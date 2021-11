Rein rechtlich gesehen stünden die Karten für die Facebook-Whistleblowerin Frances Haugen, die massive Probleme etwa mit der Inhaltemoderation bei dem sozialen Netzwerk aufgedeckt hat, in der EU nicht sonderlich gut. Die US-Amerikanerin "würde in Europa nicht geschützt sein", erklärte der Rechtsanwalt Wolfgang Schmid am Dienstag bei einem Webinar der Stiftung Datenschutz. Er bezog sich dabei auf die europäische Hinweisgeberschutz-Richtlinie, die vor knapp zwei Jahren in Kraft trat und vom 17. Dezember an greift.

Whistleblowing nur unter Bedingungen

Die Instrumente der Richtlinie gehen an sich weit. Damit verknüpft ist etwa ein Anti-Diskriminierungsrecht mit einem breiten persönlichen Anwendungsbereich. Dazu kommt ein umfassender Schutz für Whistleblower vor Repressalien wie Kündigung, Mobbing, Rufschädigung oder "anderweitigen Benachteiligungen". Er ist aber an Bedingungen geknüpft. Missstände müssen demnächst in der Regel zunächst vertraulich in Unternehmen und Behörden intern über geeignete Kanäle gemeldet werden.

Hinweisgeber können sich im Rahmen der Richtlinie zwar auch unmittelbar an übergeordnete Whistleblower-Stellen wenden oder bei irreversiblen Schäden, drohenden konkreten Repressalien und beim Ausbleiben einer zeitnahen Rückmeldung an die Medien. Bei Haugen hätten diese Ausnahmen laut Schmid aber nicht gegriffen, auch wenn "Melder" mit dem EU-Gesetz leichter als bisher die Möglichkeit hätten, an die Öffentlichkeit zu gehen. Viele seiner Mandanten seien froh, dass zunächst jedoch ein geschütztes internes Verfahren vorgesehen sei: So hätten sie die Chance, Vorwürfen ohne Presse und Polizei nachzugehen und Sonderprüfungen durchzuführen.

Die frühere Facebook-Mitarbeiterin hatte eine große Sammlung interner Unterlagen heruntergeladen und direkt dem US-Kongress, Ämtern sowie ausgewählten Medien zur Verfügung gestellt. Auf eine Wandelfähigkeit des Konzerns nach Druck von innen baute sie offenbar nicht. Haugen hat inzwischen bei der US-Börsenaufsichtsbehörde SEC Whistleblower-Schutz beantragt, um Klagen ihres einstigen Arbeitgebers zu entgehen. Dem Online-Magazin Politico sagte sie, sie sei sich bewusst, dass der Konzern ihr "schreckliche Dinge zufügen" und etwa auch "Troll-Armeen" auf sie ansetzen könnte.

Auch Snowden wäre nicht geschützt

Forscher hatten zuvor schon herausgestellt, dass Geheimdienstmitarbeiter keine Chance hätten, sich auf die EU-Bestimmungen zu berufen. Ein europäischer Edward Snowden wäre ihnen zufolge nicht erfasst. Obwohl so zwei der bekanntesten Whistleblower außen vor sind, erwartet Schmid größere Auswirkungen von der Richtlinie: Sie schaffe vor allem eine Kultur, "die Transparenz lebt".

Firmen, Behörden und andere Rechtsträger mit mehr als 50 Mitarbeitern müssen gemäß der EU-Vorgaben künftig ein Hinweisgebersystem bereitstellen. Wegen der Pandemie sei davon bisher "sehr wenig in den Unternehmen angekommen", weiß Schmid. Ähnlich wie bei der Umsetzung der Datenschutz-Grundverordnung (DSGVO) dürften nun auf den letzten Drücker aber die Arbeiten losgehen. Prinzipiell lasse sich die Sache auch organisieren, wenn man ein paar Grundregeln beachte.

Bei den Meldewegen müsse Vertraulichkeit auf jeden Fall gewährleistet sein, führte der Jurist aus. Entsprechende Kanäle müssten "unabhängig und selbständig organisiert sein". Was deren Art angehe, sei die Richtlinie "großzügig". Für größere Firmen böten sich IT-gestützte Verfahren an, von denen derzeit viele aus dem Boden sprössen. Ein kleineres Unternehmen werde auch mit einer Handy-Telefonnummer für einen speziellen Mitarbeiter leben können.

Getrennte IT-Infrastruktur nötig

Bei einer In-House-Lösung werde dafür eine getrennte IT-Infrastruktur benötigt, stellte Schmid klar. Auch eine gesondert eingerichtete E-Mail-Adresse gehe, wenn sie in einem speziellem IT-System gehostet werde und nichts automatisch archiviert werde. Ein Löschkonzept sei ebenfalls unabdingbar. Dabei empfehle es sich meist, Daten nicht länger als zwei Monate nach Abschluss einer Untersuchung aufzubewahren.

Um eine Datenschutzfolgenabschätzung komme man nicht herum, berichtete der Anwalt. Da die Person des Hinweisgebers "extrem und zwingend zu schützen" sei, stehe als Ergebnis schon fest, dass bei der einschlägigen Verarbeitung von Informationen ein hohes Risiko bestehe und dieses etwa durch Verschlüsselung und beschränkte Zugriffsrechte reduziert werden müsse. Die italienische Aufsichtsbehörde habe hier bereits wegen zu laxer Vorkehrungen eine Strafe verhängt. Da es auch bei einer telefonischen Hotline nötig sei, ein Gedächtnisprotokoll des Übermittelten anzufertigen, dürfe auch dieses nur verschlüsselt abgelegt werden. Einer seiner Mandanten habe dazu einen eigenen Schrank mit Schlüssel einrichten lassen.

Statistisch gesehen sei eine anonyme Hinweisgabe "sehr wertvoll", gab Schmid zu bedenken. Fast die Hälfte der bekannt gewordenen Wirtschaftsstraftaten werde so übermittelt. Je größer die Vorwürfe seien, desto schwieriger könne die Anonymität aber meist gewahrt werden. Oft gebe es einen Verdacht, wer hinter einer Meldung stecke.

Deutschland droht Vertragsverletzungsverfahren.

Ferner müsse eine "unparteiische Person" etwa in Form eines Whistleblower-Beauftragten oder Ombudsmanns bestellt werden, erläuterte der Experte. Ein solcher sollte völlig autark tätig werden können und über ein ordentliches Budget verfügen, um etwa teure externe Prüfer hinzuziehen zu können. Kombinationen seien hier etwa mit Betriebsräten oder Datenschutzbeauftragten denkbar.

Zeit für die Umsetzung der Richtlinie haben die Mitgliedsstaaten bis Mitte Dezember. Im Frühjahr scheiterte die schwarz-rote Koalition an einem einschlägigen nationalen Gesetz. Die SPD wollte, dass der Schutz auch bei Verstößen gegen deutsches Recht gilt, CDU und CSU waren dagegen. Die geplante neue Ampel-Koalition dürfte es bis zum Stichtag nicht schaffen, die Vorgaben in nationalen Recht zu gießen. Die Normen könnten dann aber zumindest gegenüber dem Staat direkt geltend gemacht werden. Sollte Deutschland nicht in die Pötte kommen, droht ein Vertragsverletzungsverfahren.

(mho)