Die kleine Reihe: Whistleblowing-Richtlinie Teil 1

Das Thema Whistleblowing ist aktuell in aller Munde. Im Rahmen einer kleinen Reihe erläutern wir die wichtigsten Inhalte der Richtlinie, das geplante Hinweisgeberschutzgesetz und die Auswirkungen der Umsetzung auf den Datenschutzbereich. In Teil 1 geht’s darum, wie der aktuelle rechtliche Stand im Hinblick auf die Wirkung der EU-Richtlinie ist und welche Aufgaben erledigt werden sollten.

Die EU-Richtlinie „zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“

Am 23. Oktober 2019 wurde diese EU-Richtlinie (RL 2019/1937, kurz „Whistleblowing-Richtlinie“, „WB-RL“) beschlossen. Sie verfolgt zwei Ziele: Zum einen soll sichergestellt werden, dass das Unionsrecht besser durchgesetzt wird; zum anderen sollen die Personen, die Verstöße gegen das Unionsrecht melden, besser geschützt werden.

EU-Richtlinien müssen nach Erlass durch den europäischen Gesetzgeber von den EU-Mitgliedsstaaten in nationales Recht umgesetzt werden. Denn anders als eine EU-Verordnung (wie die DSGVO) wirkt eine EU-Richtlinie nicht unmittelbar in den Mitgliedsstaaten. Diese Umsetzungsfrist in nationales Recht lief am 17. Dezember 2021 ab.

Die aktuelle Situation

Deutschland (und weitere 22 Mitgliedstaaten) haben es nicht geschafft, die jeweils notwendigen Regelungen bis zum Fristablauf umzusetzen. Die ersten Entwürfe für ein nationales Gesetz lagen in Deutschland zwar bereits vor Fristablauf vor, eine Einigung konnte allerdings nicht erzielt werden. So kam es, dass wir heute noch immer kein nationales Whistleblowing-Gesetz haben, welches die Richtlinieninhalte umsetzt.

Doch es gibt Licht am Ende des Tunnels: Ein neuer Entwurf für ein „Gesetz für einen besseren Schutz hinweisgebender Personen“, kurz „Hinweisgeberschutzgesetz“ („HinSchG-E“) wurde im September 2022 durch die Bundesregierung vorgelegt und somit in den weiteren Gesetzgebungsprozess gegeben.

Aktuell rechnet man damit, dass das Gesetzgebungsverfahren nun zügig vonstattengeht, so dass das Gesetz noch in 2023 verabschiedet werden könnte und 3 Monate nach Verkündigung in Kraft treten kann.

Kerninhalte der EU-Richtlinie und des Hinweisgeberschutzgesetz-Entwurfs

Die EU-Richtlinie und das Hinweisgeberschutzgesetz (im Entwurf) normieren mehrere Pflichten für private und öffentliche Organisationen. Der zentrale Punkt ist dabei für Unternehmen die Einrichtung von Meldestellen. Grundsätzlich müssen sämtliche juristischen Personen des privaten und öffentlichen Sektors interne Meldestellen einrichten. Die Einrichtungspflicht gilt unabhängig von der jeweiligen Rechtsform. Ausgenommen sind lediglich juristische Personen mit weniger als 50 Beschäftigten (vgl. Art. 8 Abs. 3 WB-RL, § 12 Abs. 2 HinSchG-E).

Unabhängig von der Beschäftigtenanzahl sind gewisse Unternehmen immer zur Einrichtung von internen Meldestellen verpflichtet, bspw. Wertpapierdienstleistungsunternehmen, Börsenträger, Finanzdienstleister (vgl. § 12 Abs. 3 HinSchG-E).

Für private Beschäftigungsgeber mit in der Regel 50 bis 249 Beschäftigten gilt eine Übergangsfrist, für sie wird die interne Meldestelle erst ab dem 17.12.2023 verpflichtend (Art. 26 Abs. 2 WB-RL, § 42 HinSchG-E). Für größere Unternehmen mit 250 oder mehr Beschäftigten wird das Gesetz unmittelbar nach Veröffentlichung anwendbar.

Wie ist die Rechtslage denn nun in der Übergangsphase?

Sofern Richtlinien nicht fristgerecht in nationales Recht überführt werden, stellt sich die Frage, ob die betreffende EU-Richtlinie nun unmittelbar wirksam wird. Dies hätte zur Folge, dass Unternehmen bereits jetzt dazu verpflichtet wären, die Anforderungen der EU-Richtlinie (wie z.B. die Implementierung von Meldestellen) zu erfüllen. Eine solche unmittelbare Anwendung von EU-Richtlinien kann laut Rechtsprechung des EuGH allerdings nur in spezifischen Sonderfällen vorliegen, nämlich wenn die Bestimmungen der EU-Richtlinie zum einen uneingeschränkt, hinreichend klar und eindeutig sind sowie zum anderen der Mitgliedssaat die Richtlinie nicht fristgerecht umgesetzt hat. Die Umsetzungsfrist wurde, wie oben erläutert, im Fall der Whistleblowing-Richtlinie nicht eingehalten. Unklar ist aber die Beurteilung, ob die Bestimmungen der Whistleblowing-Richtlinie bereits ausreichend klar normiert sind. Hinzu kommt, dass eine unmittelbare Anwendung der EU-Richtlinie nach überwiegender Meinung nur gegenüber dem Staat selbst, also insbesondere öffentlichen Unternehmen, in Betracht kommt – nicht aber gegenüber privaten Organisationen (Vereine, Unternehmen, etc.). Im Ergebnis müssen private Organisationen die EU-Richtlinie daher nicht unmittelbar anwenden, wohl aber Unternehmen des öffentlichen Rechts.

Also abwarten?

Können Organisationen des privaten Rechts jetzt also durchatmen und auf das nationale Gesetz oder ein weiteres EuGH-Urteil warten? Ganz so einfach ist es dann, wie so oft, leider nicht. Denn bereits jetzt sind die Gerichte (z.B. die Arbeitsgerichte) zu einer richtlinienkonformen Auslegung von Sachverhalten verpflichtet. Im Rahmen der Abwägung von verschiedenen Interessen muss ein Gericht so die Wertungen und Vorgaben von EU-Richtlinien berücksichtigen, unabhängig von der Frage, ob das notwendige nationale Umsetzungsgesetz schon vorliegt.

Das kann im Falle von Whistleblowing insbesondere bei Kündigungsschutzverfahren wichtig werden, da die Whistleblowing-Richtlinie die hinweisgebende Person vor ungerechtfertigten Repressalien durch den Arbeitgeber schützt. Völlig außer Acht gelassen werden können die Vorgaben der EU-Richtlinie daher nicht. Unternehmen sollten sich zumindest mit den grundlegenden Inhalten und Pflichten der Richtlinie sowie des aktuellen nationalen Gesetzentwurfs vertraut machen; auch, um die notwendigen Vorbereitungen in die Wege zu leiten.

Struktur eines internen Meldeweges schon jetzt?

Ein weiteres Argument für eine frühzeitige Umsetzung der Vorgaben aus der EU-Richtlinie sowie dem Entwurf zum Hinweisgeberschutzgesetz ist, dass (bei dem zeitnah zu erwartendem Inkrafttreten des HinSchG) Hinweisgebern die Möglichkeit der internen Meldung gegeben werden muss. Zwar hat der Hinweisgeber prinzipiell Wahlfreiheit zwischen interner und externer Meldung, bei Fehlen eines internen Meldekanals wird er sich aber zwangsläufig mit seinem Anliegen an die externe Stelle (voraussichtlich Bundesamt für Justiz) wenden müssen. Eine interne Sachverhaltsbeurteilung dürfte von vielen Unternehmen jedoch bevorzugt werden, sodass schon jetzt Vorkehrungen getroffen werden sollten.

Zwischenfazit

Du merkst es sicherlich schon – das Thema ist alles andere als trivial. Fest steht: Es wird – in nicht allzu ferner Zukunft – ein Hinweisgeberschutzgesetz geben, in dem einige neue Pflichten für private und öffentliche Organisationen geregelt werden. Unmittelbare Anwendung auf private Organisationen findet die EU-Richtlinie zwar noch nicht, ignorieren sollte man die Anforderungen aber auf gar keinen Fall. Denn die Implementierung eines Meldesystems wird Ressourcen in Anspruch nehmen – auch die des Datenschutzteams.

Zu beachten ist allerdings auch, dass das Thema Whistleblowing nicht unmittelbar bei den für den Datenschutz zuständigen Personen anzusiedeln sein wird – insbesondere in Unternehmen und Organisationen mit eigenen Compliance-Abteilungen, -Beauftragten oder externen Compliance-Stellen sollte auch auf diese Ressourcen zurückgegriffen werden. Denn zwischen Hinweisgeberschutz und Datenschutz bestehen zwar viele Synergien, in vielen Aspekten allerdings auch Interessenskonflikte.

Im nächsten Teil der Reihe gehen wir kurz auf weitere wichtige Inhalte der EU-Richtlinie und des Hinweisgeberschutzgesetz-Entwurfs ein, bevor wir uns im dritten und letzten Teil mit den Auswirkungen auf den Datenschutz befassen.

Siehe auch Teil 2  und Teil 3 der Kleinen Reihe.

Quellen:

EU-Richtlinie „Whistleblowing“ (WB-RL)

Hinweisgeberschutzgesetz (HinschG) und Stand des Gesetzgebungsverfahrens:  https://www.bmj.de/SharedDocs/Gesetzgebungsverfahren/DE/Hinweisgeberschutz.html