Die Ampel-Koalition teilte jüngst in ihrem Vertrag mit, dass sie eine überschießende Umsetzung beabsichtigt: Die Stellung von Whistleblowern soll grundlegend gestärkt werden. So sollen neben dem Schutz bei Meldungen auch Ansprüche des Whistleblowers wegen Repressalien besser durchgesetzt werden können.
Wie dieses Vorhaben konkret umgesetzt werden soll, ließ die Ampel-Koalition bisher nicht verlauten. Zwar ist die Umsetzungsfrist der EU-Richtlinie abgelaufen und sie könnte somit unmittelbar in jedem Mitgliedstaat gelten – inwieweit sie das tut, ist aber noch unklar. Vor allem wie das Aufeinandertreffen der Betroffenenrechte aus der DSGVO und der Schutz des Hinweisgebers aus der Whistleblowing-Richtlinie zu lösen sein wird, ist noch ungeklärt.
Muss die gemeldete Person informiert werden?
Die Betroffenenrechte nach Art. 12 ff. DSGVO und der Schutz des Hinweisgebers aus Art. 16 EU-WBRL kollidieren miteinander. Die Kollision wird sogar noch verstärkt durch Art. 17 der EU-WBRL, der voraussetzt, dass das Hinweisgebersystem im Einklang mit der DSGVO, also auch konform mit den Betroffenenrechten sein muss.
Art. 14 DSGVO schreibt nämlich vor, dass der Verantwortliche spätestens einen Monat nach Verarbeitung von personenbezogenen Daten den Betroffen über Zweck der Verarbeitung und über ihre Quelle informieren muss. Solch ein Betroffener ist beispielsweise die gemeldete Person. Die Identität des Hinweisgebers müsste bei absoluter DSGVO-Konformität somit offengelegt werden.
Das kann es doch aber nicht gewesen sein…
Bei einer orthodoxen Anwendung der DSGVO wäre es das gewesen mit der Whistleblowing-Richtlinie – doch die DSGVO bietet einige Instrumente.
Über Art. 14 Abs. 5 lit. c) DSGVO in Verbindung mit Art. 29 Abs. 1, Satz 1 BDSG könnte eine Interessenabwägung zugunsten des Hinweisgebers ausgelegt und somit die Informationspflicht aus Art. 14 Abs. 1 bis 4 DSGVO gesperrt werden. Das heißt, dass die die Betroffenenrechte aus der DSGVO eingeschränkt werden müssen, um der WBRL Geltung zu verleihen. Weder in der Richtlinie noch in dem Referentenentwurf gibt es dazu klare Regeln.
Zur Auslegung kann hier aber Erwägungsgrund 84 der WBRL helfen. Dort werden die Mitgliedstaaten bei der Umsetzung der Vorgaben der Richtlinie explizit zu gesetzgeberischen Maßnahmen aufgefordert, die den Schutz der Identität des Whistleblowers sicherstellen, und nennt als eines der Mittel dabei auch die Einschränkung der Betroffenenrechte. So sollen die Mitgliedstaaten die Wirksamkeit der Richtlinie gewährleisten, indem sie unter anderem die Ausübung bestimmter Datenschutzrechte betroffener Personen gem. Art. 23 Abs. 1 lit. e) und lit. i) und Art. 23 Abs. 2 der DSGVO durch gesetzgeberische Maßnahmen einschränken, soweit und solange dies notwendig ist, um Versuche zu unterbinden, die Identität der Hinweisgeber festzustellen. Außerdem erfährt der Vertraulichkeitsschutz des Hinweisgebers über Art. 16 EU-WBRL eine gesetzliche Privilegierung.
Im Ergebnis wird der Schutz der Vertraulichkeit der Identität des Hinweisgebers höher zu gewichten sein als das Informationsinteresse des Beschuldigten, um so den Zielsetzungen des Hinweisgeberschutzes zu entsprechen. Die Offenlegung der Identität ist nach Art. 16 EU-WBRL nur in Ausnahmetatbeständen vorgesehen.
Fazit
Der Richtliniencharakter der bestehenden Unionsvorschriften zum Hinweisgebersystem und die fehlende Umsetzung ins nationale Recht sorgen für Rechtsunsicherheit. Dennoch gilt die Richtlinie, wenn auch nur teilweise. Spätestens wenn die ersten Beschlüsse und Urteile aus der Rechtsprechung kommen, wird sich eine Tendenz zeigen. Diese Tendenz wird vermutlich dahin gehen, dass die Betroffenenrechte der gemeldeten Person eingeschränkt werden, um dem Hinweisgeber ausreichenden Schutz zu gewähren. So lesen sich auch die Äußerungen im Koalitionsvertrag. Insbesondere aufgrund einer ungenügend regulierten Rechtslage wäre man gut darin beraten, ein Hinweisgeberschutzsystem von erfahrenen Expertenteams einrichten zu lassen.