Editorial : Hinweisgeberschutz und Datenschutz : aus der RDV 6/2022, Seite 289 bis 290
Das Hinweisgeberschutzgesetz ist kurz vor der Zielgeraden. Es wurde auch Zeit. Die europäische Richtlinie hätte man eigentlich bis zum 17. Dezember vergangenen Jahres umsetzen müssen. Nun strebt man ein Inkrafttreten Anfang nächsten Jahres an. Es ist zunächst einmal gut, dass der Gesetzgeber erkannt hat, wie wichtig der Schutz von Hinweisgebern ist. Er handelt jetzt freilich nicht aus eigenem Antrieb, sondern weil europarechtliche Vorgaben ihn dazu drängen.
Nicht alles an diesem Gesetz ist gut. Ärgerlich ist insbesondere die Haftungsregelung, wonach der Hinweisgeber, der fahrlässig unrichtige Informationen verbreitet, nicht schadensersatzpflichtig sein soll demjenigen gegenüber, dessen Ruf ggfs. ruiniert wird – egal wie groß der Schaden ist und selbst dann, wenn die Information gezielt erfolgte, um den Betroffenen zu schädigen. Das birgt Risiken und Gefahren. Die Begründung des Gesetzes führt dazu aus, das müsse so sein, weil das Europarecht dies vorschreibt. Das ist falsch. Dem Europarecht geht es um den Schutz vor Repression, nicht um Privilegierung im Irrtum oder schuldhaft falscher Denunziation.
Solche und ähnliche Monita können dem Ziel, einen angemessenen und effektiven Hinweisgeberschutz zu schaffen, entgegenstehen. Das Gesetz geht von der vollständigen Gleichwertigkeit der internen und externen Meldewege aus. Ein Arbeitnehmer oder wer auch immer eine Meldung vornehmen will, hat also die freie Wahl, ob er sich zunächst an das Unternehmen und die dortigen Compliance-Kanäle hält oder ob er sich an eine externe Behörde wendet. Der Gesetzgeber hätte gut daran getan, Anreize zu setzen, zunächst die interne Meldestelle zu nutzen. Das entspräche auch der bisherigen Rechtsprechung, sowohl des Bundesarbeitsgerichts als auch des Europäischen Gerichtshofs für Menschenrechte und auch die Richtlinie fordert die Mitgliedsstaaten ausdrücklich auf, sich dafür einzusetzen, dass die Meldung über interne Meldekanäle gegenüber den Meldungen über externe Meldekanäle in den Fällen bevorzugt wird, in denen intern wirksam gegen den Verstoß vorgegangen werden kann und der Hinweisgeber keine Repressalien befürchtet. Dieses Bemühen fehlt gänzlich und das ist ein großer Fehler. Das aber ist zentral zum Schutze aller Beteiligten. Denn ein geäußerter Verdacht ist eben zunächst nur ein Verdacht und der Hinweisgeber wird ja ermutigt, auch dann Hinweise zu geben, wenn er nicht sicheres Wissen hat. Dann aber ist eine valide Klärung der Vorwürfe notwendig zu einem Stadium, bevor der Vorwurf noch keine weiteren Kreise gezogen hat. Denn was berichtet wird, das muss nach der Vorstellung des Gesetzesentwurfs gar nicht wahr sein, solange der Berichtende gutgläubig ist. Und mehr noch: Der Sachverhalt muss auch nicht unter den Anwendungsbereich des Gesetzes fallen, solange der Berichtende hinreichende Gründe für die Annahme hat, dass dem doch der Fall ist. Er ist selbst dann geschützt, selbst wenn er schuldhaft irrt, solange das nicht grob fahrlässig ist. Das alles ist sehr, sehr weit gefasst und oftmals zu weit, um Rechtssicherheit im Unternehmen und auch demjenigen zu geben, dessen Verhalten Gegenstand der Meldung ist. Der Datenschützer runzelt nachdenklich die Stirn. Semper aliquid haeret. Das Persönlichkeitsrecht des Betroffenen sollte ernster genommen werden.
Hinweisgeberinnen und Hinweisgeber leisten einen wichtigen Beitrag zur Aufdeckung und Ahndung von Missständen“ betont die Gesetzesbegründung. Es ist zu hoffen, dass trotz dieser Kritik das Gesetz seinen Beitrag zu einer guten Unternehmenspraxis leisten wird, dass tatsächlich – wie es die Gesetzesbegründung ausführt – „Hinweisgeberschutz in der Bundesrepublik Deutschland … wirksam und nachhaltig verbessert“ wird. Hoffen wir das Beste. Alle sind aufgerufen, hieran mitzuwirken.
Prof. Dr. Gregor Thüsing
Prof. Dr. Gregor Thüsing ist Direktor des Instituts für Arbeitsrecht und Recht der sozialen Sicherheit der Universität Bonn und Vorstandsmitglied der Gesellschaft für Datenschutz und Datensicherheit e.V., Bonn.