stammgesetz (Hinweisgeberschutzgesetz – HinSchG) umgesetzt werden, um den bislang lückenhaften und unzureichenden Schutz hinweisgebender Personen auszubauen. Kernpunkte sind:

  • Weiter Anwendungsbereich: Auf den Schutz durch das HinSchG können sich alle Personen (unter anderem Arbeitnehmer) berufen, die in ihrem beruflichen oder dienstlichen Umfeld Informationen über Verstöße erlangt haben.
  • Nicht in den Anwendungsbereich des HinSchG fallen die Meldung oder Offenlegung von Informationen etwa die nationale Sicherheit betreffend.
  • Die Richtlinie sieht im Wesentlichen den Schutz bei Meldungen von Verstößen gegen EU-Recht wie etwa das Datenschutzrecht vor. Einbezogen im HinSchG sind nun weitergehend als in der Richtlinie Verstöße zum Beispiel gegen das (gesamte) Strafrecht und das Recht der Ordnungswidrigkeiten.
  • Ein Verstoß im Sinne des HinSchG liegt auch dann vor, wenn das jeweils gemeldete Verhalten oder Unterlassen rechtsmissbräuchlich ist, weil es dem Ziel oder dem Zweck der Vorschriften im sachlichen Anwendungsbereich (§ 2 HinSchG) zuwiderläuft.
  • Es gibt zwei Meldewege, die gleichwertig nebeneinanderstehen und zwischen denen Hinweis gebende Personen frei wählen können (§ 7 HinSchG): Interne Meldekanäle und externe Meldekanäle. Dies soll Unternehmen dazu motivieren, ihre internen Meldestellen möglichst attraktiv auszugestalten.
  • Unternehmen und Dienststellen mit mindestens 50 Mitarbeitern sind verpflichtet, interne Meldestellen einzurichten und zu betreiben. Für Unternehmen und Dienststellen mit 50 bis zu 249 Mitarbeitern wird es allerdings eine zweijährige Übergangsregelung geben, bis die Pflicht zur Einrichtung der internen Meldekanäle greift (§ 41 HinSchG).
  • Für bestimmte Unternehmen gilt die Pflicht zur Einrichtung interner Meldestellen unabhängig von der Zahl der Beschäftigten, zum Beispiel für Institute im Sinne des § 1 Abs. 1b des Kreditwesengesetzes.
  • Der Entwurf sieht detaillierte Regelungen zu den einzuhaltenden Verfahrensabläufen nach Eingang einer Meldung vor.
  • Weder interne noch externe Meldestellen sind verpflichtet, technische Mittel oder Verfahren für anonyme Meldungen vorzuhalten.
  • Eine Offenlegung an Medien ist nur unter engen Voraussetzungen erlaubt, wenn etwa andernfalls eine Gefährdung des öffentlichen Interesses droht oder der externe Meldeweg nicht ordnungsgemäß funktioniert.
  • Die Vertraulichkeit des Hinweisgebers ist zu wahren, § 8 HinSchG. Ausnahmen sind unter engen Voraussetzungen vorgesehen, § 9 HinSchG.
  • Hinweis gebende Personen werden bei Vorliegen der Voraussetzungen der §§ 32, 33 HinSchG umfangreich vor Repressalien wie beispielsweise Kündigung, Diskriminierung oder Mobbing geschützt. Hierbei gilt eine Vermutung nebst Beweislastumkehr (§ 35 Abs. 2 HinSchG): Erleidet eine hinweisgebende Person nach einer Meldung oder Offenlegung eine Benachteiligung im Zusammenhang mit ihrer beruflichen Tätigkeit, so wird vermutet, dass diese Benachteiligung eine Repressalie ist. In diesem Fall hat die Person, die die hinweisgebende Person benachteiligt hat, zu beweisen, dass die Benachteiligung auf hinreichend gerechtfertigten Gründen basierte oder dass sie nicht auf der Meldung oder Offenlegung beruht. Maßnahmen, die gegen das Repressalienverbot verstoßen, sind nach § 134 BGB nichtig.

Somit müssen die in Unternehmen vorhandenen Compliance-Strukturen nebst Fristenkontrolle umfassend geprüft und nötigenfalls entsprechend der neuen Rechtslage angepasst sowie Mitarbeiter geschult werden. Da sich die Koalitionsparteien der alten Bundesregierung zuletzt über den Entwurf zerstritten haben, bleibt die weitere Entwicklung unter der neuen Bundesregierung zu beobachten. Umsetzungsfrist der Richtlinie ist der 17.12.2021. Vor allem Unternehmen, die bislang noch über kein Hinweisgebersystem verfügen, haben spürbaren Anpassungsbedarf. Da EU-Richtlinien unter bestimmten Voraussetzungen unmittelbar anwendbar sein können, sollten Entscheider mit ihren Maßnahmen nicht bis zur Umsetzung ins nationale Recht warten und die Zeit nutzen.

Datenschutzrechtliche Anforderungen

Damit ein Hinweisgeberschutzsystem wirksam und funktionstüchtig ist, ist der weitgehende Schutz der Identitäten aller von einer Meldung betroffenen Personen zwingend. Das macht es unter anderem erforderlich, die Ausübung bestimmter datenschutzrechtlicher Auskunfts- und Informationsrechte einzuschränken (vgl. auch EG 84 der Richtlinie). Die notwendigen Ausnahmetatbestände sieht der Gesetzgeber bereits im BDSG enthalten: Über die im Rahmen des § 29 Abs. 1 BDSG geforderte Interessenabwägung lasse sich ein Gleichlauf zwischen dem Vertraulichkeitsschutz und datenschutzrechtlichen Auskunfts- und Informationsrechten herstellen. Für die Verarbeitung personenbezogener Daten durch Meldestellen enthält § 10 HinSchG eine Rechtsgrundlage. Natürlich sind auch im Übrigen von den Meldestellen die Vorschriften vor allem aus der DSGVO und dem BDSG zu beachten.

Der Datenschutzbeauftragte des Unternehmens ist von der Planungsphase an hinzuzuziehen, um schon bei Einführung und Ausgestaltung des Hinweisgeber-Systems die datenschutzrechtlichen Anforderungen zu berücksichtigen. Es ist zudem zu bewerten, ob eine Datenschutz-Folgeabschätzung durchzuführen ist. Da ein Verfahren zur Meldung von Missständen besonders hohe Risiken für die Rechte und Freiheiten natürlicher Personen mit sich bringt, wird die Antwort hier regelmäßig auf „Ja“ lauten. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Datenschutzkonferenz (DSK) der Länder hat bereits 2018 eine Orientierungshilfe zu Whistleblowing-Hotlines herausgegeben, die unter www.datenschutzkonferenz-online.de von der Webseite der DSK heruntergeladen werden kann.

Im Übrigen ist Unternehmen zu raten, das Gesetzgebungsverfahren weiter im Auge zu behalten.

Thomas Haschert, Mag. iur., Rechtsanwalt, Magister des deutschen und ausländischen Rechts, Fachanwalt für Arbeitsrecht, Fachanwalt für Internationales Wirtschaftsrecht