Die Whistleblower-Richtlinie – Herausforderung und Lösung zugleich
Das EU-Parlament hat sich am 16.04.19 für die sog. Whistleblower-Richtlinie ausgesprochen. Interessant ist die Richtlinie insbesondere deshalb, da sie nicht nur die Rechtslage von Whistleblowern verbessert. Sie stellt außerdem Unternehmen zum einen im Bereich Compliance vor neue Herausforderungen, bietet ihnen zugleich aber Lösungen an, wie reputationsfeindliche Leaks zugunsten einer zunächst internen Untersuchung vermieden werden können. Dazu ist aber das Handeln der Unternehmen gefordert, diese Lösungen umzusetzen, den Compliance-Aufwand möglichst gering zu halten und so das Spannungsverhältnis aufzulösen.
Welches Ziel verfolgt die Richtlinie?
Mit dem Begriff „Whistleblower“ assoziiert man sofort spektakuläre Fälle wie Cambridge Analytica oder Panama Papers. Ganz aktuell sorgen die Geschehnisse um Football Leaks, Rui Pinto und Julien Assange für Aufsehen. Tatsächlich wären der Welt viele aufsehenerregenden Geschehnisse in Wirtschaft und Politik verborgen geblieben, gäbe es nicht interne Hinweisgeber, die zusammen mit investigativen Journalisten diese Fälle aufdecken würden. Doch nicht jeder Whistleblower erlangt Bekanntheit durch eine spektakuläre Flucht wie Edward Snowden als der wohl Bekannteste unter ihnen.
In der Mehrzahl der Fälle erlangen Whistleblower gar keine Bekanntheit, sondern sie müssen mit arbeitsrechtlichen Sanktionen und Schikanen durch Arbeitgeber rechnen, die lieber vermeiden möchten, dass Missstände ihres Betriebs nach außen gelangen. Diesen Umständen möchte der europäische Gesetzgeber entgegentreten. In Deutschland wird zudem in Kürze das Geschäftsgeheimnisgesetz in Kraft treten, das die Erlangung, Nutzung oder Offenlegung von Geschäftsgeheimnissen erlaubt, wenn dies der Aufdeckung einer rechtswidrigen Handlung oder eines beruflichen oder sonstigen Fehlverhaltens dient und geeignet ist, ein allgemeines öffentliches Interesse zu schützen.
Der europäische Gesetzgeber hat sich mit der Richtlinie zum Ziel gesetzt, Meldewege für Whistleblowing zu regeln und Hinweisgeber vor Vergeltungsmaßnahmen zu schützen. Dadurch verspricht sich die EU eine striktere Einhaltung von EU-Recht in Unternehmen, die in Zukunft fürchten müssen, dass Rechtsverstöße öffentlich bekanntwerden.
Um das zu erreichen sieht die Richtlinie als zentralen Inhalt ein mehrstufiges Meldesystem vor. Die nationalen Gesetzgeber werden verpflichtet, die Vorgaben dazu in nationale Gesetze umzusetzen. So wird Whistleblowern ein Verfahren an die Hand gegeben, über das sie Missstände effektiv melden können. Das Verfahren ist 3-stufig angelegt:
- Stufe: Interne Meldung
- Stufe: Meldung an die zuständige Behörde und ggf. Stellen einer Strafanzeige
- Stufe: Meldung an die Öffentlichkeit bzw. direktes Veröffentlichen
Zuerst muss ein Hinweisgeber also innerhalb des Betriebs die Missstände ansprechen. Im ersten Entwurf war dieses Vorgehen auch als verpflichtend vorgeschrieben, wogegen sich jedoch insbesondere das EU-Parlament aus mehreren Gründen ausgesprochen hatte. Unter anderem wurde kritisiert, dass dieses Vorgehen den Sinn des Whistleblowings ins Gegenteil verkehrt und unnötig Kommunikationsbarrieren aufgebaut werden würden. Letztendlich haben sich Parlament und Mitgliedstaaten im März darauf geeinigt, dass es keinen generellen Vorrang der internen gegenüber der externen Meldung geben soll. Hinweisgeber sollen jedoch ermutigt werden, Missstände zunächst intern zu melden und sich in manchen Fällen auch direkt an die zuständige Behörde wenden können.
Des Weiteren verfolgt die EU ihr Ziel den Hinweisgeber zu schützen, indem sie ein Verbot von Repressalien gegen den Hinweisgeber aufstellt. Unter das Verbot fallen u.a. Suspendierungen, Entlassungen, Gehaltsminderungen, Ausstellung eines schlechten Arbeitszeugnisses, Mobbing oder Nötigung. Vor Gericht zieht sich dieser Schutz durch eine Beweislastumkehr fort. Der Arbeitgeber muss beweisen, dass das Repressalium keine Vergeltungsmaßnahme gegen den Hinweisgeber war, sondern auf sonstigen Gründen beruhte.
Welche Konflikte werden hervorgerufen?
Dass jede Lösung eines Problems ein neues Problem hervorruft ist altbekannt und verhält sich mit der Whistleblower-Richtlinie nicht anders. Zwar ist die Intention des europäischen Gesetzgebers nachvollziehbar, die vorgesehenen Regelungen rufen allerdings Zielkonflikte hervor. Zum einen können die Missstände, die der Hinweisgeber offenlegen möchte, schlicht und einfach nicht existieren. Wird dies jedoch erst in einem langwierigen Gerichtsverfahren aufgedeckt, meint der Hinweisgeber sich sofort an die Öffentlichkeit zu wenden oder stellt unberechtigterweise Strafanzeige, kann es zu unumkehrbaren Reputationsschäden des betroffenen Unternehmens kommen und die Konkurrenz kann sich durch die Offenlegung von Geschäftsgeheimnissen einen wettbewerblichen Vorteil verschaffen.
Durch die verpflichtende Einführung eines internen Meldesystems kommt es zu neuen Compliance-Organisations-Herausforderungen. In Unternehmen müssen sog. Whistleblower-Hotlines eingerichtet werden, die die interne Meldung ermöglichen sollen. Bisher gab es eine solche Pflicht bereits im Finanzdienstleistungssektor. Mit der neuen Richtlinie trifft diese Verpflichtung aber alle Betriebe im Privatsektor mit mehr als 50 Beschäftigten und einem Jahresumsatz von min. 10 Mio. Euro. Die Richtlinie schreibt Verfahrensvorgänge für die internen Meldesysteme vor, die die nationalen Gesetzgeber in Gesetze umsetzen müssen. Die Einhaltung dieser Vorschriften wird das Compliance-System von Unternehmen noch komplexer machen.
Um die Meldewege einzurichten, müssen Verantwortlichkeiten festgelegt, Prozesse zum Umgang mit Meldungen ausgestaltet und entschieden werden, wie der Meldeweg an sich aussehen soll. Hier kommt in Betracht zwei Möglichkeiten zur Verfügung zu stellen, eine Möglichkeit zur Präsenzmeldung und eine fernmündliche Meldemöglichkeit. Vor allem muss das gesamte Meldesystem technisch-organisatorisch umgesetzt werden.
Konflikte sind auch mit den europäischen Datenschutzgrundsätzen (insbesondere Zweckbindung, Datenminimierung und Transparenz) vorprogrammiert. Die Whistleblower-Richtlinie schreibt vor, dass die Verarbeitung personenbezogener Daten im Einklang mit der DSGVO erfolgen soll. Die Verarbeitung personenbezogener Daten wird relevant, wenn Hinweisgeber im Rahmen des Meldesystems Personen melden, die sich nicht compliant verhalten oder der Hinweisgeber, um Missstände zu offenbaren, gezwungenermaßen personenbezogene Daten beispielsweise von Kollegen oder Leitern in Führungspositionen angeben muss.
Der Anwendungsbereich der DSGVO wird in den meisten Fällen eröffnet sein, wenn die Inhalte der Meldungen nicht anonymisiert erfasst werden. Damit personenbezogene Daten, die der Whistleblower preisgibt, auch verarbeitet werden können, muss dafür zunächst eine Rechtfertigungsgrundlage gefunden werden. Für die Verarbeitung der von der Meldung betroffenen Personen kommt hier die Interessenabwägung in Betracht, sofern die Meldungen auf schwere Rechtsverstöße im Anwendungsbereich der Richtlinie beschränkt sind. Für die Verarbeitung eigener Daten zur Identität des Whistleblower müsste dieser hingegen eine Einwilligung erteilen. Konfliktpotential ergibt sich zudem insbesondere daraus, dass nach der DSGVO betroffene Personen informiert werden müssen, wenn ihre Daten nicht direkt bei ihnen erhoben wurden und der Verantwortliche muss darüber informieren, von wem er die Daten erlangt hat. Die Identität des Whistleblowers würde damit offengelegt werden, was potentielle Hinweisgeber entmutigen könnte.
Außerdem müssen die Grundsätze der Zweckbindung und Datenminimierung gewahrt werden und dazu der neueste Stand der Technik verwendet werden.
Wie löst man das Spannungsverhältnis auf?
Die Lösung dieser Probleme stellt die Whistleblower-Hotline selbst dar. Sie ist für Unternehmen Herausforderung und Lösung zugleich. Wird Arbeitnehmern ein gutes, einfach anzuwendendes, effektives, vertrauensvolles und rechtskonformes Hinweisgebersystem an die Hand gegeben, dann werden sie dies auch nutzen, um auf Missstände hinzuweisen. Wird dann seitens des Unternehmens auch entsprechend auf die Missstände reagiert und werden sie intern erfolgreich gelöst, dann können sie bestenfalls direkt und ohne Reputationsschäden aus der Welt geschafft und zukünftig vermieden werden, ohne dass Geschäftsgeheimnisse Dritten zur Kenntnis gelangen.
Außerdem kann durch das schnelle Aufklären von Missständen Compliance im Unternehmen sichergestellt werden. So bedeutet die Whistleblower-Richtlinie zwar mehr Aufwand im Bereich Compliance, führt aber auch zu mehr Compliance. Nebeneffekt ist außerdem ein gutes Arbeitsklima und damit verbunden zufriedenere Mitarbeiter.
Die Whistleblower-Richtlinie enthält weit formulierte Vorgaben an den Gesetzgeber, wie er Unternehmen die Einrichtung des internen Meldesystems vorschreiben soll, wie z.B. dass angemessene Folgemaßnahmen nach der Meldung ergriffen werden müssen oder dass innerhalb von drei Monaten eine Antwort an den Hinweisgeber vorliegen muss. Ein Hinweisgebersystem kann auch extern ausgelagert werden und z.B. ein Rechtsanwalt als Ombudsmann benannt werden.
Zudem gibt es die Möglichkeit Hinweisgebersysteme datenschutzrechtskonform aufzubauen. Die sicherste Strategie wäre es, wenn der Hinweisgeber sich anonym melden kann und auch Meldungen nur anonymisiert erfasst werden. Der Anwendungsbereich der DSGVO ist dann bestenfalls gar nicht eröffnet. Für diesen Weg empfiehlt es sich das Hinweisgebersystem über Online-Formulare laufen zu lassen, da Mails in der Regel die Identität des Whistleblowers preisgeben.
Ist der Anwendungsbereich der DSGVO doch eröffnet, so gibt die DSGVO den Verantwortlichen durch die Rechtfertigungstatbestände Möglichkeiten an die Hand, die personenbezogenen Daten zu verarbeiten, wie z.B. per Einwilligung oder aufgrund überwiegender Interessen. In Bezug auf die Informations- und Auskunftsrechte von betroffenen Personen können Ausnahmen einschlägig sein, z.B. muss keine Information erteilt werden, wenn dies die Ziele der Verarbeitung zumindest ernsthaft beeinträchtigen würde (Art. 14 Abs. 5 lit. b DSGVO) oder wenn durch die Auskunft Informationen offenbart werden müssen, die wegen der überwiegenden berechtigten Interessen eines Dritten geheim gehalten werden müssen (§ 29 Abs. 1 S. 2 BDSG). Das Spannungsverhältnis zum Datenschutzrecht kann so aufgelöst werden.
Fazit: Die Whistleblower-Hotline als Lösung von Compliance-Problemen
Ist die Richtlinie endgültig verabschiedet, muss sie noch durch die einzelnen mitgliedstaatlichen Gesetzgeber bis voraussichtlich 2021 in nationales Recht umgesetzt werden. Erst durch die daraus entstehenden gesetzlichen Regelungen werden private Unternehmen unmittelbar verpflichtet. Allerdings ist es empfehlenswert, sich schon jetzt mit den Regelungen auseinanderzusetzen, um Compliance zu gewährleisten, Reputationsschäden vorzubeugen und beim Aufbau eines Meldesystems die zukünftigen Regelungen schon dem Grunde nach zu berücksichtigen.
Dies gilt insbesondere im Hinblick auf das neue GeschGehG, das bereits beschlossen ist und in naher Zukunft in Kraft treten wird. Durch die Einführung von Hinweisgebersystemen kann die Offenlegung von Geschäftsgeheimnissen vermieden werden, da sich potentielle Whistleblower zunächst intern melden und sich nicht sofort an die Öffentlichkeit wenden. Durch die Einführung des internen Meldesystems bietet die Whistleblower-Richtlinie folglich eine Lösung sowohl für Arbeitnehmer als potentielle Hinweisgeber als auch für die Arbeitgeber.
Benötigen Sie Hilfe oder Beratung bei der Einführung eines Meldesystems oder haben Sie sonstige Fragen zur kommenden Whistleblower-Richtlinie? Sprechen Sie uns gerne an!