Das Jahr 2022 hat begonnen und es gibt in Deutschland immer noch kein Gesetz zum Schutz von Whistleblowern und Whistleblowerinnen? Diese Frage müsste sich zumindest den Beteiligten der Europäischen Union stellen, denn die EU hatte bereits am 23. Oktober 2019 die Richtlinie (EU) 2019/1937 – auch bekannt als Hinweisgeberrichtlinie oder Whistleblower-Richtlinie – erlassen und dabei vorgegeben, dass die Mitgliedsstaaten diese Richtlinie bis zum 17. Dezember 2021 in nationales Recht umsetzen müssen.

Doch der Gesetzesvorschlag des Bundesministeriums für Justiz und Verbraucherschutz der vergangenen Legislaturperiode zu einem Hinweisgeberschutzgesetz zur Umsetzung der Whistleblowing-Richtlinie konnte innerhalb der Bundesregierung keine Einigung finden. Dennoch bleibt Deutschland in der Pflicht die Richtlinie schnellstmöglich umzusetzen.

Dies scheint der aktuelle Gesetzgeber auch erkannt zu haben, indem er sich im Koalitionsvertrag zur sicheren und praktikablen“ Umsetzung der Whistleblowing-Richtlinie verpflichtet. Dabei deutet der Gesetzgeber bereits eine überobligatorische Umsetzung an, da er außerhalb des Anwendungsbereichs der EU-Richtlinie Informationen zu erheblichen Verstößen gegen Vorschriften oder ein sonstiges erhebliches Fehlverhalten, dessen Aufdeckung im besonderen öffentlichen Interesse liegt, dem Schutz des zukünftigen Hinweisgeberschutzgesetzes unterwirft. Doch der Reihe nach…

Corona-Test

Was ist Whistleblowing?

Nicht erst seit Edward Snowden ist der Begriff des Whistleblowings in aller Munde. Zeigen doch beinahe monatlich verschiedene Whistleblower und Whistleblowerinnen als hinweisgebende Personen Missstände in privaten Unternehmen und öffentlichen Institutionen auf. Eine der bekanntesten Whistleblower:innen im letzten Jahr ist vermutlich Frances Haugen, die in den „Facebook Papers“ unter anderem aufdeckte, dass Facebook – heute Meta – über Hetze und Gewaltaufrufe gegen muslimische Minderheiten in Indien auf ihrer Plattform Bescheid wusste, aber nichts dagegen unternahm.

Veröffentlichen Beschäftigte unternehmensinterne Informationen, gehen diese ein hohes Risiko ein. Denn nach Bekanntwerden des Missstands und der Zuordnung zur hinweisgebenden Person kann diese nur selten in ihren ursprünglichen Beruf zurückfinden. Daneben kann das Aufdecken eines Missstands mit vielzähligen weiteren Nachteilen für die hinweisgebende Person einhergehen, die monetärer, aber auch persönlicher und gesundheitlicher Natur sein können. Grund genug den Schutz von Whistleblowern auf unionaler Ebene einheitlich zu Regeln.

Welche Regelungen enthält die Whistleblowing-Richtlinie?

Durch die Whistleblower-Richtlinie werden in allen Mitgliedsstaaten einheitliche Standards zur Meldung von Missständen und zum Schutz der hinweisgebenden Person vorgegeben. Auch wenn die EU-Richtlinie zuvörderst die Mitgliedsstaaten adressiert, enthält die Richtlinie bereits zwingende Vorgaben, in deren Rahmen der nationale Gesetzgeber die Richtlinie umsetzen muss.

1. Für wen sind die Inhalte der Whistleblowing-Richtlinie relevant?

Die Whistleblowing-Richtlinie betrifft gemäß Art. 8 grundsätzlich:

  1. alle privaten Unternehmen mit mehr als 50 Mitarbeitern
  2. alle öffentlich-rechtlichen juristischen Personen

Gilt dies für alle Sachbereiche? Nicht ganz! Denn die Richtlinie enthält verschiedene Einschränkungen. Einerseits hat die Europäische Union nicht die Gesetzeskompetenz für alle Sachbereiche Regelungen zu treffen, sodass die Whistleblowing-Richtlinie gemäß Art. 2 und Art. 3 sachlich-sektoral beschränkt ist. Die Mitgliedsstaaten dürfen die Richtlinie jedoch überobligatorisch auch im Hinblick auf ihre mitgliedstaatlichen Vorschriften umsetzen.

2. Unter welchen Bedingungen ist eine hinweisgebende Person geschützt?

Eine Person genießt gemäß Art. 6 Abs. 1 rechtlichen Schutz im Sinne der Richtlinie, sofern sie „hinreichenden Grund zu der Annahme hatte, dass die gemeldeten Informationen über Verstöße zum Zeitpunkt der Meldung der Wahrheit entsprachen und dass diese Informationen in den Anwendungsbereich dieser Richtlinie fielen“. Zudem darf die hinweisgebende Person ihre Informationen nur an die entsprechend der Richtlinie geschaffenen Meldekanäle weitergeben (ausführlich: Ziff. 6).

Dabei gelten als „Verstöße“ gemäß Art. 5 Nr. 1 Handlungen oder Unterlassungen des Unternehmens, die rechtswidrig sind oder die dem Ziel oder dem Zweck der Vorschriften der Rechtsakte der Union zuwiderlaufen.

3. Welche Personengruppen genießen Schutz?

Gemäß Art. 4 gelten die Vorgaben der Whistleblowing-Richtlinie für hinweisgebende Personen, die im privaten oder im öffentlichen Sektor tätig sind und im beruflichen Kontext Informationen über Verstöße erlangt haben.

Nach dem Wortlaut der Richtlinie können hinweisgebende Personen beispielsweise sein:

  • Beschäftigte einschließlich Beamten
  • Selbstständige
  • Anteilseigner und Personen, die dem Verwaltungs-, Leitungs- oder Aufsichtsorgan eines Unternehmens angehören
  • Freiwillige sowie bezahlte oder unbezahlte Praktikanten
  • Personen, die unter der Aufsicht und Leitung von Auftragnehmern, Unterauftragnehmern und Lieferanten arbeiten

Zudem genießen ausdrücklich die folgenden Gruppen im Kontext des Whistleblowings Schutz vor Repressalien:

  • Mittler, die die hinweisgebende Person bei der Informationsbeschaffung unterstützen
  • Dritte, die mit der hinweisgebenden Person in Verbindung stehen und in einem beruflichen Kontext Repressalien erleiden könnten, wie z. B. Kollegen oder Verwandte der hinweisgebenden Person
  • juristische Personen, die im Eigentum der hinweisgebenden Person stehen oder für die die hinweisgebende Person arbeitet oder mit denen sie in einem beruflichen Kontext anderweitig in Verbindung steht.

Dabei besteht der Schutz auch nach Beendigung des Anstellungsverhältnisses fort und gilt bereits für Arbeitsverhältnisse, die im Entstehen begriffen sind.

4. Welche Pflichten treffen das Unternehmen im Umgang mit der hinweisgebenden Person?

Die Whistleblowing-Richtlinie enthält die Vorgabe, dass alle juristische Personen des privaten Sektors mit 50 oder mehr Arbeitnehmern (vgl. Ziff. 1) sog. interne Meldekanäle einrichten müssen. Diese Meldekanäle können intern von einer hierfür benannten unparteiischen Person oder Abteilung betrieben oder extern von einem Dritten bereitgestellt werden.

Die interne Meldestelle dient zur Entgegennahme von Informationen über Verstöße im Unternehmen. Daher gibt die Richtlinie vor, dass Meldekanäle so sicher konzipiert, eingerichtet und betrieben werden müssen, dass die Vertraulichkeit der Identität der hinweisgebenden Person und Dritter, die in der Meldung erwähnt werden, gewahrt bleibt und nicht befugten Mitarbeitern der Zugriff darauf verwehrt wird (Vertraulichkeitsgebot). Das Unternehmen stellt dabei zweckdienliche Informationen über die Nutzung der internen Meldekanäle bereit.

Zu den Aufgaben der Meldestelle gehört es auch der hinweisgebenden Person den Eingang der Informationen zu Verstößen im Unternehmen innerhalb einer Frist von sieben Tagen zu bestätigen. Zudem muss die Meldestelle so eingerichtet sein, dass sie die Verstöße anhand der Informationen der hinweisgebenden Person untersuchen kann und daran wirksame Folgemaßnahmen knüpfen kann. Daneben obliegt es der internen Meldestelle die hinweisgebende Person spätestens nach drei Monaten über die Folgemaßnahmen zu informieren.

Dabei ist es dem Unternehmen untersagt an den Meldevorgang negative Maßnahmen – sog. Repressalien – zulasten der hinweisgebenden Person zu knüpfen (Benachteiligungsverbot). Die setzt sich in Form einer Haftungsfreistellung bei Gerichtsverfahren anlässlich der Weitergabe von Informationen fort. Denn gemäß Art. 21 Abs. 7 kann die hinweisgebende Person für die Weitergabe von Informationen im Rahmen der Whistleblowing-Richtlinie in Gerichtsverfahren insbesondere wegen der Verletzung der Geheimhaltungspflicht, Verstoßes gegen Datenschutzvorschriften, Offenlegung von Geschäftsgeheimnissen sowie Schadensersatzverfahren „in keiner Weise haftbar gemacht werden“.

Dabei wird ein kausaler Zusammenhang zwischen Repressalien und der Weitergabe von Informationen der hinweisgebenden Person im behördlichen und gerichtlichen Verfahren zugunsten der hinweisgebenden Person vermutet. Begleitet wird dies durch die Schadensersatzpflicht bei Verstößen gegen die Pflichten aus der Hinweisgeberrichtlinie, insbes. dem Benachteiligungsverbot.

5. Welche Maßnahmen sind im Unternehmen zulasten der hinweisgebenden Person verboten?

Art. 19 nennt einen umfangreichen und niedrigschwelligen Katalog an Maßnahmen, die anlässlich des Whistleblowings verboten sind. Dabei ist bereits die Androhung und der Versuch von Repressalien sanktionierbar.

Als Repressalien gelten beispielsweise:

  • Suspendierung, Kündigung oder vergleichbare Maßnahmen
  • Aufgabenverlagerung, Änderung des Arbeitsortes, Gehaltsminderung, Änderung der Arbeitszeit
  • Versagung der Teilnahme an Weiterbildungsmaßnahmen
  • Nichtumwandlung eines befristeten Arbeitsvertrags in einen unbefristeten Arbeitsvertrag in Fällen, in denen der Arbeitnehmer zu Recht erwarten durfte, einen unbefristeten Arbeitsvertrag angeboten zu bekommen
  • vorzeitige Kündigung oder Aufhebung eines Vertrags über Waren oder Dienstleistungen
  • Entzug einer Lizenz oder einer Genehmigung

6. Welche Pflichten treffen die hinweisgebende Person im Umgang mit den Informationen?

Indem die hinweisgebende Person „hinreichenden Grund zu der Annahme“ haben muss, dass die Informationen über Verstöße zum Zeitpunkt der Meldung der Wahrheit entsprechen, werden der hinweisgebenden Person Sorgfaltspflichten auferlegt.

Die hinweisgebende Person darf ihre Informationen zu Verstößen im Unternehmen zudem nur an interne oder externe Meldekanäle weitergeben. Die internen Meldekanäle sind im Unternehmen angesiedelt, können aber auch durch externe Dienstleister wahrgenommen werden. Die sog. externen Meldekanäle sind hingegen öffentliche Institutionen, die in der Lage sind, Verstöße von Unternehmen eingehender zu untersuchen und entsprechende Folgemaßnahmen zu treffen.

Möchte die hinweisgebende Person ihre Informationen über den Missstand im Unternehmen öffentlich zugänglich machen, ist dies nur unter weiteren Voraussetzungen rechtmäßig. Eine Veröffentlichung ist beispielsweise möglich, wenn die interne Meldestelle im Unternehmen nicht innerhalb der Bearbeitungszeit von drei Monaten „geeignete Maßnahmen“ ergreift oder hinreichend Grund zu der Annahme besteht, dass der Verstoß eine unmittelbare oder offenkundige Gefährdung des öffentlichen Interesses darstellt.

Was ist zu beachten, wenn die interne Meldestelle durch einen externen Dienstleister übernommen wird?

Der externe Dienstleister muss die gleichen Anforderungen erfüllen wie eine interne Meldestelle im Unternehmen. Dabei können Sachverhalte zu Verstößen gegen Vorschriften im Anwendungsbereich des Europarechts oft sehr komplex zu bewerten sein. Dies gilt insbesondere deshalb, da bereits ein Handeln entgegen der Zwecke europäischer Vorschriften als meldefähiger Sachverhalt ausreicht.

Ausblick

Auch wenn die Whistleblowing-Richtlinie derzeit noch nicht umgesetzt ist, so steht im Wesentlichen bereits jetzt fest, welche Pflichten die Unternehmen treffen. Da eine Umsetzung durch den Bundestag kurzfristig zu erwarten ist und die Richtlinie nur Unternehmen mit weniger als 250 Mitarbeitern eine Umsetzungsfrist bis zum 17. Dezember 2023 gewährt, werden die übrigen Unternehmen zeitnah mit verbindlichen Regelungen zum Schutz von hinweisgebenden Personen konfrontiert.

Daher ist zu empfehlen, bereits jetzt Vorkehrungen zur Schaffung interner Meldekanäle zu treffen. Denn insbesondere die Etablierung von Strukturen, die eine Bearbeitung und Rückmeldung zu den eingehenden Informationen zu Verstößen innerhalb der vorgegebenen Fristen gewährleisten, aber auch die Schaffung der notwendigen Expertise zur angemessenen rechtlichen Bewertung, kann Unternehmen vor große Herausforderungen stellen.

Gerne unterstützen wir Sie bei der Bewertung von Informationen von hinweisgebenden Personen oder werden für Sie unmittelbar als interne Meldestelle tätig.

Dr. Christoph Aust ist Rechtsanwalt/Associate für Datenschutzrecht. Er berät die Mandanten der Datenschutzkanzlei in komplexen Rechtsfragen internationaler Datenübermittlungen und bei Compliance-Themen.