Verhindert die DSGVO den Schutz von Whistleblowern?

Hinweisgeber sollen ab 2021 in der EU stärker geschützt werden: Die so genannten „Whistleblower“ bringen Missstände ans Licht und leisten damit oft einen wichtigen Beitrag für die Gesellschaft. Gleichzeitig laufen sie Gefahr, wegen ihrer Meldung Nachteile für die eigene Karriere oder ihr persönliches Wohlbefinden zu erleiden. Um dies zu verhindern, soll die Identität des Hinweisgebers durch die neuen Vorgaben der „Whistleblowing-Richtlinie“ umfassend geschützt werden. Doch ist ein solcher umfassender Schutz im Hinblick auf die Vorgaben der DSGVO und die Informations- und Auskunftsrechte des Beschuldigten nach Art. 14, 15 DSGVO überhaupt möglich?  Die Antwort auf diese Frage dürfte nicht zuletzt auch zahlreiche Unternehmen beschäftigten, die in Zukunft dieses Spannungsverhältnis im Rahmen der neuen Rechtsvorschriften managen müssen.

Umfassender Schutz des Hinweisgebers als Ziel

Ende 2019 wurde von EU-Parlament und Europäischem Rat die Richtlinie (EU) 2019/1937 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden, die sogenannte. „EU-Whistleblowing-Richtlinie“ (WBRL) verabschiedet. Zweck der Richtlinie ist es, dass Hinweisgeber künftig Verstöße gegen das Unionsrecht (wie z.B. Delikte gegen den Verbraucherschutz, den Umweltschutz, die Produktsicherheit oder Delikte zur Förderung von Geldwäsche oder zur Terrorismusfinanzierung) über eingerichtete Meldekanäle anzeigen können, ohne negative Folgen fürchten zu müssen, wie beispielsweise zivil- oder strafrechtliche Konsequenzen oder negative Auswirkungen am Arbeitsplatz

„Hinweisgeber“ sind Personen, die Informationen über solche Verstöße melden, die ihnen im Rahmen ihrer beruflichen Tätigkeit zur Kenntnis gelangt sind. ​Hinweisgeber können daher Mitarbeiter sein, grundsätzlich aber auch Selbstständige, Freiberufler, Auftragnehmer sowie Lieferanten, Praktikanten oder ehemalige Mitarbeiter​. Unternehmen mit mehr als 50 Mitarbeitern (Nationalstaaten können die Schwelle jedoch auf bis zu 250 Mitarbeiter anheben) werden durch die neuen gesetzlichen Vorgaben zukünftig dazu verpflichtet, sog. „interne Meldekanäle“ einzurichten.

Die Vorgaben der WBRL müssen bis zum 17. Dezember 2021 in den Mitgliedstaaten in nationales Recht umgesetzt sein. Ein erster Schritt hierzu in Deutschland ist der aktuelle Referentenentwurf des Bundesministeriums der Justiz und für Verbraucherschutz für das sog. Hinweisgeberschutzgesetz (HinSchG-RefE).

Anonym oder nicht anonym? Das ist hier eine Frage

Nach den Vorgaben der Whistleblowing-Richtlinie können Hinweisgeber entweder anonym oder aber auch nicht anonym Missstände anzeigen. Art. 6 Abs. 2 WBRL stellt es den Mitgliedsstaaten frei, ob durch die eigene nationale Gesetzgebung, ebenfalls beide Wege ermöglicht werden sollen. Das HinSchG-RefE greift diese Wertungen der Whistleblowing-Richtlinie auf und hält grundsätzlich beide Meldearten über interne Meldestellen für möglich​. Der Begründung des Referentenentwurfs zufolge sollen aber Unternehmen nicht verpflichtet sein, anonyme Meldungen zu bearbeiten und nachzuverfolgen. Man wolle das neue Hinweisgeberschutzsystem nicht von Beginn an überlasten und erste Erfahrungen sowohl interner wie auch externer Meldestellen abwarten, betont hier der Bundesgesetzgeber. Mit Blick darauf ist es zu erwarten, dass ein nicht unbeachtlicher Teil von Hinweisen durch die Whistleblower in nicht-anonymer Form erfolgen wird.

Hinweisgeberschutz vs. Betroffenenrechte der DSGVO

Doch wie steht es in diesem Fall um die Rechte auf Vertraulichkeit des Hinweisgebers im Lichte der neuen Vorschriften? Da in annähernd allen Hinweisen wegen eines potenziellen Fehlverhaltens eines Beschuldigten ein Personenbezug vorhanden sein wird, kommt an dieser Stelle das Datenschutzrecht ins Spiel. Werden personenbezogene Daten in Hinweisgebermeldungen ohne Kenntnis des Beschuldigten erhoben, so ist diese Person grundsätzlich nach Art. 14 DSGVO über sämtliche Umstände der Datenverarbeitung zu unterrichten. Außerdem steht dem Beschuldigten der Auskunftsanspruch nach Art. 15 DSGVO hinsichtlich seiner verarbeiteten Daten zu. Daher stellt sich die Frage, inwiefern überhaupt die Identität des Hinweisgebers vertraulich behandelt werden kann.

Gesetzlicher Schutz durch Vertraulichkeitsgebote

Art. 16 WBRL normiert das ​so genannte „Vertraulichkeitsgebot“: Nach Art. 16 Abs. 1 ist die Identität des Hinweisgebers ohne dessen ausdrückliche Zustimmung keiner anderen Personen als gegenüber den befugten Mitarbeitern offenzulegen. Dies gilt auch für alle anderen Informationen, aus denen sich die Identität des Hinweisgebers ergeben kann. Ausnahmsweise darf nach Art. 16 Abs. 2 die Identität des Hinweisgebers genannt werden, wenn dies nach Unionsrecht oder nationalem Recht eine notwendige und verhältnismäßige Pflicht im Rahmen der Untersuchungen durch nationale Behörden oder von Gerichtsverfahren darstellt.

Entsprechende Regelungen sieht das aktuelle HinSchG-RefE vor. Nach § 8 HinSchG-RefE haben​ Meldestellen die Vertraulichkeit der Identität der hinweisgebenden Person zu wahren. Eine Bekanntgabe ist nur gegenüber Personen zulässig, die für Entgegennahme von Meldungen bzw. Ergreifen von Folgemaßnahmen zuständig sind.​ § 9 HinSchG-RefE sieht Ausnahmen vor für offensichtlichen Missbrauch des Systems durch den Hinweisgeber bei vorsätzlichen oder grob fahrlässigen Falschmeldungen, im Rahmen von Strafverfahren auf Verlangen der Strafverfolgungsbehörden oder aufgrund behördlicher oder gerichtlicher Anordnung in Verwaltungsverfahren oder bei gerichtlicher Entscheidung.​ Insofern sehen die neuen gesetzlichen Vorgaben einen neuen umfassenden Hinweisgeberschutz vor.

Betroffenenrechte verhindern bislang oft Hinweisgeberschutz

Nach Art. 17 WBRL soll aber auch weiterhin die Verarbeitung personenbezogener Daten im Einklang u.a. mit der DSGVO erfolgen, also auch unter Beachtung der dort enthaltenen Betroffenenrechte, insb. der Informations- und Auskunftspflichten nach Art. 14, 15 DSGVO zugunsten des Beschuldigten.

Informationspflicht nach Art. 14 DSGVO

Art. 14 DSGVO gibt dem Betroffenen ein Informationsrecht, wenn seine personenbezogenen Daten verarbeitet werden, die nicht bei ihm selbst erhoben wurden. In dem Fall sind ihm spätestens nach einem Monat u.a. die Zwecke der Verarbeitung (Art. 14 Ab. 1 lit. c) DSGVO) ​mitzuteilen, ebenso wie die Quelle, aus der die personenbezogenen Daten stammen (Art. 14 Abs. 2 lit. f) DSGVO). Falls daher ein Unternehmen auf den Hinweis des Whistleblowers hin eine Untersuchung gegen den Beschuldigten einleitet, hätte dieser grundsätzlich das Recht, die Identität des Hinweisgebers zu erfahren.

Nach Art. 14 Abs. 5 lit. b) DSGVO besteht die Informationspflicht aber dann nicht, wenn durch eine Information die Verwirklichung der Verarbeitungsziele unmöglich gemacht oder ernsthaft beeinträchtigt wird. Nähme man hier an, dass durch eine Offenlegung der Identität des Hinweisgebers die notwendigen Nachforschungen zu dessen Anzeige verhindert oder zumindest ernstlich erschwert werden könnten, könnte man daraus schließen, dass die Offenlegung der Identität des Hinweisgebers hier ausscheide und seine Vertraulichkeit zu wahren wäre. Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat hierzu 2018 in ihrer „Orientierungshilfe zu Whistleblowing-Hotlines vom 14.11.2018“ allerdings betont, dass ein etwaiges Zurückhalten der Information nur solange zulässig ist, wie das Risiko besteht, dass bei Unterrichtung des Beschuldigten die Untersuchung gefährdet wäre. Sobald aber dieser Aufschubgrund entfällt, sei die Information nachzuholen, so dass demnach ein absoluter Schutz der Vertraulichkeit des Hinweisgebers bislang so nicht zu erreichen ist.

Auch die Ausnahmeregelung des Art. 14 Abs. 5 lit. c) DSGVO i.V.m. § 29 Absatz 1 S. 1 BDSG konnte in der Vergangenheit keinen allumfassenden Schutz des Hinweisgebers garantieren: Danach muss der Beschuldigte zwar dann nicht informiert werden, wenn dadurch Informationen offenbart würden, die ihrem Wesen nach geheim gehalten werden müssen, insbesondere wegen überwiegenden berechtigten Interessen eines Dritten. Daher ist an dieser Stelle grundsätzlich eine einzelfallbezogene Interessenabwägung zu treffen und das Interesse des Beschuldigten daran, die Person des Hinweisgebers zu kennen, abzuwägen gegen das Interesse daran, die Vertraulichkeit des Hinweisgebers zu wahren.

Auskunftsanspruch nach Art. 15 DSGVO

Nach Art. 15 DSGVO hat der Beschuldigte das Recht, vom Unternehmen als Verantwortlicher eine Bestätigung darüber zu verlangen, ob seine personenbezogenen Daten verarbeitet werden. In dem Zusammenhang hat er auch das Recht auf Auskunft über die Verarbeitungszwecke (Art. 15 Abs. 1 lit. a) DSGVO) sowie über Informationen zur Herkunft der Daten (Art. 15 Abs. 1 g) DSGVO). Auch hier hätte demnach der Beschuldigte, falls ein Unternehmen eine Untersuchung aufgrund der Hinweise eines Whistleblowers gegen den Beschuldigten einleitet, grundsätzlich die Möglichkeit über das Auskunftsrecht, die Identität des Hinweisgebers zu erfahren.

Schutz für den Hinweisgeber konnte bislang in gewissem Rahmen die Ausnahmevorschrift des § 29 Abs. 1 S. 2 BDSG geben. Danach besteht das Auskunftsrecht nicht, wenn dadurch Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen geheim gehalten werden müssen, insbesondere wegen überwiegender berechtigter Interessen eines Dritten​. Mit diesem Spannungsverhältnis von Art. 15 DSGVO und dem Schutz des Whistleblowers hat sich in der Vergangenheit das LAG Baden-Württemberg befasst (AZ 17 Sa 11/18).

Das LAG gewährte dem klagenden Beschuldigten Einsicht in die Personalakten nach Art. 83 BertrVG und sprach ihm auch den Auskunftsanspruch nach Art. 15 DSGVO zu, wodurch die Identität des Hinweisgebers offengelegt wurde. Mit Blick auf den Auskunftsanspruch betonte das LAG hier allerdings, dass dieser grundsätzlich im Lichte der Ausnahmetatbestände, hier § 34 Abs. 1 BDSG, § 29 Abs. 1 S. 2 BDSG (Notwendigkeit einer umfassenden Güterabwägung), zu beurteilen sei. Im konkreten Fall hatte das LAG dem Beschuldigten den Auskunftsanspruch aufgrund prozessualer Darlegungsfehler des Arbeitgebers für das Vorhandensein der Schutzbedürftigkeit des Hinweisgebers gewährt.

Gesetzliche Privilegierung der Vertraulichkeit des Hinweisgebers

Ist damit der Hinweisgeberschutz, das Kernziel der Gesetzesvorhaben, schon jetzt aufgrund der gewählten Gesetzessystematik gescheitert? Wenn einerseits nach Art. 16 WBRL, §§ 8, 9 HinSchG-RefE durch das Vertraulichkeitsgebot die Identität des Whistleblowers grundsätzlich umfassend zu schützen sein soll, aber nach Art. 17 WBRL die Verarbeitung personenbezogener Daten nach der DSGVO unter Beachtung der Informations- und Auskunftspflichten erfolgen muss?

Ein Hinweis, wie dieses Spannungsverhältnis aufzulösen sein könnte, gibt zu dieser Frage der EU-Gesetzgeber selbst: In Erwägungsgrund 84​ der WBRL werden die Mitgliedstaaten bei der Umsetzung der Vorgaben der Richtlinie explizit zu gesetzgeberischen Maßnahmen aufgefordert, die den Schutz der Identität des Whistleblowers sicherstellen, und nennt als eines der Mittel dabei auch die Einschränkung der Betroffenenrechte. ​So sollen die Mitgliedstaaten die Wirksamkeit der Richtlinie gewährleisten, indem sie unter anderem die Ausübung bestimmter Datenschutzrechte betroffener Personen gem. Art. 23 Abs. 1 lit. e) und lit i) und Art. 23 Abs. 2 der VO (EU) 2016/679 durch gesetzgeberische Maßnahmen einschränken, soweit und solange dies notwendig ist, um Versuche zu unterbinden, die Identität der Hinweisgeber festzustellen.​

Zudem wird aufgrund der gesetzlichen Vorgaben des Art. 16 WBRL und §§ 8,9 HinSchG-RefE jetzt der Vertraulichkeitsschutz gesetzlich besonders privilegiert und lässt – außer im Fällen des Missbrauchs des Meldesystems durch den Hinweisgeber – die Offenlegung seiner Identität ohne Zustimmung des Hinweisgebers lediglich im Falle von eingeleiteten behördlichen, gerichtlichen oder strafrechtlichen Verfahren auf behördliche oder gerichtliche Anordnungen zu.

Mit Blick darauf wird man bezüglich der Informationspflichten nach Art. 14 DSGVO gut die Argumentation vertreten können, im Anwendungsbereich der WBRL bzw. des HinSchG-RefE zumindest im Rahmen der Interessenabwägung nach Art. 14 Abs. 5 lit. c) DSGVO i.V.m. § 29 Abs. 1 S. 1 BDSG den Schutz der Vertraulichkeit der Identität des Hinweisgebers höher zu gewichten als das Informationsinteresse des Beschuldigten, um so den Zielsetzungen der Gesetzesvorgaben zum Hinweisgeberschutz zu entsprechen.

Die Vorgaben des EU-Gesetzgebers und die gesetzliche Privilegierung des Hinweisgeberschutzes wirken sich auch hinsichtlich des Auskunftsanspruchs aus, da man sich mit guten Argumenten in Zukunft im Anwendungsbereich der WBRL bzw. des HinSchG-RefE auf die Ausnahmeregelung des § 29 Abs. 1 S. 2 BDSG wird berufen können. Diese Regelung setzt wie gezeigt dem Auskunftsspruch Schranken, wenn dadurch Informationen offenbart würden, die ​nach einer Rechtsvorschrift oder ​ihrem Wesen nach geheim gehalten werden müssen, insbesondere wegen überwiegender berechtigter Interessen eines Dritten​. ​Mit den nun gesetzlich geregelten „Vertraulichkeitsgeboten“ des Art. 16 WBRL bzw. §§ 8, 9 HinSch-RefE bestehen solche „Rechtsvorschriften“, die grundsätzlich eine Geheimhaltung fordern und zur Regel machen. ​Daher wird es für Unternehmen vertretbar sein, wegen dieser neuen gesetzlichen Regelungen die Ausnahme § 29 Abs. 1 S. 2 BDSG anzunehmen und einen Auskunftsanspruch hinsichtlich der Identität des Hinweisgebers zu verweigern​. Die zweite Variante der Interessenabwägung nach § 29 Abs. 1 S. 2 BDSG, die das Auskunftsrecht ausschließt, wenn ansonsten im Interesse eines Dritten geheimzuhaltene Informationen offenbart würden, wird insbesondere in Fällen außerhalb des Geltungsbereichs der neuen gesetzlichen Regelungen praxisrelevant sein und bleiben.

Es bleibt spannend: nationale Umsetzung steht bevor

Es wird spannend bleiben weiterhin zu verfolgen, wie das HinSchG letztendlich final durch den deutschen Gesetzgeber ausgestaltet sein wird. Der aktuelle Referentenentwurf ist in der Koalition derzeit an vielen Stellen umstritten und das Gesetzgebungsverfahren stockt. Eine zeitnahe Lösung in den kommenden Monaten ist aber vonnöten – Umsetzungsfrist ist der 17. Dezember 2021.