Whistleblowerhotline und Datenschutz Teil 3

Autorin & Juristin Nicole Biermann-Wehmeyer

Whistleblowerhotline und Datenschutz

Integration der Whistleblower und Datenschutz

Mit der Bearbeitung von Meldungen zu Verstößen geht in der Regel auch die Verarbeitung personenbezogener Daten einher.

Die Anwendbarkeit der DSGVO und des BDSG ist auch bei der Implementierung der Whistleblowerhotline gegeben.

Es besteht ein erhöhter Compliance-Aufwand, da bei der Einrichtung der Whistleblower-Hotline oder entsprechender Online-Lösungen die datenschutzrechtlichen Anforderungen eingehalten werden müssen. Es handelt sich um die

Verarbeitung personenbezogener Daten. Somit ist eine Geltung der DSGVO und dem BDSG gegeben.

Wann ist ein Personenbezug der Daten gegeben?

Im Rahmen der Whistleblower-Hotline kann ein Personenbezug in mehreren Konstellationen gegeben sein.

Die Whistleblower-Richtlinie schreibt zum Datenschutz lediglich vor, dass die Verarbeitung personenbezogener Daten im Einklang mit der DSGVO erfolgen soll und fordert die Mitgliedstaaten pauschal auf, den Datenschutz zu gewährleisten.

Im Bereich der Whistleblower-Hotline finden spezielle Anforderungen aus DSGVO und BDSG zum Beschäftigungsverhältnis Anwendung.

Ein Weg für Unternehmen, zusätzliche datenschutzrechtliche Anforderungen zu verhindern, stellt die Anonymisierung von personenbezogenen Daten dar.

Werden im Rahmen des Meldesystems Daten grundsätzlich nur anonymisiert verarbeitet und liegt insofern gar kein Personenbezug vor, ist auch die DSGVO nicht anwendbar.

Faktisch werden die Meldungen jedoch zumeist personenbezogene Daten enthalten. Zunächst kann es um die Verarbeitung der Daten des Hinweisgebers selbst gehen, wenn er z.B. seinen Namen bei der Meldung eines Missstandes angibt oder für Rückfragen sogar angeben muss.

Kann der Hinweisgeber jedoch anonym handeln, dann liegt an dieser Stelle kein Personenbezug vor. Hier ist denkbar, dass das Hinweisgebersystem auf einem Formularsystem aufgebaut wird, in das der Hinweisgeber sein Anliegen eintragen kann ohne seinen Namen oder eine E-Mail-Adresse preiszugeben.

So wird sichergestellt, dass nicht über eine E-Mail-Adresse oder Telefonnumer ein Personenbezug hergestellt wird.

Personenbezogene Daten in der Sachverhaltsbeschreibung

Die Verarbeitung personenbezogener Daten kann außerdem in Bezug auf den Sachverhalt vorliegen, den der Hinweisgeber aufdecken möchte.

In der Sachverhaltsbeschreibung werden sich sehr häufig auch Namen oder andere personenbezogene Daten von anderen Personen wiederfinden, die mit dem Sachverhalt in Verbindung stehen oder die der Hinweisgeber offenlegen möchte. In diesen Fällen ergeben häufig anonymisierte Angaben keinen Sinn, da der Sachverhalt nicht effektiv aufgeklärt werden kann, wenn genauere Informationen zu weiteren Beteiligten fehlen.

Wie kann die Verarbeitung personenbezogener Daten zulässig werden?

Ist eine anonyme Ausgestaltung des Meldesystems nicht möglich, wird der Anwendungsbereich der DSGVO und BDSG eröffnet sein und die Verarbeitung der personenbezogenen Daten ist nur erlaubt, wenn eine Rechtfertigung dafür vorliegt.

Einwilligung des Hinweisgebers

Der Hinweisgeber kann eine Einwilligung dafür erteilen, dass sein Name, seine E-Mail-Adresse oder andere personenbezogene Daten verarbeitet werden. Es ist in diesem Fall eine freiwillige Einwilligung erforderlich.

Eine echte oder freie Wahl die Einwilligung zu erteilen oder sie zu verweigern muss bestehen.

Diesbezüglich gibt es im Beschäftigungsverhältnis in § 26 BDSG zusätzliche Kriterien, die zu beachten sind.

Eine Verarbeitung auf Grundlage des Arbeitsvertrags des Hinweisgebers oder der Person, deren Identität er preisgibt, ist unzulässig. Im Rahmen des Hinweisgebersystems ist der Arbeitsvertrag nicht direkt betroffen und die Datenverarbeitung ist zur Erfüllung des Arbeitsvertrags nicht notwendig.

Wann wird eine Datenverarbeitung ohne Einwilligung zulässig?

Allerdings kann eine Verarbeitung zulässig werden, wenn diese zur Meldung von Missständen erforderlich ist und durch die berechtigten Interessen des Unternehmens gerechtfertigt ist.

Solche Interessen können z.B. die Verhütung von Betrugsfällen im Unternehmen, die Aufdeckung oder Vermeidung von Korruption oder die Gewährleistung finanzieller Sicherheit des Unternehmens sein.

Diese Interessen müssen allerdings mit den Interessen der betroffenen Personen abgewogen werden, damit die Verarbeitung zulässig wird. Es handelt sich somit um eine Ermessensentscheidung und es ist eine Interessenabwägung vorzunehmen.

Die Interessen des Unternehmens werden insbesondere bei Verhaltensweisen der betroffenen Person überwiegen, die einen Straftatbestand erfüllen oder die gegen Menschenrechte und gewichtige Umweltbelange verstoßen.Bei der Meldung von Verstößen gegen interne Regeln ist jedoch gründlich abzuwägen und im Einzelfall zu entscheiden, wessen Interessen überwiegen.

Die Interessen des Unternehmens werden vermutlich nur dann ausreichen, wenn die internen Regeln, gegen die laut Hinweisgeber verstoßen wurde, der Vermeidung der „Katalogstraftaten“ dienen.

Verstöße gegen interne Regeln wie das Gebot der Freundlichkeit in der Kundenbetreuung werden die Verarbeitung personenbezogener Daten wohl nicht rechtfertigen.

Tipps zu den Maßnahmen im Rahmen der Compliance

Binden Sie bereits in die Onboarding Prozesse Compliance und Datenschutz Schulungen sowie eine Aufklärung zur Whistleblowerhotline mit ein.

Evaluieren Sie Ihr Compliance Management System durch regelmäßige Risikoanalysen und Anpassungen. Auch an dieser Stelle sollten die Ergebnisse der Whistleblowerhotline integriert werden.

Sorgen Sie für ein Handbuch, welches für jeden Mitarbeitenden zugänglich ist!

Veröffentlichen Sie regelmäßig Compliance Hinweise im Intranet!

Veranstalten Sie regelmäßige Schulungen und E-Learnings!

Ich stehe für Beratungen zur Verfügung.

Viel Erfolg!

