Die Bundesregierung ist spät dran. Eigentlich hätte sie schon bis zum 17. Dezember 2021 ein Gesetz vorlegen müssen, mit dem sie die vom europäischen Gesetzgeber am 23. Oktober 2019 erlassene Hinweisgeberrichtlinie in nationales Recht überführt. Doch das Scheitern eines ersten Entwurfs sowie die Bundestagswahl 2021 haben den Vorgang erheblich verzögert.
Im September 2022 wurde schließlich ein angepasster Entwurf des "Gesetzes für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden" (HinSchG) in den Bundestag eingebracht. Nach aktuellem Stand wird das HinSchG mit einem Jahr Verspätung voraussichtlich Mitte Dezember 2022 verabschiedet. Für betroffene Unternehmen hält es neben der Pflicht zur Umsetzung bestimmter Maßnahmen zum Schutz von Whistleblowern auch datenschutzrechtliche Herausforderungen bereit.
Hinweisgeberschutzgesetz: Umsetzungsmaßnahmen
Das HinSchG will die Rechte von Whistleblowern, also Personen, die Hinweise auf Gesetzesverletzungen oder Straftaten in Unternehmen oder Institutionen geben, erheblich stärken. Dazu sieht es unter anderem Vorgaben für Meldeprozesse und -stellen vor. Zudem garantiert es Whistleblowern Vertraulichkeit und weiterreichende Rechte. Auf diese Weise soll sowohl für die Whistleblower als auch für Unternehmen Rechtssicherheit geschaffen werden.
Unternehmen werden dazu verpflichtet, interne Meldestellen einzurichten, die Whistleblowern Meldekanäle bereitstellen - zum Beispiel in Form von Hinweisgeberportalen, besonderen E-Mail-Adressen oder Hotlines. Die gemeldeten Vorwürfe sind neutral zu untersuchen und, abhängig vom Ergebnis, sind Folgemaßnahmen zu ergreifen.
Geschützt werden Beschäftigte, die einen im HinSchG aufgeführten Verstoß melden - also straf- und bußgeldbewährte Gesetzesverstöße sowie schwerwiegende Rechtsverletzungen mit Bezug zu den Bereichen Steuern, Geldwäsche und Finanzaufsicht, Produkt- und Verkehrssicherheit und Vergaben. Nicht abgedeckt sind Verstöße gegen interne Unternehmensrichtlinien.
Informationen, die über die verschiedenen Kanäle bei den internen Meldestellen eingehen, sind durch das Vertraulichkeitsgebot (§ 8 HinSchG) geschützt. Die Identität der hinweisgebenden oder vom Hinweis betroffenen Personen, darf mit wenigen Ausnahmen nicht preisgegeben werden. Hinweisgeber können auch nicht für die Beschaffung gemeldeter Informationen zur Verantwortung gezogen werden und das Unternehmen darf sie aufgrund der Meldung eines Verstoßes nicht benachteiligen. Andernfalls steht ihnen ein Schadensersatzanspruch zu. Bei Verstößen gegen diese Schutzmaßnahmen droht dem Unternehmen ein Bußgeld (vgl. § 40 HinSchG).
Zur Einrichtung interner Meldestellen (§ 12 HinSchG) sind grundsätzlich alle Unternehmen mit mehr als 50 Beschäftigten verpflichtet. Kleinere Betriebe trifft diese Pflicht nur, wenn sie in bestimmten Sektoren tätig sind. In Bezug auf die Organisationsform der Meldestelle steht den Unternehmen ein breiter Umsetzungsspielraum zu (§§ 7, 14 HinSchG). Sie können die Meldestelle selbst durch einen Mitarbeitenden oder eine Abteilung betreiben oder die Funktion externen Dritten übertragen. Unternehmen mit einer Mitarbeiterzahl von 50 bis 249 Beschäftigten haben auch die Möglichkeit gemeinsame Meldestellen zu errichten. Sie haben Zeit, die interne Meldestelle bis zum 17. Dezember 2023 einzurichten (vgl. § 42 HinSchG). Unternehmen mit mehr als 250 Beschäftigten haben hingegen eine drei monatige Umsetzungsfrist ab Inkrafttreten des HinSchG.
Achtung: Datenschutz!
Wie immer steckt der Teufel im Detail. Bereits aus der Natur des Whistleblowings folgt, dass zum Teil sensible personenbezogene Daten verarbeitet werden könnten. Das HinSchG berechtigt zwar die interne Meldestelle, personenbezogene Daten zu verarbeiten, soweit dies für die Erfüllung ihrer Aufgaben erforderlich ist (§ 10 HinSchG). In dem Fall wird die interne Meldestelle aber als Verantwortliche gemäß Art. 4 Nr. 7 der Datenschutz-Grundverordnung (DSGVO) tätig.
Das bedeutet, dass sie für das Erheben, Verarbeiten und Übermitteln von personenbezogenen Daten an Dritte (zum Beispiel an die Konzerngesellschaft, bei der die in der Meldung genannte Person beschäftigt ist), eine Rechtsgrundlage gemäß Art. 6 DSGVO benötigt. Auch die weiteren datenschutzrechtlichen Pflichten sollten unbedingt im Vorfeld evaluiert und implementiert werden. Um einem reibungslosen Start nicht entgegenzustehen, ist eine frühzeitige Einbindung des Datenschutzbeauftragten empfohlen.
Rechtsgrundlage: Wird die interne Meldestelle für ein Unternehmen mit mehr als 250 Beschäftigten tätig, kann sie ihre Datenverarbeitung auf das HinSchG stützen. Unternehmen, mit 50 bis 249 Beschäftigten können dies streng genommen erst ab dem 17. Dezember 2023.
Sofern diese Unternehmen bereits vor diesem Termin eine interne Meldestelle einrichten möchten, stellt sich die Frage, ob das HinSchG "vorgreift" oder die Rechtsgrundlage nicht vielmehr in Art. 6 Abs. 1 S. 1 lit. f DSGVO (Interessenabwägung) zu finden ist.
Die Interessenabwägung dürfte auch die Rechtsgrundlage sein, wenn sich Unternehmen mit weniger als 50 Mitarbeitern für die Einrichtung einer internen Meldestelle entscheiden. Nutzen mehrere Konzerngesellschaften mit 50 bis 249 Beschäftigten eine interne Meldestelle gemeinsam, sollte daher im Detail geprüft werden, welche Datenverarbeitungen noch vom HinSchG gedeckt sind und wo ergänzend auf die DSGVO zurückgegriffen werden muss.
Abhängig von der konkreten Ausgestaltung ist es sogar denkbar, dass die interne Meldestelle als sogenannte Auftragsverarbeiterin tätig wird, folglich nur "auf Weisung" agiert und personenbezogene Daten für die eigentliche interne Meldestelle verarbeitet. Noch komplexer wird es, wenn sich ein Unternehmen entscheidet, eine externe Meldestelle einzurichten. Wird hingegen nur ein Whistleblowing-System "eingekauft", ist an den Abschluss eines Vertrags zur Auftragsverarbeitung gemäß Art. 28 DSGVO zu denken.
Betroffenenrechte: Datenschutzrechtlich hat eine betroffene Person verschiedene Rechte, darunter die Informations- und Auskunftsrechte. Bislang war streitig, ob und unter welchen Voraussetzungen das Informations- und Auskunftsrecht zum Schutz der Identität des Whistleblowers begrenzt werden dürfen. Sowohl die deutschen Datenschutzbehörden in ihrer am 14. November 2018 veröffentlichten "Orientierungshilfe der deutschen Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines" als auch einige Gerichte, wie das Landesarbeitsgericht Baden-Württemberg in seinem Urteil vom 20. Dezember 2018 (Az. 17 Sa 11/18), vertraten, dass die in einer Meldung genannten Personen ein Recht hätten, den Inhalt der Meldung zu erfahren, auch wenn dies dazu führe, dass der Whistleblower identifiziert werden kann. Diese Wertung hat viel Kritik erfahren.
Das Vertraulichkeitsgebot im Entwurf des § 8 HinSchG beendet diesa Diskussion und schützt den Whistleblower umfassend. Es gibt nur wenige Ausnahmen, bei deren Vorliegen eine Weitergabe der Identität des Whistleblowers erlaubt ist. Vor diesem Hintergrund sollten Unternehmen sich wappnen und definieren, was sie bei etwaigen Auskunftsanfragen oder in ihren Datenschutzhinweisen preisgeben dürfen. Der Umgang mit datenschutzrechtlichen Betroffenenanfragen sollte bereits im Vorfeld klar definiert werden, damit nicht "aus Versehen" bei der Bearbeitung solcher Anfragen geschützte Informationen preisgegeben werden.
Dokumentation: Die DSGVO sieht umfangreiche Dokumentationspflichten vor. Insbesondere ist eine sogenannte Datenschutz-Folgenabschätzung nach Art. 35 DSGVO vorzunehmen. Hierbei müssen vor allem die technischen und organisatorischen Maßnahmen, die zum Schutz der sensiblen Daten ergriffen worden sind, dokumentiert werden. Das gilt insbesondere dann, wenn ein Whistleblowing-System von einem Dritten verwendet wird. Neben technischen Schutzmechanismen ist zum Beispiel ein umfassendes Rollen- und Berechtigungskonzept zu erstellen, das die internen Zugriffe auf die Informationen einer Meldung festlegen. Auch sind die Löschfristen eindeutig zu definieren und die Umsetzung der Löschung zu dokumentieren.
Hinweisgeberschutzgesetz: Das müssen Sie tun
Die Umsetzung der im HinSchG vorgesehenen Maßnahmen erfordert ein einheitliches Konzept, das auch datenschutzrechtliche Fragestellungen berücksichtigt. Mit den Vorbereitungen hierfür sollten Unternehmen jetzt beginnen, ansonsten kann der Aufwand in der knappen Umsetzungsfrist nur schwer bewältigt werden. Insbesondere sollte klar sein, dass es nicht genügt, lediglich ein Whistleblowing-System von einem Dritten einzukaufen. Die Musik spielt vor allem bei der internen Umsetzung. (bw)