Hinweisgebersysteme
Tekst- Rozmiar: 520 str. 7 ilustracji
- Kategoria: literaturoznawstwoEdytuj
b) Grundsätze einer generellen Implementierungspflicht
123
Der Richtlinienvorschlag der Europäischen Kommission zum „Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ wurde am 23.4.2018 veröffentlicht. In den Verhandlungen, in denen Deutschland und andere EU-Staaten nur einen deutlich schwächeren Schutz für Hinweisgeber gewährleisten wollten, wenn diese sich nicht zuerst an eine interne Stelle in der eigenen Organisation wenden, wurde am 12.3.2019 schließlich eine Einigung erzielt.[25] Der Rat der EU hat die Vorschriften zum Schutz von Hinweisgebern am 7.10.2019 förmlich verabschiedet. Die Richtlinie (EU) 2019/1937 wurde am 26.11.2019 im Amtsblatt der Europäischen Union veröffentlicht und trat am 16.12.2019 final in Kraft.[26] Die EU-Mitgliedsstaaten müssen die Direktive nun bis zum 17.12.2021 in nationales Recht umsetzen.[27] Das Bundesministerium der Justiz und für Verbraucherschutz hat dazu einen entsprechenden Entwurf erarbeitet (Stand: 26.11.2020). Den Referentenentwurf eines „Gesetzes für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen des Unionsrecht melden“[28] hat das Bundesjustizministerium im Dezember 2020 zur Abstimmung an die anderen Ressorts versandt.
aa) Ziel der EU-Hinweisgeberrichtlinie
124
Grds. zielt die EU-Hinweisgeberrichtlinie darauf ab, Schädigungen des öffentlichen Interesses abzuwenden sowie die Freiheit der Meinungsäußerung und die Informationsfreiheit zu schützen.[29] Unmittelbar verfolgt die Richtlinie in Art. 1 einen verstärkten Schutz von Hinweisgebern.[30] Mittelbar verfolgt sie eine verbesserte Rechtsdurchsetzung sowie den Schutz der finanziellen Interessen der EU.[31]
bb) Pflicht zur Einrichtung interner Meldekanäle
125
Aus der Richtlinie gehen auch – nach Umsetzung durch die nationalen Gesetzgeber – die Adressaten hervor, die den Schutz der Hinweisgeber zu verantworten haben und die entsprechenden (Schutz-)Maßnahmen treffen müssen.
126
Gem. Art. 8 Abs. 3, 9 i.V.m. Art. 8 Abs. 1 der Richtlinie müssen juristische Personen des privaten und öffentlichen Sektors, die 50 oder mehr Arbeitnehmer haben oder mehr als 10 Mio. EUR Jahresumsatz erwirtschaften, geeignete Meldekanäle und Verfahren für interne Meldungen und für Folgemaßnahmen einrichten (§ 12 Abs. 2 HinSchG-E). Für Unternehmen ab 250 Mitarbeitern gilt diese Pflicht gem. Art. 26 Abs. 1 der Richtlinie bereits in zwei Jahren. Für Unternehmen mit 50 bis 249 Mitarbeitern gibt es nach Art. 26 Abs. 2 der Richtlinie eine Übergangsfrist von weiteren zwei Jahren. Die Richtlinie enthält auch Vorgaben zu den Anforderungen und der Ausgestaltung des internen Meldesystems.
127
Hinweisgebern soll die Möglichkeit eröffnet werden, Meldungen entweder schriftlich über ein Online-System, einen Briefkasten oder per Postweg abzugeben und mündlich per Telefonhotline oder Anrufbeantwortersystem.[32] Zudem sollen auf Verlangen des Hinweisgebers auch persönliche Treffen ermöglicht werden (§ 16 Abs. 3 HinSchG-E).
128
Die EU-Richtlinie stellt es den Unternehmen frei, ob die verpflichtend einzurichtenden Meldekanäle intern von zuständigen Personen oder Abteilungen betrieben werden oder externe Dritte herangezogen werden.[33] Gerade für Unternehmen mit 50 bis 249 Mitarbeiter präsentiert die EU-Richtlinie in Art. 8 Abs. 6 explizit die Möglichkeit, für die Entgegennahme von Meldungen bzw. die Durchführung von Untersuchungen Ressourcen zu teilen. Dabei stellt die Richtlinie klar, dass dies unbeschadet der Verpflichtung gilt, dass die Vertraulichkeit zu wahren, Rückmeldung zu geben und gegen den gemeldeten Verstoß vorzugehen ist.[34]
129
Den Mitgliedstaaten bleibt nach Art. 8 Abs. 7 der Richtlinie offen, auch juristische Personen des privaten Sektors mit weniger als 50 Arbeitnehmern zu verpflichten, interne Meldekanäle und -verfahren einzurichten, wenn dies nach Art der Tätigkeiten der juristischen Personen und den von ihnen ausgehenden Risiken, insbesondere für die Umwelt und die öffentliche Gesundheit erforderlich erscheint.
(1) Sachlicher Anwendungsbereich
130
Der Schutz des Hinweisgebers bezieht sich – auf Basis der EU-Richtlinie – jedoch lediglich auf das Melden von Missständen mit Bezug zu EU-Recht.[35] Art. 2 der Richtlinie (§ 2 Abs. 1 HinSchG-E) stellt klar, dass Verstöße, die in den Anwendungsbereich der im Anhang zur Richtlinie aufgeführten Rechtsakte der Union fallen und die folgenden Bereiche betreffen, vom Schutz durch die Richtlinie umfasst sind:
| – | öffentliches Auftragswesen; |
| – | Finanzdienstleistungen, Finanzprodukte und Finanzmärkte sowie Verhinderung von Geldwäsche und Terrorismusfinanzierung; |
| – | Produktsicherheit und -konformität; |
| – | Verkehrssicherheit; |
| – | Umweltschutz; |
| – | Strahlenschutz und kerntechnische Sicherheit; |
| – | Lebensmittel- und Futtermittelsicherheit, Tiergesundheit und Tierschutz; |
| – | öffentliche Gesundheit; |
| – | Verbraucherschutz; |
| – | Schutz der Privatsphäre und personenbezogener Daten sowie Sicherheit von Netz- und Informationssystemen; |
| – | Verstöße gegen die finanziellen Interessen der Union (i.S.v. Art. 325 AEUV); |
| – | Verstöße gegen die Binnenmarktvorschriften (i.S.v. Art. 26 Abs. 2 AEUV) einschließlich der Verstöße gegen unionsrechtliche Wettbewerbsvorschriften und staatliche Beihilfen, gegen Handlungen, die die Körperschaftssteuer-Vorschriften verletzen oder in Bezug auf Vereinbarungen, die darauf abzielen, sich einen steuerlichen Vorteil zu verschaffen, der dem Ziel oder dem Zweck des geltenden Körperschaftssteuerrechts zuwiderläuft. |
131
Mit Art. 2 Abs. 2 der Richtlinie ermächtigt und ermuntert die EU die nationalen Gesetzgeber dazu, den sachlichen Anwendungsbereich bei der Umsetzung in nationales Recht noch zu erweitern. Mit Erwägungsgrund 106 hält sich die EU die Ausweitung des sachlichen Anwendungsbereichs explizit offen, sofern neue Erkenntnisse oder eine Evaluierung der Effektivität der Richtlinie die Notwendigkeit ergibt, die Durchsetzung der Richtlinie zu verstärken. Diese Ermächtigung hat das Bundesjustizministerium aufgegriffen und den sachlichen Anwendungsbereich auch auf Verstöße gegen deutsches Recht erweitert.[36]
(2) Persönlicher Anwendungsbereich
132
Die EU-Richtlinie zielt nicht ausschließlich auf den Schutz von Mitarbeitern (Arbeitnehmer und Beamte) ab. Unter den Schutz der EU-Richtlinie fallen nach Art. 4 der Richtlinie auch Bewerber, bezahlte und unbezahlte Praktikanten, ehemalige Mitarbeiter, Unterstützer des Hinweisgebers sowie Journalisten, Anteilseigner und Personen, die dem Verwaltungs-, Leitungs- oder Aufsichtsorgan eines Unternehmens angehören. Auch Personen außerhalb des betroffenen Unternehmens fallen nach Art. 4 Abs. 4 unter den Schutz der Richtlinie. Dazu zählen Personen, die unter der Aufsicht und Leitung von Auftragnehmern, Unterauftragnehmern und Lieferanten arbeiten aber auch Kollegen oder Verwandte des Hinweisgebers, wenn ihnen im beruflichen Kontext Repressalien drohen. Geschützt sind somit alle Personen, die in einer „arbeitsbezogenen Verbindung“ mit dem Unternehmen stehen.[37]
c) Inhaltliche Ausgestaltung der Implementierung eines Hinweisgebersystems
133
Aus dem Schutz des Hinweisgebers als zentrales Ziel der Richtlinie folgt, dass die Identität des Hinweisgebers geheim zu halten ist und die Inhalte vertraulich behandelt werden müssen (ausführlich siehe unten Rn. 140, 145).[38]
134
Eine weitere Vorgabe betrifft die Information des Hinweisgebers über den Stand seiner Meldung und das weitere Verfahren (ausführlich siehe unten Rn. 146).[39]
135
Alle eingegangenen Meldungen müssen sicher aufbewahrt werden, damit sie ggf. als Beweismaterial verwendet werden können (zur Dokumentationspflicht siehe unten Rn. 147 f.).[40]
136
Die in Art. 8 Abs. 1 der Richtlinie statuierte Pflicht zur Einführung eines Hinweisgebersystems enthält zugleich das Verbot von Repressalien (ausführlich siehe unten Rn. 149, 155).[41]
137
Die Unternehmen sind zudem verpflichtet, Informationen über die internen Meldeverfahren und die Möglichkeit externer Meldungen transparent und verständlich bereitzustellen.[42] Diese Information muss auch den Personen zugänglich gemacht werden, die nicht selbst Mitarbeiter sind, aber in den persönlichen Anwendungsbereich der Richtlinie fallen.[43]
138
Um sicherzustellen, dass es sich bei den Vorgaben in der EU-Richtlinie nicht um einen „zahnlosen Tiger“ handelt, sind in der Richtlinie in Art. 23 Sanktionen vorgesehen.[44] Unternehmen, die das Melden von Missständen behindern oder zu behindern versuchen, müssen mit Strafen rechnen. Wenn Unternehmen die Identität des Hinweisgebers nicht vertraulich behandeln, soll dies ebenso geahndet werden, wie Vergeltungsmaßnahmen gegen den Hinweisgeber.[45] Die Höhe dieser Sanktionen ist gem. Art. 23 Abs. 1 der Richtlinie Sache der nationalen Gesetzgeber.
139
Neben dieser an die Unternehmen adressierten Pflicht, interne Meldestellen einzurichten, enthält die Richtlinie auch eine Verpflichtung für die nationalen Behörden. Nach Art. 11 der Richtlinie ist es Aufgabe der Mitgliedsstaaten, die zuständigen Behörden für die Entgegennahme von Meldungen (und entsprechende Folgemaßnahmen) zu benennen und diese mit den erforderlichen Ressourcen auszustatten.
aa) Vertraulichkeitsgebot
140
Wesentlichen Schutz soll die Einführung von Hinweisgebersystemen dadurch ermöglichen, dass die Vertraulichkeit der Identität des Hinweisgebers gewahrt bleiben soll. Gem. Art. 9 Abs. 1 a) der Richtlinie müssen die von Unternehmen einzurichtenden internen Hinweisgebersysteme so konzipiert, eingerichtet und betrieben werden, dass die Vertraulichkeit der Identität der Hinweisgeber und Dritter, die in der Meldung erwähnt werden, sichergestellt ist und nur befugte Mitarbeiter auf diese Information zugreifen können.[46]
141
Nach Art. 12 Abs. 1 a) der Richtlinie sind externe Meldekanäle so zu gestalten, dass die Vollständigkeit, Integrität und Vertraulichkeit der Information sichergestellt ist.
142
In beiden Fällen sind die Hinweisgebersysteme so zu gestalten, dass die Vertraulichkeit der übermittelten Informationen, einschließlich der Identität des Hinweisgebers gewährleistet ist. Dieser Schutz scheint nach dem formulierten Ziel der Richtlinie und nach Art. 16 Abs. 1 S. 1 der Richtlinie zunächst absolut zu sein. Das heißt, dass eine Preisgabe der Identität des Hinweisgebers an andere als die zur Entgegennahme von Meldungen und Durchführung von Folgemaßnahmen befugten Mitarbeiter dem Wortlaut des Abs. 1 der Richtlinie nach nur mit einer ausdrücklichen Zustimmung erlaubt ist. Dasselbe gilt nach Art. 16 Abs. 1 S. 2 der Richtlinie für alle anderen Informationen, aus denen die Identität des Hinweisgebers direkt oder indirekt abgeleitet werden kann.
143
Von diesem scheinbar absoluten Schutz macht Art. 16 Abs. 2 der Richtlinie eine Ausnahme.[47] Die Identität des Hinweisgebers darf dann offengelegt werden, wenn dies nach Unionsrecht oder nationalem Recht eine notwendige und verhältnismäßige Pflicht im Rahmen von Untersuchungen durch nationale Behörden oder von Gerichtsverfahren darstellt. Dazu zählt auch die Wahrung der Verteidigungsrechte der vom Hinweis betroffenen Person, Art. 16 Abs. 2 a.E. der Richtlinie. Allerdings ist der Hinweisgeber zu unterrichten, bevor seine Identität offengelegt wird, Art. 16 Abs. 3 S. 2 der Richtlinie.
144
Damit besteht zumindest nach der Richtlinie kein absoluter Schutz.[48] Die Richtlinie gewährt den Mitgliedsstaaten in Art. 25 Abs. 1 jedoch die Möglichkeit, die Rechte von Hinweisgebern günstiger auszugestalten, als es in der Richtlinie vorgesehen ist. Da der Schutz des Hinweisgebers das primäre Ziel der Richtlinie ist und nur eine effektive Meldekultur die finanziellen Interessen der Union sowie die Rechtsgüter der Allgemeinheit schützen kann, müssen die Identität des Hinweisgebers und dessen persönliche Daten absoluten Schutz erfahren.[49] Nur so kann sich ein Hinweisgeber sicher sein, dass er keine Repressalien zu befürchten hat.
145
Von dem Schutz der Identität des Hinweisgebers zu unterscheiden ist die Möglichkeit, Hinweise anonym abzugeben.[50] Dies ist in der Richtlinie nicht geregelt. Es ist daher dem nationalen Gesetzgeber bzw. dem Unternehmen überlassen, ob die Möglichkeit geschaffen werden soll, anonyme Hinweise entgegenzunehmen.[51] Eine etwaige Kollision mit den Vorschriften der DSGVO wird durch Erwägungsgrund 84 entschärft, der klarstellt, dass die Geheimhaltung der Identität des Hinweisgebers einen wichtigen Grund i.S.d. Art. 23 Abs. 1 e) und i) DSGVO darstellt und daher die Rechte und Pflichten der DSGVO in diesem Fall eingeschränkt beziehungsweise nicht anwendbar sind. Erwägungsgrund 85 enthält sogar eine explizite Aufforderung an die Mitgliedsstaaten, gesetzgeberische Maßnahmen zu treffen.[52]
bb) Information des Hinweisgebers
146
Hinweisgeber sind gem. Art. 9 Abs. 2, 11 Abs. 2 b) der Richtlinie innerhalb von sieben Tagen sowohl von internen als auch externen Stellen über den Eingang des Hinweises zu informieren.[53] Die Regelung des Art. 9 Abs. 1 Ziff. f) i.V.m. Abs. 5 Nr. 13 der Richtlinie sieht zudem vor, dass das Unternehmen den Hinweisgeber spätestens innerhalb von drei Monaten nach seiner Meldung darüber informieren soll, wie mit dem Hinweis verfahren wurde, sowie über den Stand beziehungsweise das Ergebnis der Ermittlungen und die ergriffenen Maßnahmen.[54] Diese in zeitlicher Hinsicht vorgegebene Informationspflicht stellt die zuständigen Abteilungen im Unternehmen vor enorme Hürden und wird wohl viele Unternehmen dazu zwingen, die betroffenen Abteilungen in personeller, prozessualer und technischer Hinsicht aufzurüsten. Eingegangene Hinweise müssen quasi unmittelbar plausibilisiert und bearbeitet werden, interne Ermittlungen müssen beauftragt und Stellungnahmen angefertigt werden.
cc) Dokumentation der Meldungen
147
Alle eingehenden Meldungen sind gem. Art. 18 der Richtlinie im Einklang mit den Vertraulichkeitspflichten aus Art. 16 der Richtlinie zu dokumentieren.[55] Die Meldungen sollen nicht länger aufbewahrt werden, als dies erforderlich und verhältnismäßig ist, Art. 18 Abs. 1 S. 2 der Richtlinie.
148
Bei verbal übermittelten Meldungen sind diese durch Erstellung einer Tonaufzeichnung des Gesprächs beziehungsweise durch vollständige und genaue Niederschrift des Gesprächs zu dokumentieren, Art. 18 Abs. 2 Ziff. a) und b) der Richtlinie. Dies gilt auch für Meldungen, die im Wege eines persönlichen Treffens gemacht werden, Art. 18 Abs. 4 der Richtlinie.
dd) Schutzmaßnahmen
149
Vor allem die Angst vor persönlichen Konsequenzen hindert Mitarbeiter daran, Rechts- oder Richtlinienverstöße zu melden.[56] Der Schutz vor Repressalien und Vergeltungsmaßnahmen aufgrund eines Hinweises ist ein wichtiges Ziel der Richtlinie. Die konkrete Ausgestaltung des Schutzes des Hinweisgebers ist im Hinweisgebersystem verortet.
(1) Schutz vor Repressalien
150
Art. 19 der Richtlinie enthält einen umfassenden Katalog an verbotenen Repressalien, der weit über die aus § 612a BGB bekannten Maßregelungen hinausgeht.[57] Zusätzlich zu dem Verbot von Versetzung, Degradierung, Gehaltseinbußen und Kündigung, regelt Art. 19 der Richtlinie auch verbotene Repressalien in Form von entgangenen Vorteilen, wie etwa die Nichtverlängerung von zeitlich befristeten Verträgen (j) oder reputationsbezogene Schädigungen (k). Maßnahmen wie Entlassungen oder die Nichtverlängerung von Verträgen können den Hinweisgeber in den finanziellen Ruin treiben und sind nur schwer rückgängig zu machen.[58] Im Detail sind folgende Repressalien verboten:
| – | Suspendierung, Kündigung oder vergleichbare Maßnahmen; |
| – | Herabstufung oder Versagung einer Beförderung; |
| – | Aufgabenverlagerung, Änderung des Arbeitsortes, Gehaltsminderung, Änderung der Arbeitszeit; |
| – | Versagung der Teilnahme an Weiterbildungsmaßnahmen; |
| – | negative Leistungsbeurteilung oder Ausstellung eines schlechten Arbeitszeugnisses; |
| – | Disziplinarmaßnahme, Rüge oder sonstige Sanktion einschließlich finanzieller Sanktionen; |
| – | Nötigung, Einschüchterung, Mobbing oder Ausgrenzung; |
| – | Diskriminierung, benachteiligende oder ungleiche Behandlung; |
| – | Nichtumwandlung eines befristeten Arbeitsvertrags in einen unbefristeten Arbeitsvertrag in Fällen, in denen der Arbeitnehmer zu Recht erwarten durfte, einen unbefristeten Arbeitsvertrag angeboten zu bekommen; |
| – | Nichtverlängerung oder vorzeitige Beendigung eines befristeten Arbeitsvertrags; |
| – | Schädigung (einschließlich Rufschädigung), insbesondere in den sozialen Medien, oder Herbeiführung finanzieller Verluste (einschließlich Auftrags- oder Einnahmeverluste); |
| – | Erfassung des Hinweisgebers auf einer „schwarzen Liste“ auf Basis einer informellen oder formellen sektor- oder branchenspezifischen Vereinbarung mit der Folge, dass der Hinweisgeber sektor- oder branchenweit keine Beschäftigung mehr findet; |
| – | vorzeitige Kündigung oder Aufhebung eines Vertrags über Waren oder Dienstleistungen; |
| – | Entzug einer Lizenz oder einer Genehmigung; |
| – | psychiatrische oder ärztliche Überweisungen. |
151
Geschützt sind nach Art. 6 Abs. 1 der Richtlinie nur gutgläubige Hinweisgeber, also solche, die einen hinreichenden Grund zu der Annahme hatten, dass die gemeldeten Informationen über Verstöße im Zeitpunkt der Meldung der Wahrheit entsprachen und dass die Information in den sachlichen Anwendungsbereich der Richtlinie fällt.[59] Zudem müssen sie intern nach Art. 7 der Richtlinie oder extern nach Art. 10 der Richtlinie den Verstoß gemeldet haben beziehungsweise unter Berücksichtigung der Voraussetzungen des Art. 15 der Richtlinie eine Offenlegung vorgenommen haben. Hinweisgeber, deren Meldung in den Anwendungsbereich der Richtlinie fällt, sollen vor jeglichen direkten oder indirekten Repressalien geschützt werden. Dieser Schutz ist bereits heute standardmäßig in den internen Richtlinien zu den Hinweisgebersystemen vieler Unternehmen garantiert.[60] Nach Art. 5 Nr. 6 der Richtlinie handelt es sich bei der Offenlegung um das „öffentliche Zugänglichmachen von Informationen über Verstöße“. Hierbei werden jedoch die sich gegenüberstehenden (Grund-)Rechtspositionen nicht weiter konkretisiert.[61]
152
Der in Art. 19 der Richtlinie verankerte Schutz wird flankiert von den in Art. 20 der Richtlinie genannten unterstützenden Maßnahmen und den in Art. 21 der Richtlinie statuierten Maßnahmen zum Schutz vor Repressalien. Zu den unterstützenden Maßnahmen gehört nach Art. 20 Abs. 1 a) i.V.m. Art. 20 Abs. 3 der Richtlinie ein einfacher und kostenloser Zugang zu umfassender und unabhängiger Information und Beratung über die verfügbaren Abhilfemöglichkeiten und Verfahren gegen Repressalien. Art. 21 Abs. 6 der Richtlinie eröffnet den Zugang zu geeigneten Abhilfemaßnahmen gegen Repressalien, einschließlich eines in Art. 21 Abs. 4 der Richtlinie statuierten einstweiligen Rechtsschutzes während laufender Gerichtsverfahren.
153
Hervorzuheben ist die in Art. 21 Abs. 5 S. 2 der Richtlinie festgelegte Beweislastumkehr bezüglich des Nachweises, dass eine benachteiligende Maßnahme nicht aufgrund einer Meldung erfolgt ist, sondern auf hinreichend gerechtfertigten Gründen basierte.[62] Diese kommt dem Hinweisgeber zugute. Dies bietet jedoch auch die Gefahr, dass sich Mitarbeiter durch einen „Hinweis“ einen zusätzlichen Kündigungsschutz verschaffen. Dieses Phänomen des Missbrauchs wurde in England beobachtet. In diesem Fall müssen Unternehmen eine umfangreiche Dokumentation durchführen um ggf. nachzuweisen, dass die Maßnahmen nicht mit dem Whistleblowing zusammenhängen.[63] Gelingt einem Unternehmen nicht der Gegenbeweis erleidet es einen Nachteil dadurch, dass die benachteiligende Maßnahme gegen den Arbeitnehmer für unwirksam erklärt wird, zum anderen ordnet Art. 23 Abs. 1 lit. b) und c) der Richtlinie an, dass angemessene Sanktionen und Strafen gegen solche Arbeitgeber verhängt werden sollen.[64]