Für Unternehmen können interne Missstände und insbesondere Kriminalität innerhalb der eigenen Organisation bedrohliche Folgen haben. Um diesem Risiko entgegenzuwirken, ermöglichen immer mehr Unternehmen ihren Mitarbeitern, das Fehlverhalten von Kollegen über einen bestimmten Kanal (anonym) zu melden.
Die Einrichtung eines solchen Whistleblowing-Systems wirft jedoch verschiedene datenschutzrechtliche Fragen auf. Unter welchen Umständen können Arbeitgeber also ein Hinweisgebersystem etablieren und betreiben und gleichzeitig die Anforderungen der Datenschutz Grundverordnung (DSGVO) einhalten?
Datenschutz beim Whistleblowing im Unternehmen
Whistleblowing-Systeme sollen die regulären Informations- und Meldekanäle innerhalb eines Unternehmens ergänzen – wie beispielsweise den Betriebsrat, Qualitätskontrolle oder interne Auditoren, die eigens dafür bestimmt sind, auftretende Missstände zu erkennen und zu melden. Hinweisgeber-Systeme dienen vor allem der anonymen Meldung, wenn Mitarbeiter Konsequenzen befürchten. Die EU-Whistleblower-Richtlinie schreibt für Unternehmen mit 50 oder mehr Mitarbeitern deshalb Meldewege vor, die entsprechenden Schutz des Hinweisgebers gewährleisten.
Wie auch immer eine solches Whistleblowing-System aussieht – mit der Meldung von Verstößen gegen Verhaltenspflichten geht die Verarbeitung von personenbezogenen Daten einher. Betroffene Personen können die Hinweisgeber sein (bei nicht anonymer Meldung), vor allem aber die beschuldigten Mitarbeiter.
Bei der Verarbeitung von Beschäftigtendaten gilt, dass sowohl die automatisierte als auch nichtautomatisierte Verarbeitung in den Anwendungsbereich der DSGVO und des § 26 Bundesdatenschutzgesetz (BDSG) in Verbindung mit Art. 88 DSGVO fallen.
Bei der Beurteilung der datenschutzrechtlichen Zulässigkeit von Meldeverfahren unter Einsatz eines Hinweisgeber-Systems müssen Unternehmen einige Vorschriften der DSGVO berücksichtigen:
Erforderlichkeit des Hinweisgebersystems
Sofern für Unternehmen keine gesetzliche Verpflichtung zur Einrichtung eines Meldesystems vorliegt, ist die Planung und Einführung eines Whistleblowing-Systems am datenschutzrechtlichen Grundsatz der Erforderlichkeit auszurichten. Die Verantwortlichen müssen versuchen realistisch einzuschätzen, inwieweit das Unternehmen durch interne Missstände oder ggf. sogar durch kriminelle Aktivitäten bestimmten Gefahren ausgesetzt ist. Treten im Unternehmen immer wieder entsprechende Fälle durch Innentäter auf, kann ein Hinweisgebersystem ggf. zusätzliche nützliche Hinweise liefern.
Rechtmäßigkeit der Datenverarbeitung
Grundsätzlich gilt, dass die Verarbeitung personenbezogener Daten einer datenschutzrechtlichen Erlaubnis bedarf – also auch dann, wenn im Rahmen des Whistleblowing-Verfahrens Daten mit Personenbezug verarbeitet werden.
Da eine Einwilligung im Beschäftigtenverhältnis aufgrund der fehlenden Freiwilligkeit oftmals mit Problemen verbunden ist, empfiehlt sich als Rechtsgrundlage das berechtigte Interesse des Unternehmens an der Aufklärung und Vermeidung bestimmter Missstände im Unternehmen. Werden bei der Einrichtung und beim Betrieb des Hinweisgeber-Systems die hier näher dargestellten Datenschutzgrundsätze beachtet, wird man bei der Abwägung der Interessen des beschuldigten Mitarbeiters und der des Unternehmens in der Regel von einem überwiegenden Unternehmensinteresse ausgehen können.
Auch eine rechtliche Verpflichtung zur Einrichtung eines Hinweisgeber-Systeme kann als Rechtsgrundlage in Frage kommen. Diese ergibt sich derzeit z.B. für den Bankensektor aus § 25a Abs. 1 Satz 6 Nr. 3 Gesetz über das Kreditwesen (KWG). Auch im Zusammenhang mit der Korruptionsbekämpfung bestehen rechtliche Verpflichtungen zur Einrichtung von verstärkten Kontrollmechanismen. Sobald die EU-Whistleblower-Richtlinie in deutsches Recht implementiert ist, ergibt sich solch eine rechtliche Verpflichtung für alle Unternehmen mit 50 oder mehr Arbeitnehmern (siehe dazu unser Artikel zum Hinweisgeberschutzgesetz).
Auch Kollektivvereinbarungen wie Tarifverträge und Betriebsvereinbarungen können Grundlage für die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis sein. Aber auch bei der Abfassung solcher Vereinbarungen sind die Bestimmungen der DSGVO zu beachten.
Prinzip der Datensparsamkeit und der Datenminimierung
(Zusätzliche) Informationen, die für den beschriebenen Zweck des Hinweisgeber-Systems nicht erheblich sind, dürfen auch nicht gespeichert werden. Für die im Zusammenhang mit dem Verfahren erhobenen Personendaten sind zudem Speicherfristen festzulegen und sicherzustellen, dass diese genau eingehalten werden. Schließlich sind personenbezogene Daten zu löschen, sobald ihr vorgesehener Zweck erfüllt ist.
Transparenz 1: allgemeine Information der Mitarbeiter über das Verfahren
Die Mitarbeiter sollten (z. B. in einer entsprechenden Richtlinie) über folgende Punkte aufgeklärt werden:
- Die Notwendigkeit des Verfahrens: Welche Fälle von kriminellen Handlungen sind in der Vergangenheit vorgekommen? was bedeutet das für das Unternehmen (d. h. welche Risiken bzw. Schäden sind ggf. aufgetreten)?
- Der Anwendungsbereich: Welche Fälle sollen über das Verfahren erfasst werden und welche nicht? Erläutern Sie die verschiedenen Gruppen von Strafbeständen, die eingedämmt werden sollen, möglichst genau: Welchen Einfluss hat Industriespionage auf das Unternehmen? Welche Formen von Betrug oder Finanzkriminalität stellen ein Risiko für das Unternehmen dar?
- Das Verfahren selbst: Wie genau funktioniert das Verfahren? Was passiert mit den dabei erhobenen Daten? Wie werden die Daten angemessen geschützt? Wie kann ein Missbrauch des Verfahrens vermieden werden? Welche Möglichkeit hat ein Betroffener, zu Vorwürfen Stellung zu nehmen? Welche Konsequenzen hat eine Meldung? Wer ist am Verfahren zu beteiligen?
Transparenz 2: konkrete Information der an einem bestimmten Verfahren beteiligten Personen
Darüber hinaus fordert das Datenschutzrecht in Art. 13 und Art. 14 DSGVO bestimmte Informationen zum Umgang mit personenbezogenen Daten. Diese sind im Rahmen der Aufklärung der Betroffenen über das Hinweisgeber-System ebenfalls angemessen zu berücksichtigen.
- Soweit ein anonymes Hinweisgeber-System eingeführt wird, entfällt die Informationspflicht nach Art. 13 DSGVO gegenüber dem Hinweisgeber, da keine personenbezogenen Daten von ihm verarbeitet werden.
- Ansonsten ist er umfassend über die in Art. 13 DSGVO enthaltenen Punkte (z.B. Verantwortlicher, Zweck der Verarbeitung und mögliche Empfänger der Daten) zu informieren.
- Der Beschuldigte ist nach Art. 14 DSGVO grundsätzlich zu informieren – die Verarbeitung seiner personenbezogenen Daten ist ja gerade der Kern des Verfahrens. Die Information des Beschuldigten hat spätestens einen Monat nach Erhalt der Daten zu erfolgen – dies gilt allerdings nicht, wenn durch die Information die Aufklärung der gemeldeten Tat gefährdet werden könnte. In diesem Fall kann die Information bis zum Abschluss der Ermittlungen aufgeschoben werden.
Achtung: Die Information muss in „klarer, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zur Verfügung gestellt werden.
Weitere datenschutzrechtliche Aspekte
Des Weiteren sollten Sie beim unternehmensinternen Whistleblowing folgende Punkte beachten:
- Der Datenschutzbeauftragte sollte frühzeitig in die Planung und Implementierung des Systems einbezogen werden.
- Der Datenschutzbeauftragte sollte auch prüfen, ob für die Einführung des Systems eine Datenschutzfolgenabschätzung (DSFA) nötig ist und diese ggf. dokumentiert durchführen.
- Wird das Whistleblowing-Verfahren im Rahmen einer Auftragsverarbeitung über einen externen Dienstleister durchgeführt, ist ein Vertrag zur Verarbeitung im Auftrag notwendig. Dabei sollten Sie beachten, dass wenn Sie schützenswerte Daten durch einen externen Dienstleister verarbeiten lassen, Sie selbst für den Schutz dieser Daten verantwortlich bleiben. Sie sind dann auch dazu verpflichtet, zu kontrollieren, dass der Auftragnehmer die gesetzlichen Anforderungen an den Datenschutz erfüllt. Etwas anderes gilt nur dann, wenn der Dienstleister selbst einer gesetzlichen Vertraulichkeitsverpflichtung unterliegt (wie z.B. ein Rechtsanwalt).
Datensicherheit beim Whistleblowing im Unternehmen
Bei der Einrichtung eines Whistleblowing-Systems muss sichergesellt sein, dass das Verfahren den Anforderungen der DSGVO in Sachen Datensicherheit entspricht. Die entsprechenden technischen und organisatorischen Maßnahmen sollten dokumentiert werden und es ist sicherzustellen, dass die Mitarbeiter diese Maßnahmen kennen und auch beachten.
- Technische Maßnahmen beinhalten beispielsweise die Sicherstellung eines zuverlässigen Schutzes der gespeicherten Daten vor unbefugtem Zugriff mittels Pseudonymisierung oder Verschlüsselung der Daten.
- In organisatorischer Hinsicht empfehlen sich Regelungen zur Rechtevergabe sowie zur fristgerechten vollständigen Löschung der Daten, die wiederum technisch überwacht und/oder durchgesetzt werden sollten.
Fazit: Datenschutz beim Whistleblowing ist kein Hexenwerk
In der Gesamtschau gelten für Hinweisgebersysteme in Unternehmen vergleichbare Datenschutzvorgaben, wie bei anderen Verarbeitungen personenbezogener Daten von Beschäftigten. Unternehmen, die hier bereits DSGVO-konform arbeiten, sollten bei Errichtung und Betrieb eines Hinweisgeber-Systems keine Probleme haben.
