Rechtsverstöße, Mobbing und sonstige Missstände in Unternehmen werden häufig nur von den Beschäftigten wahrgenommen, nicht jedoch von der Geschäftsführung. Dies kann verschiedenste Gründe haben: Oftmals hat die Geschäftsleitung einen gewissen Abstand zum Personal und somit keinen detaillierten Einblick in die Geschehnisse der einzelnen Abteilungen. Aus Angst, benachteiligt oder sogar gekündigt zu werden, weisen Beschäftigte die Geschäftsleitung lieber nicht auf derartige Gegebenheiten hin. Obwohl die Geschäftsführung in der Regel großes Interesse haben dürfte, Missstände aller Art aufzudecken und zu beheben. Hierdurch kommt es in Unternehmen zur Häufung verschiedener Umstände, die zu Unzufriedenheit in der Belegschaft und gegebenenfalls sogar zur Verletzung verschiedener Gesetze führt.

Mit dem Hinweisgeberschutzgesetz soll nun die überfällige Umsetzung der europäischen Whistleblowing-Richtlinie (EU) 2018/1937 erfolgen. Ziel dieses Gesetzes ist die nachhaltige Verbesserung des bislang lückenhaften Schutzes von Hinweisgebern, um jegliche Benachteiligung auszuschließen. Weiterhin sollen Hinweisgeber durch das Gesetz Rechtssicherheit erlangen. Nach der Whistleblower-Richtlinie sind Unternehmen ab einer Größe von 50 Beschäftigten verpflichtet, ein Whistleblowing-System einzurichten. Bei der Einrichtung müssen jedoch verschiedene Aspekte berücksichtigt werden, unter anderem selbstverständlich der Datenschutz.

Datenschutzrecht im Kontrast zur Whistleblower-Richtlinie

Es liegt auf der Hand, dass im Wege eines Whistleblowing-Systems nicht ausschließlich Probleme gemeldet werden, die beispielweise organisatorischer Natur sind. Es werden zwangsläufig auch, unter namentlicher Erwähnung, Entscheidungen oder Verhaltensweisen bestimmter Personen gemeldet. Zudem dürfte es äußerst schwierig sein, die Anonymität der meldenden Person gegenüber das jeweilige Meldesystem zu gewährleisten: Wird die Meldung nämlich per Anruf getätigt, könnte die Telefonnummer zurückverfolgt werden. Bei einer Meldung über ein spezielles IT-System kann es zur Preisgabe der IP-Adresse kommen. Aus diesem Grund dürfte der Anwendungsbereich der DS-GVO regelmäßig eröffnet sein. Es kommt also zwangsläufig zur Erhebung und Verarbeitung personenbezogener Daten.

Hinzu kommt, dass durch die Inanspruchnahme des Meldesystems gegebenenfalls personenbezogene Daten ohne Kenntnis der betroffenen Personen erhoben und verarbeitet werden, weshalb die betroffene Person gemäß Art. 14 DS-GVO eigentlich über die Datenverarbeitung informiert werden müsste. Dies läuft jedoch dem Sinn des Whistleblowings zuwider, da die Geschäftsleitung großes Interesse daran haben dürfte, Meldungen zunächst über interne Ermittlungsverfahren näher zu untersuchen. Wenn beschuldigte Personen eine sie betreffende Meldung mitbekommen, könnte die interne Ermittlung verfälscht werden. Problematisch könnten in der Praxis auch die Betroffenenrechte nach Art. 15 DS-GVO sein. Demnach müssten dem Beschuldigten gegebenenfalls sämtliche verfügbaren Informationen über die Herkunft der Daten gegeben werden. Eine IP-Adresse oder die Kombination aus mehreren an sich nicht personenbezogenen Daten eröffnen die Möglichkeit, den Personenkreis des Meldenden stark einzugrenzen.

Datenschutzkonforme Umsetzung in der Praxis

Da das Hinweisgeberschutzgesetz voraussichtlich schrittweise Anfang des neuen Jahres in Kraft treten wird, sollte man sich schon jetzt Gedanken machen, wie ein solches System im Unternehmen eingebaut werden kann, ohne mit dem Datenschutz in Konflikt zu geraten. Wir haben Ihnen die wichtigsten Faktoren zusammengestellt, die Sie bei der Umsetzung des Meldesystems beachten sollten:

• Nach § 8 des Entwurfs zum Hinweisgeberschutzgesetz haben Meldestellen die Vertraulichkeit der hinweisgebendenen Person, Personen die Gegenstand der Meldung sind und sonstige genannte Personen zu wahren. Achten Sie bei der Umsetzung Ihres Whistleblowing-Systems auf den Schutz der Identitäten. Sowohl Beschäftigte als auch die Geschäftsführung dürfen unter keinen Umständen die Möglichkeit haben, die meldende Person zu identifizieren.
• Falls Sie einen Dienstleister einsetzen möchten, muss – je nach beauftragter Dienstleistung – ein Vertrag zur Auftragsverarbeitung abgeschlossen werden.
• Whistleblowing-Systeme bergen immer ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen. Aus diesem Grund ist vor Einführung des jeweiligen Systems gemäß Art. 35 DS-GVO eine Datenschutz-Folgenabschätzung durchzuführen. Ihr Datenschutzbeauftragter kann Sie hierbei unterstützen.
• In Vergangenheit sind zahlreiche IT-Anbieter auf diesen Markt aufgesprungen, die keine Erfahrung mit solchen Systemen haben. Leider kam es dabei zu Zwischenfällen, in denen beispielsweise die Identität des Hinweisgebers offengelegt wurde. Wählen Sie den Dienstleister daher mit größter Sorgfalt aus. 

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Die „Whistleblowing-Richtlinie“ – Richtlinie (EU) 2019/1937 des Europäischen Parlamentes und des Rates vom 23. Oktober 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden – dient einerseits dem Schutz von Hinweisgebenden, die Verstöße gegen EU-Recht melden wollen und verpflichten andererseits öffentliche und private Organisationen sowie Behörden dazu, sichere Kanäle für die Meldung von Missständen einzurichten. Die Vorgaben der EU-Richtlinie sowie die datenschutzrechtlichen Implikationen soll der nachfolgende Beitrag aufzeigen.

INHALTE DER RICHTLINIE

Unternehmen mit mehr als 50 Beschäftigten müssen interne Meldekanäle einrichten. Das Meldeverfahren lässt sich im Wesentlichen in drei Stufen unterteilen:

(1) Interne Meldung,
(2) Meldung an die zuständige Behörde,
(3) Meldung an die Öffentlichkeit.

Gemäß Art. 9 RL-EU 2019/1937 müssen die Meldekanäle eine Meldung in schriftlicher, mündlicher oder persönlicher Form ermöglichen. Jegliche übermittelte Information bedarf der Dokumentation in schriftlicher Form oder durch die Erstellung einer Tonaufzeichnung in dauerhafter und abrufbarer Form, jedoch muss nicht befugten Beschäftigten der Zugriff darauf verwehrt bleiben. Von besonderer Bedeutung ist der Schutz der Vertraulichkeit der Identität des Meldenden.

Das Unternehmen soll den Hinweisgebenden innerhalb von 3 Monaten nach Meldung umfassend unterrichten, wie mit dem Hinweis verfahren wurde und welche Folgemaßnahmen das Unternehmen geplant und ergriffen hat. Weiterhin besteht ein umfangreiches Verbot von Repressalien (z. B. Suspendierung, Kündigung, Herabstufung oder Versagung einer Beförderung, Nötigung, Einschüchterung, Mobbing oder Ausgrenzung, aber auch Nichtverlängerung befristeter Arbeitsverträge, Rufschädigung etc.). Auch gilt nunmehr eine Beweislastumkehr: Bisher mussten Hinweisgebende den Zusammenhang zwischen Meldung und Benachteiligung im Streitfall nachweisen. Nun muss Arbeitgeber bzw. das Unternehmen den (abweichenden) Grund für eine vermeintliche Benachteiligung darlegen und gegebenenfalls beweisen. Weiterhin ist kein Vorrang des internen vor dem externen Whistleblowing mehr vorgesehen, d.h. der Hinweisgebende muss den Hinweis nicht erst an das Unternehmen geben, sondern kann sich unmittelbar an externe Stellen wenden. Dabei sind die Motive des Hinweisgebenden irrelevant, d. h. selbst Hinweisgebende, die nur in der Absicht handeln, das Unternehmen zu schädigen, sind geschützt.

Vorgesehen sind Sanktionen für Unternehmen, die Meldungen behindern oder dies zumindest versuchen, Repressalien ergreifen oder die Identität des Hinweisgebenden unberechtigt preisgeben. Darüber hinaus wird ein Schadensersatzanspruch des Hinweisgebenden geschaffen.

DATENSCHUTZRECHTLICHE IMPLIKATIONEN

Die Meldung von Missständen birgt ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen. Nach Auffassung der Datenschutzkonferenz (DSK) lässt sich ein Whistleblowing-Meldeverfahren unter besonderer Berücksichtigung des von dem Unternehmen verfolgten Zwecks und der Einrichtungsmodalitäten datenschutzgerecht gestalten und betreiben (vgl. dazu „Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotline: Firmeninterne Warnsysteme und Beschäftigtendatenschutz“ Stand 14. November 2018). Da es sich bei Whistleblowing-Systemen um Verfahren nach Art. 38 Abs. 1 DS-GVO handelt, ist der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden.

Bekanntlich sind EU-Richtlinien in nationales Recht umzusetzen. Das ist hinsichtlich der Whistleblowing-Richtlinie in Deutschland bislang nicht erfolgt. Die Richtlinie hätte bis 17.12.2021 in nationales Recht umgesetzt werden müssen. Die neue Bundesregierung ist sich ihrer Umsetzungspflicht bewusst, ein konkreter Umsetzungszeitraum wird in dem Koalitionsvertrag allerdings nicht genannt. Mithin stellt sich die Frage, welche Wirkung die Whistleblower-Richtlinie bis zur Verabschiedung eines Umsetzungsgesetzes entfaltet. Grundsätzlich gilt, dass EU-Richtlinien keine unmittelbare Wirkung entfalten, sondern eines nationalen Umsetzungsaktes bedürfen. Daraus folgt für die Privatwirtschaft eine eindeutige Rechtslage im Hinblick auf die verpflichtende Einrichtung interner Hinweisgeber-Systeme: Unter Zugrundelegung der ständigen Rechtsprechung des Europäischen Gerichtshofs (EuGH) führt die Whistleblower-Richtlinie zu keiner unmittelbaren Einrichtungspflicht für natürliche und juristische Personen des Privatrechts.

Anders beurteilt sich die Lage für juristische Personen des öffentlichen Rechts. In Abgrenzung zu Privatpersonen nimmt der Unionsgesetzgeber mit der Einrichtungspflicht für den öffentlichen Bereich staatliche Akteure bzw. mit staatlichen Aufgaben betraute Stellen/Einrichtungen in die Pflicht. Für diese ist eine unmittelbare Wirkung von Richtlinienvorgaben nicht ausgeschlossen. Zudem normiert Art. 9 RL-EU 2019/ 1937 weitestgehend konkrete und inhaltlich unbedingte Vorgaben für die Gestaltung interner Hinweisgeber-Systeme. Die Einrichtungspflicht für juristische Personen des öffentlichen Rechts wirkt daher seit dem 18.12.2021 unmittelbar.

Für Unternehmen bleibt es auch 2022 wichtig, die Gesetzgebung im Auge zu behalten. Das deutsche Hinweisgeberschutzgesetz wird kommen. Die wesentlichen Anforderungen an Unternehmen und Behörden können der EU-Whistleblower-Richtlinie bereits entnommen werden. Prüfen Sie, welche der genannten Meldewege am praktikabelsten ins Unternehmen passen und bereiten Sie sich frühzeitig auf die Umsetzung unter Berücksichtigung datenschutzrechtlicher Anforderungen vor.

Über die Autorin: Carolin Rubel ist Rechtsanwältin und als externe Datenschutzbeauftragte beim Dresdner Institut für Datenschutz tätig. Im Fokus ihrer Beratungstätigkeiten liegen neben der Betreuung von Auftraggebern aus den allgemeinen Bereichen Industrie/Handel/Dienstleistung, spezialisiert Wohnungsunternehmen sowie kirchliche Stellen und Auftraggeber aus dem Gesundheitsbereich. Für Anregungen und Reaktionen zu diesem Beitrag können Sie die Autorin gern per E-Mail kontaktieren.