Am 16. April hat das EU Parlament den (bereits mit den EU-Ministern abgestimmten) Entwurf zur neuen EU Whistleblower Richtlinie verabschiedet. Die EU Mitgliedstaaten haben ab der Veröffentlichung zwei Jahre Zeit, einen EU-weit einheitlich hohen Schutz für Whistleblower zu gewährleisten. In Deutschland gibt es bislang keine Gesetze zum Schutz von Whistleblowern. Entsprechend müssen sich in Deutschland tätige Unternehmen auf umfassende neue gesetzliche Anforderungen einstellen.

Die Whistleblower Richtlinie

Die EU Mitgliedstaaten werden künftig Hinweisgeber sowohl im privaten als auch im öffentlichen Sektor gesetzlich schützen müssen. Nach der Richtlinie sind zunächst lediglich Hinweise umfasst, die EU-Recht betreffen, beispielsweise bei Verstößen gegen Umweltschutz, Verkehrssicherheit, Verbraucherschutz oder den Datenschutz.

In Deutschland müssen sich Unternehmen auf ein Umsetzungsgesetz mit folgenden Änderungen einstellen:

• Verpflichtung zum Betrieb eines Meldesystems: Künftig muss jedes Unternehmen mit 50 oder mehr Beschäftigten oder einer Jahresbilanzsumme von mehr als 10 Mio. EUR Kanäle und Verfahren für interne Meldungen und Folgemaßnahmen einrichten.
• Gestaltung der Meldesysteme: Die Meldesysteme müssen es den Mitarbeitern ermöglichen, vertraulich schriftlich (auch per E-Mail), telefonisch oder im Rahmen eines persönlichen Treffens Hinweise zu geben. Der Hinweisgeber muss spätestens drei Monate nach seiner Meldung über Folgemaßnahmen informiert werden. Die Mitarbeiter sind transparent über das Verfahren zu informieren.
• Externe Meldesysteme: Die EU Mitgliedstaaten müssen künftig auch eine zuständige Behörde benennen, die als externe Stelle Meldungen entgegennehmen und Folgemaßnahmen ergreifen kann.
• Schutz von Hinweisgebern: Zusätzlich müssen die Mitgliedstaaten bestimmte Maßnahmen treffen, um Hinweisgeber in den Unternehmen vor negativen (arbeitsrechtlichen) Folgen von korrekten Hinweisen zu schützen.
• Sanktionen: Die Mitgliedstaaten müssen weiterhin angemessene Sanktionen gegen alle festsetzen, welche Hinweise behindern oder Repressalien gegen Hinweisgeber ergreifen.

Betriebliche Mitbestimmung

Soweit ein Unternehmen einen Betriebs- oder Personalrat hat, unterliegt die Einführung eines Hinweisgebersystems im Unternehmen der betrieblichen Mitbestimmung (vgl. § 87 Abs. 1 Nr. 1 und 6 BetrVG). Unternehmen sollten daher bei der Implementierung des Hinweisgebersystems ausreichend Zeit für möglicherweise langwierige Verhandlungen mit dem Betriebsrat einplanen.

Datenschutzrechtliche Anforderungen

Der Betrieb eines Hinweisgebersystems führt im Regelfall auch immer zu einer Verarbeitung personenbezogener Daten der betroffenen Hinweisgeber und Mitarbeiter. Deutsche Unternehmen sollten daher die Orientierungshilfe zu Whistleblowing-Hotlines der Datenschutzkonferenz (das gemeinsame Organ der deutschen Datenschutzaufsichtsbehörden) berücksichtigen.

Insbesondere müssen Unternehmen bei der Einrichtung eines Hinweisgebersystems aus datenschutzrechtlicher Sicht die folgenden Punkte beachten:

• Transparenzpflichten: Das Unternehmen muss die Mitarbeiter über die mögliche Verarbeitung ihrer personenbezogenen Daten durch das Hinweisgebersystem umfassend informieren, z.B. im Rahmen der allgemeinen Mitarbeiterdatenschutzinformation.
• Löschpflichten: Das Unternehmen sollte ein Löschkonzept für personenbezogene Daten aus dem Hinweisgebersystem erstellen.
• Need-to-know-Prinzip: Das Unternehmen sollte ein Zugriffsberechtigungskonzept für personenbezogene Daten aus dem Hinweisgebersystem einführen.
• Verzeichnis von Verarbeitungstätigkeiten: Das Hinweisgebersystem muss in das Verzeichnis von Verarbeitungstätigkeiten aufgenommen werden.
• Betroffenenrechte: Das Unternehmen sollte rechtzeitig im Voraus ein Konzept erstellen, wie es Betroffenenrechte im Rahmen des Hinweisgebersystems möglichst unter Wahrung der erforderlichen Anonymität erfüllt, beispielsweise wenn ein Mitarbeiter einen Auskunftsanspruch geltend macht.

Achtung: Teilweise Unterschiede zum Geschäftsgeheimnisgesetz

Das am 19. April 2019 in Deutschland in Kraft getretene Geschäftsgeheimnisgesetz zur Umsetzung der Richtlinie (EU) 2016/943 enthält teilweise abweichende Regelungen zur Whistleblowing Richtlinie. So darf gemäß § 5 des Geschäftsgeheimnisgesetzes ein Geschäftsgeheimnis bereits dann offengelegt werden, wenn dies im öffentlichen Interesse liegt und zur Aufdeckung einer rechtswidrigen Handlung oder eines beruflichen oder sonstigen Fehlverhaltens geschieht. Das abgestufte Prinzip der Whistleblowing Richtlinie sieht hingegen vor, dass eine solche Meldung zunächst beim Arbeitgeber selbst und dann bei der externen Meldestelle erfolgen muss. Erst, wenn diese nicht reagieren, darf der Whistleblower Informationen an die Öffentlichkeit geben. Diesen Unterschied sollten Unternehmen berücksichtigen, die bereits auf Grundlage des geltenden Rechts ein Meldesystem aufgebaut haben.

Fazit

Das Umsetzungsgesetz zur Whistleblowing Richtlinie wird für Unternehmen in Deutschland umfassende neue Anforderungen schaffen. Wir empfehlen, bereits vor Geltung des Umsetzungsgesetzes ein entsprechendes System einzurichten oder zumindest vorzubereiten. Gerade die Projekte zur Umsetzung der EU Datenschutz-Grundverordnung haben gezeigt, dass Unternehmen sich erhebliche Kosten und Ärger ersparen können, wenn sie die vorhandene Zeit nutzen und frühzeitig tätig werden.