Whistleblowing und Hinweisgeberschutz im öffentlichen Sektor

Die EU-Whistleblower-Richtlinie verpflichtet den öffentlichen Sektor seit Mitte Dezember 2021 zur Einrichtung interner Meldesysteme zum Schutz von Hinweisgebenden. Wie Behörden und Verwaltungen die Vorgaben der EU umsetzen können und welche Chancen das neue Gesetz bereithält, soll nachfolgend dargestellt werden.

Regelungsanlass zum Whistleblowing

Skandale wie Cum-Ex, Panama Papers, Wirecard oder die Maskendeals einiger Bundestagsabgeordneter machen deutlich, dass wir uns schon lange in einem Zeitalter der Hinweisgeberinnen und Hinweisgeber befinden, denn unzählige Korruptions- und Betrugsfälle wären ohne vertrauliche Meldungen nicht ans Licht gekommen. In Deutschland steht es um den Hinweisgeberschutz leider mehr als unzureichend. So sind fristlose Kündigungen, Repressalien und persönliche Benachteiligungen oftmals die Konsequenz für Arbeitnehmende und Angestellte, die eine Aufklärung von Missständen in ihrem beruflichen Umfeld möglich gemacht haben.

Zugleich sorgen Hinweisgebende durch ihre Meldungen häufig dafür, dass durch Wirtschaftskriminalität und Korruption verursachte Schäden in Milliardenhöhe aufgedeckt oder präventiv vermieden werden können. Das Bundeskriminalamt bezifferte die registrierten Schadensfälle im Bereich der Wirtschaftskriminalität auf rund drei Milliarden Euro. Im öffentlichen Auftragswesen wird der Verlust durch unzureichenden Hinweisgeberschutz sogar auf rund sechs bis zehn Milliarden Euro pro Jahr geschätzt.

Die Europäische Union hat das Problem des unzureichenden Hinweisgeberschutzes erkannt und die EU-Direktive 2019/1937 zum Schutz von hinweisgebenden Personen 2019 erlassen. Die EU-Mitgliedsstaaten hatten seitdem zwei Jahre Zeit, die Vorgaben in ein eigenes nationales Gesetz zu überführen. Zum heutigen Stand im Januar 2022 haben sieben EU-Staaten ein Gesetz für Whistleblower-Schutz umgesetzt. Deutschland gehört nicht dazu und hat die Frist verstreichen lassen.

Aktueller Stand – Handlungsbedarf beim Gesetzgeber

Der aktuelle Zustand – nach dem Ablauf der Frist und ohne rechtzeitiges Umsetzungsgesetz – führt verständlicherweise vielerorts zu Verunsicherung oder Abwarten. Die Situation erinnert ein wenig an 2018, als im Mai die EU-Datenschutzgrundverordnung in Kraft trat. Eine Vielzahl an Unternehmen und der öffentliche Sektor waren unvorbereitet, da statt proaktiver Vorbereitung die Gesetzeslage abgewartet wurde. Die Konsequenzen waren Verunsicherung, die Befürchtung hoher Strafen und Chaos auf den letzten Metern.

Es ist davon auszugehen, dass auch aktuell die meisten Verwaltungen und Kommunalunternehmen in Deutschland noch keine Maßnahmen getroffen haben, um die Anforderungen der Richtlinie adäquat umzusetzen. Doch im Gegensatz zum privaten Sektor, für den derzeit noch unklar ist, ob sich Whistleblowerinnen und Whistleblower ohne ein nationales Gesetz bereits auf einen Schutz verlassen können, ist es im öffentlichen Sektor eindeutig: Staatliche Stellen sind seit dem 18. Dezember 2021 auch ohne deutsches Hinweisgeberschutzgesetz unmittelbar von den Vorgaben der Whistleblower-Richtlinie betroffen und dazu verpflichtet, interne Hinweisgebersysteme anzubieten. Die Richtlinie sieht zwar auch im öffentlichen Sektor Abweichungsmöglichkeiten vor, diese gelten jedoch lediglich für Kommunen mit weniger als 10.000 Einwohnerinnen und Einwohnern oder unter 50 Mitarbeitenden. Konkret bedeutet dies: Hinweisgebende aus dem öffentlichen Sektor können sich bereits jetzt – auch ohne deutsches Gesetz – auf die Schutzvorgaben der Direktive berufen, wenn sie ihre Meldung über die internen Hinweisgebersysteme der öffentlichen Einrichtung abgeben.

Staatliche Stellen, die sich noch nicht auf die Vorgaben vorbereitet oder diese umgesetzt haben, sollten daher umgehend aktiv werden. Einige staatliche Einrichtungen in Deutschland gehen im Bereich des digitalen Hinweisgeberschutzes bereits mit gutem Beispiel voran: So haben die Landeskriminalämter in Niedersachsen und Baden-Württemberg seit vielen Jahren elektronische Hinweisgebersysteme im Einsatz. Die webbasierten Systeme unterstützen die Ermittlungsbehörden in den Bereichen der Korruption und Wirtschaftskriminalität. In Baden-Württemberg wird das System zusätzlich für Hinweise aus den Bereichen Rechtsextremismus, islamistischer Extremismus, Terrorismus, Linksextremismus und Antisemitismus erfolgreich eingesetzt. Es verwundert nicht, dass Polizei und Landeskriminalämter auf digitale Compliance-Lösungen wie elektronische Hinweisgebersysteme setzen: Diese gelten als besonders sicher und ermöglichen damit eine vertrauliche, anonyme Hinweisabgabe sowie einen effektiven Hinweisgeberschutz.

Was bedeutet die EU-Whistleblower-Richtlinie für den öffentlichen Sektor?

Die EU-Direktive 2019/1937 zum Schutz von Hinweisgeberinnen und Hinweisgebern soll erstmalig einen EU-weit einheitlichen Schutz für Beschäftigte in Unternehmen und im öffentlichen Sektor festlegen. Das nationale Umsetzungsgesetz soll den Schutz natürlicher Personen, die im Rahmen ihrer beruflichen Tätigkeit Informationen über Verstöße erlangt haben und diese an die internen oder externen Meldestellen weitergeben (sogenannte hinweisgebende Personen), gewährleisten und jegliche Repressalien und Vergeltungsmaßnahmen gegenüber Whistleblowerinnen und Whistleblowern unterbinden.

Betroffen sind Unternehmen ab 250 Beschäftigten (ab 2023 ab 50) sowie der öffentliche Sektor, d. h. alle Behörden und Verwaltungen (unabhängig von der Anzahl der Beschäftigten) sowie Gemeinden und Kommunen ab 10.000 Einwohnern innerhalb der Europäischen Union. Sie alle müssen Hinweisgebenden eine interne Meldungsabgabe anbieten: Dies kann entweder schriftlich über ein Online-System, einen Briefkasten oder über den Postweg sowie mündlich per Telefonhotline oder Anrufbeantworter-System erfolgen. Oberste Priorität muss bei allen zur Verfügung gestellten Meldekanälen die Gewährleistung der Vertraulichkeit über die Identität der Whistleblowerinnen und Whistleblower sein. Unter den Schutz der EU-Richtlinie fallen somit auch Beamte, öffentliche Bedienstete und andere Personen, die im öffentlichen Sektor arbeiten.

Weitere Anforderungen an die Einrichtungen sind, dass Hinweisgebende innerhalb von sieben Tagen eine Rückmeldung über den Eingang des Hinweises sowie innerhalb von drei Monaten Rückmeldung über ergriffene Maßnahmen erhalten müssen. Ebenfalls müssen sie meldende Personen über nicht ergriffene Maßnahmen informieren, beispielsweise wenn sich der Hinweis nicht bestätigt.

Welche Rolle spielt Hinweisgeberschutz?

Im Public Sector besteht ein erhöhtes Interesse, öffentliche Gelder sachgerecht zu verwenden. Deshalb spielen gerade hier Hinweisgeberinnen und Hinweisgeber eine bedeutende Rolle, denn mit ihrer Hilfe lassen sich Delikte wie Korruption und Bestechung aufdecken. Viele Behörden und Verwaltungen sind daher bei der Aufdeckung von Verstößen auf Meldungen angewiesen. Wirtschaftskriminalität und Korruption gehören zu den sogenannten „opferlosen“ Deliktfeldern, da es sich meist um volkswirtschaftliche Schäden handelt. Außerdem besteht eine hohe Dunkelziffer an nicht aufgedeckten Verstößen. Daher ist der Schutz von Beschäftigten in Behörden und Verwaltungen sowie Bürgerinnen und Bürgern, die Hinweise zur Klärung von Missständen abgeben, besonders wichtig, um das Gemeinwohl und den öffentlichen Frieden zu erhalten. Zusätzlich ist gerade im öffentlichen Dienst eine wertebasierte Arbeitskultur von zentraler Bedeutung: In vielen behördlichen Arbeitsbereichen sind Integrität und eine besondere Vertrauensbasis unabdingbar und eine Voraussetzung für die Beschäftigung.

Wie können elektronische Hinweisgebersysteme den staatlichen Sektor unterstützen?

Viele öffentliche Einrichtungen und zahlreiche Unternehmen setzen mit elektronischen Hinweisgebersystemen bereits auf die Best Practice für interne Meldekanäle. Das System unterstützt Verantwortliche innerhalb einer Organisation, z. B. Antikorruptionsbeauftragte, bei der Aufklärung von eklatanten Missständen und Fehlverhalten und beugt somit Reputationsschäden und hohen finanziellen Risiken präventiv vor. Besteht die Möglichkeit, Missstände über ein bereitgestelltes elektronisches Hinweisgebersystem zu melden, wird die Wahrscheinlichkeit einer zufälligen und externen Aufdeckung deutlich verringert. Die EU-Richtlinie stellt den Schutz der Identität von Hinweisgebenden an die erste Stelle. Damit der höchstmögliche Schutz der erhobenen personen- und meldungsbezogenen Daten und die Anonymität der hinweisgebenden Personen zu 100 Prozent sichergestellt werden können, bedarf es einer autarken Anwendung mit speziellen, hochsicheren Verschlüsselungsverfahren. Weder die Anbieter der Anwendung noch Dritte dürfen Einsicht oder Zugriff auf die sensiblen Daten erhalten, sondern ausschließlich die mit der Meldungsbearbeitung beauftragte Abteilung.

Zu guter Letzt müssen Einrichtungen des öffentlichen Dienstes darauf vertrauen können, dass ihre Meldesysteme mit der EU-DSGVO und der Gesetzgebung konform sind, was problemlos durch den Einsatz elektronischer Systeme gewährleistet werden kann. Bei der Auswahl des Anbieters sollte daher besonders auf vorhandene Datenschutz-Zertifizierungen unabhängiger Institutionen wie des European Privacy Seal (EuroPriSe) geachtet werden.

Es wird deutlich, dass sich Einrichtungen des öffentlichen Dienstes dringend Gedanken über die Implementierung sicherer interner Meldekanäle machen sollten, sofern sie noch keine nutzen. Im Ernstfall kann nur so potenziellen Hinweisgebern die Angst vor negativen Konsequenzen einer Meldungsabgabe genommen werden. Mit der Einführung sicherer Meldesysteme tragen staatliche Stellen und Verwaltungen nachhaltig und transparent zur Prävention von Missständen im öffentlichen Sektor bei, was gleichzeitig zu mehr Vertrauen der Bevölkerung in den Staatsapparat führen kann.