Whistleblowing
Whistleblower-Richtlinie und Hinweisgebergesetz
Die Odyssee des Hinweisgeberschutzgesetzes hat ein Ende gefunden. Nachdem Mitte Februar 2023 noch der Regierungsentwurf an der Zustimmung des Bundesrates scheiterte und darauhin ein Vermittlungsausschuss angerufen wurde, haben Bundestag und Bundesrat am 11. beziehungsweise 12. Mai 2023 dem Kompromisstext des Vermittlungsausschusses ihre Zustimmung gegeben.
Das neue Hinweisgeberschutzgesetz (HinSchG) ist die Reaktion auf die EU-Richtlinie 2019/1937 ("Whistleblower-Richtlinie") und hätte eigentlich spätestens zu Ende 2021 Einzug in das deutsche Recht halten sollen. Am 15. Februar 2023 hatte die Europäische Kommissin durch Klage vor dem EuGH den Druck auf Deutschland zur Umsetzung der Richtlinie weiter erhöht.
Unter Whistleblowing versteht man die Veröffentlichung von Missständen oder Fehlverhalten im Unternehmen durch Mitarbeiter. Das wohl bekannteste Beispiel für Whistleblowing ist der Fall des ehemaligen US-amerikanischen Geheimdienstmitarbeiter Edward Snowden, welcher im Jahr 2013 mit seinen Enthüllungen über das weltweite Ausmaß an Überwachungs- und Spionagetätigkeiten für Aufsehen sorgte.
Im Kern sieht das neue Gesetz vor, dass zur Meldung von Missständen in Unternehmen und Behörden Hinweisgebersysteme einzurichten sind und künftig hinweisgebende Personen vor beruflichen Repressalien geschützt werden.
Wer wird vom HinSchG geschützt?
Das Hinweisgeberschutzgesetz schützt sowohl hinweisgebende Personen als auch die Personen, die Gegenstand einer Meldung oder Offenlegung sind. Als hinweisgebende Personen zählt, wer im beruflichen Zusammenhang Informationen über Verstöße erlangt und diese unter Berücksichtigung der Regelungen des HinSchG meldet oder offenlegt. Außerdem sind Personen geschützt, die die hinweisgebende Person bei einer Meldung oder Offenlegung unterstützen.
Grundsätzlich muss die hinweisgebende Person zum Zeitpunkt der Meldung oder Offenlegung hinreichenden Grund zu der Annahme haben, dass die von ihr gemeldeten oder offengelegten Informationen der Wahrheit entsprechen und diese auch in den Anwendungsbereich des Hinweisgeberschutzgesetzes fallen. Entsprechendes gilt auch für die unterstützende Person.
Was ist ein Verstoß nach dem HinSchG?
Ein Verstoß nach dem HinSchG kann in einer rechtswidrigen Handlung oder in einem Unterlassen liegen. Entscheidend ist, dass der Verstoß im Rahmen einer beruflichen, unternehmerischen oder dienstlichen Tätigkeit erfolgte. Der Katalog des § 2 HinSchG kennt eine Vielzahl von potenziellen Verstößen. Zum einen zählen Straftaten als Verstoß, aber auch bußgeldbewehrtes Verhalten kann einen Verstoß darstellen, sofern die Bußgeldvorschrift dem Schutz von Leben, Leib und Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient.
Dazu kommen unter anderem auch Verstöße gegen Vorgaben
zur Produktsicherheit,
zur Straßenverkehrssicherheit,
zum Umweltschutz,
zu Verbraucherrechten,
zum Datenschutz oder
zum Steuerrecht.
Außerdem fallen speziell verfassungsfeindliche Aussagen von Beamten unter den Anwendungsbereich des HinSchG. Handlungen oder Unterlassen müssen nicht unbedingt unmittelbar rechtswidrig sein, es reicht ein Verhalten, dass in missbräuchlicher Weise dem Zweck der in § 2 genannten gesetzlichen Regelungen zuwider läuft.
Meldung und Offenlegung
Im Falle einer Meldung übermittelt die hinweisgebende Person Informationen über Verstöße an eine interne oder externe Meldestelle. Informationen über Verstöße müssen aus dem beruflichen Kontext der hinweisgebenden Person stammen. Umfasst sind danach tatsächliche oder mögliche Verstöße beim Beschäftigungsgeber oder einer anderen Stelle, die in einem beruflichen Kontakt mit der hinweisgebenden Person stand. Die hinweisgebende Person kann entscheiden, ob sie sich an eine interne oder externe Meldestelle wendet.
In jedem Fall muss die Meldestelle die Identität der hinweisgebenden Person und die Identitä der in der Meldung genannten Personen vertraulich behandeln. Zwar sollen interne und externe Meldestellen auch anonyme Meldungen bearbeiten, jedoch besteht grundsätzlich keine Verpflichtung zur Einrichtung von Meldekanälen, die die Abgabe von anonymen Meldungen ermöglichen. Andererseits ist die interne Meldung zu bevorzugen, sofern intern wirksam gegen den Verstoß vorgegangen werden kann und keine Repressalien zu befürchten sind.
Bei einer Offenlegung werden die Informationen der Öffentlichkeit zugänglich gemacht. Die Offenlegung ist gegenüber der Meldung nachrangig. Das heißt, der Schutz des HinSchG bei einer Offenlegung greift bei unterschiedlichen, klar definierten, Kriterien.
Die hinweisgebende Person muss, zunächst erfolglos, den externen Meldeweg bestritten haben.
Die Person darf davon ausgehen, dass aufgrund eines Notfalls oder einer Gefahr, nicht umkehrbarer Schäden oder ähnliches das öffentliche Interesse gefährdet ist
Es besteht die Gefahr, dass die hinweisgebende Person bei externer Meldung mit Repressalien zu rechnen hat.
Es ist damit zu Rechnen, dass bei einer Meldung an eine externe Meldestelle damit zu rechnen, dass Beweismittel unterdrückt oder vernichtet werden könnten.
Welchen Schutz genießen Whistleblower?
Whistleblower sollen vor Repressalien geschützt werden, genauer gesagt vor negativen Konsequenzen im beruflichen Kontext, beispielsweise Kündigung oder deren Androhung. Sofern dennoch Repressalien gegenüber dem Hinweisgeber ausgeübt werden, steht dem Hinweisgeber ein Schadensersatzanspruch zu. Nicht umfasst sind immaterielle Schäden wie Schmerzensgeld bei psychischen Belastungen durch Mobbing oder Stalking in Folge einer Meldung oder Offenlegung.
Achtung: Im Falle einer grob fahrlässigen oder vorsätzlichen Falschmeldung ist der Hinweisgeber zum Schadensersatz verpflichtet. Die Offenlegung unrichtiger Informationen ist ausdrücklich verboten und kann neben Schadensersatzforderungen ein Bußgeld von bis zu 20.000 Euro zur Folge haben.
Welche Pflichten kommen auf Arbeitgeber zu?
Grundsätzlich trifft private Arbeitgeber ab einer regelmäßigen Beschäftigtenzahl von 50 ab dem 17. Dezember 2023 die Pflicht zur Einrichtung einer internen Meldestelle. Die in § 12 Abs. 3 HinSchG genannten Arbeitgebergruppen trifft diese Pflicht jedoch schon bei weniger als 50 Beschäftigten und zeitlich bereits seit dem 2. Juli 2023.
Zur Einrichtung einer internen Meldestelle kann eine oder mehrere beschäftigte Personen mit den Aufgaben einer internen Meldestelle betraut werden. Außerdem besteht die Möglichkeit einen Dritten, beispielsweise eine Kanzlei, mit den Aufgaben einer internen Meldestelle zu betrauen. Konzerne dürfen eine zentrale Meldestelle für alle Einzelgesellschaften einrichten.
Des Weiteren ist es zulässig, dass mehrere Arbeitgeber mit einer regelmäßigen Beschäftigtenzahl von 50 bis 249 eine gemeinsame interne Meldestelle einrichten und betreiben. Sofern eine interne Meldestelle eingerichtet ist, hat der Arbeitgeber Anreize dafür zu schaffen, dass sich Hinweisgeber zunächst an die interne Meldestelle wenden und nicht direkt an eine externe.
Internen Meldestellen müssen die notwendigen Befugnisse zur Wahrnehmung ihrer Aufgaben erteilt werden. Dazu gehören der Betrieb von Meldekanälen sowie die Verfahrensdurchführung und Ergreifung von Folgemaßnahmen.
Außerdem hat der Arbeitgeber dafür Sorge zu tragen, dass die beauftragten Personen über entsprechende Fachkunde verfügen, dass sie in ihrer Arbeit unabhängig sind und sofern sie noch andere Aufgaben und Pflichten wahrnehmen, diese nicht zu Interessenkonflikten führen. Im Falle eines Verstoßes trifft den Arbeitgeber die Pflicht geeignete Maßnahmen zu ergreifen, um diesen abzustellen.
Achtung: Verstöße gegen die Vorschriften des Hinweisgeberschutzgesetzes können Ordnungswidrigkeiten darstellen und ein Bußgeld von bis zu 50.000 Euro zur Folge haben.
Ausnahmen von der Anwendung des Hinweisgeberschutzgesetzes?
Um möglichst allen Interessen gerecht zu werden, sieht das HinSchG verschiedene Ausnahmen vor. So fallen Meldungen und Offenlegungen, die Informationen von Bedeutung für die nationale Sicherheit enthalten, nicht unter den Schutz des HinSchG. Auch solche Informationen, welche die Verschwiegenheitspflichten bestimmter Berufsträger, wie Ärzte und Rechtsanwälte, untergraben würden, sind nicht geschützt.
Darüber hinaus berücksichtigt das HinSchG die Interessen an einem funktionierenden Knowhow-Schutz, indem es zusätzliche Anforderungen aufstellt für den Fall, dass Meldungen oder Offenlegungen Geschäftsgeheimnisse beinhalten. So muss die hinweisgebende Person hinreichenden Grund zu der Annahme haben, dass die Weitergabe oder die Offenlegung der Geschäftsgeheimnisse notwendig ist, um einen Verstoß aufzudecken.
Umsetzung interner Hinweisgebersysteme
Von besonderer praktischer Relevanz für Unternehmen ist die Umsetzung der internen Hinweisgebersysteme. Dabei rücken insbesondere IT-basierte Hinweisgebersysteme, wie ein E-Mail-Postfach, eine Telefon-Hotline, ein Chat- oder Talk-Bot sowie eine Online-Plattform in den Fokus. Neben dem Umstand, dass interne Hinweisgebersysteme so konzipiert, eingerichtet und betrieben werden müssen, dass die Identität des Hinweisgebers und Dritter, die in der Meldung erwähnt werden, stets vertraulich bleibt und unbefugten Mitarbeitern der Zugriff darauf verwehrt wird, ist die Einhaltung der Vorschriften der DSGVO von besonderer Bedeutung.
Die besonderen Herausforderungen an die Etablierung interner Hinweisgebersysteme unter Einhaltung der Vorschriften der DSGVO werden durch die Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines deutlich. Um das Spannungsverhältnis zwischen dem Referentenentwurf des Hinweisgeberschutzgesetzes und der DSGVO aufzuzeigen, sollen nachstehend exemplarisch durch das Hinweisgeberschutzgesetz tangierte Grundsätze der DSGVO im Überblick angeführt werden.
Rechtsgrundlage für die Verarbeitung der erhaltenen personenbezogenen Daten: Als Rechtsgrundlagen kommen das Hinweisgeberschutzgesetz, das Gesetz über das Kreditwesen sowie Art. 6 Abs. 1 lit. c DSGVO in Betracht. Die bei Art. 6 Abs. 1 lit. f DSGVO gebotene Interessenabwägung wird bei konkreten, auf relevante Verfehlungen hinweisenden Verdachtsmomenten zumeist zugunsten des berechtigten Interesses des Unternehmens ausfallen, insbesondere wenn dadurch u.a. auch rechtliche Konsequenzen durch Strafverfolgung, Schadensersatzforderungen und Imageschaden vermieden werden sollen.
Informationspflichten: Werden personenbezogene Daten ohne Kenntnis der betroffenen Person verarbeitet, besteht für den Verarbeiter eine Informationspflicht gem. Art. 14 DSGVO. Diese Informationspflicht kann jedoch gem. Art. 14 Abs. 5 lit. b DSGVO so lange aufgeschoben werden, solange die Gefahr einer Beeinträchtigung einer wirksamen Untersuchung des Vorwurfs oder Sammlung der erforderlichen Beweise besteht. Insofern steht die Informationspflicht der Aufklärung eines möglichen Verstoßes nicht entgegen.
Auskunftsansprüche: Der Auskunftsanspruch nach Art. 15 DSGVO kollidiert zwar mit einer für das Meldeverfahren möglichen anonymen Meldung. Eine Auskunftsverpflichtung besteht jedoch gem. Art. 23 Abs. 1 lit. d und lit. i DSGVO dann nicht, wenn durch Rechtsvorschriften der Union oder der Mitgliedstaaten zur Verhütung oder Aufdeckung von Straftaten oder zum Zweck des Schutzes der betroffenen Person oder Rechte und Freiheiten anderer Personen beschränkt wird. Eine solche Beschränkung findet sich in § 29 Abs.1 Satz 2 Bundesdatenschutzgesetz (BDSG), wonach das Recht auf Auskunft nicht besteht, soweit durch die Auskunft Informationen offenbart würden, die wegen der überwiegenden berechtigten Interessen eines Dritten geheim gehalten werden müssen.
Datenschutzfolgenabschätzung notwendig: Unter Berücksichtigung der möglichen Folgen ist von einer hohen Datensensibilität bei durch IT-basierte Hinweisgebersysteme gesammelten Daten auszugehen. Dadurch gelten gemäß Art. 32 DSGVO erhöhte Anforderungen an technische und organisatorische Maßnahmen. Von besonderer Bedeutung sind
ein Berechtigungskonzept,
eine Passwortrichtlinie sowie
die hinreichende Pseudonymisierung oder Verschlüsselung der Daten.
Auch sollte eine Datenschutzfolgenabschätzung nach Art. 35 Abs. 3 DSGVO durchgeführt werden.
Wird das interne Hinweisgebersystem ausgelagert, ist ebenfalls daran zu denken, dass mit allen an einem Hinweisgebersystem beteiligten Dienstleistern Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO abgeschlossen werden.
Know-how-Schutz durch das Geschäftsgeheimnisgesetz: Neben dem Hinweisgeberschutz ist auch das Gesetz zum Schutz von Geschäftsgeheimnissen für den Schutz von Whistleblowern relevant. Das Gesetz befasst sich mit dem Schutz von Informationen, welche aufgrund ihrer wirtschaftlichen Bedeutung für Unternehmen äußerst wichtig und somit besonders schützenswert sind. Im Gesetz sind sowohl erlaubte Handlungen als auch Handlungsverbote festgehalten. Trotzdem lässt es über die angegebenen, allerdings nicht abschließenden, Rechtfertigungsgründe noch "Spielraum" hinsichtlich der Erlangung sowie der Nutzung oder Offenlegung für berechtigte Interessen. Diese berechtigten Interessen können sowohl ideeller als auch wirtschaftlicher Art sein.
So fällt beispielsweise der Whistleblower-Schutz unter die Rechtfertigungsgründe für eine Offenlegung. Demnach ist die Offenlegung vertraulicher Informationen zur Aufdeckung einer rechtswidrigen Handlung oder eines beruflichen oder sonstigen Fehlverhaltens gerechtfertigt, wenn die das Geschäftsgeheimnis erlangende, nutzende oder offenlegende Person (der Whistleblower) in der Absicht handelt, das allgemeine öffentliche Interesse zu schützen. Damit wird dem potenziellen Whistleblower zwar die Bürde aufgelastet, eine Prüfung der Rechtmäßigkeit der vermeintlich rechtwidrigen Handlung vorzunehmen sowie berufliches oder sonstiges Fehlverhalten in ihrer Schwere zu bewerten.
Da das Gesetz aber nicht davor abschrecken soll, aus Angst vor eigenen rechtlichen Konsequenzen Fehlverhalten zu melden, obliegt dem Geheimnisträger die Nachweispflicht. Das betroffene Unternehmen muss darlegen, weshalb eben kein Rechtfertigungsgrund in Form von öffentlichem Interesse oder unethischem Verhalten vorliegt. (bw)