Folgen der Nichtumsetzung der „Whistleblowing-Richtlinie“

Fachbeitrag

Es kommt vor, dass europäische Richtlinien nicht rechtzeitig ins nationale Recht umgesetzt werden. Folge der Nichtumsetzung ist häufig eine Rechtsunsicherheit, denn regelmäßig eröffnen Richtlinien einen gewissen Regelungsspielraum für die nationalen Gesetzgeber. Im Bereich des Datenschutzrechts liegt einer solcher Fall derzeit hinsichtlich der sogenannten Whistleblowing-Richtlinie vor. Wie der aktuelle Stand ist, welche Problematiken dies mit sich bringt und ob ein Ende in Sicht ist, soll im Folgenden skizziert werden.

Die Whistleblowing-Richtlinie

Am 7. Oktober 2019 wurde die „Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ (EU 2019/1937) vom Rat der Europäischen Union verabschiedet. Diese sogenannte Whistleblowing-Richtlinie verpflichtet Unternehmen, die mehr als 50 Beschäftigte haben oder im Finanzdienstleistungsbereich tätig sind sowie öffentliche Arbeitgeber, ein internes System zur Meldung von Missständen einzurichten.

Die Whistleblowing-Richtlinie zielt damit auf zwei Ebenen, die ineinander greifen. Zum einen sollen straf- und ordnungsrechtlich relevante Verstöße aufgedeckt werden und somit eine Rechtsdurchsetzung verbessert werden, indem vertrauliche Meldekanäle eingerichtet werden. Zum anderen soll der Hinweisgeber durch den sicheren Meldekanal wirksam vor Repressalien geschützt werden, indem er weder rechtlich noch in Bezug auf seine berufliche Tätigkeit haftbar gemacht werden soll.

Notwendigkeit der nationalen Umsetzung

Im europäischen Recht gibt es verschiedene Möglichkeiten der Rechtsetzung. Art. 288 AEUV normiert diese verschiedenen Rechtssetzungsakte. Neben der Richtlinie, wie in diesem Fall, können Verordnungen oder Beschlüsse ergehen, Empfehlungen oder auch Stellungnahmen.

In Art. 288 AEUV ist zudem nachzulesen, welche Wirkungen die einzelnen Rechtsetzungsakte haben. Eine Richtlinie ist danach für jeden Mitgliedsstaat, an den sie gerichtet wird, hinsichtlich des zu erreichenden Ziels verbindlich, überlässt jedoch den innerstaatlichen Stellen die Wahl der Form und der Mittel. Konkret heißt das, jeder Mitgliedsstaat muss die Richtlinie in einer selbst gewählten Rechtsform in das nationale Recht übersetzen und implementieren. Für die Umsetzung der Richtlinie wird vom europäischen Gesetzgeber eine Frist gesetzt.

Die Frist zur Umsetzung der Richtlinie in das nationale Recht durch die Mitgliedsstaaten endete am 17. Dezember 2021. In Deutschland ist eine Umsetzung bisher noch nicht erfolgt. Die Nichtumsetzung führt in verschiedenen Bereichen zu Rechtsunsicherheiten, die durch die fehlenden Normierungen des nationalen Gesetzgebers hervorgerufen werden. Ein besonders plastisches Beispiel bietet in diesem Fall die der Umgang mit Betroffenenrechten vor dem Hintergrund der Whistleblowing-Richtlinie.

Was ist das Problem?

Die europäische Whistleblowing-Richtlinie schränkt die Betroffenenrechte der Datenschutz-Grundverordnung (DSGVO) nicht ein. Sie ermächtigt jedoch die Mitgliedsstaaten weitergehende Regelungen zur treffen. In Erwägungsgrund 84 der Richtlinie ist diesbezüglich festgehalten:

„[…] Der wirksame Schutz der Vertraulichkeit der Identität der Hinweisgeber ist für den Schutz der Rechte und Freiheiten anderer Personen, insbesondere der Hinweisgeber, gemäß Artikel 23 Absatz 1 Buchstabe i der Verordnung (EU) 2016/679 notwendig. Die Mitgliedstaaten sollten die Wirksamkeit dieser Richtlinie gewährleisten, indem sie unter anderem erforderlichenfalls die Ausübung bestimmter Datenschutzrechte betroffener Personen gemäß Artikel 23 Absatz 1 Buchstaben e und i und Artikel 23 Absatz 2 der Verordnung (EU) 2016/679 durch gesetzgeberische Maßnahmen einschränken, soweit und solange dies notwendig ist, um Versuche, Meldungen zu behindern, Folgemaßnahmen — insbesondere Untersuchungen — zu verhindern, zu unterlaufen oder zu verschleppen oder Versuche, die Identität der Hinweisgeber festzustellen, zu verhüten und zu unterbinden.“

Eine nationale Ausgestaltung kann also weitaus strenger oder umfangreicher erfolgen. Die Whistleblowing-Richtlinie soll gemäß Art. 3 EU 2019/1937 als Mindeststandard dienen. Hinsichtlich der Einschränkung von Betroffenenrechten wird es also maßgeblich auf die nationale Umsetzung ankommen.

Fraglich ist, ob dies dazu führt, dass bei jedem Hinweis durch die unternehmerisch implementierten Whistleblowing-Hotlines die Rechte aus Kapitel 3 der Datenschutz-Grundverordnung einzuhalten sind. In den Blick zu nehmen ist hier insbesondere die Informationspflicht aus Art. 14 DSGVO.

Eine direkte Anwendung der Richtlinie und deren Folgen

Im Falle einer nicht fristgerechten Umsetzung kann eine europäische Richtlinie jedoch ausnahmsweise eine unmittelbare Wirkung entfalten. Der Europäische Gerichtshof erkennt die unmittelbare Wirkung unter drei bestimmten Voraussetzungen an, um die Rechte des Einzelnen zu schützen:

  • Gewährung eines subjektiv-öffentlichen Rechts
  • Hinreichende Bestimmtheit
  • Fristablauf ohne Umsetzung.

Gerade der Punkt der hinreichenden Bestimmtheit ist wohl fraglich und im Einzelfall zu betrachten. Eine pauschale Prüfung kann hier wohl nicht erfolgsversprechend sein.

Die direkte Anwendung der Whistleblowing-Richtlinie führt dazu, dass die Betroffenenrechte des Kapitels 3 der Datenschutz-Grundverordnung nicht eingeschränkt sind. Folglich ist auch der Informationspflicht aus Art. 14 DSGVO grundsätzlich nachzukommen. Dies widerspräche jedoch einem der gesetzten Ziele der Whistleblowing-Richtlinie – dem ausdrücklichen Schutz des Hinweisgebers.

Was sagen die Behörden?

Mangels aktueller Stellungnahmen der Aufsichtsbehörden ist die derzeitige behördliche Ansicht zu Betroffenenrechten im Rahmen der vertraulichen Meldekanäle nicht bekannt.

Die Datenschutzkonferenz hat zuletzt im November 2018 eine „Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines: Firmeninterne Warnsysteme und Beschäftigtendatenschutz“ veröffentlicht. Ohne Bezug zur 2019 verabschiedeten „Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ (EU 2019/1937) kommt die Orientierungshilfe zu dem Ergebnis, dass Unterrichtungs- und Auskunftspflichten der von einem Hinweis betroffenen Personen bestehen (vgl. S. 10).

Wie ist derzeit noch vorzugehen?

Beim Eingehen einer Meldung eines Hinweisgeber über bereits bestehende Kanäle stellt sich also die Frage, wie aus datenschutzrechtlicher Sicht zu verfahren ist, sofern noch kein Konzept für eine solche Situation erarbeitet wurde. Neben dem Herausarbeiten, welche personenbezogenen Daten über den Hinweisgeber eingegangen ist, ist es ratsam frühzeitig den Datenschutzberatenden sowie – falls vorhanden – die Rechtsabteilung einzubinden. Bei einer so unsicheren Rechtslage ist die Einzelfallbetrachtung durch Spezialisten im Datenschutzrecht umso wichtiger.

Ein Ende ist in Sicht!

Am 13. April dieses Jahres hat das Bundesministerium für Justiz den Referentenentwurf „eines Gesetzes für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ veröffentlicht. Selbst erklärtes Ziel dieses Referentenentwurfs ist es, die sogenannte europäische Whistleblowing-Richtlinie umzusetzen sowie gleichzeitig den Hinweisgeberschutz in der Bundesrepublik Deutschland wirksam und nachhaltig zu verbessern.

Es bleibt abzuwarten, inwiefern sich die Inhalte des Referentenentwurfs auch im zukünftigen Gesetz wiederfinden lassen – ebenso wie die Frage, wann das Gesetz zu dem Referentenentwurf verabschiedet werden wird.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.