Hinweisgeber oder Whistleblower tauchen in den Medien häufig im Zusammenhang mit Regierungsinstitutionen oder Konzernen auf, berühmte Beispiele sind z.B. Edward Snowden oder die ehemalige Facebook-Mitarbeiterin Frances Haugen. Mit einer EU-Richtlinie sollen Whistleblower nun auch in kleineren Unternehmen vor möglichen Repressalien geschützt und interne Meldekanäle für Hinweisgeber gefördert werden.
Whistleblower-Richtlinie der EU und das Hinweisgeberschutzgesetz
Seit dem 16. Dezember 2019 ist die EU-Richtlinie zum Hinweisgebersystem in Kraft getreten, bis zum 17. Dezember 2021 soll diese von den Mitgliedsstaaten in nationales Recht überführt werden. Ein erster Gesetzesentwurf wurde im April diesen Jahres von der CDU/CSU gekippt, seitdem konnte sich die große Koalition nicht auf ein Hinweisgeberschutzgesetz einigen.
Im Koalitionsvertrag aus SPD, FDP und Grünen ist ein Bekenntnis zur Whistleblower-Richtlinie zwar enthalten, angesichts der knappen Zeit ist es jedoch unwahrscheinlich, dass ein entsprechendes Gesetz rechtzeitig verabschiedet wird. Die Ampel-Parteien deuten allerdings an, in der deutschen Umsetzung über die Vorgabe der EU hinauszugehen und neben Meldungen zu Verstößen gegen EU-Recht, auch Meldungen zu deutschem Recht zu berücksichtigen. Unklar ist aktuell, ob sich Whistleblower auf die EU-Richtlinie berufen können, wenn bis zum Ablauf der Frist kein entsprechendes Gesetz vorliegt.
Was Unternehmer beachten müssen
In den Anwendungsbereich der Richtlinie fallen zunächst nur Verstöße gegen das Unionsrecht, darunter:
- öffentliches Auftragswesen,
- Finanzdienstleistungen, Finanzprodukte und Finanzmärkte sowie Verhinderung von Geldwäsche und Terrorismusfinanzierung,
- Produktsicherheit und -konformität,
- Verkehrssicherheit,
- Umweltschutz,
- Strahlenschutz und kerntechnische Sicherheit,
- Lebensmittel- und Futtermittelsicherheit, Tiergesundheit und Tierschutz,
- öffentliche Gesundheit,
- Verbraucherschutz,
- Schutz der Privatsphäre und personenbezogener Daten sowie Sicherheit von Netz- und Informationssystemen.
Der Gesetzgeber hat aber die Möglichkeit, diesen Bereich zu erweitern und wird dies aller Voraussicht nach auch tun.
Für sämtliche in diesen Bereichen abgegebenen Meldungen müssen Unternehmer folgende Dinge beachten:
- Unternehmen mit mehr als 50 Mitarbeitern und Behörden und Kommunen mit mehr als 10.000 Einwohnern müssen einen Meldekanal für Compliance-Verstöße einrichten
- Meldungen können schriftlich, mündlich oder persönlich erfolgen, die Kanäle müssen aber jederzeit erreichbar sein
- Meldungen können von Arbeitnehmern (inkl. Bewerber und Praktikanten), Selbstständigen, Anteilseignern und Mitarbeitern von Auftragnehmern, Unterauftragnehmern und Lieferanten erfolgen
- Whistleblower können zwischen internen Kanälen und externen Kanälen (die zuständige Behörde) wählen; unter bestimmten Voraussetzungen kann ein Whistleblower auch direkt an die Öffentlichkeit gehen, ohne den Schutz vor Repressalien zu verlieren
- Hinweisgeber müssen spätestens 7 Tage nach Abgabe der Meldung eine Eingangsbestätigung erhalten & innerhalb von 3 Monaten eine Rückmeldung zu den eingeleiteten Maßnahmen
Unter „Repressalien“ werden sämtliche Handlungen des Unternehmens verstanden, die durch eine Meldung ausgelöst wurden, aus denen ein ungerechtfertigter Nachteil für den Hinweisgeber entstehen kann. Darunter fallen arbeitsrechtliche Konsequenzen wie z.B.:
- Kündigung,
- Nichtverlängerung der Befristung,
- Nichtbeförderung,
- Nachteilige Veränderung der Arbeitsbedingungen,
- Aufgabenverlagerung,
- Änderung des Arbeitsortes oder der Arbeitszeit,
- Gehaltsminderung, negative Leistungsbeurteilung,
- Einschüchterung oder Rufschädigung.
Meldekanäle
Eine Meldung kann grundsätzlich in drei verschiedenen Eskalationsstufe erfolgen:
Ein Whistleblower muss hierbei nicht zwangsweise alle drei Stufen durchlaufen. Die EU-Richtlinie empfiehlt zwar zunächst auf interne Kanäle zurückzugreifen, lässt dem Hinweisgeber aber die Wahl. Hinweisgeber, die existierende Meldekanäle ignorieren und sich direkt an die Öffentlichkeit wenden, sollen allerdings nur in Ausnahmefällen vor sämtlichen Repressalien geschützt werden.
Interne Meldungen
Interne Meldekanäle können von einer hierfür benannten Person im Unternehmen oder von einem externen Dienstleister bereitgestellt werden. Grundsätzlich können interne Meldekanäle auf drei verschiedene Weisen eingerichtet werden:
Sollte intern ein Mitarbeiter als Empfänger von Hinweisen bestimmt werden, so ist hier darauf zu achten, dass sämtliche Anforderungen an einen solchen Kanal eingehalten werden. So gibt es bspw. ein Vertraulichkeitsgebot, das besagt, dass die Identität des Hinweisgebers nicht ohne ausdrückliche Zustimmung offengelegt werden darf. Wird bspw. der interne Datenschutzbeauftragte als Empfänger der Hinweise bestimmt, ist sicherzustellen, dass auch die interne IT-Abteilung keinen Zugriff auf das System oder die Daten haben, was in der Praxis kaum umzusetzen ist.
Daraus ergeben sich auch für andere interne Kanäle Herausforderungen. So wäre die Einrichtung eines internen E-Mail-Postfachs oder einer Voicebox ohne weiteres nicht rechtskonform, da die hauseigene IT-Abteilung hier jederzeit Zugriff auf die Daten hätte. Auch die persönliche Weitergabe von Hinweisen ist in der Praxis nur schwer umsetzbar, was bspw. die Terminfindung mit dem Hinweisgeber und die Wahl eines geeigneten Orts angeht, insbesondere wenn das Unternehmen mehrere Niederlassungen hat. Ein von Dritten administriertes, IT-gestütztes Meldesystem scheint derzeit eine Möglichkeit zur rechtskonformen Umsetzung der Richtlinie zu sein. Ebenso die Errichtung von mündlichen Meldekanälen bei Dritten, z.B. über eine Voicebox bei einem Rechtsanwalt.
Datenschutz und Anonymität von Hinweisgebern
Beim Aufbau eines IT-gestützten Hinweisgebersystems darf der Datenschutz nicht missachtet werden. Angefangen bei den Grundsätzen „Privacy by design“ und „Privacy by default“ muss das System datenschutzkonform aufgebaut werden. So dürfen im Sinne der Datenminimierung nur solche Daten erhoben werden, die zur Bearbeitung der Anfrage unbedingt erforderlich sind. In der Eingabemaske darf demnach zunächst nur das Textfeld, das für die Schilderung des Vorfalls vorgesehen ist, als erforderlich markiert werden. Die übrigen Felder (bspw. Kontaktdaten des Hinweisgebers, beteiligte Personen, betroffene Niederlassungen etc.) sind als freiwillig zu kennzeichnen. Sollte der Hinweisgeber anonym melden wollen, ist es in vielen Fällen sinnvoll, die Logfiles zu deaktivieren und damit die Erfassung von IP-Adresse und Geo-Daten zu unterbinden, die evtl. Rückschluss auf die Identität des Whistleblowers zulassen. Bei einer mündlichen Meldungsabgabe kann die Tonspur bspw. automatisch verzerrt werden, um solche Rückschlüsse zu verhindern.
Nach den Vorgaben der DS-GVO ist das Hinweisgebersystem in das Verzeichnis der Verarbeitungstätigkeiten (VVT) aufzunehmen und es ist eine Datenschutzfolgeabschätzung (DSFA) durchzuführen. Der Betreiber der Systems muss außerdem seinen Informationspflichten nach Art. 13 nachkommen und den Hinweisgeber im Rahmen einer Datenschutzerklärung über die genauen Umstände der Verarbeitung unterrichten.
Umgang mit internen Meldungen
Hat ein Hinweisgeber eine Meldung abgegeben, so muss dieser spätestens 7 Tage nach Abgabe der Meldung eine Eingangsbestätigung erhalten. Die Meldung muss dann zunächst eingeordnet werden, so wird bspw. die Echtheit überprüft und ob die Meldung in den Anwendungsbereich der Richtlinie fällt. Da anonyme Meldungen oft nur schwer auf ihre Echtheit geprüft werden können, lässt die EU-Richtlinie zunächst offen, inwieweit solche Hinweise bearbeitet werden müssen. Hier kann der Staat mit einem neuen Gesetzesentwurf Klarheit schaffen.
Nach einer ersten Einordnung kann die Meldung an eine unparteiische Person im Unternehmen weitergegeben werden, die dann Folgemaßnahmen einleitet. Hierbei ist die Identität des Hinweisgebers in jedem Fall zu schützen. Der Empfänger der Hinweise muss also nicht zwangsweise auch Folgemaßnahmen einleiten, bei einer Weitergabe der Meldung bleibt er aber mit dem Hinweisgeber in Kontakt, um eventuelle Rückfragen zu klären. Spätestens drei Monate nach Eingang der Meldung muss der Whistleblower dann eine Rückmeldung zu den vom Unternehmen eingeleiteten Maßnahmen erhalten. Sollte das Unternehmen diese Frist nicht einhalten, darf ein Hinweisgeber mit seiner Meldung an die Öffentlichkeit und genießt trotzdem den vollen Schutz des Gesetzgebers.
Externe Meldung und Offenlegung
Ein Hinweisgeber kann, wie unter „Meldekanäle“ beschrieben, auch direkt an externe Stellen, also die jeweils zuständige Aufsichtsbehörde melden. In diesem Fall hat das Unternehmen keinerlei Möglichkeiten zum Eingriff oder zur vorherigen Behebung des Missstandes, weshalb die internen Meldekanäle so ansprechend wie möglich gestaltet und kommuniziert werden sollten.
Ein Whistleblower hat zudem die Möglichkeit der Offenlegung, also einer Meldung an die Öffentlichkeit, wenn folgende Kriterien erfüllt sind:
- Die Frist zur Rückmeldung von eingeleiteten Maßnahmen ist verstrichen; gilt für interne wie auch für externe Meldungen.
- Der Verstoß kann eine unmittelbare oder offenkundige Gefährdung des öffentlichen Interesses darstellen, so z. B. in einer Notsituation oder bei Gefahr eines irreversiblen Schadens.
- Im Fall einer externen Meldung sind Repressalien zu befürchten oder aufgrund der besonderen Umstände des Falls bestehen geringe Aussichten, dass wirksam gegen den Verstoß vorgegangen wird, bspw. weil Beweismittel unterdrückt oder vernichtet werden könnten oder wenn zwischen einer Behörde und dem Urheber des Verstoßes Absprachen bestehen könnten oder die Behörde an dem Verstoß beteiligt sein könnte.
Fazit
Auch wenn die Richtlinie bisher noch nicht in deutsches Recht umgesetzt und die direkte Anwendbarkeit der EU-Richtlinie umstritten ist, sollten Unternehmer diese nun keinesfalls ignorieren.
Zum einen wird ein deutsches Gesetz aller Voraussicht nach zeitnah erfolgen und über die Vorgaben der EU hinausgehen, bspw. was die Meldekategorien betrifft, die unter den Schutz des Gesetzes fallen. Außerdem hat ein Hinweisgeber immer auch die die Möglichkeit zur direkten Meldung an die Behörde. Deshalb sollten Unternehmen die Umsetzung der Richtlinie und die Einrichtung von internen Meldekanälen als Chance begreifen, um interne Lösungen bei Verstößen zu finden und die Beteiligung von Dritten zu vermeiden.
Wichtig ist hierbei, dass die Mitarbeiter den Meldekanälen und den Empfängern der Meldungen vertrauen können und dass die Möglichkeit zur Nutzung von internen Kanälen ausreichend im Unternehmen kommuniziert werden.
Daniel Lüttgens