In den letzten Jahren rückte das Thema Whistleblower-Schutz verstärkt in das öffentliche Bewusstsein und wurde zunehmend in der Politik und in den Medien diskutiert. Anlass hierfür ist die vom EU-Parlament beschlossene „Whistleblower-Richtlinie“, welche seit 16.12.2019 in Kraft ist und bis 17.12.2021 in nationales Recht umgesetzt werden muss.
Die Whistleblower-Richtlinie verpflichtet Unternehmen und Organisationen, ein Hinweisgebersystem einzurichten, über das Mitarbeiter, Geschäftspartner und Kunden mögliche Gesetzesverstöße mündlich oder schriftlich, offen oder anonym, melden können und die Unternehmen diesen Hinweisen dann auch nachgehen müssen. Die Person im Unternehmen, die Meldungen entgegennimmt oder bearbeitet, muss hierfür unabhängig sein und darf bei der Tätigkeit nicht in einen Interessenkonflikt kommen.
Ziel
Grundlegendes Ziel des Gesetzes ist, die Aufdeckung und Unterbindung von Verstößen zu forcieren, gleichzeitig jedoch auch den Hinweisgeber („Whistleblower“) sowie gegebenenfalls Dritte, die bei der Meldung unterstützen, besser zu schützen, sodass für diese keine negativen zivil-, straf- oder verwaltungsrechtlichen oder internen Konsequenzen als Folge der Meldung zu befürchten sind.
Das Hinweisgeberschutzgesetz (HinSchG) macht keinen Unterschied hinsichtlich der Organisation (§ 1 HinSchG-E). Es soll für Unternehmen und Behörden gleichermaßen gelten und stellt somit die gleichen Anforderungen an nicht-öffentliche wie auch öffentliche Stellen. Eines der Hauptziele, sowohl auf EU- als auch auf nationaler Ebene, ist, Anonymität für den Hinweisgeber zu gewähren und sicherstellen zu können. Das Gesetz sieht keine Pflicht einer anonymen Meldung vor.
Datenschutz
Die datenschutzrechtlichen Vorgaben bleiben von der Whistleblower-Gesetzgebung unberührt, d. h. die DSGVO, das BDSG und andere spezialgesetzliche Normen sind auch hier im Umgang mit den personenbezogenen Daten einzuhalten. Dies sind vorrangig, das Auskunftsrecht (Art. 15 DSGVO), die Informationspflicht des Verantwortlichen (Art. 14 DSGVO), die technisch-organisatorischen Maßnahmen (Artt. 32, 25 DSGVO), das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) sowie die Erforderlichkeit der Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO). Der (betriebliche bzw. behördliche) Datenschutzbeauftragte sollte rechtzeitig informiert, in die Planung involviert sowie bei der Implementierung beteiligt werden.
Spezialgesetzlich werden die Datenverarbeitungsbefugnisse in § 10 HinSchG-E normiert. Meldungen, die personenbezogene Daten enthalten und durch Meldestellen im Rahmen ihrer Aufgaben (§§ 13, 23 HinSchG-E) entgegengenommen werden, dürfen hiernach entgegengenommen, ausgewertet, bearbeitet und weitergegeben werden. Dies gilt auch für Folgemaßnahmen.
Nachweispflicht
Analog der Rechenschaftspflicht des Artikel 5 Abs. 2 der Datenschutz-Grundverordnung gilt auch beim HinSchG, dass die Organisation die Einhaltung nachweisen können muss. Vor allem ist es empfehlenswert – und eigentlich zwingend erforderlich – die Prozesse für die hinweisgebende Person transparent darzulegen.
Gemäß §§ 32 ff. HinSchG-E hat die Organisation Maßnahmen zu treffen, die die hinweisgebende Person insbesondere vor Repressalien und Benachteiligungen oder Offenlegung des Sachverhalts schützt. Der „Nichtschutz“, d.h. ein Verstoß gegen dieses Verbot, begründet Schadensersatzpflichten des Verursachers (z.B. unbefugte Offenlegung) gegenüber dem Hinweisgeber (§ 32 HinSchG-E) und ist gemäß § 39 Abs. 1 Nr. 3 HinSchG-E auch bußgeldbewährt.
Der Hinweisgeber soll außerdem für die Meldung oder Offenlegung der Informationen oder für daraus evtl. entstehenden Schäden auf Seiten des Betroffenen nicht verantwortlich gemacht werden können. Dies setzt aber voraus, dass der Hinweisgeber rechtmäßig Zugriff auf die Informationen nehmen konnte und Grund zu der Annahme hat, dass die Informationsweitergabe erforderlich war, um den Vorstoß aufzudecken (§ 34 HinSchG-E).
Meldekanäle
Diese gesetzlichen Anforderungen machen auch die Erforderlichkeit der Möglichkeit eines absolut vertrauenswürdigen Meldekanals ersichtlich. Eine weitestgehende Anonymität kann auch durch einen „neutralen“ und außerhalb der Organisation befindlichen Ansprechpartner (z.B. externer Datenschutzbeauftragter als Ombudsperson), gewährleistet werden. Im Wesentlichen lässt sich das Meldeverfahren in drei Stufen unterteilen: interne Meldung, Meldung an die zuständige Behörde und Meldung an die Öffentlichkeit.
Kommunikationswege:
- Telefonisch
Einrichtung einer telefonischen, für den Anrufer kostenlosen Hotline: Da die Meldung zu jeder Zeit möglich sein muss, muss bei einer persönlichen Hotline sichergestellt werden, dass diese permanent besetzt ist und sich keine sprachlichen Barrieren ergeben. - Persönlich / physisch
Auch hier bietet sich als direkter Ansprechpartner der Datenschutzbeauftragte an sowie der Compliance Officer oder die Revision. - E-Mail
Zugriff durch einen kleinen und definierten Kreis; vor allem ist aber zu gewährleisten, dass Abwesenheiten von Ansprechpartnern nicht zu Bearbeitungsverzögerungen führen. - Per Post
Die Post sollte möglichst durch die hinweisgebende Person entsprechend adressiert werden. Ungeachtet dessen muss bei der Bearbeitung des Posteingangs absolute Vertraulichkeit und Stillschweigen gewährleistet sein. - Ein IT-gestütztes Hinweisgebersystem ist gesetzlich nicht verpflichtend, aber möglich.
Sanktionen
Eine Zuwiderhandlung gegen Verpflichtungen aus dem HinSchG stellt eine Ordnungswidrigkeit dar und es drohen Bußgelder bis zu 100.000 Euro. Das Fehlen einer internen Meldestelle ist sanktionslos. Es liegt jedoch im eigenen Interesse der Organisation, eine interne Aufklärung zu ermöglichen und zu vermeiden, dass Hinweisgeber sich an die Öffentlichkeit wenden.
Verstoß gegen Schutz des Hinweisgebers
- Verbot von Repressalien (§ 35 HinSchG-E) mit Beweislastumkehr
- Schadensersatz nach Repressalien (§ 36 HinSchG-E)
- Bußgeldsanktionen (§ 39 HinSchG-E)
Verstoß gegen die Datenschutzbestimmungen
- sowohl in Bezug auf Hinweisgebende als auch vom Hinweis Betroffene
- Art. 82 DSGVO materielle und immaterieller Schaden
- Art. 83 DSGVO Geldbußen
Ausblick
Ob der Referentenentwurf des BMJV im Herbst 2021 das parlamentarische Verfahren durchläuft und die Frist bis zum 19. Dezember 2021 eingehalten werden kann, bleibt abzuwarten. Dies gilt auch für das Verbandssanktionengesetz.
Festzuhalten bleibt: Gelingt der Regierungskoalition die Verabschiedung nicht, droht Deutschland ein Vertragsverletzungsverfahren. Außerdem könnte sich eine hinweisgebende Person, sofern es die Verletzung von EU-Rechten betrifft, ggf. unmittelbar auf die EU-Whistleblower-Richtlinie berufen. Für die Organisationen bedeutet dies Rechtsunsicherheit und ggf. unterschiedliche staatsanwaltliche Ansätze.
Bis zum 17. Dezember 2021 bleibt nicht mehr viel Zeit – sowohl für den Gesetzgeber als auch für die Organisationen. Insbesondere für Unternehmen gilt: eine Übergangsfrist ist nicht geplant. Es sollte daher zeitnah mit der Prozessplanung begonnen werden – und der Datenschutzbeauftragte eingebunden werden.
Wenn Sie Fragen haben, kontaktieren Sie uns: consulting@AdOrgaSolutions.de.
Compliance ist ein Prozess – wir unterstützen Sie dabei.
Links:
- Richtlinie (EU) 2019/1937 des Europäischen Parlaments und des Rates vom 23. Oktober 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden.
Amtsblatt: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32019L1937&from=DE
- Referentenentwurf des Bundesministeriums der Justiz und Verbraucherschutz „Gesetz zum Schutz hinweisgebender Personen https://www.whistleblower-net.de/wp-content/uploads/2021/02/2020_11_26-Referentenentwurf-Whistleblowing-BMJV-1.pdf