Datenschutz und Whistleblowing
Im Juni 2023 wurde nach langem gesetzgeberischem Tauziehen das Hinweisgeberschutzgesetz (HinSchG) als Umsetzung der europäischen Whistleblowing-Richtlinie verabschiedet. Unternehmen mit mindestens 50 Mitarbeitenden müssen nunmehr insbesondere interne Meldestellen einrichten und eingegangenen Hinweisen entsprechend nachgehen. Dabei stellen sich viele Fragen an der Schnittstelle zum Schutz personenbezogener Daten sowohl des Hinweisgebers als auch der in einem Hinweis genannten Personen.
Wenn Unternehmen Hinweise über ihr Whistleblowing-System oder auf andere Weise erhalten, verarbeiten sie in der Regel eine ganze Reihe noch dazu häufig besonders sensibler Informationen über Personen: Dabei kann es sich um Informationen über den Whistleblower selbst handeln, außerdem über eine Person, deren Fehlverhalten gemeldet wird sowie über sämtliche andere Personen, die im Hinweis genannt werden. Auch mittelbar ableitbare Informationen reichen insoweit aus (etwa Berichte über einen gemeinsamen Geschäftstermin, deren Teilnehmende für den Arbeitgeber leicht herauszufinden sind, auch wenn im Hinweis selbst keine Namen genannt werden).
Unternehmen müssen bei ihrer Organisation und der Bearbeitung eingegangener Hinweise neben den Regelungen aus dem HinSchG (und ggf. entsprechenden Umsetzungsgesetzen in anderen EU-Mitgliedstaaten) entsprechend auch stets datenschutzrechtliche Anforderungen mitdenken, insbesondere aus der DSGVO.
Als praktisch besonders relevant haben sich dabei insbesondere folgende Themen erwiesen:
- Inhalt von Meldungen: Wenn ein Whistleblower behauptet, das Unternehmen habe selbst einen materiellen Datenschutzverstoß begangen, so muss das Unternehmen diesen Hinweis entgegennehmen und entsprechend der konkretisierenden Bestimmungen aus dem Hinweisgeberrecht investigativ tätig werden.
- Einbindung von Dienstleistern: Wenn ein Dienstleister (z.B. ein Ombudsmann oder ein Anbieter von Hinweisgebersystemen) beauftragt wird, muss in der Regel ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit diesem geschlossen werden.
- Struktur im Konzern: Wenn eingegangene Hinweise mehrere Konzerngesellschaften betreffen oder eine Gesellschaft die zentrale Anlaufstelle für den Konzern bilden soll, müssen diese Verhältnisse vertraglich abgebildet werden. Dies gilt auch für datenschutzrechtliche Inhalte.
- Zugriffsrechte: Idealerweise vor der Inbetriebnahme des Systems sollte geklärt werden, welche Personen/Abteilungen/Management-Stufen in welchem Detailgrad Zugriff auf Hinweise und den Stand der Ermittlungen bekommen sollen. Hierfür bietet sich der Aufbau einer Matrix nach dem Need-to-know-Prinzip an.
- Informationspflichten: Sämtliche Personen, deren Daten Gegenstand eines Hinweises oder daraus folgender Ermittlungen sein können, müssen vorab abstrakt über den Umgang mit diesen Daten informiert werden. Dies ist durchaus herausfordernd, da es nicht nur um eigene Mitarbeitende, sondern potentiell auch um sonstige Personen geht. Dabei stellt sich zudem die Frage, ob angeschuldigte Personen im Nachgang konkret über die Anschuldigungen und den Verfahrensgang informiert werden müssen.
- Umgang mit Betroffenenrechten: Insbesondere die eines Fehlverhaltens beschuldigte Person hat – sofern sie überhaupt von dem Hinweis erfährt – häufig ein gesteigertes Interesse daran, herauszufinden, wer sie welchen Verhaltens bezichtigt hat. Hier müssen Unternehmen neben der Wahrung der Rechte dieser Person auch die Rechte des Hinweisgebers achten. Zudem versuchen sie sinnvollerweise, den Betriebsfrieden bestmöglich zu wahren. Dieses Gleichgewicht zu wahren, ist durchaus herausfordernd.
- Anonymität des Whistleblowers: Vorsichtig sollte man damit sein, dem Hinweisgeber Anonymität zuzusichern. So mag es insbesondere bei strafrechtlich relevantem Verhalten vorkommen, dass die Staatsanwaltschaft mit ihren speziellen Ermittlungsbefugnissen die Identität des Hinweisgebers lüftet, auch wenn dies durch das Unternehmen unbeabsichtigt ist. Zudem sollte die technische Einbindung des Hinweisgeber-Systems darauf überprüft werden, ob etwa die IT doch in der Lage wäre, den Mitarbeitenden hinter einem eingegangenen Hinweis zu identifizieren.
- Löschpflichten: Wie zu sämtlichen personenbezogenen Daten muss auch im Hinblick auf die hier relevanten gewonnenen Informationen im Vorhinein festgelegt werden, wann diese zu löschen oder zu anonymisieren sind. Hierfür bedarf es eines Löschkonzepts, wobei sich das datenschutzrechtliche Prinzip der Speicherbegrenzung in einem Spannungsfeld mit den Dokumentationspflichten aus dem Hinweisgeberschutzgesetz befindet. Gerade die Anonymisierung als eigentlich präferiertes Mittel der Wahl zur Erreichung eines rechtskonformen Zustands weist dabei einige Fallstricke auf. Je nach Inhalt der eingegangenen Meldung wird sich die Lage häufig so darstellen, dass aus dem Zusammenhang der geschilderten Ereignisse auch nach Entfernung aller Namen noch Rückschlüsse auf die Identität der Beteiligten möglich sind. Die Anonymisierung von Hinweisen und dokumentierter Investigation ist entsprechend herausfordernd.
Bei der Gestaltung eines Hinweisgebersystems ist es auch angesichts der geschilderten Problemfelder sehr empfehlenswert, neben weiteren Rechtsgebieten (insbesondere dem Arbeitsrecht, etwa im Hinblick auf den Abschluss von Betriebsvereinbarungen) schwerpunktmäßig auch die Einhaltung des Datenschutzrechts zu berücksichtigen. Entsprechend sollten die dabei relevanten Akteure wie Datenschutzbeauftragte und externe Rechtsanwälte (natürlich unbedingt von Osborne Clarke 😉) frühzeitig involviert werden.
Datenschutztage 2024
Weitere Informationen rund um das Thema Datenschutz und Whistleblowing gibt es am zweiten Kongress-Tag der Datenschutztage 2024 im informativen Vortrag „Datenschutz und Whistleblowing – Auswirkungen des Hinweisgeberschutzgesetzes“ von Dr. Till Gerhardt.
Zum Programm
Dr. Till Gerhardt
Dr. Till Gerhardt hat an der Universität Hamburg im Europäischen Privatrecht promoviert. Nach seinem Referendariat in Hamburg, Berlin und Madrid arbeitete er zunächst als Rechtsanwalt bei der Kanzlei Hogan Lovells. Seit April 2017 ist er im Datenschutz-Team von Flemming Moos und Jens Schefzig am Hamburger Standort von Osborne Clarke als Rechtsanwalt tätig.