Die „Whistleblowing-Richtlinie“ – Richtlinie (EU) 2019/1937 des Europäischen Parlamentes und des Rates vom 23. Oktober 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden – dient einerseits dem Schutz von Hinweisgebenden, die Verstöße gegen EU-Recht melden wollen und verpflichten andererseits öffentliche und private Organisationen sowie Behörden dazu, sichere Kanäle für die Meldung von Missständen einzurichten. Die Vorgaben der EU-Richtlinie sowie die datenschutzrechtlichen Implikationen soll der nachfolgende Beitrag aufzeigen.
INHALTE DER RICHTLINIE
Unternehmen mit mehr als 50 Beschäftigten müssen interne Meldekanäle einrichten. Das Meldeverfahren lässt sich im Wesentlichen in drei Stufen unterteilen:
(1) Interne Meldung,
(2) Meldung an die zuständige Behörde,
(3) Meldung an die Öffentlichkeit.
Gemäß Art. 9 RL-EU 2019/1937 müssen die Meldekanäle eine Meldung in schriftlicher, mündlicher oder persönlicher Form ermöglichen. Jegliche übermittelte Information bedarf der Dokumentation in schriftlicher Form oder durch die Erstellung einer Tonaufzeichnung in dauerhafter und abrufbarer Form, jedoch muss nicht befugten Beschäftigten der Zugriff darauf verwehrt bleiben. Von besonderer Bedeutung ist der Schutz der Vertraulichkeit der Identität des Meldenden.
Das Unternehmen soll den Hinweisgebenden innerhalb von 3 Monaten nach Meldung umfassend unterrichten, wie mit dem Hinweis verfahren wurde und welche Folgemaßnahmen das Unternehmen geplant und ergriffen hat. Weiterhin besteht ein umfangreiches Verbot von Repressalien (z. B. Suspendierung, Kündigung, Herabstufung oder Versagung einer Beförderung, Nötigung, Einschüchterung, Mobbing oder Ausgrenzung, aber auch Nichtverlängerung befristeter Arbeitsverträge, Rufschädigung etc.). Auch gilt nunmehr eine Beweislastumkehr: Bisher mussten Hinweisgebende den Zusammenhang zwischen Meldung und Benachteiligung im Streitfall nachweisen. Nun muss Arbeitgeber bzw. das Unternehmen den (abweichenden) Grund für eine vermeintliche Benachteiligung darlegen und gegebenenfalls beweisen. Weiterhin ist kein Vorrang des internen vor dem externen Whistleblowing mehr vorgesehen, d.h. der Hinweisgebende muss den Hinweis nicht erst an das Unternehmen geben, sondern kann sich unmittelbar an externe Stellen wenden. Dabei sind die Motive des Hinweisgebenden irrelevant, d. h. selbst Hinweisgebende, die nur in der Absicht handeln, das Unternehmen zu schädigen, sind geschützt.
Vorgesehen sind Sanktionen für Unternehmen, die Meldungen behindern oder dies zumindest versuchen, Repressalien ergreifen oder die Identität des Hinweisgebenden unberechtigt preisgeben. Darüber hinaus wird ein Schadensersatzanspruch des Hinweisgebenden geschaffen.
DATENSCHUTZRECHTLICHE IMPLIKATIONEN
Die Meldung von Missständen birgt ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen. Nach Auffassung der Datenschutzkonferenz (DSK) lässt sich ein Whistleblowing-Meldeverfahren unter besonderer Berücksichtigung des von dem Unternehmen verfolgten Zwecks und der Einrichtungsmodalitäten datenschutzgerecht gestalten und betreiben (vgl. dazu „Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotline: Firmeninterne Warnsysteme und Beschäftigtendatenschutz“ Stand 14. November 2018). Da es sich bei Whistleblowing-Systemen um Verfahren nach Art. 38 Abs. 1 DS-GVO handelt, ist der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden.
Bekanntlich sind EU-Richtlinien in nationales Recht umzusetzen. Das ist hinsichtlich der Whistleblowing-Richtlinie in Deutschland bislang nicht erfolgt. Die Richtlinie hätte bis 17.12.2021 in nationales Recht umgesetzt werden müssen. Die neue Bundesregierung ist sich ihrer Umsetzungspflicht bewusst, ein konkreter Umsetzungszeitraum wird in dem Koalitionsvertrag allerdings nicht genannt. Mithin stellt sich die Frage, welche Wirkung die Whistleblower-Richtlinie bis zur Verabschiedung eines Umsetzungsgesetzes entfaltet. Grundsätzlich gilt, dass EU-Richtlinien keine unmittelbare Wirkung entfalten, sondern eines nationalen Umsetzungsaktes bedürfen. Daraus folgt für die Privatwirtschaft eine eindeutige Rechtslage im Hinblick auf die verpflichtende Einrichtung interner Hinweisgeber-Systeme: Unter Zugrundelegung der ständigen Rechtsprechung des Europäischen Gerichtshofs (EuGH) führt die Whistleblower-Richtlinie zu keiner unmittelbaren Einrichtungspflicht für natürliche und juristische Personen des Privatrechts.
Anders beurteilt sich die Lage für juristische Personen des öffentlichen Rechts. In Abgrenzung zu Privatpersonen nimmt der Unionsgesetzgeber mit der Einrichtungspflicht für den öffentlichen Bereich staatliche Akteure bzw. mit staatlichen Aufgaben betraute Stellen/Einrichtungen in die Pflicht. Für diese ist eine unmittelbare Wirkung von Richtlinienvorgaben nicht ausgeschlossen. Zudem normiert Art. 9 RL-EU 2019/ 1937 weitestgehend konkrete und inhaltlich unbedingte Vorgaben für die Gestaltung interner Hinweisgeber-Systeme. Die Einrichtungspflicht für juristische Personen des öffentlichen Rechts wirkt daher seit dem 18.12.2021 unmittelbar.
Für Unternehmen bleibt es auch 2022 wichtig, die Gesetzgebung im Auge zu behalten. Das deutsche Hinweisgeberschutzgesetz wird kommen. Die wesentlichen Anforderungen an Unternehmen und Behörden können der EU-Whistleblower-Richtlinie bereits entnommen werden. Prüfen Sie, welche der genannten Meldewege am praktikabelsten ins Unternehmen passen und bereiten Sie sich frühzeitig auf die Umsetzung unter Berücksichtigung datenschutzrechtlicher Anforderungen vor.
Über die Autorin: Carolin Rubel ist Rechtsanwältin und als externe Datenschutzbeauftragte beim Dresdner Institut für Datenschutz tätig. Im Fokus ihrer Beratungstätigkeiten liegen neben der Betreuung von Auftraggebern aus den allgemeinen Bereichen Industrie/Handel/Dienstleistung, spezialisiert Wohnungsunternehmen sowie kirchliche Stellen und Auftraggeber aus dem Gesundheitsbereich. Für Anregungen und Reaktionen zu diesem Beitrag können Sie die Autorin gern per E-Mail kontaktieren.
