Whistleblowing trifft Datenschutz – Das neue Hinweisgeberschutzgesetz

Das neue „Hinweisgeberschutzgesetz“ (HinSchG) zielt darauf ab, einen besseren Schutz für Whistleblower zu bieten. Gleichzeitig dient das Gesetz dazu die EU-Richtlinie zum Schutz von Personen, die Verstöße gegen Unionsrecht melden, umzusetzen. In diesem Sinn soll das nationale Gesetz alle Einzelpersonen schützen, die Verstöße gegen interne oder externe rechtliche Verpflichtungen innerhalb ihrer Organisation oder Behörde melden. Damit soll sichergestellt sein, sie in erster Linie vor negativen Konsequenzen durch ihren Arbeitgeber, der im Gesetz als „Beschäftigungsgeber“ bezeichnet wird, sowie vor den gemeldeten „Rechtsverletzer“ selbst zu schützen.

Wer meldet? Was wird gemeldet?

Das Gesetz definiert „Whistleblower“ als Personen, die Informationen über aufgelistete Verstöße bereitstellen und schützt sie vor jeglicher Haftung, solange sie keine falschen Anschuldigungen in grob fahrlässiger Weise machen. Zu den zu meldenden Rechtsverletzungen gehören zunächst Handlungen, die straf- oder (mit einigen Einschränkungen) bußgeldbewehrt sind (§ 2 Abs. 1 Nr. 1 und 2 HinSchG). Unter dem Aspekt des Datenschutzes relevant sind nach § 2 Abs. 1 Nr. 3 HinSchG Verstöße gegen die in § 2 Abs. 1 Nr. 3 lit. o und p HinSchG genannten Vorschriften zum Schutz der Privatsphäre und personenbezogener Daten in der elektronischen Kommunikation (ePrivacy-Recht), zum Schutz vor unzumutbaren Belästigungen durch elektronische Werbung (sog. Kundendatenschutz) und auch zum Schutz personenbezogener Daten im Anwendungsbereich der Datenschutz-Grundverordnung (DS-GVO). Die Voraussetzung, dass der gemeldete Vorfall mit den beruflichen Tätigkeiten des Whistleblowers zusammenhängt, ist bewusst weit definiert und umfasst sowohl aktuelle als auch frühere berufliche Tätigkeiten.

Wann gibt es keine Meldung?

Eine pauschale Meldepflicht beinhaltet das neue Gesetzt nicht. Ob eine solche im Einzelfall besteht, hängt jeweils vom Umfang der Loyalitätsverpflichtungen der Beschäftigten ab oder betriebsinterne Compliance-Vorschriften umfassen eine zulässige Meldepflicht. Das Hinweisgeberschutzgesetz bezweckt das primäre Gesetz für interne und externe Meldesysteme zu sein, erlaubt jedoch ergänzend weiterhin – auch bereits bestehende – spezifische Bestimmungen für spezielle Meldesysteme und Vertraulichkeitsverpflichtungen (§§ 4 Abs. 1; 5; 6 HinSchG). Meldungen über privates Fehlverhalten, auch wenn der Whistleblower davon im beruflichen Kontext erfährt, werden vom Gesetz ausdrücklich nicht geschützt. Dies gilt selbst für Beamte, die auch außerhalb ihrer dienstlichen Pflichten ein ordnungsgemäßes Verhalten aufrechterhalten müssen.

Meldewege und Dokumentationspflicht

Der Beschäftigungsgeber hat den hinweisgebenden Personen zwei gesetzlich definierte und gleichwertig nebeneinanderstehende Möglichkeiten zur Mitteilung von Meldungen zur Verfügung zu stellen: Interne und Externe Meldewege. Interne Wege können dabei elektronische Meldesysteme, oder Anlaufstellen wie die Compliance-Abteilung, eine Ombudsperson oder einen Vertrauensanwalt darstellen. Die externe Meldestelle ist eine unabhängige, externe Stelle, an die Whistleblower Informationen über Verstöße melden können. Hierbei handelt es sich um eine staatliche Behörde oder eine andere Stelle, die gemäß dem Gesetz zur Entgegennahme von Meldungen eingerichtet wird. Interne und externe Meldestellen erhalten in § 10 HinSchG die bereichsspezifisch geregelte Befugnis personenbezogene Daten zu verarbeiten, soweit dies zur Erfüllung ihrer in den §§ 13 und 24 HinSchG bezeichneten Aufgaben erforderlich ist. Abweichend von Art. 9 DS-GVO ist auch die Verarbeitung besonderer Kategorien personenbezogener Daten durch eine Meldestelle zulässig, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist.

Vertraulichkeit der Meldung bis hin zur Anonymität

Interne und Externe Anlaufstellen müssen laut dem neuen Gesetzesentwurf auch anonym eingehende Meldungen bearbeiten (§§ 16 Abs. 1 S. 4.; 27 Abs. 1 S. 2 HinSchG) und im Zuge dessen Meldekanäle aufrechterhalten, welche sowohl die anonyme Kontaktaufnahme als auch die für die hinweisgebende Person anonyme Kommunikation mit der Meldestelle ermöglichen. Allen Meldestellen wird in § 11 HinSchG überdies vorgegeben, sämtliche eingehende Meldungen in dauerhaft abrufbarer Weise unter Beachtung des Vertraulichkeitsgebots (§ 8 HinSchG) schriftlich oder – mit Einwilligung des Betroffenen – elektronisch zu dokumentieren. Nach Art. 18 Abs. 2 bis 4 HinSch-RL ist dem Hinweisgeber Gelegenheit zu geben, das jeweilige Protokoll, die Niederschrift oder das Gesprächsprotokoll zu überprüfen, gegebenenfalls zu korrigieren und es durch seine Unterschrift zu bestätigen. Die Aufbewahrungsfrist hierfür beträgt drei Jahre. Dabei sind die Daten involvierter Personen stets vertraulich zu behandeln (§ 8 HinSchG). Sie dürfen nur den bearbeitenden Personen des Meldevorgangs zugänglich sein, die ausdrücklich auf Vertraulichkeit verpflichtet sind. Ausnahmen des Vertraulichkeitsgebots gelten nur für vorsätzlich oder grob fahrlässig handelnde Hinweisgeber (§ 9 Abs. 1 HinSchG) und im Rahmen der Untersuchungen durch staatliche Behörden oder Gerichte.

Konkrete Umsetzungsanforderungen für deutsche Unternehmen

Das Hinweisgeberschutzgesetz verlangt von allen Unternehmen mit mindestens 50 Beschäftigten die Einrichtung von Meldesystemen und internen Meldestellen. Die Bestimmung der Beschäftigtenanzahl erfolgt dabei auf Grundlage einer retrospektiven Analyse früherer Personalbestände sowie einer Bewertung der zukünftigen Entwicklung. Bei der gesetzlich vorgeschriebenen Organisation interner Meldestellen hat der Beschäftigungsgeber gemäß § 14 HinSchG einen gewissen Spielraum, solange die Funktionsfähigkeit des Meldesystems durch eine Person oder Organisationseinheit mit Unabhängigkeit und ohne Interessenkonflikte gewährleistet werden kann. Dabei darf die interne Meldestelle auch „extern“ wie z.B. in Form einer Ombudspersonen oder andere externe Dritte sein. Gerade bei kleineren Unternehmungen wird oftmals der Bedarf nicht so groß sein. In diesen Fällen kann die jeweils als Anlaufstelle benannte Person gleichzeitig andere Aufgaben wahrnehmen, sofern sie hierbei nicht in Interessenkonflikte gerät. Die Gesetzesbegründung sieht z.B. die Möglichkeit vor, den Datenschutzbeauftragten mit der Aufgabe zu betrauen.

Umgang mit Meldungen und drohende Sanktionen

Die aus einer eingehenden Meldung erwachsenen Konsequenzen bleiben grundsätzlich dem Meldeempfänger überlassen, solange er nicht rechtswidrig handelt. Eine Reaktionspflicht bestehend aus den Eingangsinformationen und den ergriffenen Maßnahmen besteht nur gegenüber der meldenden Person. Der Beschäftigungsgeber muss einer Meldung nicht nachgehen, kann sie intern regeln und hat keine Verpflichtung, sich an Behörden zu wenden oder strafrechtliche Konsequenzen zu ziehen. Die hinweisgebende Person hat jedoch auch das Recht, sich an die Öffentlichkeit zu wenden (§ 32 HinSchG). Dabei darf sie nicht behindert werden (§ 7 Abs. 2 HinSchG). Wenn der Arbeitgeber trotz der Schutzmaßnahmen Maßnahmen gegen den Whistleblower ergreift, ist er verpflichtet, den Whistleblower für erlittene immaterielle Schäden zu entschädigen. Verstöße gegen das Gesetz können daneben zu erheblichen Geldbußen für den Arbeitgeber führen.

Praxisorientierte Weiterbildung
Bei der operativen Umsetzung des HinSchG sind neben den Vorgaben aus dem Gesetz selbst auch die sich aus anderen rechtlichen Vorgaben ergebenden Anforderungen zu beachten, wozu insbesondere die Mitbestimmungsrechte des Betriebsrats oder die Einbeziehung des Datenschutzbeauftragten gehören. Mehr dazu erfahren Sie am 19.09.2023 im Online-Seminar „Whistleblowing und Datenschutz“ von RA Dr. Dominik Nikol. Das Seminar stellt die wesentlichen Anforderungen zum Hinweisgeberschutz nach geltendem Recht und zu erwartender Praxis dar. Die Teilnehmenden erhalten Hilfestellungen bei der Implementierung der internen Meldestelle und werden insbesondere auf die dabei auftretende Fragen zum Datenschutz vorbereitet.

(Foto: freshidea – stock.adobe.com)