Neueste Skandale wie Wirecard zeigen, wie essentiell es ist, im Unternehmen ein angemessenes und wirksames Compliance-Management-System (CMS) zu implementieren, um die rechtzeitige Entdeckung und Ahndung von Gesetzesverstößen sicherzustellen. Ein Bestandteil eines solchen CMS ist ein Whistleblowing-System, das Mitarbeitern oder Externen ermöglicht, Gesetzesverstöße (anonym) zu melden.
Unternehmen mit mehr als 50 Beschäftigten sowie juristische Personen des öffentlichen Sektors und Gemeinden ab 10.000 Einwohner sind zukünftig verpflichtet, ein internes Whistleblowing-System einzurichten. Unternehmen ab 250 Mitarbeiter müssen diese Anforderung bis zum 17. Dezember 2021, Unternehmen zwischen 50 und 249 Mitarbeitern bis zum 17. Dezember 2023 erfüllen. Dies schreibt die im Dezember 2019 in Kraft getretene Whistleblower-Richtlinie (WBRL) der Europäischen Union vor, die vom deutschen Gesetzgeber bis dato noch in nationales Recht umzusetzen ist.
Bei der Implementierung eines solchen Whistleblowing-Systems gibt es für die betroffenen Unternehmen einiges zu beachten. Vor allem der Datenschutz bietet eine besondere Herausforderung. Denn die Verarbeitung personenbezogener Daten soll im Einklang mit der EU-Datenschutzgrundverordnung (DSGVO) erfolgen (Art. 17 WBRL). Erste Hinweise erhalten Unternehmen aus der am 14. November 2018 veröffentlichten „Orientierungshilfe der deutschen Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines“.
Die Crux: Mitarbeiter, die in Meldungen genannt oder beschuldigt werden, haben gemäß Art. 15 DSGVO einen Anspruch auf Auskunft über den sie betreffenden Inhalt der Meldung. Dies kann jedoch dazu führen, dass die Identität des Whistleblowers offenbart wird. Die deutschen Datenschutzbehörden sehen die Lösung darin, dem Whistleblower entweder die Option zu gewähren, anonym zu melden oder seine Einwilligung einzuholen, seine Identität offenzulegen. Dieser Vorschlag dürfte nicht nur die Aufklärung von Compliance-Verstößen erschweren, sondern auch regelmäßig dazu führen, dass Meldungen erst gar nicht erfolgen.
Die deutschen Datenschutzbehörden stehen mit dieser Ansicht dennoch nicht alleine da. So gewährte bereits das Landesarbeitsgericht Baden-Württemberg in seinem Urteil vom 20. Dezember 2018 (Az. 17 Sa 11/18) einem gekündigten Mitarbeiter den Auskunftsanspruch und damit die Offenlegung der Identität des Whistleblowers. Gegen dieses Urteil wurde Revision eingelegt. Statt einer Entscheidung durch das Bundesarbeitsgericht (Az. 5 AZR 66/19) einigten sich die Parteien außergerichtlich, so dass weiterhin Rechtsunsicherheit besteht.
Der nationale Gesetzgeber ist somit gehalten, diesen Konflikt rechtzeitig und klarstellend zu lösen. Die WBRL würde dies ermöglichen (Erwägungsgrund 84). Bis dahin sollten Unternehmen anonyme Meldungen bevorzugen oder – soweit möglich – die Identität des Whistleblowers in Dokumenten, zum Beispiel Personalakten, schwärzen, auf die sich der Auskunftsanspruch des von der Meldung Betroffenen erstrecken könnte.
