linkedIn Logo   LINKEDIN
facebook LogoFACEBOOK
XING LogoXING
15.Mai 2023 | Team Datenschutz | Thema: Datenschutz

Die kleine Reihe: Whistleblowing-Richtlinie Teil 2

Schlagwörter: DSGVO | EU-Richtlinie | Gesetz | kleine Reihe

In Teil 1 dieser Kleinen Reihe haben wir über den Stand des Gesetzgebungsverfahrens im Bereich Whistleblowing informiert. Im zweiten Teil stehen die Kerninhalte der Whistleblowing Richtlinie (RL (EU) 2019/1937) bzw. des nationalen Hinweisgeberschutzgesetzes im Fokus.

Kerninhalte der EU-Richtlinie & Besonderheiten des aktuellen Gesetzesentwurfs

Sachlicher Anwendungsbereich

Das Hinweisgeberschutzgesetz (HinSchG) soll zum Schutz von Hinweisgebenden bei Meldung von Verstößen gegen diverse EU-Rechtsvorschriften und deren nationaler Umsetzung gelten. Dazu zählen zum Beispiel:

  • Öffentliches Auftragswesen,
  • Finanzdienstleistungen,
  • Produkt-, Verkehrs- und Lebensmittelsicherheit,
  • Umweltrecht,
  • Verbraucher- und Gesundheitsschutz,
  • Sicherheit von Netz- und Informationssystemen,
  • Schutz der Privatsphäre und personenbezogener Daten/ Datenschutzrecht.

Der deutsche Gesetzgeber hat in seinem Gesetzentwurf die durch die Richtlinie vorgegebenen Rechtsbereiche in zulässigem Umfang auf nationales Recht ausgeweitet. Das HinSchG soll auch bei sämtlichen Verstößen anwendbar sein, die straf- oder bußgeldbewehrt sind (Korruption, Steuerhinterziehung oder Schmiergeldzahlungen). Der Anwendungsbereich des HinSchG ist damit weiter gefasst als die Vorgaben in der EU-Whistleblowing Richtlinie.

Persönlicher Anwendungsbereich (geschützte Personen)

Entsprechend der Vorgaben der EU-Richtlinie werden alle „Hinweisgeber, die im privaten oder öffentlichen Sektor tätig sind und im beruflichen Kontext Informationen über Verstöße erlangt haben“ durch das HinSchG geschützt. Dies umfasst neben Arbeitnehmer*innen auch Beamt*innen, Anteilseigner*innen, Beschäftigte von Lieferanten und Personen, die bereits vor Beginn eines Arbeitsverhältnisses Kenntnisse von Verstößen erlangt haben.

Schutz einer Meldung

Die Meldung eines Hinweises ist geschützt, wenn die hinweisgebende Person hinreichenden Grund zu der Annahme hatte, dass die erlangten Informationen korrekt sind und unter den Anwendungsbereich der Richtlinie fallen. Eine Meldung kann grundsätzlich anonym erfolgen. Die Richtlinie lässt den Mitgliedsstaaten allerdings Spielraum in der Entscheidung, ob Meldestellen verpflichtet sind, anonyme Meldungen entgegenzunehmen.

Mit dem HinSchG müssen auch anonyme Tipps sowie Hinweise zu verfassungsfeindlichen Vorfällen geprüft werden. Es sollen dazu Meldekanäle für anonyme externe und interne Hinweise eingerichtet werden. Dadurch soll die anonyme Kontaktaufnahme und die für die hinweisgebende Person anonyme Kommunikation zwischen hinweisgebender Person und interner Meldestelle möglich sein. Die Bearbeitung der anonymen Hinweise wird mit der Verabschiedung des Gesetzes zur Pflicht.

Einrichtung eines internen Meldekanals

Organisationen, die in den Anwendungsbereich des HinSchG fallen, müssen eine interne Meldestelle einrichten. Diese Pflicht trifft sowohl die Privatwirtschaft als auch den gesamten öffentlichen Sektor, sofern bei der jeweiligen Stelle in der Regel mindestens 50 Personen beschäftigt sind. Ausgenommen hiervon sind Unternehmen aus dem Finanzdienstleistungssektor – hier gilt das HinSchG unabhängig von der Beschäftigtenanzahl (siehe Whistleblowing/ Teil 1). Eine Organisation kann diese Anforderung durch die Einrichtung einer internen Stelle für vertrauliche Meldungen (z.B. beim Compliance Verantwortlichen), durch Einrichtung eines elektronischen Meldesystems oder durch Beauftragung eines externen Anwalts als Ombudsperson erfüllen. Unternehmensverbünde mit mehr als 50 aber weniger als 250 Beschäftigten können zudem einen Meldekanal gemeinsam bereitstellen.

Anforderungen an den internen Meldekanal

Die eingerichteten Meldestellen müssen konkrete Verfahrensvorschriften beachten. Der Meldekanal muss so eingerichtet und betrieben werden, dass die Vertraulichkeit der Meldung gewahrt bleibt und die Identität des Hinweisgebenden geschützt ist (z.B. durch Verschlüsselung der E-Mail-Kommunikation). Meldekanäle müssen ferner so konzipiert sein, dass Unbefugte keinen Zugriff nehmen können. Außerdem müssen Meldestellen unabhängig und selbstständig organisiert sein. Für den Umgang mit internen Meldungen ist ein Prozess zu etablieren. Neben Dokumentations- und Informationspflichten sind zudem verbindliche Zeitvorgaben für Rückmeldungen an den Hinweisgebenden zu beachten.

Externe Meldung

Hinweisgebende Personen können nicht nur die intern zur Verfügung gestellten Meldekanäle nutzen, sondern sie können sich gleichermaßen für eine externe Meldung entscheiden. Als externe Meldestelle soll grundsätzlich das Bundesamt für Justiz dienen, für einige Bereiche werden jedoch spezielle Meldestellen bereitgestellt werden.

Offenlegung

Bei einer Offenlegung von Informationen („Gang an die Öffentlichkeit“) greifen Schutzregelungen für hinweisgebende Personen nur unter engen Voraussetzungen. Zum Beispiel soll eine Person Informationen offenlegen dürfen, wenn sie „hinreichenden Grund zur Annahme“ hat, dass der von ihr öffentlich gemachte Missstand zu einem „irreversiblen Schaden“ führen oder „eine unmittelbare oder offenkundige Gefährdung des öffentlichen Interesses darstellen kann“. Eine Offenlegung soll auch dann zulässig sein, wenn die externe Meldestelle nach Meldung von Verstößen nicht die notwendigen Maßnahmen ergreift.

Vertraulichkeitsgebot, Datenschutz & Dokumentationspflicht

Erhaltene Meldungen von hinweisgebenden Personen müssen unabhängig von interner oder externer Meldung stets vertraulich behandelt werden. Es ist sicherzustellen, dass die Identität der Hinweisgebenden ohne deren ausdrückliche Zustimmung keinen anderen Personen als den befugten Bearbeitenden gegenüber offengelegt wird. Ausnahmen davon bestehen nur, wenn eine Offenlegung der Identität „nach Unions- oder nationalem Recht eine notwendige und verhältnismäßige Pflicht im Rahmen der Untersuchungen durch nationale Behörden oder von Gerichtsverfahren darstellt“. Diese Abgrenzung scheint schwierig und welche Meldungen unter diesen Aspekt fallen, wird sicherlich noch häufig zu Abwägungsproblemen führen.

Die Whistleblowing-Richtlinie stellt jedoch klar, dass die Verarbeitung von personenbezogenen Daten im gesamten Meldeprozess den Anforderungen der DSGVO genügen muss. Offensichtlich nicht notwendige personenbezogene Daten müssen daher, sofern überhaupt erhoben, unverzüglich wieder gelöscht werden. Eingegangene Meldungen müssen stets sämtlich dokumentiert werden.

Auch hier ergeben sich datenschutzrechtliche Seiteneffekte, da eine dokumentierte Meldung immer auch den Auskunftsrechten betroffener Personen unterliegen wird. Die Beurteilung, welche Interessen in solchen Fällen höher gewichtet werden sollen, die des Whistleblowers oder die des Beschuldigten, wird sicherlich ebenfalls eine Herausforderung.

Verbot von Repressalien

Um den Schutz der hinweisgebenden Personen sicherstellen zu können, normiert die Richtlinie ein Verbot von Repressalien. Hinweisgebende Personen dürfen demnach aufgrund von Meldungen nicht suspendiert, gekündigt, herabgestuft oder anderweitig schlechter gestellt werden. Die Mitgliedsstaaten sind in der Pflicht sicherzustellen, dass geeignete Maßnahmen festgelegt werden, um diesen Schutz zu gewährleisten.

Der deutsche Gesetzgeber hat diese Pflicht im Entwurf des Hinweisgeberschutzgesetzes entsprechend berücksichtigt. So sind Repressalien gleichermaßen wie der Versuch der Ausübung bzw. die Androhung von Repressalien gegen hinweisgebende Personen grundsätzlich verboten (§ 36 Abs. 1 HinSchG-E). Geregelt wird zudem eine Beweislastumkehr. Das bedeutet, dass sämtliche Benachteiligungen von hinweisgebenden Personen, im Nachgang einer Meldung, grundsätzlich zunächst als Repressalie angesehen werden. Das Unternehmen (welches die Person benachteiligt) muss dann beweisen, dass keine Repressalie vorliegt. Liegt eine Repressalie vor, so kann die hinweisgebende Person Schadensersatz verlangen. Enthält ein gemeldeter Hinweis allerdings unrichtige Informationen, aus denen anderen Personen ein Schaden entstanden ist und hat die hinweisgebende Person diese falschen Informationen vorsätzlich oder grob fahrlässig gemeldet, so besteht ein Schadensersatzanspruch gegen die meldende Person.

Sanktionen

Unternehmen, die Meldungen behindern, Repressalien ergreifen, mutwillig Gerichtsverfahren anstrengen oder gegen die Pflicht der Vertraulichkeit verstoßen, können sanktioniert werden. Die konkreten Sanktionen legen die einzelnen Mitgliedsstaaten fest. Der deutsche Gesetzgeber hat in § 40 HinSchG-E diesbezüglich verschiedene Bußgeldtatbestände normiert. Die Höchst-Bußgelder liegen – je nach Verstoß – bei 10.000€, 20.000€ oder 100.000 €.

Geltung & Übergangszeitraum

Wie bereits in Teil 1 unserer Whistleblowing-Reihe berichtet, hätte die EU-Richtlinie bis zum 17.12.2021 in nationales Recht umgesetzt werden müssen. Für kleinere Unternehmen mit 50 bis 249 Beschäftigten hat die EU-Richtlinie von Anfang an eine Übergangsregelung vorgesehen. Diese zweijährige Frist läuft am 17.12.2023 ab. Das Festlegen einer Übergangsregelung für kleine Unternehmen bedeutet im Umkehrschluss aber auch, dass mit Verabschiedung des nationalen Gesetzes die Regelungen für Unternehmen ab 250 Beschäftigten sofort gelten.

Fazit

Das HinSchG adressiert Unternehmen aus der Privatwirtschaft sowie den gesamten öffentlichen Sektor, sofern bei der jeweiligen Stelle mindestens 50 Personen beschäftigtet sind und zielt auf die Schaffung eines effektiven Compliance-Systems ab. Kernstück des HinSchG ist die Einrichtungspflicht interner Meldekanäle – durch die jeweilige Organisation – für die Meldung von Verstößen gegen EU-Recht sowie ausgewählte nationale Rechtsnormen. Für kleinere Unternehmen (50 bis 249 Beschäftigte) ist ein Übergangszeitraum bis zum 17.12.2023 vorgesehen. Explizit ausgenommen von dieser Fristverlängerung sind jedoch Unternehmen aus dem Finanzsektor. Für Finanzdienstleister und Unternehmen ab 249 Beschäftigten ist das nationale HinSchG drei Monate nach Verkündung des Gesetzes anwendbar.

Für Unternehmen, die nicht verpflichtet sind, interne Meldestellen einzurichten, kann sich ein freiwilliger Umsetzungsanreiz bieten. Denn beim Fehlen einer internen Meldemöglichkeit wird die hinweisgebende Person unweigerlich den Weg der externen Meldung (i.d.R. Bundesamt für Justiz) gehen müssen. Auch wenn es noch an einigen Stellen Verbesserungspotenzial im nationalen HinSchG gibt, so ist mit großen Veränderungen nicht mehr zu rechnen. Wahrscheinlicher ist eine schnelle Verabschiedung des Gesetzes vor dem Hintergrund, dass hohe Bußgelder aus dem Vertragsverletzungsverfahren (wegen nichtfristgemäßer Umsetzung in nationales Recht) drohen. Die Umsetzung des HinSchG bringt – wie aufgezeigt – datenschutzrechtliche Implikationen mit sich.

In Teil 3 unserer kleinen Reihe werden wir die Fragen aufgreifen, wie ein Meldekanal unter Beachtung der HinSch-RL bzw. des HinSchG und der DSGVO implementiert werden kann, welche Auskunftsrechte betroffene Personen haben und welche Informationspflichten bestehen. Auch auf die Fragen der datenschutzrechtlichen Verantwortlichkeit, der Erforderlichkeit einer Datenschutz-Folgenabschätzung oder der Notwendigkeit von Datenschutzverträgen gehen wir ein.

Siehe auch Teil 1 und Teil 3 der Kleinen Reihe.

Quellen::

EU-Richtlinie „Whistleblowing“ (WB-RL)

Hinweisgeberschutzgesetz (HinschG) und Stand des Gesetzgebungsverfahrens:  https://www.bmj.de/SharedDocs/Gesetzgebungsverfahren/DE/Hinweisgeberschutz.html

zurück
Themen
Schlagwörter
DSGVORechtsgrundlagenTADPFSicherheitTippsEuGH-UrteilRechtsprechungprocado-internEU-RichtlinieGesetzSicherheitsrisikoKommentarGirls-Daykleine ReiheSocial MediaDatenschutzverstossBussgeldAkademieIHKSchulungenManaged Service ProviderMSPVerarbeitungsverzeichnisDatentransferEU-US Privacy Shield 2.0IT-SicherheitIT-SupportCybercrimePhishingSocial EngeneeringAufsichtsbehördenMicrosoft 365AbmahnungGoogle Fontsprivate E-Mail-NutzungTKGLogistikTrackingOffenlegungRechtswidrige AnfragenTransparenzberichtHistorischesAuftragsverarbeitungMonitoringCovidkuriosesJobJahresrückblick
Die kleine Reihe: Whistleblowing-Richtlinie Teil 1Postit - Online SchulungOnlineseminar für Datenschutzbeauftragte: Datenschutz-Refresh „legal...