Dieser Beitrag soll zeigen, warum Sie Hinweisgeberschutz und Datenschutz immer zusammen denken müssen, wenn Sie planen ein Hinweisgeberschutzsystem einzuführen.
Whistleblowing hat immer auch etwas mit dem Schutz personenbezogener Daten, also Datenschutz, zu tun, denn es sind Menschen, die Hinweise geben, und über die, bzw. ihr Verhalten, Hinweise eingehen.
Die Hinweisgeber werden durch das Hinweisgeberschutzgesetz vor Repressalien, das bedeutet u.a. auch Konsequenzen und Nachteilen geschützt. Aber auch Beschuldigte werden geschützt, denn das Gesetz sieht vor, dass die Vertraulichkeit gewahrt bleibt und nur ein eingeschränkter Kreis an Personen die Hinweise erhält.
Datenschutzaufsichtsbehörden und Whistleblowing
Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, kurz DSK, hat im November 2018 die „Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines: Firmeninterne Warnsysteme und Beschäftigtendatenschutz“ veröffentlicht.
Die Orientierungshilfe können Sie hier herunterladen: https://www.datenschutzkonferenz-online.de/media/oh/20181114_oh_whistleblowing_hotlines.pdf
Seit der Veröffentlichung im November 2018 hat es die DSK nicht mehr für nötig erachtet die Orientierungshilfe zu überarbeiten. Da das bei anderen Orientierungshilfen regelmäßig geschieht, können Sie davon ausgehen, dass die DSK keinen Grund dafür sieht, dem bereits geschriebenen etwas hinzuzufügen, bzw. etwas daran zu ändern – zumindest so lange es in Deutschland kein Hinweisgeberschutzgesetz gibt.
„Die Orientierungshilfe zeigt den datenschutzrechtlichen Rahmen und Regelungsmöglichkeiten zu Whistleblowing-Hotlines auf. Sie soll es den Arbeitgebern und den Interessenvertretungen der Beschäftigten erleichtern, im Unternehmen klare Regelungen zum Umgang mit Whistleblowing-Hotlines zu erreichen.“
Zwar ist einleitend von Whistleblowing-Hotlines die Rede, jedoch nehmen wir an, dass es um jegliche Art von Meldung geht, da auch der Begriff Meldeverfahren genutzt wird.
In einem Jahresausblick für 2023 erwähnte der Präsident der bayerischen Aufsichtsbehörde für den nicht-öffentlichen Bereich (Bayerisches Landesamt für Datenschutzaufsicht) Michael Will, dass er empfiehlt die Orientierungshilfe noch einmal anzusehen, als es um die „Situation der Datenschutzbeauftragten“ in den Unternehmen und das Hinweisgeberschutzgesetz ging.
Warum Datenschutz bei Hinweisgebersystemen relevant ist
Für jegliche automatisierte und nichtautomatisierte Verarbeitung von Beschäftigtendaten sind die Datenschutz-Grundverordnung (DS-GVO) und § 26 Bundesdatenschutzgesetz (BDSG) in Verbindung mit Art. 88 DS-GVO anzuwenden.
Bei den Betroffenen Personen, jene, deren personenbezogene Daten verarbeitet werden, handelt es sich in der Regel um die Hinweisgeber, bzw. Whistleblower, aber auch beschuldigte Personen.
Vielleicht ahnen Sie schon, dass hier für betroffene ein hohes Risiko ausgeht – egal ob die Hinweise zutreffend sind, oder nicht.
Kurz: es findet eine Verarbeitung personenbezogener Daten statt. Damit sind die datenschutzrechtlichen Vorgaben zu erfüllen.
Anonyme Meldungen
Werden Hinweise im Hinweisgeberschutzsystem auch anonym entgegen genommen – möglicherweise wird das sogar eine gesetzliche Pflicht aus dem Hinweisgeberschutzgesetz – findet eigentlich keine Verarbeitung personenbezogener Daten statt.
ABER, je nachdem, wie die Meldung der hinweisgebenden Person angenommen wird, bzw. eintrifft, werden möglicherweise doch personenbezogene Daten verarbeitet.
Denken Sie dabei an die Meldung über ein Formular auf der Webseite, oder den Upload von Dokumenten: auch hier fallen personenbezogene Daten an, die dann wiederum anonymisiert werden müssen.
Sie erhalten personenbezogene Daten, anonymisieren diese jedoch schon möglichst frühzeitig, so dass Sie im weiteren Verlauf eben keine personenbezogenen Daten mehr nutzen.
datenschutzrechtliche Rechtsgrundlage
Personenbezogene Daten dürfen nur mit einer Rechtsgrundlage verarbeitet werden. Konkrete Erlaubnistatbestände finden Sie in Art. 6 Abs. 1 der DSGVO.
Generell muss eine spezifische Rechtsvorschrift die Verarbeitung erlauben, bzw. eine rechtliche Verpflichtung bestehen.
Auch Kollektivvereinbarungen nach Art. 88 DSGVO können eine Rechtsgrundlage sein.
Im Zweifel, oder wenn Sie nichts besseres haben, müssen Sie die Einwilligung des Hinweisgebers / der betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten einholen. Es gelten dazu die Vorgaben aus Art. 7 DSGVO.
Möglich können auch rechtliche Verpflichtungen sein, wenn Unternehmen beispielsweise im Bankensektor tätig sind, oder es Vorgaben zur Korruptionsbekämpfung gibt.
Das gilt für die meisten Unternehmen zumindest bis zu dem Zeitpunkt an dem es ein Hinweisgeberschutzgesetz in Deutschland gibt.
Auch scheint ein berechtigtes Interesse als datenschutzrechtliche Rechtsgrundlage möglich, jedoch dürfen dabei die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, nicht überwiegen. Das bedeutet, wird es kritisch oder gefährlich für die betroffene Person, kann ihr Interesse u.U. nicht mehr ausreichend begründet werden – das wäre das Ende der Rechtsgrundlage, und damit auch die Erlaubnis personenbezogene Daten von ihr zu verarbeiten. Angaben über Opfer oder belasteter Personen können evtl. nicht mehr weiter genutzt werden. Handelt es sich um Straftaten oder Gesetzesverstöße, wiegt das berechtigte Interesse des Unternehmens mehr so lange die datenschutzrechtlichen Vorgaben, z.B. Sicherheit der Verarbeitung erfüllt werden.
Für die Verarbeitung von personenbezogenen Daten in Zusammenhang mit dem Hinweisgeberschutzgesetz kommen laut DSK keine anderen Rechtsgrundlagen in Frage.
Besonderheiten im Beschäftigtendatenschutz
Nach § 26 BDSG (Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses) ist die Verarbeitung personenbezogener Daten nur dann erlaubt, wenn ein Verdacht besteht, dass eine beschäftigte Person im Beschäftigungsverhältnis eine Straftat begangen hat, und die Verarbeitung zur Aufklärung erforderlich und verhältnismäßig ist.
Das schutzwürdige Interesse der betroffenen Person darf nicht überwiegen.
Dabei müssen die Grundsätze der DSGVO eingehalten werden.
Betriebsvereinbarung
Es bietet sich an, die Verarbeitung personenbezogener Daten in einem solchen Fall in einer Betriebsvereinbarung zu regeln falls im Unternehmen ein Betriebsrat vorhanden ist. Dabei kann man näher auf die Erhebung und Details der Verarbeitung eingehen.
Warten Sie mit der Erstellung einer Betriebsvereinbarung bis ein deutsches Hinweisgeberschutzgesetz verabschiedet ist, denn daran werden Sie sich neben der DSGVO orientieren müssen.
Einwilligung
Die Freiwilligkeit von Einwilligungen wird im Beschäftigungsverhältnis immer kritisch gesehen (Machtgefälle AG – AN) weswegen die Rechtsgrundlage der Einwilligung bei der Meldung von Hinweisen von Beschäftigten schwierig ist.
Datenschutz Risiken und gemeldete Verstöße
Hinweisgeberschutzsysteme dienen unter dem Hinweisgeberschutzgesetz zur Meldung von Missständen und sind ein zusätzlicher Meldekanal für Beschäftigte, um auf Missstände und Fehlverhalten von Kollegen, Kunden, Lieferanten, usw. hinzuweisen. Ziel ist es für die Unternehmen, die Situation durch die Hinwiese frühzeitig zu erkennen und selbst zu handeln.
Hinweisgeberschutzkanäle sind kein Ersatz für bereits existierende Meldewege, sondern eine Ergänzung, bzw. eine zusätzliche Möglichkeit Verstöße in einem geschützten Rahmen zu melden.
auf welche Verstöße und Hinweise eingehen
Straftaten
- Betrug
- falsche Rechnungsstellung sowie interne Rechnungslegungskontrollen
- Wirtschaftsprüfungsdelikte
- Korruption
- Banken- und Finanzkriminalität
- Insidergeschäfte
Verstoß gegen Menschenrechte
- günstige Produktionsbedingungen im Ausland durch in Kauf genommene Kinderarbeit
- Umweltschädigung / -schutzverstöße
- Verstöße gegen das Allgemeinen Gleichbehandlungsgesetz (AGG)
Verstöße gegen unternehmensinterne Vorgaben
- Ethikregeln
Hinweisgeberschutzsystme datenschutzkonform gestalten
Die Vorgaben und Grundsätze der DSGVO müssen bei der Gestaltung von Hinweisgeberschutzsystemen eingehalten werden.
- Rechtmäßigkeit (s.o. mit vorhandener Rechtsgrundlage zur Verarbeitung)
- Treu und Glauben
- Transparenz (Information über die Zwecke der Verarbeitung)
- Zweckbindung (vorab festgelegte legitime Zwecke, Daten müssen zur Zweckerfüllung erforderlich sein)
- Datenminimierung (nicht mehr als zur Zweckerfüllung notwendig)
- Richtigkeit
- Speicherbegrenzung (Löschung sobald Zwecke / Aufbewahrungsvorgaben erfüllt sind)
- Integrität und Vertraulichkeit (Kenntnisnahme nur von Personen die Informationen zur Erfüllung Ihrer Aufgabe benötigen)
Hinweisgeberschutzsystem planen und einrichten
Da bei der Verarbeitung von eingegangen Hinweisen, z.B. Verstöße (s.o) Risiken für die Betroffenen (Hinweisgeber und Beschuldigte) entstehen (können), sollten Sie bei der Planung Ihres Hinweisgeberschutzsystems Verfahren und Prozesse festlegen, die es Ihnen erlauben rechtmäßig zu handeln, und gleichzeitig Hinweise zu prüfen nachdem Sie diese erhalten haben.
Das gilt schon im Vorfeld auch für die Zeit, aber der in Deutschland ein Hinweisgeberschutzgesetz in Kraft gesetzt und gültig ist.
Datenschutzbeauftragten einbindden
Binden Sie Ihren Datenschutzbeauftragten ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen ein.
Es wird Ihnen eine Menge an Zeit und Geld sparen das Hinweisgeberschutzsystem ordentlich zu planen.
Mehr dazu in Art. 38 Abs. 1 DSGVO oder in unserem Beitrag zur Stellung des Datenschutzbeauftragten.
Hohe Risiken für Whistleblower- Datenschutz-Folgenabschätzung
Immer dann wenn eine Verarbeitung für die Betroffenen (und deren Rechte und Freiheiten) ein voraussichtlich hohes Risiko bedeuten, muss der Verantwortliche VOR der Verarbeitung eine Datenschutz-Folgenabschätzung nach Art. 35 Abs. 1 DSGVO durchführen.
Nach der nachvollziehbaren Ansicht der DSK unterliegt
ein Verfahren zur Meldung von Missständen […] wegen des besonders hohen Risikos für die Rechte und Freiheiten natürlicher Personen einer Datenschutz-Folgenabschätzung.
Im Prozess der Erstellung einer Datenschutz-Folgenabschätzung für Ihr Hinweisgeberschutzsystem schätzen Sie die Folgen der geplanten Verarbeitung personenbezogener Daten mit ihrem Hinweisgeberschutzsystem ab. Gleichzeitig erarbeiten und dokumentieren Sie notwendige Schutzmaßnahmen für die Betroffenen.
technische und organisatorische Maßnahmen Ihres Hinweisgeberschutzsystems
Als Verantwortlicher sind Sie verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen.
Je nach Gestaltung des Hinweisgeberschutzgesetzes müssen Sie u.U. auch die Anonymität wahren, oder „nur“ vertraulich mit der Identität der betroffenen Person umgehen.
Orientieren Sie sich bei der Maßnahmenplanung (auch für die Datenschutz-Folgenabschätzung Ihres Hinweisgeberschutzsystems sinnvoll) an die Schutzbedarfsanforderungen personenbezogener Daten, bzw. Maßnahmen, die die Datensicherheit gewährleisten. Siehe dazu auch Art. 32 DSGVO.
Ganz vorne als Grundsatz steht die Vertraulichkeit. Geeignete Maßnahmen damit Sie die Vertraulichkeit sicherstellen können, sind Zugriffs- und Berechtigungseinschränkungen.
Im Grundsatz gilt hier das Need to Know Prinzip – so viel wie nötig um die Aufgabe zu erfüllen. Vermeiden Sie Interessenskonflikte.
Vergessen Sie darüber hinaus aber nicht die Wahrung der Integrität, denn Änderungen könnten schwerwiegende Folgen für Betroffene haben. Hier hilft eine Protokollierung.
Immer mit dabei ist auch die Verfügbarkeit, wobei es dabei eher um die sichere Aufbewahrung von Nachweisen, evtl.. zur Entlastung geht.
DSGVO Informationspflichten erfüllen – Betroffene informieren
Immer dann wenn personenbezogene Daten Betroffener erhoben werden, muss der Verantwortliche diese darüber informieren. Am besten halten Sie sich dabei an die Vorgaben der DSGVO aus Art. 13 DSGVO und nutzen als Basis ihr Verzeichnis von Verarbeitungstätigkeiten.
Eine Ausnahme der Informationspflichten besteht lediglich dann, wenn die betroffene Person bereits über die Informationen verfügt
Existieren Betriebsvereinbarungen über das Meldeverfahren und Regelungen zur Verarbeitung personenbezogener Daten, muss das Unternehmen diese so zur Verfügung zu stellen, dass alle Beschäftigten sich darüber informieren können.
Beschuldigte Personen informieren
Achtung Besonderheit nur ohne ein vorhandenes deutsches Hinweisgeberschutzgesetz!
Nach Art. 14 DSGVO müssen beschuldigte Betroffene über die Speicherung, die Art der Daten, die Zweckbestimmung der Verarbeitung, die Identität des Verantwortlichen und gegebenenfalls auch die des Hinweisgebers informiert werden.
Eine Ausnahme hiervon besteht lediglich, wenn die interne Untersuchung der Meldung mit der Nennung nicht mehr möglich wäre. Die Nennung ist lediglich Aufgeschoben, nicht aufgehoben.
Beschuldigten Personen Auskunft erteilen
Nach Art. 15 DSGVO haben Betroffene einen Auskunftsanspruch über die von Ihnen verarbeiteten personenbezogenen Daten.
Auch hier gibt es eine Ausnahme die vorsieht, dass die Auskunft nicht erteilt werden muss, wenn überwiegende berechtigte Interessen eines Dritten, beispielsweise des Hinweisgebers, geheim gehalten werden müssen.
Hinweisgeberschutzsysteme vom externen Dienstleister
Auch wenn externe Dienstleister ein Hinweisgeberschutzsystem als Ombudspersonen für ein Unternehmen betreuen, bleibt der Auftraggeber aus datenschutzrechtlicher Sicht dafür verantwortlich.
Es ist wahrscheinlich, dass es sich dabei um Auftragsverarbeitung handelt. Deshalb schließen Sie mit dem Dienstleister einen Auftragsverarbeitungsvertrag und vergessen Sie dabei die technischen und organisatorischen Maßnahmen nicht.
Diese Maßnahmen müssen für die hohen Anforderungen aus dem Hinweisgeberschutz geeignet sein.
Vorteile eines Hinweisgeberschutzsystems vom externen Dienstleister
Die DSK meint dazu
„Die Beauftragung einer externen Stelle außerhalb der Unternehmensorganisation (Konzernverbund) kann sich bei Beachtung der datenschutzrechtlichen Vorschriften im Übrigen als vorteilhaft erweisen, weil möglicherweise eine gewisse, das Missbrauchsrisiko verringernde Hemmschwelle entsteht.“
mögliche Interessenskonflikte
Die DSK meint dazu
„Bei interner Datenverarbeitung ist zu empfehlen, dass die Whistleblowing-Hotline nicht innerhalb der Personalverwaltung organisiert und betrieben wird.“
Generell sollte es Unbefugten nicht möglich sein die entsprechenden Systeme zu nutzen, bzw. auf die personenbezogenen Daten darin zuzugreifen.
Erstellen Sie hierfür ein konkretes Berechtigungskonzept. Es dient sowohl der Planung, als auch dem Nachweis.