Der neue gesetzliche Hinweisgeberschutz – eine Herausforderung für den Datenschutz
Auf Unternehmen und andere Normadressaten kommt aus datenschutzrechtlicher Sicht viel Arbeit zu.
Die gesetzliche Regelung zum Schutz von Hinweisgebern in Deutschland ist auf der Zielgeraden. Die Bundesregierung hat kürzlich ihren entsprechenden Gesetzentwurf vorgestellt, welcher die entsprechende EU-Richtlinie 2019/1937 umsetzen soll. Der Entwurf gilt für Hinweise auf eine Vielzahl möglicher Verstöße, darunter Straftaten oder bußgeldbewehrte Vorschriften, die dem Schutz der Rechte der Beschäftigten oder ihrer Vertretungsorgane (z. B. Betriebsräte) dienen. Auch Hinweise auf Verstöße gegen die DSGVO fallen in den Anwendungsbereich, aber auch solche gegen die gesetzlichen Vorgaben zum Schutz der elektronischen Kommunikation und zur Sicherheit in der Informationstechnik. Gerade im Bereich des oft schwammigen Datenschutzrechts ist künftig mit einer deutlichen Zunahme von – nach dem Entwurf geschützten – Hinweisen auf mögliche Verstöße zu rechnen.
Der Entwurf regelt zum einen den Schutz von Hinweisgebern, die über mögliche Gesetzesübertretungen oder sonstige im Entwurf aufgezählte Regelverstöße hinweisen. Ein Kernstück ist dabei neben Verschwiegenheitspflichten eine Beweislastumkehr zu Gunsten von Hinweisgebern. Sie gilt dann, wenn eine hinweisgebende Person nach einer Meldung oder einer Offenlegung eine Benachteiligung im Zusammenhang mit ihrer beruflichen Tätigkeit erfährt. Dann muss derjenige, der den Hinweisgeber benachteiligt hat, beweisen, dass die Benachteiligung nicht auf der Meldung oder Offenlegung, sondern auf hinreichend gerechtfertigten Gründen beruhte.
Zum anderen regelt der vorgelegte Entwurf, wie “Beschäftigungsgebende” mit eingehenden Hinweisen auf mögliches Fehlverhalten umgehen müssen. U. a. müssen sie eine interne Meldestelle einrichten, wenn sie 50 oder mehr Beschäftigte haben oder wenn sie besondere im Entwurf genannte Tätigkeiten erbringen, wie etwa Wertpapierdienstleistungsunternehmen, Börsenträger oder Kapitalverwaltungsgesellschaften.
Die Entwurfsbegründung stellt noch einmal klar, dass die Meldestellen personenbezogene Daten unter Beachtung der geltenden Vorschriften verarbeiten müssen, insbesondere nach der DSGVO und dem BDSG. Der Entwurf sieht hierzu vor, dass Meldestellen befugt sind, personenbezogene Daten zu verarbeiten, soweit dies zur Erfüllung ihrer vorgeschriebenen Aufgaben erforderlich ist. Diese Regelung entspricht in etwa Art. 6 Abs. 1 lit. c DSGVO, der die Verarbeitung personenbezogener Daten erlaubt, soweit sie zur Erfüllung einer rechtlichen Verpflichtung des datenschutzrechtlich Verantwortlichen erforderlich ist. Damit bleibt leider weitgehend offen, in welchem Umfang und in welchen Grenzen Meldestellen personenbezogene Daten verarbeiten dürfen. Hier werden Unternehmen und andere Normadressaten daher bei der Umsetzung des Entwurfs auf die bisherige Rechtsprechung zurückgreifen müssen, wenn sie die genauen Strukturen und Prozesse für den Umgang mit Hinweisen planen.
Der Entwurf sieht immerhin die – in der Praxis häufige und sinnvolle – Möglichkeit vor, Meldestellen von Dritten, also etwa einer zentralen Stelle in einem Konzern, zu betreiben. Allerdings bleibt dabei offen, wie dies genau datenschutzrechtlich umzusetzen ist. Viele Konzerne werden hier wohl entsprechende (und teilweise recht komplexe) konzerninterne Vereinbarungen über gemeinsame Verantwortliche nach Art. 26 DSGVO abschließen.
An anderer Stelle wird der Entwurf etwas klarer, etwa beim Umgang mit eingehenden Meldungen. Diese sind zunächst zu dokumentieren und dann zwei Jahre “nach Abschluss des Verfahrens” zu löschen. Wäre jetzt noch klar, wann ein solches Verfahren abgeschlossen ist, hätte man eine präzise Vorstellung davon, wann genau die Löschpflicht eintritt. Allerdings lässt die Entwurfsbegründung vermuten, dass ein solcher Abschluss des Verfahrens erst dann eintritt, wenn alle einschlägigen Anforderungen nach Unionsrecht und nationalem Recht erfüllt sind. Denn es müsse “bei aus der Meldung resultierenden Rechtsstreitigkeiten auf Unterlagen zum Hinweisgeberverfahren zurückgegriffen werden können”. Jedenfalls solange sich Hinweisgeber auf die bereits angesprochene Beweislastumkehr bei möglichen Benachteiligungen berufen können, wäre eine Löschung der Meldung auch widersinnig, da der Beschäftigungsgeber dann in der Regel wohl nicht mehr beweisen könnte, dass die in Frage stehende Maßnahme nicht auf dem Hinweis beruhte, sondern auf gerechtfertigten Gründen.
Eine wirkliche datenschutzrechtliche Arbeitserleichterung enthält die Entwurfsbegründung zum dem in § 8 des Entwurfs geregelten Vertraulichkeitsgebot. Gerade beim Umgang mit Hinweisen ist die Information der betroffenen Person – etwa nach Art. 14 DSGVO – rechtlich oft nicht leicht zu beurteilen. Die Entwurfsbegründung stellt deutlich klar, dass Informationspflichten und Auskunftsrechte betroffener Personen das zum Schutz der Hinweisgeber vorgesehene Vertraulichkeitsgebot nicht aushebeln dürfen. Soweit Informationen dem Vertraulichkeitsgebot unterliegen, sind diese geheim zu halten, sodass Informations- und Auskunftsrechte nach § 29 Abs. 1 BDSG eingeschränkt sind.
Aus datenschutzrechtlicher Sicht kommt auf Unternehmen und andere Normadressaten viel Arbeit zu. Neben der Planung datenschutzkonformer Strukturen und Prozesse sind die Mitarbeiter der Meldestelle im Datenschutz zu schulen. Viele Aufsichtsbehörden werden wohl die vorherige Durchführung einer Datenschutz-Folgenabschätzung fordern. Und auch die Datenschutzinformationen für Hinweisgebende und Beschäftigte sollten auf das Hinweisgebersystem hinweisen. Es bleibt daher auch beim Hinweisgeberschutz einiges im Datenschutz zu tun.
Tim Wybitul ist Rechtsanwalt und Partner im Frankfurter Büro von Latham & Watkins LLP. Er berät Unternehmen umfassend zu Fragen des Datenschutzes und angrenzenden Rechtsgebieten. Wybitul zählt zu den führenden Datenschutzanwälten in Deutschland.