Slider

Nicht erst seit der kürzlichen Verabschiedung der EU-Whistleblowing Richtlinie stellt sich die Frage, wie bei Meldesystemen der Datenschutz der Beteiligten gewahrt werden kann. Whistleblowing beinhaltet per Definition die Verarbeitung personenbezogener Daten. Mindestens betroffen sind der Anzeigenerstatter und die beschuldigte Person. Oftmals aber gibt es weit mehr Beteiligte. Die EU-Richtlinie trifft zu diesem sensiblen Thema keine Aussage, sondern verweist auf die Datenschutzgrundverordnung und den mit der Umsetzung der EU-Richtlinie beauftragten nationalen Gesetzgeber.

Orientierungshilfe der Datenschutzkonferenz

Vor diesem Hintergrund ist es sehr hilfreich, dass die Datenschutzkonferenz der Länder am 14.11.2018 eine sogenannte Orientierungshilfe zu Whistleblowing Hotlines veröffentlicht hat. Die Datenschutzkonferenz  ist ein Gremium, das sich mit aktuellen Fragen des Datenschutzes in Deutschland befasst und zu ihnen Stellung nimmt. Die Konferenz besteht aus dem Bundesdatenschutzbeauftragten, den Landesdatenschutzbeauftragten der 16 Bundesländer und dem Präsidenten des Bayerischen Landesamtes für Datenschutzaufsicht. Die Beschlüsse sind nicht formell bindend, doch dient das Gremium gerade der einheitlichen Klärung von Auslegungsfragen. Daher halten sich die Landesbehörden in aller Regel auch an die gefassten Beschlüsse. Ohne das Thema der Übermittlung von Daten in Drittstaaten zu behandeln (welches bei vielen Whistleblowing Hotlines durchaus von Bedeutung ist) werden Grundsätze zu internen Hotlines formuliert, die auch nach der Umsetzung der EU-Richtlinie in deutsches Recht ihre Bedeutung behalten werden.

Rechtsgrundlagen der Datenverarbeitung

Bekanntlich erfordert die Datenschutzgrundverordnung für jede Art der Verarbeitung personenbezogener Daten eine Rechtsgrundlage. Dieses Problem wird die nationale Umsetzung der EU-Richtlinie voraussichtlich ab 2021 zumindest teilweise lösen, da ab diesem Zeitpunkt in dem dann vorgesehenen Umfang eine gesetzliche Rechtsgrundlage für die Datenverarbeitung vorhanden sein wird.
 
Bis dahin ist nach Auffassung der Datenschutzkonferenz eine Interessenabwägung nach Artikel 6 Abs. 1 lit. f DSGVO vorzunehmen. Dabei geht die Datenschutzkonferenz davon aus, dass bei gegen das Unternehmen gerichteten Straftaten und Verstößen gegen die Menschenrechte, Umweltschutzbelange und Diskriminierungstatbestände nach dem AGG eine Interessenabwägung regelmäßig zugunsten einer Zulässigkeit der Verarbeitung personenbezogener Daten ausfällt. Anders ist dies indes bei lediglich internen Regelungen (z. B. Ethikrichtlinie/Code of Conduct). Hier bestehen laut Datenschutzkonferenz Zweifel am berechtigten Interesse des Verantwortlichen, so dass im Grundsatz von einer Unzulässigkeit der Verarbeitung personenbezogener Daten auszugehen ist.
 
Diese Unterscheidung dürfte extrem praxisrelevant sein, da viele bekannte Whistleblowing Systeme eine solche Differenzierung gerade nicht vornehmen.
 
Vorsicht ist dabei auch bei der kritiklosen Übernahme ausländischer Systeme, z. B. einer Konzernrichtlinie aus einem Drittstaat, geboten. In diesen Fällen wird ganz genau zu prüfen sein, ob etwa in Bezug genommene Strafvorschriften auch in Deutschland/der EU Geltung beanspruchen können.

Deutsche Sondervorschriften im Bundesdatenschutzgesetz bleiben relevant

Die deutschen Spezialvorschriften in § 26 BDSG zur Aufdeckung von Straftaten im Beschäftigungskontext sowie zu Kollektivvereinbarungen als Rechtsgrundlage der Datenverarbeitung sind weiter zu beachten. Damit sind die Vorgaben der DSGVO allerdings nicht abdingbar, d.h. z.B. auch die Betriebsparteien sind zur Einhaltung der Grundprinzipien wie Interessenabwägung, Transparenz und Datenminimierung verpflichtet.
 
Die Datenschutzkonferenz betont im Übrigen erneut, dass eine Einwilligung im Arbeitsverhältnis in der Regel nicht als Rechtsgrundlage in Betracht kommt. Eine Ausnahme könne allenfalls dort gelten, wo ein Hinweisgebersystem Anonymität gewährleistet und sich ein Hinweisgeber dennoch freiwillig zur Namensangabe entscheidet.

Anforderung für Hotlines

Die Beachtung der Grundsätze der Datenschutzgrundverordnung in Bezug auf Hinweisgebersysteme bedeutet zunächst einmal, dass diese in „klarer und einfacher Sprache“, mithin transparent zu formulieren sind. Dabei geht es um den Empfängerhorizont, also jeden einzelnen betroffenen Arbeitnehmer. Juristisch diffizil ausformulierte Regelungen sind insoweit nicht hilfreich. Vor allem muss klar gestellt werden, dass nicht jede Kleinigkeit oder Vermutung gemeldet werden soll und kein Interesse an unkonkreten Hinweisen und haltlosen Verdächtigungen besteht.
 
Besonders schwierig umzusetzen sein dürfte der Grundsatz der Datenminimierung, soweit die Datenschutzkonferenz hieraus eine Begrenzung sowohl des Kreises der Meldenden als auch der Gemeldeten in Abhängigkeit von der Schwere des Verstoßes ableitet.

Anonym, Pseudonym oder namentlich – bestehende Systeme sind zu überprüfen

Deutschland ist bisher der Aufforderung des Europarats vom 30.04.2014 zum Schutz von Whistleblowern im Wesentlichen nicht nachgekommen (Ausnahmen sind § 25 a KWG und nunmehr in gewissem Maße das Geschäftsgeheimnisgesetz). Dies wird sich mit der Umsetzung der EU-Richtlinie, die sehr weitgehende Schutzvorschriften enthält, grundsätzlich ändern.
 
Interessanterweise empfiehlt die Datenschutzkonferenz, abweichend von der EU-Richtlinie, die nur Vertraulichkeit fordert, Anonymität als Regelfall. Es bestehe regelmäßig keine Rechtsgrundlage zur Ermittlung der Identität des Hinweisgebers. Eine abweichende Einwilligung ist vom Arbeitgeber nachzuweisen, im Übrigen muss schon bei der Erstmeldung ein Hinweis auf die Folgen des Verzichts auf die Anonymität erfolgen (z. B. die Information des Beschuldigten über den Hinweisgeber binnen eines Monats nach Artikel 7 Abs. 2 DSGVO). Im Übrigen muss durch geeignete Maßnahmen ungeachtet einer freiwilligen Namensnennung Vertraulichkeit gewährleistet sein.

Information des Beschuldigten

Die Informationspflichten des Arbeitgebers ergeben sich aus den Artikeln 13 und 14 DSGVO. Praktisch relevant ist insbesondere Artikel 14 Abs. 5 lit. b DSGVO, wonach eine Information solange zurückgehalten werden kann, wie eine Gefahr der Beweisgefährdung besteht oder überwiegende Interessen eines Dritten vorgehen.
 
Im gleichen Rahmen eingeschränkt sind der Auskunftsanspruch und das Widerspruchsrechts eines Betroffenen über die zur eigenen Person gespeicherten Daten.
 
Eine Weitergabe von Daten an Dritte ist zwar grundsätzlich unzulässig, selbstverständlich können jedoch Strafverfolgungsbehörden oder andere zur Aufklärung berufene staatliche Stellen (z.B. Kartellamt) eingeschaltet werden.
 
Eine ständige Überprüfung der Aktualität, Richtigkeit und Vollständigkeit der erhaltenen Daten ist selbstverständlich. Die Datenschutzkonferenz geht von einer Speicherfrist von regelmäßig 2 Monaten nach Abschluss einer Untersuchung – vorbehaltlich andauernder Strafverfahren – aus. Als grundlos angesehene Meldungen sollten jedoch unverzüglich gelöscht werden. 

Sonstige zwingende Verpflichtungen

Nach Artikel 38 Abs. 1 DSGVO sind bei der Implementierung von Whistleblower Systemen die betrieblichen Datenschutzbeauftragten zwingend zu beteiligen. Überdies weist die Datenschutzkonferenz daraufhin, dass in jedem Fall eines Meldesystems eine Datenschutzfolgeabschätzung vorzunehmen ist.
 
Beauftragt der Arbeitgeber Dritte mit dem Betrieb des Hinweisgebersystems ist dieser regelmäßig als Auftragsverarbeiter im Sinne von Artikel 28 DSGVO anzusehen. Bei der Beteiligung ausländischer Stellen ist im besonderen Maße auf die Interessenabwägung und eine Datenschutzfolgenabschätzung zu achten. Dabei sieht die Datenschutzkonferenz ein konzernweites Meldesystem als durchaus vorteilhaft an, um das Missbrauchsrisiko einzuschränken.
 
Ablehnend sieht die Datenschutzkonferenz die Organisation der Hotline innerhalb des Personalbereichs. Hingewiesen wird überdies auf notwendige technische Schutzmaßnahmen wie ein Berechtigungskonzept, Verschlüsselungen und eine Passwortrichtlinie.
 
Selbstverständlich sind auch die zwingenden Mitbestimmungsrechte eines etwa vorhandenen Betriebsrats zu beachten.

Fazit

Die Orientierungshilfe der Datenschutzkonferenz enthält viele wichtige Hinweise zur Gestaltung von Whistleblower-Hotlines. Die Mehrzahl dieser Hinweise wird auch nach Umsetzung der EU-Richtlinie von Bedeutung sein, weil das entsprechende deutsche Gesetz nicht von der Datenschutzgrundverordnung abweichen darf.
 
Schon jetzt besteht Veranlassung bestehende Systeme auf Datenschutzkompatibilität zu überprüfen, da bei Verstößen Bußgelder und vor allem Schadensersatzansprüche Betroffener drohen.
 
Darüber hinaus werden richtlinienkompatible neue Systeme die Vorgaben der DSGVO beachten müssen.