Die neue Whistleblower-Richtlinie im Spannungsfeld der DSGVO

Schutz der Vertraulichkeit des Whistleblowers trotz Auskunftspflichten?

Das europäische Parlament und der europäische Rat haben die Richtlinie (EU) 2019/1937 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (sog. Whistleblower-Richtlinie) verabschiedet, die am 16. Dezember 2019 in Kraft getreten ist. Die Mitgliedsstaaten haben nunmehr bis zum 17. Dezember 2021 Zeit, um die Richtlinie in nationales Recht umzusetzen. In der Praxis sollte man sich allerdings schon heute mit den Vorgaben befassen, denn durch die neuen Schutzstandards kann das bisherige Spannungsverhältnis zwischen dem Schutz der Vertraulichkeit des Whistleblowers und den datenschutzrechtlichen Auskunftspflichten der DSGVO gelöst werden.

Neue Meldekanäle zum Schutz von Whistleblowern

Zweck der Richtlinie ist es, dass Whistleblower künftig Verstöße gegen das Unionsrecht über eingerichtete Meldekanäle gefahrlos melden können und vor arbeitsrechtlichen Repressalien geschützt werden. Die vorgesehenen Meldekanäle folgen dabei einer Hierarchie in drei Stufen:

Zunächst sollen Arbeitnehmer etwaige Rechtsverstöße intern melden können, bevor sie sich an eine zuständige Behörde wenden. Erst als ultima ratio und nur unter bestimmten Voraussetzungen ist die Anprangerung von Missständen in der Öffentlichkeit durch die Richtlinie geschützt. Alle Unternehmen mit mehr als 50 Mitarbeitern sowie Gemeinden mit mehr als 10.000 Einwohnern benötigen künftig ein internes Meldesystem (Art. 7, 8 der Whistleblower-Richtlinie). Nach Eingang der Meldung schreibt die Richtlinie einen genaues Verfahren für den zeitlichen Ablauf der Folgemaßnahmen vor (z.B. Bestätigung des Eingangs der Meldung innerhalb von sieben Tagen, Benennung einer unparteiischen Person oder Abteilung, Rückmeldung an den Hinweisgeber innerhalb von drei Monaten). Die eigenen Compliance-Strukturen müssen daher umfassend geprüft und entsprechend überarbeitet werden; insbesondere ist bei den angesprochenen Unternehmen eine interne Whistleblower-Hotline einzurichten.

Unternehmen sollten schon jetzt die Implementierung der neuen Regelungen genau prüfen, selbst wenn die Verpflichtungen erst ab dem Zeitpunkt der nationalen Umsetzung der Richtlinie bindend sind. Kleinere Unternehmen mit 50 bis 249 Arbeitnehmern haben sogar bis zum 17. Dezember 2023 Zeit.

Arbeitsrechtliche Schutzmaßnahmen

Darüber hinaus sollen Whistleblower unter Whistleblower-Richtlinie vor betrieblichen Repressalien geschützt werden. Vergeltungsmaßnahmen des Arbeitgebers gegen den Whistleblower und seine Unterstützer, wie zum Beispiel Gehaltskürzungen, Suspendierungen, Kündigungen, Versetzungen oder negative Leistungsbeurteilungen, sind künftig unzulässig. Dabei gilt ein denkbar weiter Arbeitnehmerbegriff: Selbst Praktikanten und nicht geschäftsführende Gesellschafter sind geschützt. Für den Fall, dass Unternehmen dennoch Repressalien gegenüber Arbeitnehmern ergreifen, drohen künftig von den Mitgliedstaaten noch festzulegende wirksame, angemessene und abschreckende Sanktionen (Art. 23 der Whistleblower-Richtlinie).

In diesen Vorgaben liegt jedoch zugleich die Chance für Unternehmen, durch eine gezielte innerbetriebliche Kommunikation, das Vertrauen in die eigenen Compliance- und HR-Strukturen zu stärken, und somit Whistleblower zunächst zu einer internen Meldung (1. Stufe) zu bewegen. Dadurch kann der direkte Gang an die Öffentlichkeit und ein damit einhergehender Reputationsverlust des Unternehmens vermieden werden.

Verhältnis der Whistleblower-Richtlinie zur DSGVO

Nach Art. 17 der Whistleblower-Richtlinie soll die Verarbeitung personenbezogener Daten im Einklang mit der DSGVO vorgenommen werden. Damit befinden sich Unternehmen auf den ersten Blick in einer Zwickmühle: Einerseits haben die betroffenen Arbeitnehmer, die in einer Meldung genannt oder gar beschuldigt werden, das Recht auf Information über die Zwecke der Datenverarbeitung (Art. 14 DSGVO) und den Anspruch auf Auskunft über den die Person betreffenden Inhalt der Meldung (Art. 15 DSGVO). Andererseits darf nach Art. 16 der Whistleblower-Richtlinie die Identität des Whistleblowers nicht offengelegt werden (Vertraulichkeitsgebot).

Dieser Widerspruch wird noch verstärkt durch die Stellungnahme der deutschen Datenschutzbehörden vom 14. November 2018. Demnach muss der Whistleblower – falls er seine Meldung nicht anonym einreicht – darauf hingewiesen werden und darin einwilligen, dass seine Identität gegenüber dort erwähnten Mitarbeitern als Quelle für deren personenbezogene Daten offengelegt werden muss (Art. 14 Abs. 2 lit. f DSGVO).

Diese Rechtsauffassung wurde zuletzt durch das Urteil des LAG Baden-Württemberg vom 20. Dezember 2018 (Az. 17 Sa 11/18) bestätigt. Das LAG gewährte dem klagenden Arbeitnehmer einen die Identität des Whistleblowers offenlegenden Auskunftsanspruch nach Art. 15 DSGVO sowie Einsicht in die Personalakte nach § 83 BetrVG. Zwar ist die Entscheidung noch nicht rechtskräftig und die Revision zum BAG (Az. 5 AZR 66/19) zugelassen. Dadurch wird allerdings deutlich, in dem Spannungsverhältnis zwischen dem Schutz der Vertraulichkeit des Whistleblowers und den datenschutzrechtlichen Auskunftspflichten immer noch große Rechtsunsicherheit besteht.

Die Lösung könnte jedoch künftig in der Umsetzung der Whistleblower-Richtlinie zu finden sein. Diese fordert nämlich in Erwägungsgrund 84 die Wirksamkeit der Richtlinie zu gewährleisten, indem die Ausübung bestimmter Datenschutzrechte betroffener Personen gemäß Art. 23 Abs. 1 lit. e und i, Abs. 2 DSGVO durch gesetzgeberische Maßnahmen einzuschränken ist (vgl. § 29 Abs. 1 S. 2 BDSG). Dies ist dem EU-Gesetzgeber zufolge sogar notwendig, soweit anderenfalls Meldungen von Whistleblowern behindert werden oder die Aufdeckung der Identität des Whistleblowers droht.

Es bleibt damit mit Spannung die Umsetzung der Richtlinie durch den Gesetzgeber und die Entscheidung des BAG abzuwarten. Bis dahin sollten Unternehmen aus Gründen der Rechtssicherheit jedoch darauf hinwirken, dass Hinweise anonym ergehen oder die Identität des Whistleblowers in den Personalakten (wo immer dies möglich ist) unkenntlich gemacht wird.

Gesetz zum Schutz von Geschäftsgeheimnissen

Schließlich findet sich ein Ausnahmetatbestand zum Schutz von Whistleblowern auch im Gesetz zum Schutz von Geschäftsgeheimnissen. Denn im Falle einer Meldung ist häufig auch Know-How des Unternehmens betroffen, dessen Offenlegung an sich verboten ist. Gemäß § 5 Nr. 2 GeschGehG ist die Offenlegung jedoch ausnahmsweise gerechtfertigt, wenn sie zur Aufdeckung einer rechtswidrigen Handlung oder eines beruflichen oder sonstigen Fehlverhaltens erfolgt und dem Schutz des allgemeinen öffentlichen Interesses dient. Diese Vorschriften gilt es in der Praxis daher ebenfalls zu berücksichtigen. Mit einem funktionierenden und datenschutzrechtskonformen internen Meldesystem im Sinne der Whistleblower-Richtlinie kann die Offenlegung von Geschäftsgeheimnissen schon von Anfang an verhindert werden.

Empfehlungen

• Unternehmen werden künftig ihre Compliance-Strukturen weiter ausbauen und interne Meldesysteme für Whistleblower implementieren müssen.
• Außerdem sollten umfassende arbeitsrechtliche Schutzvorgaben berücksichtigt werden, sofern ein Hinweis auf einen Rechtsverstoß erfolgt ist.
• Darüber hinaus spielt der Datenschutz der beteiligten Personen (Whistleblower wie auch Beschuldigter) eine gewichtige Rolle. Bis zu einer Umsetzung der Richtlinie sollten Hinweise ausschließlich anonym ergehen oder die Identität von Whistleblowern in Personalakten von vornherein unkenntlich gemacht werden.
• Schließlich gilt es, durch Informationen und Schulungen die Mitarbeiter und Entscheidungsträger im Unternehmen für dieses Thema zu sensibilisieren.