auris - stock.adobe.com
Was der Datenschutz zum Schutz von Whistleblowern sagt
Whistleblower werden in der EU besonders geschützt. Dabei spielt der Datenschutz nach DSGVO eine zentrale Rolle. Unternehmen müssen das bei Hinweisgebersystemen berücksichtigen.
Beschäftigte in Unternehmen und Behörden nehmen Missstände oftmals als Erste wahr, so die Bundesregierung. Ihre Hinweise können dafür sorgen, dass Rechtsverstöße aufgedeckt, untersucht, verfolgt und unterbunden werden. Sie verdienen daher Schutz vor Benachteiligungen, die ihnen wegen ihrer Meldung drohen oder sie davon abschrecken können.
„Die EU legt großen Wert auf ein gut funktionierendes demokratisches System, das auf Rechtsstaatlichkeit beruht“, so die EU-Kommission. „Dazu gehört, dass Hinweisgeber, die den Mut haben, sich zu Wort zu melden, überall in der EU ein hohes Maß an Schutz erhalten. Niemand sollte Gefahr laufen, durch das Aufdecken von illegalem Verhalten sein Ansehen oder seinen Arbeitsplatz zu verlieren“.
Ein spezieller Hinweisgeberschutz in Deutschland und in der EU soll die sogenannten „Whistleblower“ besser schützen. Das Gesetz (Hinweisgeberschutzgesetz) ist in Deutschland am 2. Juli 2023 in Kraft getreten. Bundesjustizminister Dr. Marco Buschmann erklärte dazu: „Das neue Gesetz schützt aber auch Unternehmen und Behörden selbst. Durch frühzeitiges Einschreiten lassen sich Haftungsansprüche und Reputationsschäden vermeiden, die mit einer späteren externen Aufdeckung möglicherweise verbunden wären. Ein effektiver Hinweisgeberschutz kann so auch ein wesentlicher Baustein für ein gutes Compliance-System sein, das eine positive Fehlerkultur stärkt.“
Hinweisgeberschutz und Compliance gehören also zusammen. Doch welche Beziehung hat der Hinweisgeberschutz (HinSchG) und der Datenschutz (DSGVO)?
Beziehung zwischen Datenschutz und Whistleblowing
In den Leitlinien zu Beschränkungen nach Artikel 23 DSGVO (Beschränkungen) () erklärte der Europäische Datenschutzausschuss bereits 2010: „Es kann mit einer Gesetzgebungsmaßnahme vorgesehen werden, dass das Auskunftsrecht einer Person, gegen die eine Untersuchung oder eine disziplinarrechtliche Maßnahme eingeleitet wurde, beschränkt wird, wenn die Identität eines mutmaßlichen Opfers, Zeugen oder Hinweisgebers nicht offengelegt werden kann, um die betreffende Person vor Vergeltungsmaßnahmen zu schützen. Zudem kann das Auskunftsrecht des Opfers oder des Zeugen beschränkt werden, um die Rechte auf Privatsphäre und Datenschutz der Person zu wahren, die Gegenstand einer Untersuchung oder einer disziplinarrechtlichen Maßnahme ist“.
Es soll also insbesondere verhindert werden, dass Betroffenenrechte wie das Auskunftsrecht nach DSGVO dazu genutzt werden, um Hinweise auf einen konkreten Hinweisgeber zu erhalten, was die Anonymität der Whistleblower unterlaufen würde.
Der Europäische Datenschutzbeauftragte hat zudem dargelegt, in wie weit Whistleblowing die Datenschutzprinzipien betrifft. Insbesondere gilt entsprechend:
Vertraulichkeit: Die Informationen über den Hinweisgeber und die beschuldigte Person sollten mit äußerster Vertraulichkeit behandelt werden. Dies ist auch ein wichtiges Element, um die Mitarbeiter zu ermutigen, über jedes Fehlverhalten zu berichten.
Datenminimierung: Es ist wichtig, nicht mehr personenbezogene Daten als notwendig zu verarbeiten.
Aufbewahrungszeitraum: Die Berichte, die nicht zu einer Untersuchung führen, sollten nicht so lange aufbewahrt werden, wie die Berichte, in denen eine Untersuchung eingeleitet wurde.
Datensicherheit: Da die verarbeiteten Informationen sensibel sind und Lecks oder unbefugte Offenlegung sowohl für die Whistleblower als auch für die Beschuldigten nachteilige Folgen haben können, müssen die technischen und organisatorischen Maßnahmen, die zur Minderung der Risiken und zur Gewährleistung der Datensicherheit erforderlich sind, besonders gehandhabt werden.
Hinweisgebersystem und sensible Daten
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat im Dezember 2023 unter anderem Hinweise dazu gegeben, was bei der Verarbeitung von personenbezogenen Daten besonderer Kategorien im Rahmen eines Hinweisgebersystems zu beachten ist:
Artikel 9 DSGVO verbietet die Verarbeitung der dort aufgeführten besonderen Kategorien personenbezogener Daten. Daher muss für diese Daten nicht nur eine Rechtsgrundlage für die Verarbeitung, sondern zusätzlich eine Ausnahme von dem Verbot vorliegen. Nach HinSchG ist die Verarbeitung besonderer Kategorien personenbezogener Daten durch eine Meldestelle aber zulässig, wenn dies zur Erfüllung ihrer Aufgaben erforderlich ist.
Zwar sei aktuell ungeklärt, ob § 22 BDSG und die übrigen Regelungen des HinSchG, wie die Vertraulichkeit der Meldungen und Regelungen zu Löschungen, den Anforderungen an „angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person“ entsprechen, dies stehe der Anwendung der Norm bis zur Klärung der Frage jedoch nicht entgegen.
Es zeigt sich: Der Datenschutz verhindert oder behindert ein Hinweisgeberschutzsystem nicht, zudem höhlen zum Beispiel Auskunftsrechte nicht den Schutz der Whistleblower aus. Dennoch muss man darauf achten, dass auch in einem Hinweisgebersystem die Datenschutzprinzipien nach DSGVO zu beachten sind. Auch Whistleblowing und die Verarbeitung der Meldung müssen den Datenschutz wahren.