Hinweisgeber bringen Missstände in Unternehmen an die Öffentlichkeit: Wie ist dieses Whistleblowing rechtlich zu beurteilen?
Missstände oder Straftaten in Unternehmen, Behörden oder anderen Institutionen gelangen oft durch sogenannte Whistleblower an die Öffentlichkeit. Diese Hinweisgeber berufen sich in der Regel darauf, dass ein öffentliches Interesse an der Offenlegung der entsprechenden Geheimnisse besteht. Das Europäische Parlament hat im April 2019 die „Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ (2018/0106 COD) verabschiedet, um Whistleblower vor Repressalien wie Diskriminierungen, Kündigungen und Haftungsrisiken zu schützen. Der Rat der Europäischen Union hat die Richtlinie am 7. Oktober verabschiedet; die Bundesrepublik Deutschland hat nun zwei Jahre Zeit, sie in nationales Recht umzusetzen.
In einem engen thematischen Zusammenhang zu dieser „Whistleblower-Richtlinie“ steht das deutsche Geschäftsgeheimnisgesetz (GeschGehG), das Geschäftsgeheimnisse stärker schützen will. Dieses Gesetz sieht selbst bei tatbestandlich strafbarem Verrat von Geschäftsgeheimnissen einen Ausnahmetatbestand für Whistleblower vor, um den erforderlichen Ausgleich zwischen dem berechtigten Schutz öffentlicher Interessen und dem Schutz von Geschäftsgeheimnissen zu erzielen. Vor Kurzem informierten Janine Winkler und Felix Weidenbach bei der Veranstaltung „Whistleblowing vs. Geschäftsgeheimnisgesetz“ der IHK Nürnberg für Mittelfranken über die rechtlichen Rahmenbedingungen.
Whistleblower-Richtlinie
Die Richtlinie zum Schutz von Hinweisgebern verpflichtet Unternehmen mit mehr als 50 Beschäftigten, Meldesysteme zur Entgegennahme von Hinweisen einzurichten. Diese Pflicht trifft darüber hinaus Unternehmen bestimmter Branchen unabhängig von ihrer Größe, z. B. solche, die im Bereich der Finanzdienstleistungen tätig sind.
Des Weiteren gibt die Richtlinie klare Vorgaben zur konkreten Ausgestaltung des Meldeverfahrens: Künftig müssen Whistleblower ihre Hinweise schriftlich, telefonisch oder persönlich abgeben können. Dabei muss das Meldesystem gewährleisten, dass deren Identität vertraulich bleibt. Um das Vertrauen in die Wirksamkeit des Meldesystems zu stärken, soll dem Whistleblower innerhalb von sieben Tagen der Eingang seiner Meldung bestätigt werden. Der Hinweisgeber ist mit Übermittlung der Eingangsbestätigung außerdem innerhalb von drei Monaten über die eingeleiteten Folgemaßnahmen in Kenntnis zu setzen. Die für diese Maßnahmen zuständigen Personen sind vom Unternehmen zu benennen und entsprechend zu schulen. Sämtliche Meldungen müssen dokumentiert werden. Innerhalb des Meldeverfahrens sind vor allem arbeits- und datenschutzrechtliche Aspekte zu berücksichtigen – so sollten Unternehmen unter Umständen rechtzeitig den Betriebsrat mit einbeziehen.
Die Whistleblower-Richtlinie sieht vor, dass dem Hinweisgeber neben den unternehmensinternen Meldesystemen auch externe Meldesysteme zur Verfügung gestellt werden. Die Mitgliedstaaten sollen hierfür unabhängige Behörden einrichten, die Hinweise weitestgehend nach den gleichen Verfahrensprinzipien entgegennehmen wie unternehmensinterne Meldesysteme. Zudem müssen die EU-Mitgliedsstaaten klare, transparente und leicht zugängliche Informationen zum Meldeverfahren bereitstellen.
Wenn ein Hinweisgeber Informationen direkt über soziale Medien und Web-Plattformen oder indirekt über Pressemedien öffentlich zugänglich macht, ist dies unter besonderen Voraussetzungen ebenfalls von der Richtlinie geschützt. Allerdings macht die Richtlinie deutlich, dass Whistleblower Missstände zunächst über die internen oder externen Systeme zu melden haben, bevor eine in den Schutzbereich der Richtlinie fallende Veröffentlichung von Hinweisen erfolgen darf. Der Whistleblower darf als Ultima Ratio seine Hinweise nur dann sofort offenlegen, wenn er davon ausgehen muss, dass aufgrund des erkannten Verstoßes eine unmittelbare oder offenkundige Gefährdung des öffentlichen Interesses vorliegt oder er auch im Fall einer externen Meldung Repressalien zu befürchten hat. Die Offenlegung ist außerdem möglich, wenn der Whistleblower seine Hinweise bereits an eine interne oder externe Stelle gegeben, diese aber daraufhin keinerlei Folgemaßnahmen ergriffen hat.
Das Ziel der Richtlinie – umfassender Schutz des Hinweisgebers vor Repressalien – soll dadurch erreicht werden, dass der Whistleblower weder zivil-, straf- oder verwaltungsrechtlich noch in Bezug auf seine Beschäftigung haftbar gemacht werden kann. Dieser Haftungsausschluss gilt sowohl bei der Beschaffung der Hinweise als auch bei der Meldung bzw. Offenlegung der Informationen. Um noch weitergehenden arbeitsrechtlichen Schutz zu gewährleisten, führt die Richtlinie eine prozessuale Beweislastumkehr zulasten des Arbeitgebers ein. Das bedeutet, dass dieser künftig z. B. in einem Kündigungsschutzprozess beweisen muss, dass eine Kündigung des Hinweisgebers nicht im Zusammenhang mit dem Hinweis steht und keine Vergeltungsmaßnahme darstellt. Daneben werden die EU-Mitgliedstaaten verpflichtet, angemessene und abschreckende Sanktionen u. a. für den Fall einzuführen, dass Arbeitgeber gegen die Pflicht verstoßen, die Identität von Whistleblowern vertraulich zu behandeln, oder keine geeigneten Folgemaßnahmen einleiten.
Bisher sind nur Verstöße gegen bestimmte Bereiche des EU-Rechts (z. B. Umwelt- und Verbraucherschutz) vom Anwendungsbereich der Richtlinie erfasst. Die Mitgliedsstaaten können den Schutzbereich im Zuge der nationalen Umsetzung jedoch erweitern und auch die Meldung von Verstößen gegen nationales Recht mit einbeziehen. Für den einzelnen Whistleblower hätte das den Vorteil, dass er die Unterscheidung zwischen nationalem und EU-Recht nicht eigenständig treffen müsste. Auch der deutsche Gesetzgeber mag ein Interesse daran haben, dass Verstöße gegen nationale Rechtsvorschriften aufgedeckt werden.
Unabhängig davon, ob der deutsche Gesetzgeber die Gelegenheit nutzt und verschärfte Anforderungen aufstellen wird, sollten Unternehmen die weitere Entwicklung genau im Blick behalten und bereits jetzt Vorbereitungen treffen, um von der deutschen Umsetzung der Whistleblower-Richtlinie nicht überrascht zu werden. Auch diejenigen Unternehmen, die bereits über eine „Whistleblower-Hotline“ oder vergleichbare Meldesysteme verfügen, werden überprüfen müssen, ob Anpassungsbedarf besteht.
Geschäftsgeheimnisgesetz
Im April 2019 ist das Gesetz zum Schutz von Geschäftsgeheimnissen in Kraft getreten. Erstmals wird der Begriff des Geschäftsgeheimnisses nun einheitlich als eine Information definiert, die nicht allgemein bekannt oder ohne Weiteres zugänglich und daher von wirtschaftlichem Wert ist. Diese Information, an deren Geheimhaltung ein berechtigtes Interesse besteht, muss außerdem durch angemessene Geheimhaltungsmaßnahmen geschützt sein.
Aus dieser Definition folgt eine Erweiterung des Schutzbereichs, denn es können nun auch technische Informationen und Know-how sowie nicht unternehmensbezogene Informationen Schutz als Geschäftsgeheimnis genießen. Allerdings muss die fragliche Information nun durch „angemessene Geheimhaltungsmaßnahmen“ geschützt sein, der reine Wille zur Geheimhaltung reicht nicht mehr aus. Der Inhaber des Geschäftsgeheimnisses muss also selbst aktiv werden, um es zu schützen. Geeignete Geheimhaltungsmaßnahmen können sowohl räumlicher und technischer als auch vertraglicher Natur sein. In der Praxis Probleme bereiten dürfte jedoch die Frage, welche Maßnahmen für den Schutz eines Geschäftsgeheimnisses „angemessen“ sind. Die Angemessenheit kann im Einzelfall stark variieren – je nach Art und Wert der Information, der Situation des Geheimnisinhabers selbst, der Kostenfaktoren und gegebenenfalls der weiteren individuellen Umstände.
Den Inhabern von Geschäftsgeheimnissen ist zu raten, ihre Geheimhaltungsmaßnahmen auf „Angemessenheit“ im Sinne des Geschäftsgeheimnisgesetzes zu überprüfen, da das Unternehmen für die Angemessenheit der Maßnahmen die Beweislast trägt. Dies kann etwa im ersten Schritt im Wege einer Risikoanalyse erfolgen. Die zuständigen Personen sollten potenziell schützenswertes Know-how ermitteln, bewerten und durch entsprechende Sicherungsmechanismen schützen. Unternehmensintern können dann klare Zuständigkeiten und Verantwortlichkeiten festgelegt werden, um den Schutz von Geschäftsgeheimnissen konkret zu regeln.
Die Whistleblower-Richtlinie und das Geschäftsgeheimnisgesetz stehen somit in enger Wechselwirkung: Legt der Hinweisgeber Informationen offen, die Geschäftsgeheimnisse betreffen, so hat er keine nachteiligen Folgen zu befürchten, wenn er die Hinweise in Einklang mit den Vorgaben des Geschäftsgeheimnisgesetzes oder der Richtlinie meldet. Dies gilt unabhängig vom subjektiven Motiv des Whistleblowers.
Das interne Meldesystem, das durch die Whistleblower-Richtlinie verpflichtend einzuführen ist, mag Unternehmen vor Herausforderungen stellen. Allerdings stärkt es auch deren Reputation. Hinweisgeber erhalten die Möglichkeit, die Aufklärung von Verstößen intern anzustoßen, ohne etwaige Geschäftsgeheimnisse und weitere Unternehmensinterna offenzulegen. Für das betroffene Unternehmen besteht die Chance, Verstöße und gegebenenfalls bevorstehende Straftaten frühzeitig zu erkennen, zu prüfen und abzustellen. Damit kann vermieden werden, dass das Unternehmen von externen Meldungen überrascht wird, es erhält sich damit seine Handlungsfähigkeit. Im Ergebnis schafft ein internes Meldesystem somit Transparenz innerhalb des Unternehmens und stärkt das Vertrauen der Öffentlichkeit in dessen Integrität.
Rechtsanwalt Felix Weidenbach ist Partner der Baker Tilly Rechtsanwaltsgesellschaft mbH in München. Rechtsanwältin Janine Winkler ist Compliance Officer (univ.) bei der Baker Tilly Rechtsanwaltsgesellschaft mbH in München. Oliver Baumbach ist stellvertretender Hauptgeschäftsführer der IHK Nürnberg für Mittelfranken und Leiter des IHK-Geschäftsbereichs Recht/Steuern (oliver.baumbach@nuernberg.ihk.de).
