Die neue EU-Hinweisgeberrichtlinie in der Praxis

Artikel als PDF (Download)

Whistleblower wie Edward Snowden oder Frances Haugen sind weltweit bekannt; weniger bekannt ist, dass die meisten Fälle von Wirtschaftskriminalität tatsächlich durch Whistleblower aufgedeckt werden (siehe ACFE Report to the Nations; abrufbar hier; abgerufen am 18.10.2021).

Wer ist Whistleblower?

Externe Whistleblower sind Personen, die sich mit ihren Informationen über Missstände in Organisationen an einen Meldeadressaten außerhalb der Organisation wenden; interne Whistleblower melden den Missstand an einen Meldeadressaten innerhalb der Organisation. Daneben wird inzwischen zwischen offenem, vertraulichem oder auch anonymem Whistleblowing unterschieden – je nachdem, ob und wie die Identität des Whistleblowers geheim gehalten wird.

Warum Whistleblowingsysteme?

Mittels einer „Whistleblowinghotline“ können Missstände in Organisationen über spezielle Internetseiten, per E-Mail oder über Telefonhotlines gemeldet werden. Ziel ist regelmäßig, Hinweisgebern einen einfachen Meldekanal zu eröffnen, um den Unternehmensbestand, Geschäftsführer, Aktionäre – und nicht zuletzt den Meldenden – zu schützen. Während solche Hotlines in den USA für börsennotierte Unternehmen (und regelmäßig auch für deren Tochterunternehmen) nach zum Beispiel dem Sarbanes Oxley Act zwingend vorgeschrieben sind, gab es bislang keine umfassenden Vorgaben innerhalb der Europäischen Union (EU).

Europäische Gesetzgebung

Die EU hat daher im Oktober 2019 eine Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden [RL (EU) 2019/1937 v. 23.10.2019, ABl. EU Nr. L 305 v. 26.11.2019, 17], erlassen. Die sogenannte Whistleblower-Richtlinie (WBRL) ist am 16.12.2019 in Kraft getreten. Jeder Mitgliedsstaat muss eigenständig entscheiden, wie er die dort vorgegebenen Minimalregelungen umsetzen wird oder ob er ggf. auf nationaler Ebene über diesen europäischen Mindeststandard hinausgehen wird. Die Umsetzung muss bis zum 17.12.2021 erfolgen.

Regelungen in Deutschland: weiterhin offen

In Deutschland sind sowohl die Einführung von Hinweisgebersystemen als auch der Hinweisgeberschutz bislang eher lückenhaft geregelt. Konkrete Regelungen sind auf einzelne Bereiche, wie Arbeitsschutz oder Finanzdienstleistungen, beschränkt, die teilweise nur einen mittelbaren Bezug zum Whistleblowing haben (siehe etwa § 17 Abs. 2 ArbSchG, § 48 GWG, § 4d Abs. 1 FinDAG, §§ 13, 17 AGG oder auch §§ 84 ff. BetrVG).

In § 612a BGB ist ein allgemeines Maßregelverbot vorgesehen, wonach Arbeitnehmer nicht benachteiligt werden dürfen, wenn sie in zulässiger Weise ihre Rechte ausüben – wozu auch die Meldung von internen Missständen gehört. Allerdings müssen die Arbeitnehmer ggf. nachweisen, dass die Meldung zu einem tatsächlichen Nachteil geführt hat; dieser Nachweis ist in der Praxis eher schwierig.
Auch das im April 2019 eingeführte Geschäftsgeheimnisgesetz (GeschGehG) regelt in § 5 nur, dass kein Verstoß gegen das GeschGehG vorliegen soll, wenn die Offenlegung der Geschäftsgeheimnisse zum Schutz eines berechtigten Interesses (zum Beispiel Aufdeckung einer Straftat) erfolgt.

Die deutsche Rechtsprechung hat in der Vergangenheit einige Leitlinien vorgegeben, die dem Recht auf freie Meinungsäußerung des Whistleblowers grundsätzlich den Vorrang einräumen und sich umfassend mit arbeitsrechtlichen Themen rund um das Whistleblowing (zum Beispiel Kündigungsschutz oder Vorrang der internen vor der externen Meldung) befasst. Das Bundesarbeitsgericht (BAG) orientiert sich dabei an einem – bislang nicht abschließenden – Abwägungskatalog, der unter anderem die Motive oder die Selbstbetroffenheit des Whistleblowers mit berücksichtigt. Abwägungen sind gleichwohl subjektiv, so dass eine erhebliche Rechtsunsicherheit hinsichtlich der aus der Meldung drohenden Konsequenzen verbleibt.

Lösung Hinweisgeberschutzgesetz – leider bislang gescheitert

Diese Rechtsunsicherheit sollte mit dem Hinweisgeberschutzgesetz, dessen erster Gesetzentwurf Ende 2020 vom deutschen Ministerium für Justiz und Verbraucherschutz (BMJV) vorgelegt wurde, behoben werden. Dieser wurde allerdings im April 2021 abgelehnt; es ist aufgrund der Neuwahl des Bundestags und der zurzeit geführten Koalitionsverhandlungen fraglich, ob ein neuer Entwurf rechtzeitig bis Dezember 2021 fertiggestellt oder ob die Richtlinie in deutsches Recht umgewandelt wird.

Nicht auszuschließen ist aber, dass ab Dezember bei entsprechenden Verfahren ein Rückgriff auf die Whistleblower-Richtlinie erfolgen wird. Daher lohnt sich ein Blick in deren Regelungen.

Inhalt der Whistleblower-Richtlinie

Die EU stellt mit der WBRL den Schutz der Whistleblower mehr in den Vordergrund und sieht unter anderem detaillierte Regelungen für die Ausgestaltung von Whistleblowersystemen und einzuhaltende Mindeststandards vor.

Pflicht zur Einrichtung interner Meldesysteme und bestimmter Prozesse

Nach Art. 8 WBRL ist die Einführung eines internen Whistleblowingsystems für Unternehmen mit mehr als 50 Mitarbeitern und für bestimmte juristische Personen des öffentlichen Rechts verpflichtend (für Unternehmen mit 50 bis 249 Mitarbeitern gilt eine verlängerte Einrichtungspflicht bis 17.12.2023). Das System kann intern oder durch einen externen Dienstleister betrieben werden.

Erforderlich ist die Einrichtung von Meldekanälen (in der Regel telefonisch oder elektronisch) und von entsprechenden Verfahren zum Umgang mit den Meldungen. Dies umfasst auch die Benennung neutraler Personen, die mit deren Bearbeitung befasst sind, mit dem Hinweisgeber in Kontakt treten und eine Beurteilung des Sachverhalts vornehmen.

Insbesondere muss der Hinweisgeber innerhalb von sieben Tagen eine Bestätigung über den Eingang seiner Meldung erhalten. Die Meldestelle ist auch verpflichtet, dem Hinweisgeber innerhalb von drei Monaten mitzuteilen, welche Konsequenzen die Meldung nach sich gezogen und welche Maßnahmen das Unternehmen ergriffen hat. Unabhängig davon kann das Unternehmen die begonnene Untersuchung weiterführen.

Das Meldesystem muss so konzipiert sein, dass Unbefugte nicht darauf zugreifen können und die Identität von Hinweisgebern und Dritten geschützt wird; damit sind – entsprechend den Regelungen der Datenschutz-Grundverordnung (DSGVO) – geeignete technische und organisatorische Maßnahmen zum Schutz der dort verarbeiteten personenbezogenen Daten zu implementieren.

Externe Meldestellen und Öffentlichkeit

Deutschland muss externe Meldestellen (d.h. Behörden) benennen, die Meldungen entgegennehmen bzw. bearbeiten. Der Hinweisgeber kann sich sowohl an die interne als auch an die externe Meldestelle wenden; es herrscht kein Vorrang. Eine direkte Meldung an die Öffentlichkeit, wie z.B. die Presse, soll allerdings die Ultima Ratio sein (zum Beispiel bei Untätigkeit der Meldestelle, in Notfällen, oder wenn der Hinweisgeber der Auffassung ist, dass ein öffentliches Interesse besteht).

Persönlicher und sachlicher Anwendungsbereich

Geschützt werden künftig nicht nur Mitarbeiter des Unternehmens, sondern unter anderem auch Bewerber, ausgeschiedene Mitarbeiter, Unterstützer des Hinweisgebers oder Journalisten.

Nach der Whistleblower-Richtlinie bezieht sich der Schutz des Hinweisgebers auf das Melden von Missständen zum EU-Recht in bestimmten Bereichen (zum Beispiel Geldwäsche, öffentliche Gesundheit, Sicherheit von Netz- und Informationssystemen, Steuerbetrug oder auch Datenschutz). Die Mitgliedsstaaten können Ergänzungen der Liste vornehmen. Deutschland hatte in dem Gesetzentwurf eine Erweiterung auf Meldungen, die das deutsche Recht betreffen, vorgesehen, ohne die Bereiche an sich umfassend zu erweitern.

Schutz vor Repressalien und Beweislastumkehr

Hat der Hinweisgeber zum Zeitpunkt der Meldung einen hinreichenden Grund zu der Annahme, dass die gemeldeten Informationen der Wahrheit entsprechen, ist er vor Repressalien, wie Kündigung, Suspendierung oder Versagung einer Beförderung, geschützt, Art. 19 ff. Whistleblower-Richtlinie. Zudem kann er Schadensersatz verlangen. Ergreift das Unternehmen gleichwohl entsprechende Maßnahmen, muss es künftig beweisen, dass diese nicht aufgrund der Meldung erfolgt sind oder gerechtfertigte Gründe für diese vorliegen. Diese Beweislastumkehr birgt durchaus Missbrauchspotential, so dass Unternehmen den Hintergrund für die Maßnahmen gut dokumentieren sollten, damit sich Mitarbeiter nicht indirekt über eine Meldung einen zusätzlichen (gegebenenfalls unbegründeten) Schutz vor Maßnahmen verschaffen.

Verbreitet der Hinweisgeber hingegen wissentlich falsche Meldungen, entfällt der Schutz, und es drohen ihm Schadensersatzforderungen.

Achtung: Datenschutz!

Einen extrem kritischen Themenkomplex stellt regelmäßig der Datenschutz dar, da einer Anzeige die Benennung von Daten des möglichen Täters immanent ist. Dies hat erhebliche Auswirkungen auf den vermeintlichen Täter. Im Dilemma befindet sich auch der Hinweisgeber: Benennt er seinen Namen und hat er den angezeigten Täter falsch beschuldigt, kann er selbst Sanktionen ausgesetzt sein. Daneben muss er Reaktionen des angezeigten Täters befürchten, sofern sein Name nicht vertraulich behandelt wird.

Gleichwohl sind die Transparenzpflichten der Datenschutz-Grundverordnung (DSGVO) umzusetzen, so dass eine umfassende Anonymität gegebenenfalls nicht gewahrt werden kann; alle Beteiligten sind danach über den Umgang mit ihren Daten innerhalb der gesetzlichen Fristen zu informieren. Weiterhin stehen den Betroffenen umfassende Rechte auf Auskunft, Löschung etc. zu, Art. 12 ff. DSGVO – auch dies kann zu Interessenkonflikten führen.

Die Whistleblower-Richtlinie löst diese Konflikte nicht auf, sondern sieht in Art. 17 explizit vor, dass sämtliche Datenverarbeitungen im Anwendungsbereich der Richtlinie den Vorgaben der DSGVO entsprechen müssen (vgl. auch ErwG 83 ff.). Sie überlässt es zudem den Mitgliedsstaaten, entsprechende Regelungen zur Vertraulichkeit zu schaffen. In dem Entwurf zum Hinweisgeberschutzgesetz waren solche Regelungen vorgesehen, die zum einen die Vertraulichkeit sicherstellten und zum anderen für bestimmte Fälle eine Durchbrechung zuließen. Mangels Umsetzung bleibt es allerdings leider zunächst bei dem in der Whistleblower-Richtlinie begründeten Spannungsfeld zwischen Transparenz und Anonymität.

Fazit

Unternehmen sollten sich bereits jetzt an den oben dargestellten Mindestanforderungen der Richtlinie orientieren, da davon auszugehen ist, dass Gerichte bei künftigen Rechtsstreitigkeiten diese heranziehen und für den Schutz des Hinweisgebers andere Maßstäbe anlegen werden als bisher. Zudem steigert ein funktionierendes internes Whistleblowingsystem die Bereitschaft, zunächst intern und nicht direkt nach außen einer Behörde zu melden. Es empfiehlt sich, die Prozesse, Dokumentationen und auch entsprechende Richtlinien des Unternehmens jetzt zu aktualisieren. Nicht zu vergessen ist dabei die Einbindung des Betriebsrats, wenn zum Beispiel Meldepflichten der Arbeitnehmer bestehen oder ein elektronisches Whistleblowingsystem eingeführt wird, dem letztlich eine Leistungs- und Verhaltenskontrolle immanent ist.

silvia.bauer@luther-lawfirm.com

Aktuelle Beiträge