Der neue Gesetzentwurf
Die Regierungskoalition hat am 13.04.2022 ihren Entwurf zum Hinweisgebeschutzgesetz vorgelegt, mit dem nunmehr verspätete die Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden vom 23. Oktober 2019 (im Folgenden „WBRL“) umgesetzt werden soll. Personen, die beabsichtigen, Informationen über einen Verstoß zu melden, können wählen, ob sie sich an eine interne Meldestelle oder eine externe Meldestelle wenden. Wenn einem intern gemeldeten Verstoß nicht abgeholfen wurde, bleibt es der hinweisgebenden Person unbenommen, sich an eine externe Meldestelle zu wenden. Von daher regelt der Entwurf auch die Errichtung externer Meldestellen auf Bundes- und Landesebene sowie für spezielle Bereiche.
WER BEARBEITET DIE MELDUNGEN?
Interne Meldestelle privater Beschäftigungsgeber
Private Beschäftigungsgeber (Arbeitgeber) haben nach zweiten Entwurf des „Gesetzes zum Schutz hinweisgebender Personen (Hinweisgeberschutzgesetz – HinSchG)“ (im Folgenden „Entwurf“) eine interne Meldestelle einzurichten, wenn sie in der Regel mindestens 50 Beschäftigte haben. Beschäftigungsgeber mit in der Regel 50 bis 249 Beschäftigten müssen interne Meldestellen erst ab dem 17.12.2023 einrichten. Ebenfalls haben die Unternehmen nach § 12 Abs. 3 des Entwurfs wie z.B. Wertpapierdienstleistungsunternehmen oder Institute i.S.v. § 1 Abs. 1 b KWG (Kredit- und Finanzdienstleistungsinstitute) unabhängig von der Beschäftigtenzahl eine interne Meldestelle einzurichten. Der Termin zur Umsetzung dürfte zeitnah nach in Krafttreten des Gesetzes liegen.
„Beschäftigungsgeber“ sind u.a. natürliche und juristische Personen des Privatrecht, also z.B. Selbständige, GmbHs oder AGs oder sonstige rechtsfähige Personenvereinigungen, z.B. Vereine, sofern mindestens eine Person bei Ihnen beschäftigt ist.
Wer in den Kreis der Beschäftigten gehört, ist in § 3 Abs. 8 des Entwurfs definiert. Maßgeblich für die Berechnung der Schwellenwerte ist kein Stichtag, sondern ein Rückblick und die Einschätzung der zukünftigen Anzahl Beschäftigter (vergleiche BAG Urteil vom 31.01.1991 – 2 AZR 356/90, Urteil vom 24.1.2013 – 2 AZR 140/12).
WELCHE VERSTÖSSE SIND ERFASST?
Sachlicher Anwendungsbereich
er zweite Entwurf des HinSchG erfasst die Meldungen und die Offenlegung von Informationen über Verstöße
- die strafbewehrt
- bußgeldbewehrt sind, soweit die verletzte Vorschrift dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient und
- Verstöße gegen Rechtsvorschriften des Bundes und der Länder sowie unmittelbar geltende Rechtsakte der EU oder der Europäischen Atomgemeinschaft, wie z.B. Vorschriften gegen Geldwäsche und Terrorismusfinanzierung, Vorgaben zum Umweltschutz, Vorschriften zur Regelung der Verbraucherrechte und des Verbraucherschutzes oder zum Schutz personenenbezogener Daten im Anwwendungsbereich der DS-GVO.
Somit geht der sachliche Anwendungsbereich des zweiten Entwurfs ebenfalls über den Mindestbereich der WBRL hinaus, weil auch Verstöße gegen nationales Recht erfasst werden. Eingeschränkt wurde der Anwendungsbereich gegenüber dem Entwurf aus 2021 bei bußgeldbewehrten Verstößen.
WER DIENT ALS INTERNE MELDESTELLE
Die Interne Meldestelle
Private Beschäftigungsgeber, die die Schwellenwerte erreichen, sind verpflichtet, eine Stelle für interne Meldungen einzurichten und zu betreiben („interne Meldestelle“), an die sich zumindest die Beschäftigten und dem Beschäftigungsgeber überlassene Leiharbeitnehmer:innen wenden können. Es steht Beschäftigungsgebern frei, das Meldeverfahren auch weiteren Person zur Verfügung zu stellen. Berücksichtigt werden sollte jedoch, dass diese sich gegebenenfalls auch immer an externe Meldestellen wenden können.
Interne Meldestellen können eingerichtet werden, in dem z.B. eine bei dem jeweiligen Beschäftigungsgebers Beschäftigte Person oder ein Dritter mit den Aufgaben einer internen Meldestelle betraut werden. Ungeachtet der Organisationsform unterliegen die internen Meldestellen dem Vertraulichkeitsgebot nach § 8 des Entwurfs.
Die interne Meldestelle ist mit den notwendigen Befugnissen auszustatten, damit sie ihre Aufgaben wahrnehmen kann. Aufgaben der internen Meldestelle sind der Betrieb der Meldekanäle, die Durchführung des Verfahrens bei internen Meldungen und die Ergreifung der Folgemaßnahmen.
Die mit den Aufgaben der internen Meldestelle befassten Personen sind bei ihrer Tätigkeit unabhängig. Beschäftigungsgebers haben dafür zu sorgen, dass sie über die notwendige Fachkunde verfügen. Die befassten Personen dürfen neben ihrer Tätigkeit für die interne Meldestelle andere Aufgaben und Pflichten wahrnehmen, wenn es nicht zu Interessenkonflikten kommt.
Für die internen Meldestellen sind Meldekanäle so einzurichten, dass nur die für die Entgegennahme und Bearbeitung der Meldungen zuständigen sowie die sie bei der Erfüllung dieser Aufgaben unterstützen Personen Zugriff auf die eingehenden Meldungen haben. Meldungen müssen in mündlicher oder in Textform möglich sein. Mündliche Meldungen müssen per Telefon oder mittels einer anderen Art der Sprachübermittlung möglich sein. Was eine andere Art der Sprachübermittlung sein kann, lässt die Begründung offen. Denkbar ist hier ein „Chatsystem“. Ebenso muss es auf Ersuchen der hinweisgebenden Person möglich sein, dass eine persönliche Zusammenkunft mit einer für die Entgegennahme einer Meldung zuständigen Personen der internen Meldestelle stattfinden kann.
VERTRAUEN IN DIE MELDESTELLE
Gebot der Vertraulichkeit
Die internen Meldestellen haben die Vertraulichkeit der Identität
- der hinweisgebenden Person, sofern die gemeldeten Informationen Verstöße betreffen, die in den Anwendungsbereich dieses Gesetzes fallen, oder die hinweisgebende Person zum Zeitpunkt der Meldung hinreichenden Grund zu der Annahme hatte, dass dies der Fall sei
- der Personen, die Gegenstand einer Ermittlung sind
- der sonstigen in der Meldung genannten Personen
zu wahren. Dies gilt unabhängig davon, ob die Meldestelle für die eingehende Meldung zuständig ist.
Eine Klarstellung erfuhr in dem zweiten Entwurf die Gruppe der hinweisgebenden Personen.
Das Gebot der Vertraulichkeit umfasst nicht nur die Identität der o.g. genannten Personen selbst, sondern auch alle anderen Informationen, aus denen die Identität dieser Personen abgeleitet werden kann.
Das Vertraulichkeitsgebot gilt für die Personen, die für die Entgegennahme von Meldungen oder für das Ergreifen von Folgemaßnahmen zuständig sind. Durch das Gebot zur Vertraulichkeit für die tatsächlich zuständigen Personen soll gewährleistet werden, dass auch innerhalb der Meldestelle selbst eine Kenntnisnahme nur durch einen beschränkten Personenkreis erfolgt.
Ebenso gilt das Gebot zur Vertraulichkeit auch für die Personen, die bei der Erfüllung der Aufgaben der internen Meldestelle unterstützend tätig werden. Es umfasst daher insbesondere die IT-Kräfte, die zur Unterstützung herangezogen werden.
Auch wenn gesetzlich nicht vorgeschrieben, sollten alle Personen, die dem Gebot zur Vertraulichkeit unterliegen, auch schriftlich zur Einhaltung verpflichtet werden.
KONTROLLFUNKTIONEN UND INTERNE MELDESTELLE
Interessenkonflikte interner Meldestellen
Die mit den Aufgaben einer internen Meldestelle beauftragten Personen sind bei der Ausübung ihrer Tätigkeit unabhängig. Sie dürfen neben ihrer Tätigkeit für die interne Meldestelle andere Aufgaben und Pflichten wahrnehmen. Dabei ist sicherzustellen, dass derartige Aufgaben und Pflichten nicht zu Interessenkonflikten führen. Beschäftigungsgeber haben dies entsprechend zu organisieren.
Im Hinblick auf den sachlichen Anwendungsbereich des Entwurfs und der WBRL und deren Intention erscheint fraglich, ob entgegen anderslautenden Ausführungen bereits bestehende Kontrollfunktionen gleichzeitig mit der Wahrnehmung der Aufgaben einer internen Meldestelle betraut werden können. In kleineren Unternehmen könnten dies z.B. Leiterinnen oder Leiter der Complianceabteilung, Integritätsbeauftragte oder der Datenschutzbeauftragte sein. Wann ein kleineres Unternehmen vorliegt, ist gesetzlich nicht definiert. Von daher könnten es z.B. die Unternehmen von 50 bis 249 Beschäftigten sein. Liegt kein Interessenkonflikt vor, auch Unternehmen mit mehr als 250 Beschäftigten. Auch der zweite Entwurf zum HinSchG stellt nur auf die Größe eine Unternehmens ab, nicht aber für die mit seiner geschäftlichen Tätigkeit einhergehende Risikowahrscheinlichkeit für Verstöße und somit für Meldungen.
Entgegen anderslautenden Ausführungen könnte sich z.B. bei Datenschutzbeauftragten, sowohl internen als auch externen, durchaus die Frage nach einem Interessenkonflikt stellen. Datenschutzbeauftragte haben die Einhaltung der DS-GVO und anderer datenschutzrechtlicher Bestimmungen zu überwachen. Der Datenschutzbeauftragte darf ebenfalls andere Aufgaben wahrnehmen. Gleichzeitig hat der Verantwortliche –der Beschäftigungsgeber- sicherzustellen, dass derartige andere Aufgaben und Pflichten des Datenschutzbeauftragten nicht zu einem Interessenkonflikt führen. Ebenso kann hinterfragt werden, inwieweit z.B. Compliance-Abteilungen gleichzeitig sowohl Ihren Pflichten nach dem KWG oder WpHG als auch denen der interne Meldestelle ohne Interessenkonflikt nachkommen können . Bestehende Kontrollfunktionen haben zwar mit Sicherheit die fachliche Expertise für die gemeldeten Verstöße und etwaige Folgemaßnahmen in ihrem Aufgabenbereich, können aber auch selbst in den Verstoß involviert sein und sich in der Meldung z.B. dem Vorwurf der Strafbarkeit durch Unterlassen ausgesetzt sehen.
OUTSOURCING DER INTERNEN MELDESTELLE
Dritte als interne Meldestelle
Mit den Aufgaben der internen Meldestelle kann auch ein Dritter betraut werden, für den genauso die Verpflichtungen des neuen HinSchG für interne Meldestellen gelten. Genauso wie die mit den Aufgaben einer internen Meldestellte beauftragten Beschäftigten des Beschäftigungsgebers sind die Dritten bei der Aufgabenwahrnehmung unabhängig, müssen die notwendige Fachkunde haben und das Gebot der Vertraulichkeit wahren.
Mögliche Dritte können externe Berater, Prüfer, Gewerkschaftsvertreter oder Arbeitnehmervertreter sein. Ebenso sind z.B. Berufsgeheimnisträger wie Anwälte oder Wirtschaftsprüfer als Dritte möglich. Ob Berufsgeheimnisträger bei der Wahrnehmung von Aufgaben als „Interne Meldestelle“ sich auf Ihre Geheimhaltungspflichten berufen können oder ein Beschlagnahmeschutz der Akten/Daten besteht, erscheint unter Berücksichtigung bisheriger Rechtsprechung fraglich. Sie sind nämlich eben nicht als Berufsgeheimnisträger beauftragt, sondern sie sind als ausgelagerte „Interne Stelle“ des Beschäftigungsgebers tätig und unterliegen in dieser Funktion ausschließlich den Regelungen des HinSchG bzw. der WBRL. Gründe für eine Ungleichbehandlung zwischen Beschäftigten des Beschäftigungsgebers und Dritten im Falle von etwaigen Ermittlungsverfahren bestehen nicht. Ebenso besteht für Beschäftigte die in der internen Meldestelle tätig sind kein Zeugnisverweigerungsrecht.
WELCHE DATEN WERDEN VERARBEITET
Verarbeitung personenbezogener Daten durch interne Meldestellen
Die Wahrnehmung der Aufgaben einer internen Stelle führt zu umfangreichen Verarbeitungen personenbezogener Daten.
Für die Verarbeitung zur Wahrnehmung ihrer Aufgaben sind die :
zu berücksichtigen.
Verantwortlicher für die Verarbeitung der personenbezogenen Daten ist der Beschäftigungsgeber, der die interne Meldestelle einzurichten hat. Als Rechtsgrundlage der Verarbeitung werden nach dem bisherigen Wortlaut des Entwurf Art. 6 I lit. c DS-GVO i.V.m, §§ 10, 11 HinSchG und § 26 BDSG maßgeblich sein.
Kategorien betroffener Personen der Datenverarbeitung sind u.a. Hinweisgeber wie z.B. Beschäftigte, d.h. Arbeitnehmer und Arbeitnehmerinnen und zur Berufsausbildung Beschäftigte. Dazu zählen aber auch ehemalige Beschäftigte, unabhängig vom Grund der Beendigung des Arbeitsverhältnisses, oder Personen, deren Arbeitsverhältnis noch nicht begann und die während des Bewerbungsverfahrens Informationen über Verstöße erlangten. Betroffene Personen können aber z.B. auch externe Auftragnehmern, Lieferanten oder Organmitgliedern von Gesellschaften sein. Ebenso Personen, die Gegenstand einer Meldung sind und sonstige in der Meldung genannte Personen. Nicht zu vergessen die personenbezogenen Daten der für die Entgegennahme und Bearbeitung von Meldungen zuständigen Personen.
Nach der Begründung des Entwurfs schaffe § 10 HinSchG die für die Arbeit der internen Meldestellen erforderlichen Datenverarbeitungsbefugnisse. Soweit es zur Wahrnehmung ihrer Aufgaben gem. § 13 HinSchG erforderlich ist, dürfen interne Meldestellen personenbezogene Daten verarbeiten. Welche personenbezogenen Daten erforderlich sind, dürfte je nach Blickwinkel des Betrachters nicht einfach zu beantworten sein und für Datenschutzbeauftragte zu manchen Diskussionen führen. Insbesondere wenn Dritte in die Verstöße involviert sind. Als Rechtsgrundlage für die Verarbeitung personenbezogener Daten bei Folgemaßnahme ist in der Begründung des Entwurfs § 26 BDSG genannt. Fraglich erscheint, ob dieser für alle Verarbeitungen aufgrund von Folgemaßnahmen anwendbar ist. § 26 BDSG betrifft primär die „Durchführung“ des Beschäftigungsverhältnisses und somit Beschäftigte. Folgemaßnahmen werden aber nicht nur Beschäftigte betreffen, sondern möglicherweise auch Dritte, die sich im Laufe der Bearbeitung ergeben.
Eine umfassende Dokumentationspflicht ist in § 11 HinSchG geregelt, der eine Löschung der Dokumentation zwei Jahre nach Ende des Verfahrens vorschreibt. Fraglich wird sein, was unter dem Begriff „Verfahren“ zu verstehen und wann es abgeschlossen ist. Einerseits kann sich ein Hinweisgeber nach Abschluss eines Verfahrens immer noch zusätzlich an eine externe Meldestelle wenden, andererseits werden Beschäftigungsgeber je nach Inhalt des Verfahrens verschiedene Verjährungsvorschriften berücksichtigen wollen oder die Rechtsverfolgung.
Weitere datenschutzrechtliche Fragen ergeben sich aus den Informations- und Auskunftsrechten betroffener Personen. Dies betrifft z.B. die Informationspflicht nach Artt. 13, 14 DS-GVO oder die Auskunftspflicht nach Art 15 DS-GVO, die mit dem Gebot der Vertraulichkeit kollidieren. Nach der Begründung zum zweiten Entwurf lasse sich durch die in § 29 Abs. 1 BDSG geforderte Interessenabwägung der erforderliche Gleichlauf zwischen dem Vertraulichkeitsschutz und den Auskunftsrechten herstellen. Im Ergebnis seien dem Vertraulichkeitsgebot unterliegende Informationen geheim zu halten, so dass kein Auskunftsanspruch bestehe.
Datenschutzrechtliche Anforderungen
Anforderungen an TOM und Auftragsverabeitung
Für interne Meldestellen gilt das Gebot der Vertraulichkeit. Erhöhte Anforderungen sind für den Schutz der personenbezogenen Daten von daher an die technischen und organisatorischen Maßnahmen gem. Art. 32 DS-GVO zu stellen. Entsprechend wird die Risikoabwägung ausfallen. Bereits das Berechtigungskonzepte wird das Gebot der Vertraulichkeit entsprechend zu berücksichtigen haben.
Dritte können die Funktion der internen Meldestelle übernehmen. Zu klären ist, ob sie als Auftragsverarbeiter nach Art. 28 DS-GVO tätig sind. Zwar hat der Beschäftigungsgeber die interne Stelle zu errichten, d.h. er bestimmt die Zwecke und Mittel der Verarbeitung. Jedoch dürften Dritte auch eigene Zwecke und Mittel haben, weil sie ihre gesetzlichen Aufgaben weisungsfrei durchführen können. Maßgebliche ist die Bestimmung des Zwecks und der Mittel für jeden einzelne Verarbeitung. Die Tätigkeit Dritter als interne Meldestelle bzw. das Ergebnis ihrer Tätigkeit kann zu Sachverhalten führen, die Rechtsansprüche gegen sie selbst bedingen. In diesen Fällen hätten sie ein eigenes berechtigtes Interesse an der Verarbeitung der personenbezogenen Daten. Von daher erscheint ein Controller zu Controller Verhältnis wie im Falle der Beauftragung externer Prüfer oder Rechtsanwälte wahrscheinlicher.
Der Personenkreis, der unterstützend tätig ist, Mitarbeiter der internen Stelle oder IT-Dienstleister, und auf die Daten und Dokumente der internen Meldestellen Zugriff hat, unterliegt ebenfalls dem Gebot der Vertraulichkeit. Er ist daher auf das Notwendigste zu beschränken. Werden externe IT-Dienstleister als Auftragsverarbeiter tätig, sollte der Auftragsverarbeitungsvertrag insbesondere Geheimhaltungvorschriften vorsehen. Dies gilt vor allem auch bei SaaS- oder Cloud-Dienstleistern. Die Italienische Aufsichtsbehörde (GDPP) hatte zum Einsatz einer Whistleblower-Plattform als SaaS eine Entscheidung erlassen, deren Ausführungen zu den datenschutzrechtlichen Anforderungen vom Beschäftigungsgeber und vom Auftragsverarbeiter berücksichtigt werden sollten. Die GDPP ist der Auffassung, dass der für die Verarbeitung Verantwortliche (der Beschäftigungsgeber, d.Verf.) verpflichtet sei, den Grundsatz der Integrität und Vertraulichkeit gemäß Artikel 5 Abs. 1 lit. f DS-GVO einzuhalten. Dementsprechend müssten die Daten auf eine Weise verarbeitet werden, die eine angemessene Sicherheit gewährleiste, einschließlich des Schutzes vor unbefugter Verarbeitung, Zerstörung oder Beschädigung. Die GDDP stufte die Art der ausgetauschten Daten und ihre mögliche Aneignung durch Dritte als sehr riskant ein. Der für die Datenverarbeitung Verantwortliche müsse daher angemessene technische und organisatorische Maßnahmen ergreifen, die dem Stand der Technik, der Art, den Zwecken und den mit der Verarbeitung verbundenen Risiken Rechnung trage. Dazu gehöre der Einsatz kryptografischer Mittel sowohl für den Transport als auch für die Speicherung von Daten sowie die Durchführung einer Datenschutzfolgenabschätzung. Solange diese Maßnahmen nicht getroffen seien, verstoße die Verarbeitung gegen Artikel 5 Abs. 1 lit. f DS-GVO, Artikel 25 Abs. 1 DS-GVO, Artikel 32 DS-GVO und Artikel 35 DS-GVO.
WIE GEHT ES WEITER?
Fazit
Der neue Entwurf knüpft in wesentlichen Punkten an den Entwurf auf 2021 an, enthält jedoch einige Abänderungen. Die Umsetzung des Gesetz in der Praxis führt mit Sicherheit noch hinreichend zu rechtlichen und datenschutzrechtlichen Fragen.
Sollten Sie Fragen zu Lasten- oder Pflichtenheften für Software oder als Dritter bzw. Auftragsverarbeiter zu den datenschutzrechtlichen Themen des zukünftigen HinSchG haben, berate ich sie gern.
