Inhalt

I. Aktuelle Relevanz von Whistleblowing

Nicht nur angesichts von aktuellen Skandalen rückt das Thema Whistleblowing immer mehr in den Fokus von Politik, Justiz und öffentlicher Wahrnehmung. Ein anonymer Whistleblower war es, der den jüngsten Skandal der Schweizer Großbank Credit Suisse ans Licht brachte. Dabei brachte ein Datenleak die Bank in Bedrängnis. Ebenso erlangte die ehemalige Facebook-Mitarbeiterin und Whistleblowerin Frances Haugen letztes Jahr im Rahmen der Offenlegung prekärer Geschäftspraktiken von Facebook internationale Berühmtheit. Zudem gab es bei der Enthüllung von korruptionsbedingtem Fehlverhalten des Mobilfunktechnologieherstellers Ericsson im Irak offensichtlich ebenfalls einen Whistleblower. Den NSA-Datenschutzskandal deckte der weltweit wohl bekannteste Whistleblower Edward Snowden auf.

Auch für Unternehmen spielt Whistleblowing – als probates Mittel zur Prävention und Aufdeckung von Compliance-Verstößen – eine immer wichtigere Rolle.

II. Definition von Whistleblowing

Der anglo-amerikanische Terminus „Whistleblower“ wird ins Deutsche am zutreffensten mit „Hinweisgeber“ übersetzt. „Whistleblowing“ bedeutet also „Hinweisgebung“. Inhaltlich geht es beim Whistleblowing darum, dass eine Person, die der Organisation angehört, durch ihre Handlungen gegen Recht und Gesetz verstößt und der Whistleblower dieses Fehlverhalten meldet. Das Fehlverhalten kann z.B. korruptes oder vermögensschädigendes Verhalten sein.

III. Was sind Whistleblowingsysteme?

Über ein Whistleblowingsystem melden Hinweisgeber Missstände an eine hierfür eingerichtete Stelle (Whistleblowing-Hotline). Es soll so auf einfachem Wege möglich sein, Hinweise über Fehlverhalten zu geben.

Im Rahmen eines Whistleblowingsystems können Beschäftigte eines Unternehmens, aber ggf. auch Dritte, wie Kunden oder Lieferanten über ein feststehendes Verfahren Gesetzesverstöße oder die Nichteinhaltung unternehmensinterner Normen, wie z.B. Ethik-Kodizes, melden.

Im Falle illegaler und unethischer Verhaltensweisen ergeben sich für betroffene Unternehmen unkalkulierbare wirtschaftliche Risiken. Neben einer strafrechtlichen Pönalisierung kann es zu finanziellen Einbußen und Rufschäden kommen, die sich negativ auf die wirtschaftliche Performance eines Unternehmens auswirken können.

IV. Wie ist Whistleblowing in Deutschland rechtlich geregelt?

  1. Rechtsunsicherheit aufgrund mangelnder rechtlicher Regelung

Weltweit existieren bereits in vielen Ländern Gesetze zum Schutz von Hinweisgebern, um die Offenlegung von nicht integrem Verhalten zu erleichtern. Ohne den starken gesetzlichen Schutz von Hinweisgebern in den USA, hätte Frances Haugen das ungebührliche Verhalten von Facebook sicherlich nicht offengelegt.

Bis dato fehlt es in Deutschland noch immer an einer Rechtsgrundlage für Whistleblowing. Lediglich kryptisch finden sich Regelungen in Spezialbereichen wie beispielsweise dem Arbeitsschutz (z.B. § 17 Abs. 2 ArbSchG) oder dem Recht der Finanzdienstleistungen (z.B. § 48 GWG). Bisher gibt es kein Schutzgesetz, das Whistleblowern die Konsequenzen ihres Handelns aufzeigt. Diese Rechtsunsicherheit führt dazu, dass weder der Whistleblower selbst noch der Adressat des Hinweises bisweilen wissen, wie sie mit der Meldung umgehen sollen. Auch fürchtet der Hinweisgeber häufig Nachteile, insbesondere Repressalien arbeitsrechtlicher Natur und hält aus diesem Grund ggf. nützliche Hinweise bewusst zurück. Die fehlende Rechtssicherheit resultiert letztendlich in spärlicher eingehenden Hinweisen und verhindert dadurch die Abwehr von Risiken, wie etwa Fälle von White-collar-crime (z.B. Geldwäsche).

  1. EU-Whistleblower-Richtlinie mit der Verpflichtung zur Einrichtung interner Meldesysteme

Intention der EU-Whistleblower-Richtlinie EU 2019/1937 ist die Ausweitung des Schutzes von Whistleblowern. Zudem definiert sie Anforderungen an die Ausgestaltung von Hinweisgebersystemen.

Im November 2021 einigte man sich im Koalitionsvertrag auf eine „rechtssichere und praktikable“ Umsetzung der EU-Whistleblower-Richtlinie, die über deren Mindestkriterien hinausgehen soll. Nach der Whistleblower-Richtlinie haben Unternehmen mit mehr als 249 Mitarbeiter:innen ein Hinweisgebersystem (internes Meldesystem) im Unternehmen zu implementieren. Die Umsetzung soll in Deutschland über das Hinweisgeberschutzgesetz (HinSchG) erfolgen. Dieses existiert bis dato lediglich als Entwurf (HinSchGE). Hierbei soll ein Hinweismeldeportal als Schutzschild zum Einsatz kommen.

Weil Deutschland die EU-Whistleblowing-Richtlinie nicht rechtzeitig bis 17. Dezember 2021 in ein nationales Gesetz (HinSchG) umgesetzt hat, hat die EU-Kommission im Februar 2022 ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet.

Nach Ablauf des 17. Dezember 2021 ergeben sich noch keine unmittelbaren Rechtsfolgen für Unternehmen. Dennoch stehen Unternehmen vor neuen Herausforderungen in Bezug auf eine praxisgerechte Umsetzung. Sie sollten bereits jetzt prüfen, welcher Meldeweg für Hinweise bei ihnen etabliert werden kann. Die Einhaltung der Anforderungen aus der Whistleblower-Richtlinie bzw. des künftigen HinSchG sollten dabei zwingend Berücksichtigung finden.

V. Was ist in Bezug auf Whistleblowing und Datenschutz in Deutschland zu beachten?

Im Rahmen von Whistleblowing und Datenschutz besteht ein Spannungsverhältnis zwischen dem Schutz der Identität des Hinweisgebers und der Gefahr von möglichen Denunzierungen unschuldig verdächtigter Personen.

Art. 17 der EU-Whistleblower-Richtlinie statuiert, dass sämtliche Datenverarbeitungen im Rahmen von Whistleblowing der Datenschutzgrundverordnung (DSGVO) entsprechen müssen.

  1. Welche Daten werden beim Whistleblowing verarbeitet?

Beim Betrieb eines Whistleblowingsystems kommt es zur Verarbeitung personenbezogener Daten. Mit ihrer Hilfe wird versucht den Whistleblowing-Sachverhalt aufzuklären. Hierbei handelt es sich um Daten des Beschuldigten und je nach Art der Hinweisform auch des Hinweisgebers und ggf. weiterer Personen (weitere Mitarbeiter, Ansprechpartner von Lieferanten etc.). Im Falle einer anonymen Meldung werden keine personenbezogenen Daten des Meldenden erhoben. Im Gegensatz dazu werden bei einem personalisierten Hinweis Daten über den Hinweisgeber erhoben. Gem. Art. 5 DSGVO muss die Datenverarbeitung erforderlich und angemessen sein und darf nur für festgelegte, eindeutige und legitime Zwecke erfolgen.

  1. Betrieb des Whistleblowingsystems durch eine interne oder externe Stelle

Der Betrieb eines Whistleblowingsystems kann durch eine interne oder externe Stelle erfolgen. Entscheidend ist, dass ein Whistleblowing-System, das eine Meldung an eine neutrale Instanz garantiert, bereitgestellt wird. Es muss zudem ein Prozess vordefiniert werden, wie mit der Meldung zu verfahren ist. Bei der Auswahl externer Provider muss gem. Art. 28 DSGVO mit externen Providern ein Auftragsverarbeitungsvertrag geschlossen werden.

  1. Rechtmäßigkeit der Datenverarbeitung und Empfehlung eines anonymen digitalen Whistleblowingsystems als Best Practice

Zur Verarbeitung personenbezogener Daten bedarf es einer Rechtsgrundlage. Eine Orientierungshilfe für die Verarbeitung von Whistleblowingmeldungen hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder in Deutschland veröffentlicht («Orientierungshilfe der Datenschutzbehörden zu Whistleblowing-Hotlines: Firmeninterne Warnsysteme und Beschäftigtendatenschutz», siehe: https://ogy.de/oh-whistleblowing-hotlines).

Es handelt sich hierbei um kein Gesetz, gleichwohl sollten die Empfehlungen in der Unternehmenspraxis umgesetzt werden.

Einen zentralen Aspekt der Leitlinie stellen die Auswirkungen der DSGVO auf Whistleblowing dar. Die Orientierungshilfe empfiehlt ein anonymes Whistleblowingsystem als Best Pratice. In diesem Fall erfährt der Beschuldigte, dass ihm ein Fehlverhalten vorgeworfen wird, jedoch nicht von wem. Der Schutz der Identität des Hinweisgebers ist gewährleistet. Das ermutigt zum Geben von Hinweisen, was auch im Interesse der Unternehmen ist.               

Die Datenschutzkonferenz sieht bei nicht-anonymer Meldung eine Einwilligung des Whistleblowers für die Weitergabe seiner personenbezogenen Daten als erforderlich an. Die Einwilligung muss den Hinweis erhalten, dass sie jederzeit ohne Angabe von Gründen widerrufen werden kann. Die Einwilligung muss nach Art. 7 Abs. 1 DSGVO dokumentiert werden.

Ein anonymes Meldesystem zeichnet sich durch Anonymity by design aus. Systemtechnisch kann das u.a. durch Verschlüsselung und eine gesicherte IT-Umgebung umgesetzt werden. Wird die Anonymität nicht gewahrt und hat der Whistleblower dadurch einen Schaden, so macht sich das Unternehmen ggf. schadensersatzpflichtig. Insoweit kann es sinnvoll sein, ein System nicht durch die eigene IT betreuen zu lassen, sondern auf einen externen Anbieter, wie z.B. unseren Partner Hinweismeldeportal.de zurückzugreifen. (Unser Team berät Sie gerne – weitere Informationen)

In jedem Fall dürfte Rechtsgrundlage für die Verarbeitung personenbezogener Daten das berechtigte Interesse eines Unternehmens an der Verfolgung von Compliance-Verstößen sein, Art. 6 Abs. 1 lit. f DSGVO. Auf dieses berechtigte Interesse ist einer Datenschutzinformation hinzuweisen (für Mitarbeiter z.B. in der Mitarbeiter-Datenschutzinformation, für Lieferanten in der Lieferanten-Datenschutzinformation).

  1. Betroffenenrechte

„Betroffene Person“ im Sinne der DSGVO ist jede natürliche Person deren personenbezogene Daten verarbeitet werden. Ihr stehen umfassende Rechte beispielsweise auf Auskunft und Löschung zu (Art. 12 ff. DSGVO). Die Richtigkeit und Aktualität der personenbezogenen Daten fordert Art. 5 Abs. 1 lit. d DSGVO. Unrichtige Daten oder Daten, die im Hinblick auf die Aufklärung des Whistleblowingsachverhalts nicht von Relevanz sind, müssen einer Berichtigung unterzogen bzw. unverzüglich gelöscht werden. Nach Empfehlung der Datenschutzkonferenz sind die personenbezogenen Daten innerhalb von zwei Monaten nach Beendigung der Untersuchung des Whistleblowingsachverhalts zu löschen. In begründeten Ausnahmefällen wie im Falle der Einleitung von Ermittlungsverfahren kann hiervon abgewichen werden.

  1. Technisch organisatorische Maßnahmen (TOM)

Die Konzipierung eines Whistleblowingsystems muss den Zugriff Unberechtigter auf die dort verarbeiteten personenbezogenen Daten verhindern. Um eine DSGVO-konforme Ausgestaltung zu gewährleisten sind entsprechende technische und organisatorische Maßnahmen zu implementieren (z.B. ein Berechtigungskonzept) und zu dokumentieren.

  1. Datenschutz-Folgenabschätzung nach Art. 35 DSGVO

Die Einführung einer Whistleblowing-Plattform bedarf einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) mit einer Vorabkontrolle durch den Datenschutzbeauftragten. Der Datenschutzbeauftragte sollte so früh wie möglich im Rahmen der Prozessimplementierung miteinbezogen werden.

Zur Unterstützung bei komplexen datenschutzrechtlichen Fragestellungen, kann es hilfreich sein auf das fachliche Know-How und die Praxiserfahrung eines externen Datenschutzbeauftragten zurückzugreifen.

VI. Fazit: Beachtung von DSGVO und Orientierungshilfe

Whistleblowingsysteme sind ein adäquates Instrument zur Prävention und Aufdeckung von Compliance-Verstößen in Unternehmen. Die Unternehmen können durch diese Systeme vor Reputationsschäden und finanziellen Risiken bewahrt werden. Unabdingbare Voraussetzung ist eine datenschutzkonforme Ausgestaltung. Unternehmen sollten sich im Hinblick auf Whistleblowing und Datenschutz an die DSGVO halten. Empfehlenswert für Unternehmen ist es in jedem Fall die Prozesse, das Dokumentationsmanagement und unternehmensinterne Policies entsprechend zu überarbeiten.

Nora Lynn Rodiek, Senior Consultant & Legal Counsel der mip Consult GmbH, Diplom-Juristin & Wirtschaftsjuristin (Univ.)

 

Wenn Sie Unterstützung zum Thema Whistleblowing benötigen, sprechen Sie gerne unsere Berater an.

Der richtige Weg zum Beratungsgespräch