BWD: Es besteht Anpassungsbedarf im deutschen Gesetzgebungsverfahren

Beitrag als PDF (Download)

 

Edward Snowden, Daniel Ellsberg, Inge Hannemann usw. – in den vergangenen Jahren haben einige ­Hinweisgeber Bekanntheit erlangt und damit das Thema Whistleblowing auch auf die Agenda der ­Europäischen Union (EU) gehievt. Diese sah sich in der Pflicht, gemeinsame Mindeststandards zum Schutz von Hinweisgebern, die Missstände im Unternehmen melden, zu schaffen, und hat am 23.10.2019 die „EU-Whistle­blower-Richtlinie“ [(EU) 2019/1937] verabschiedet. Ihr Ziel ist, Hinweisgeber vor Repressalien zu schützen sowie eine einheitliche Compliancekultur zu etablieren.

Die EU-Whistleblower-Richtlinie stellt den mit Abstand ambitioniertesten Rechtsakt der Europäischen Union auf dem in Europa noch jungen Feld der Whistleblowing­regulierung dar. Es verwundert daher nicht, dass ihre Umsetzung in den vergangenen Jahren in den Mitgliedsstaaten zu intensiven Diskussionen geführt hat. Diese haben dazu ­beigetragen, dass gleich 24 der 27 Mitgliedsstaaten die am 17.12.2021 abgelaufene Umsetzungsfrist versäumt haben, woraufhin sich die EU-Kommission am 27.01.2022 zur Einleitung von Vertragsverletzungsverfahren veranlasst sah.

Hinweisgeberschutzgesetz

Auch Deutschland blieb bislang die Umsetzung schuldig: Ein erster Gesetzentwurf aus dem Jahr 2020 scheiterte an Meinungsverschiedenheiten innerhalb der damaligen Regierung. Nach einem weiteren Referentenentwurf, diesmal des Bundesministeriums der Justiz, vom 13.04.2022 hat das Bundeskabinett am 27.07.2022 nunmehr den Entwurf zu einem „Gesetz für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ (kurz: Hinweisgeberschutzgesetz, HinSchG), verabschiedet.

Neben anderen Anpassungen des Referentenentwurfs sieht der HinSchG-E nun vor, dass auch anonyme Meldungen zwar grundsätzlich bearbeitet werden sollen, soweit die Bearbeitung der vorrangigen nicht anonymen Meldungen nicht gefährdet wird. Die zur Einrichtung eines Meldekanals verpflichteten Unternehmen, also Unternehmen, die mehr als 50 Personen beschäftigen, können allerdings selbst festlegen, ob sie Systeme vorsehen, die die Abgabe und Bearbeitung anonymer Meldungen überhaupt ermöglichen oder nicht. Anonyme Meldungen werden so durch den HinSchG-E de facto zu nachrangigen Meldungen qualifiziert.

Weiter sieht der HinSchG-E hinsichtlich der Wahl des Meldekanals durch den Hinweisgeber keine Priorisierung dahingehend vor, den Klärungsversuch primär über die interne Meldestelle suchen zu müssen.

Der Hinweisgeber kann selbst entscheiden, welcher Meldekanal sich angesichts der fallspezifischen Umstände am besten eignet. Um eine fundierte Entscheidung überhaupt treffen zu können, müssen interne Meldestellen für die Beschäftigten verständliche Informationen über einschlägige externe Meldewege bereitstellen. Da die Entscheidung, sich an eine interne oder externe Meldestelle zu wenden, dem Hinweisgeber obliegt, bleibt es für den Arbeitgeber bedauerlicherweise ungewiss, wo eine Meldung tatsächlich eingehen wird. Der Arbeitgeber wird damit der Chance beraubt, interne Aufklärungen und Beseitigungen von Missständen vorzunehmen, ohne Gefahr zu laufen, dass externe Dritte in den Prozess eingebunden werden und damit ein irreversibler Reputationsschaden entsteht.

Die Pflicht zur Einrichtung einer internen Meldestelle betrifft zwar jedes Unternehmen mit mehr als 50 Beschäftigten. Jedoch muss innerhalb eines Konzerns eine solche nicht für jedes einzelne Unternehmen errichtet werden. Es ist vielmehr eine vertrauliche und unabhängige Meldestelle ausreichend, die auch für mehrere selbständige Unternehmen in dem Konzern tätig sein kann.

Datenschutz

Die EU-Whistleblower-Richtlinie möchte es Hinweisgebern künftig ermöglichen, Rechtsverstöße über eingerichtete Meldekanäle anzeigen zu können, ohne negative Konsequenzen fürchten zu müssen. Um diesen Schutz umfassend garantieren zu können, soll die Identität des Hinweisgebers weitreichend geschützt werden.

Dabei stellt sich die Frage, wie weit dieser Schutz vor dem Hintergrund der Vorgaben datenschutzrechtlicher Bestimmungen gehen kann, denn grundsätzlich dürfen Unternehmen nach der Datenschutz-Grundverordnung (DSGVO) personenbezogene Daten nicht erheben, ohne die Betroffenen über die Datenverarbeitung und deren Umfang in Kenntnis zu setzen. Bei strikter Anwendung würde dies dazu führen, dass der Beschuldigte sowohl über den Eingang der Meldung informiert werden müsste als auch über den Namen des Hinweisgebers. Der anvisierte Schutz wäre damit nicht mehr garantiert.

Um die Interessen des Hinweisgebers in diesem Spannungsfeld sachgerecht zu berücksichtigen, sieht der aktuelle Regierungsentwurf zum Hinweisgeberschutzgesetz vom 27.07.2022 Erleichterungen gegenüber dem allgemeinen Datenschutzrecht vor. In § 10 HinSchG-E ist vorgesehen, dass personenbezogene Daten innerhalb der internen Meldestelle verarbeitet werden können, soweit es zur Erfüllung der Aufgaben notwendig ist. Jede eingehende Meldung kann dauerhaft noch für zwei Jahre nach Abschluss des Verfahrens dokumentiert werden. Danach ist sie allerdings zu löschen. Gleichwohl ist es empfehlenswert, den Hinweisgeber nach Eingang des Hinweises entsprechend datenschutzrechtlich zu belehren und auf die Speicherung hinzuweisen.

In Bezug auf etwaige Beschuldigte, die in den Hinweisen genannt werden, gelten die allgemeinen datenschutzrechtlichen Vorgaben. Nach Art. 14 DSGVO ist der Beschuldigte grundsätzlich darüber zu informieren, wenn seine personenbezogenen Daten verarbeitet werden, die nicht bei ihm selbst erhoben wurden. Zudem ist er darüber zu informieren, wer den Hinweis gegeben hat. Diese Regelung gilt jedoch dann nicht, wenn durch eine Information die Verwirklichung der Verarbeitungsziele unmöglich gemacht oder ernsthaft beeinträchtigt wird [Art. 14 Abs. 5 lit. b) ­DSGVO]. Es wird demnach eine Folgenabwägung durchzuführen und zu dokumentieren sein, ob und wann der Beschuldigte über die Vorwürfe und die damit einhergehende Datenspeicherung unterrichtet werden muss.

Die deutschen Datenschutzbehörden haben zu dieser Frage bereits am 14.11.2018 eine Orientierungshilfe erarbeitet, nach der das Zurückhalten der Information nur so lange zulässig ist, wie der Ermittlungszweck nicht gefährdet wird. Wann dies genau der Fall ist, bleibt aber derzeit offen, weil es noch keine Entscheidungspraxis der Behörden gibt. Für den Fall der Nichtoffenlegung der Identität bleibt zu empfehlen, genauestens zu dokumentieren, warum im Einzelfall eine Zurückhaltung notwendig ist.

Berufsrecht

Der vorgelegte Regierungsentwurf wirft auch aus berufsrechtlicher Sicht Fragen auf beziehungsweise findet keine Antworten auf bereits vor der Gesetzesinitiative existente berufsrechtliche Fragestellungen. Zwei Themen sind hier schlagwortartig zu thematisieren.

Ausgangspunkt ist hierbei zunächst, dass Unternehmen, die künftig interne Meldestellen unterhalten müssen, diese Verpflichtung nach dem Regierungsentwurf auch durch die Beauftragung eines externen Dritten erfüllen können (§ 14 Abs. 1). Die Entwurfsbegründung (S. 90) verweist insoweit ausdrücklich auf externe Anwälte, auch Ombudspersonen genannt. § 15 sieht vor, dass die mit den Aufgaben einer internen Meldestelle beauftragte (externe) Person unabhängig ist. Über die Aussage hinaus, dass der externe Dritte vom Unternehmen zu beauftragen sei und die generelle Verpflichtung bestehe, die für alle internen Meldestellen geltenden Datenschutzbestimmungen zu beachten, findet sich wenig über die konkrete Ausgestaltung der Aufgaben der Ombudsperson, insbesondere ihr vertragliches Verhältnis.

Üblicherweise erteilt das Unternehmen das Mandat, ist also Mandant im berufsrechtlichen Sinn, verzichtet aber unwiderruflich auf seinen Auskunftsanspruch gegen die Ombudsperson, die Identität des Hinweisgebers, der sich an die Ombudsperson wendet, offenzulegen, solange der Hinweisgeber dies nicht gestattet. Dass diese Ausgestaltung dazu führt, dass ein (geschütztes) Mandat zwischen Ombudsperson und Hinweisgeber zumindest fraglich ist, ist öffentlich kaum im Bewusstsein. Sie ist im Übrigen mit hier nicht zu vertiefenden Folgefragen, wie dem (gegebenenfalls fehlenden) Beschlagnahmeschutz etc. konfrontiert. Die alternative Begründung eines Mandats ausschließlich mit dem Hinweisgeber ist demgegenüber aus Sicht des Unternehmens suboptimal, da dann der Hinweisgeber als Mandant „Herr“ des Verfahrens und aller auch von der Ombudsperson gegebenenfalls bei der Plausibilisierung der hinweisgegenständlichen Vorwürfe zusätzlichen gewonnenen Informationen und Beweise bleiben kann. Die Begründung zweier Mandate (zum Unternehmen und zum Hinweisgeber) begegnet grundsätzlichen Bedenken, namentlich unter dem Aspekt widerstreitender Interessen (§ 43a Abs. 4 BRAO). Eine gesetzliche Regelung in diesem Bereich scheint erstrebenswert.

Die latente Problematik widerstreitender Interessen trifft im Übrigen generell in diesem Bereich tätige Rechtsanwälte. Es ist selbstverständlich, dass der Mandant von der ihn beratenden Kanzlei eine umfassende und wirtschaftliche Problemlösung im Bereich des Whistleblowings erwartet. Betrachtet man aber die Beratungsphasen im Zusammenhang mit einem Hinweisgeberschutzsystem: Einrichtung und Schaffung des Hinweisgeberschutzsystems inklusive Ombudsperson – Betrieb des Hinweisgeberschutzsystems (insbesondere durch die beauftragte Funktion einer externen anwaltlichen Ombudsperson) – externe Prüfung eines begründeten Verdachtsfalls im Rahmen einer sogenannten Internal Investigation –, so ist ersichtlich, dass widerstreitende Interessen je nach Sachverhaltskonstellation (Stichwort: Beauftragung einer Internal Investigation durch den Aufsichtsrat bei der Aktiengesellschaft) und konkreter Beauftragungssituation im Raum stehen können. Vorausschauende Überlegungen, entsprechende vertragliche Ausgestaltungen und in letzter Konsequenz Abstandnahme von inkompatiblen Tätigkeiten scheinen hier zumindest derzeit die Mittel der Wahl.

Internationale Umsetzung

Erst durch die Einleitung des Vertragsverletzungsverfahrens durch die EU-Kommission scheint, wie in Deutschland, so auch in den anderen Mitgliedsstaaten, Schwung in die nationalen Gesetzgebungsverfahren gekommen zu sein. Mittlerweile haben elf Mitgliedsstaaten, darunter Frankreich, Dänemark, Irland, Portugal und Schweden, ihr Hinweisgeberschutzgesetz erlassen. In 15 weiteren Mitgliedsstaaten ist das Gesetzgebungsverfahren im Gang. Teilweise, zum Beispiel in Österreich, Tschechien und Polen, liegt bereits ein Entwurf vor, der nur noch auf seine parlamen­tarische Verabschiedung wartet oder von Experten und ­Interessengruppen final bewertet werden soll. Lediglich Ungarn hat derzeit noch kein Gesetzgebungsverfahren eingeleitet.

Europaweit zeichnet sich die Tendenz ab, die Richtlinie über ihre Vorgaben hinaus umzusetzen. So wird zum einen etwa der Hinweisgeberschutz in den allermeisten Fällen auf die Meldung von Verstößen gegen nationales Recht ausgeweitet (teilweise unterschiedliche Schwerpunkte, zum Beispiel Korruption in Österreich). Zum anderen erlauben einige Mitgliedsstaaten Unternehmen unabhängig von ihrer Größe, eine zentrale Meldestelle einzurichten (etwa Frankreich, Dänemark, Österreich). Letzteres ist nach Auffassung der EU-Kommission aber nicht mit dem Umsetzungsspielraum der Richtlinie vereinbar, denn danach sollen Unternehmen, die mehr als 249 Mitarbeiter beschäftigen, explizit dazu verpflichtet sein, eigene Meldestellen einzurichten.

Die teils erheblichen Abweichungen der Mitgliedsstaaten von der Richtlinie stellen internationale Konzerne vor große Herausforderungen bei der Implementierung ihres Hinweisgeberschutzsystems. Diese werden häufig nur mit externem Rechtsrat und anwaltlicher Hilfe aus den betroffenen Jurisdiktionen bewältigt werden können. Insbesondere aufgrund der nach wie vor schleppenden Umsetzung der nationalen Hinweisgeberschutzgesetze ist die einheitliche Implementierung weiterhin schwierig.

Fazit

So begrüßenswert der angestrebte Schutz von Hinweisgebern und die gewünschte Harmonisierung von Compliance in Europa auch sind, besteht aktuell doch das Risiko, dass ungelöste nationale Fragestellungen und internationale Divergenzen bei der Umsetzung der Richtlinie Hinweisgebern auch weiterhin rechtssicheren und europaweit einheitlichen Schutz verwehren. Umso wichtiger ist es jetzt, die Chancen der Beratungen im Rahmen des Gesetzgebungsverfahrens im Bundesrat und in den Ausschüssen des Bundestags zu nutzen und dem Hinweisgeberschutzgesetz mit weiteren Anpassungen zum Erfolg zu verhelfen.

 

michael.braun@roedl.com

florian.block@cms-hs.com

philipp.engelhoven@esche.de

ph.litzka@westpfahl-spilker.de

 

_____

Hinweis der Redaktion:
Dieser Artikel ist entstanden im Rahmen der Arbeit der Task Force „Whistleblowing“ des Bundesverbands der Wirtschaftskanzleien in Deutschland (BWD), die ein umfassendes Positionspapier als Stellungnahme des BWD zum laufenden Gesetzgebungsverfahren des Hinweisgeberschutzgesetzes erstellt hat. Der Task Force unter Leitung von Dr. Michael S. Braun (Rödl & Partner) gehören an: Florian Block (CMS), Dr. Jost Eder (Becker Büttner Held), Dr. Philipp Engelhoven (Esche Schümann Commichau), Ulrike Grube (Rödl & Partner), Dr. Philippe Litzka (Westpfahl Spilker Wastl) und Gerlach Schreiber (Osborne Clarke). Das Positionspapier finden Sie hier. (tw)

Aktuelle Beiträge