Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 11/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
03. Januar 2022

Whistleblowing: Hinweisgeberschutz leicht gemacht

Ein möglicher Fall für eine Whistleblowing-Hotline: Potenzielle Lieferanten bestechen die Kollegin, um an Aufträge zu kommen.
Bild: iStock.com / AndreyPopov
4,75 (4)
drucken
Inhalte in diesem Beitrag
Whistleblowing & Datenschutz
Auch wenn es nicht funktioniert hat, die Whistleblowing-Richtlinie der EU termingerecht in deutsches Recht umzusetzen, lohnt ein Blick darauf. Denn zum einen könnten sich Gerichte an der Richtlinie orientieren. Zum anderen muss sie früher oder später deutsches Recht werden.

Whistleblower (oder auf Deutsch „Hinweisgeber“) sind Personen, die Informationen über Missstände in Organisationen an einen Melde-Adressaten außerhalb oder innerhalb der Organisation melden. Dabei wird inzwischen zwischen offenem, vertraulichem oder auch anonymem Whistleblowing unterschieden – je nachdem, ob und wie die Identität des Hinweisgebers geheim gehalten wird.

Unabhängig von den Daten des Hinweisgebenden selbst übermittelt er in der Regel die Daten von beteiligten Personen, Zeugen etc. Es liegt auf der Hand, dass dies datenschutzrechtliche Risiken birgt.

Was sind Whistleblowing-Systeme?

Viele Organisationen, gleich ob behördlich oder privat, nutzen bereits jetzt Whistleblowing-Hotlines. Darüber melden Hinweisgeber Missstände. Das können z.B. spezielle Internet-Seiten, E-Mail-Postfächer oder telefonische Ansprechpartner sein.

Whistleblower sollen über die Systeme mit möglichst einfachen Mitteln Informationen weitergeben können, um den Unternehmensbestand, Geschäftsführer, Aktionäre und nicht zuletzt sich selbst zu schützen.

Während solche Hotlines in den USA für börsennotierte Unternehmen – und regelmäßig auch für ihre Tochterunternehmen – z.B. nach dem Sarbanes-Oxley Act zwingend vorgeschrieben sind, gab es bislang in der EU keine umfassenden Vorgaben.

Europäische Gesetzgebung

Die EU hat daher im Oktober 2019 eine Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden, erlassen (RL (EU) 2019/1937 v. 23.10.2019, ABl EU Nr. L 305 v. 26.11.2019, S. 17). Die sogenannte Whistleblower-Richtlinie (WBRL) ist am 16.12.2019 in Kraft getreten. Wie die Mitgliedstaaten die dort vorgegebenen Minimalregelungen umsetzen und ob sie ggf. auf nationaler Ebene über den Mindeststandard hinausgehen, kann jeder Mitgliedstaat selbst entscheiden. Frist zur Umsetzung war der 17.12.2021.

Aktuell: Lücken im ­Hinweis­geberschutz

Deutschland hat sowohl Hinweisgebersysteme als auch den Hinweisgeberschutz bislang eher nicht bis lückenhaft geregelt. Konkrete Regelungen beschränken sich auf einzelne Bereiche wie Arbeitsschutz oder Finanzdienstleistungen (z.B. § 17 Abs. 2 ArbSchG, § 48 GWG, § 4d Abs. 1 FinDAG, §§ 13, 17 AGG oder auch §§ 84 ff. BetrVG).

§ 612a Bürgerliches Gesetzbuch (BGB) sieht ein allgemeines Maßregelverbot vor: Danach dürfen Arbeitgeber Arbeitnehmerinnen und Arbeitnehmer nicht benachteiligen, wenn sie in zulässiger Weise ihre Rechte ausüben und z.B. einen internen Missstand melden. Der Arbeitnehmer muss jedoch nachweisen, dass er aufgrund der Meldung benachteiligt wurde. In der Praxis gelingt dies kaum.

Mit § 5 Geschäftsgeheimnisgesetz (GeschGehG), den der Gesetzgeber im April 2019 eingeführt hat, hat sich der Schutz auch nicht wirklich verbessert: Er regelt nur, dass kein Verstoß gegen das GeschGehG vorliegen soll, wenn die Offenlegung der Geschäftsgeheimnisse erfolgt, um ein berechtigtes Interesse zu schützen, also z.B. um eine Straftat aufzudecken.

Rechtsprechung zum Hinweisgeberschutz

Daneben haben sich die deutschen Arbeitsgerichte mit dem Thema beschäftigt und zumindest einige Leitlinien vorgegeben. Das betrifft etwa

  • die Vorrangstellung des Rechts auf freie Meinungsäußerung eines Hinweisgebers,
  • seinen Kündigungsschutz oder
  • den Vorrang der internen vor der externen Meldung.

Das Bundesarbeitsgericht (BAG) orientiert sich dabei an einem – bislang nicht abschließenden – Abwägungskatalog. Er berücksichtigt u.a. die Motive und die Selbstbetroffenheit des Hinweisgebers. Abwägungen sind gleichwohl subjektiv. Somit verbleibt eine erhebliche Rechtsunsicherheit hinsichtlich der Konsequenzen, die aus einer Meldung drohen.

Lösung: Hinweisgeberschutzgesetz?!

Diese Rechtsunsicherheit sollte das Hinweisgeberschutzgesetz beheben. Einen ersten Gesetzentwurf legte Ende 2020 das deutsche Ministerium für Justiz und Verbraucherschutz vor, auf den sich die Große Koalition im April 2021 jedoch nicht einigen konnte. Nicht auszuschließen ist aber, dass ab Dezember 2021 die Gerichte auf die WBRL zurückgreifen.

Zudem greift die neue Ampel-Koalition das Thema in ihrem Koalitionsvertrag auf und betont: „Wir setzen die EU-Whistleblower-Richtlinie rechtssicher und praktikabel um. Whistleblowerinnen und Whistleblower müssen nicht nur bei der Meldung von Verstößen gegen EU-Recht vor rechtlichen Nachteilen geschützt sein, sondern auch von erheblichen Verstößen gegen Vorschriften oder sonstigem erheblichen Fehlverhalten, dessen Aufdeckung im besonderen öffentlichen Interesse liegt.“ (https://ogy.de/koalitionsvertrag-2021, S. 111). Daher lohnt sich ein Blick in die Regelungen der WBRL.

Wesentlicher Inhalt der ­Whistleblower-Richtlinie

Die EU stellt mit der WBRL den Schutz der Hinweisgeberinnen und Hinweisgeber mehr in den Vordergrund und sieht u.a. detaillierte Regelungen für die Ausgestaltung von Whistleblower-Systemen sowie einzuhaltende Mindeststandards vor.

Pflicht, interne Systeme einzurichten

Neu ist die Verpflichtung, Whistleblowing-Systeme ab einer bestimmten Unternehmensgröße einzurichten. Gemäß Art. 8 WBRL ist die Einführung eines internen Whistleblowing-Systems für Unternehmen mit mehr als 50 Mitarbeitern und für bestimmte juristische Personen des öffentlichen Rechts verpflichtend (für Unternehmen mit 50 bis 249 Mitarbeitern gilt eine verlängerte Frist bis 17.12.2023).

Meldesysteme durch interne oder externe Stellen betreiben

Das System lässt sich intern oder durch einen externen Dienstleister betreiben. Hierbei sind Meldekanäle einzurichten – in der Regel telefonisch oder elektronisch –, die eine Meldung an eine neutrale Person ermöglichen. Es empfiehlt sich, in Prozessen festzulegen, wie mit den Meldungen umzugehen ist. Das umfasst auch Prozesse, wann wer wie beispielsweise mit dem Hinweisgeber in Kontakt tritt und wie der Sachverhalt beurteilt wird.

Eingang bestätigen und Rückmeldung

Der Hinweisgeber muss innerhalb von sieben Tagen eine Bestätigung über den Eingang seiner Meldung erhalten. Die Meldestelle ist auch verpflichtet, dem Hinweisgeber innerhalb von drei Monaten mitzuteilen, welche Konsequenzen die Meldung nach sich gezogen und welche Maßnahmen das Unternehmen ergriffen hat. Unabhängig davon kann das Unternehmen die begonnene Untersuchung weiterführen.

Technisch-organisatorische Maßnahmen zum Schutz der Daten

Das Meldesystem muss so konzipiert sein, dass Unbefugte nicht darauf zugreifen können und dass es die Identität von Hinweisgeber und Dritten schützt. Damit sind – entsprechend den Regelungen der Datenschutz-Grundverordnung (DSGVO) – geeignete technische und organisatorische Maßnahmen zu implementieren, um die dort verarbeiteten personenbezogenen Daten zu schützen.

Externe Meldestellen und Öffentlichkeit

Im Rahmen der Umsetzung der Whistleblower-Richtlinie muss der deutsche Gesetzgeber externe Meldestellen, d.h. also Behörden benennen, die Meldungen entgegennehmen bzw. bearbeiten.

Der Hinweisgeber kann sich sowohl an die interne als auch an die externe Meldestelle wenden. Das ist ein entscheidender Unterschied zur bisherigen Rechtslage in Deutschland. Eine direkte Meldung an die Öffentlichkeit, etwa an die Presse, soll allerdings das letzte Mittel sein. Das betrifft z.B. Fälle, in denen die Meldestelle untätig bleibt, in Notfällen oder wenn der Hinweisgeber der Auffassung ist, dass ein öffentliches Interesse besteht.

Persönlicher und sachlicher ­Anwendungsbereich

Geschützt werden künftig nicht nur Mitarbeitende des Unternehmens, sondern u.a. auch Bewerber, ausgeschiedene Mitarbeiter, Unterstützer des Hinweisgebers oder Journalisten. Nach der WBRL bezieht sich der Schutz des Hinweisgebers auf das Melden von Missständen zum EU-Recht in bestimmten Bereichen, z.B. Geldwäsche, öffentliche Gesundheit, Sicherheit von Netz- und Informationssystemen, Steuerbetrug oder auch Datenschutz.

Die Mitgliedstaaten können die Liste ergänzen. Entsprechend hatte die alte Regierung in ihrem Gesetzentwurf eine Erweiterung auf Meldungen, die das deutsche Recht betreffen, vorgesehen. Auch die neue Regierung will laut Koalitionsvertrag eine Erweiterung.

Schutz vor Repressalien und Beweislastumkehr

Die Richtlinie baut den Schutz von Hinweisgebern erheblich aus. Hat der Hinweisgeber zum Zeitpunkt der Meldung einen hinreichenden Grund zu der Annahme, dass die gemeldeten Informationen der Wahrheit entsprechen, ist er vor Repressalien wie Kündigung, Suspendierung oder Versagung einer Beförderung geschützt (Art. 19 ff. WBRL).

In diesem Zusammenhang ergibt sich für Unternehmen eine wesentliche Änderung: Kündigt das Unternehmen dem Whistleblower, muss es künftig beweisen, dass die Kündigung nicht aufgrund der Meldung erfolgt ist bzw. gerechtfertigte Gründe für die Kündigung vorliegen.

Praxis-Tipp

Die Beweislastumkehr birgt durchaus Missbrauchspotenzial. Unternehmen sollten den Hintergrund für ihre Maßnahmen gut dokumentieren, damit sich Mitarbeitende nicht indirekt über eine Meldung einen zusätzlichen (ggf. unbegründeten) Schutz vor Maßnahmen verschaffen. Verbreitet der Hinweisgeber hingegen wissentlich falsche Meldungen, entfällt der Schutz, und es drohen ihm Schadenersatzforderungen.

Und der Datenschutz?!

Eine Anzeige ist automatisch damit verbunden, Daten des möglichen Täters oder auch anderer Dritter zu benennen – mit allen Konsequenzen insbesondere für den Täter.

Im Dilemma befindet sich auch der Hinweisgeber: Nennt er seinen Namen und hat er den angezeigten Täter falsch beschuldigt, kann er selbst Sanktionen ausgesetzt sein. Daneben muss er Reaktionen des Angezeigten befürchten, sofern sein Name nicht vertraulich behandelt wird. Die WBRL sieht insofern in Art. 17 ausdrücklich vor, dass sämtliche Datenverarbeitungen im Anwendungsbereich der WBRL den Vorgaben der DSGVO entsprechen müssen (vgl. auch Erwägungsgrund 83 ff. der DSGVO).

Problem Transparenzpflichten

In der Konsequenz müssen Verantwortliche die Transparenzpflichten der DSGVO umsetzen. Das hat möglicherweise zur Folge, dass sich keine umfassende Anonymität wahren lässt. Alle Beteiligten sind über den Umgang mit ihren Daten und über ihre Rechte (inklusive möglicher Widerspruchsrechte) innerhalb der gesetzlichen Fristen zu informieren.

Während dies gegenüber dem Whistleblower im Einklang mit Art. 13 DSGVO noch relativ einfach z.B. auf der Webseite des Verantwortlichen erfolgen kann, wird dies hinsichtlich der Gemeldeten schwieriger: Hier ist nach Art. 14 DSGVO abzuwägen, wann diese Information erfolgen kann bzw. soll. Verantwortliche werden im Einzelfall abzuwägen haben, ob einer der Ausnahmetatbestände von Art. 14 DSGVO in Verbindung mit § 29 Bundesdatenschutzgesetz (BDSG) vorliegt, der eine spätere Information ermöglicht, um den Ermittlungserfolg nicht zu gefährden.

Weiterhin stehen den betroffenen Personen umfassende Rechte auf Auskunft, Löschung etc. zu (Art. 12 ff. DSGVO) – auch das kann zu Interessenkonflikten führen.

Vertraulichkeit

Die WBRL überlässt es den Mitgliedstaaten, Regelungen zur Vertraulichkeit zu schaffen. Der Entwurf zum Hinweisgeberschutzgesetz hatte solche Regelungen vorgesehen, die einerseits die Vertraulichkeit sicherstellten und andererseits für bestimmte Fälle eine Durchbrechung zuließen. Hier bleibt abzuwarten, was die Zukunft konkret bringen wird.

Unternehmen sollten sich dabei gleichwohl an der DSGVO orientieren und die Orientierungshilfe der Datenschutzkonferenz zu Whistleblowing-Hotlines zurate ziehen (siehe https://ogy.de/oh-whistleblowing-hotlines).

Fazit: Erste Prozesse einrichten und Orientierungshilfe nutzen

Mangels Umsetzung der WBRL in das deutsche Recht bleibt es derzeit datenschutzrechtlich zunächst beim Spannungsfeld zwischen Transparenz und Anonymität – und in der Konsequenz bei der Anwendung der Orientierungshilfe der Datenschutzkonferenz.

Doch auch ohne Umsetzung der Richtlinie sollten Unternehmen sich mit den dargestellten Mindestanforderungen der WBRL vertraut machen und erste Prozesse installieren. Denn orientieren sich Gerichte bei künftigen Rechtsstreitigkeiten an der WBRL, könnte insbesondere die Verlagerung der Beweislast dazu führen, dass die Gerichte für den Schutz des Hinweisgebers andere Maßstäbe anlegen als bisher.

Zudem steigert ein funktionierendes internes Hinweisgeber-System die Bereitschaft, zunächst intern und nicht direkt extern an eine Behörde zu melden. Es empfiehlt sich, die Prozesse, Dokumentationen und Richtlinien jetzt zu aktualisieren. Nicht vergessen: den Betriebsrat einbinden, wenn z.B. Meldepflichten der Arbeitnehmer bestehen oder Unternehmen ein elektronisches Whistleblowing-System einführen, das eine Leistungs- und Verhaltenskontrolle ermöglicht.

Silvia C. Bauer

Silvia C. Bauer
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
Betriebsrat
drucken
Verfasst von
Silvia Bauer
Silvia C. Bauer
Silvia C. Bauer ist Rechtsanwältin mit Schwerpunkt Datenschutz und Compliance bei der Luther Rechtsanwaltsgesellschaft mbH in Köln.
Verwandte Beiträge
26. September 2024
DP+
Phishing-Tests sind ein wichtiges Hilfsmittel, um Unternehmen resilienter gegen Cyberbedrohungen zu machen. Doch sie bergen Tücken im Hinblick auf den Datenschutz.
Bild: iStock.com/Baris-Ozer

Phishing-Tests: Richtig gemacht, Daten geschützt

Ratgeber
Betriebsrat Checklisten IT-Sicherheit
17. Oktober 2023
Ein Betriebsrat kann sich nicht darauf zurückziehen, dass er nur Teil des Verantwortlichen ist. Wie alle anderen Abteilungen muss er seinen Part beitragen, um die DSGVO zu erfüllen.
Bild: iStock.com / fizkes

Betriebsrats-Vorsitzender und zugleich DSB - ist das zulässig?

Urteil
Betriebsrat
07. Februar 2023
DP+
OKR lassen sich datenschutzkonform einsetzen- wenn Sie einige Punkte beachten
Bild: iStock.com / PlargueDoctor

Datenschutz bei OKR (Teil 2)

Ratgeber
Betriebsrat
30. November 2022
DP+
Ein Betriebsrat kann sich nicht darauf zurückziehen, dass er nur Teil des Verantwortlichen ist. Wie alle anderen Abteilungen muss er seinen Part beitragen, um die DSGVO zu erfüllen.
Bild: iStock.com / fizkes

Betriebsrat & DSGVO – was ist formal zu beachten (Teil 3)?

Ratgeber
Betriebsrat
18. November 2022
DP+

Checkliste: Das gehört ins Datenschutzkonzept des Betriebsrats

Downloads
Betriebsrat Checklisten Vorlagen
weitere Beiträge laden
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.