Datenschutz beim Whistleblowing im Unternehmen

Für Unternehmen können interne Missstände, insbesondere Kriminalität innerhalb der Organisation bedrohliche Folgen haben. Um diesem Risiko entgegenzuwirken, ermöglichen manche Unternehmen ihren Mitarbeitern, das Fehlverhalten von Kollegen über einen bestimmten Kanal (anonym) zu melden. Die Einrichtung eines solchen Whistleblowing-Systems wirft jedoch verschiedene datenschutzrechtliche Fragen auf. Unter welchen Umständen Arbeitgeber ein Hinweisgebersystem etablieren und betreiben können, erläutern wir Ihnen in diesem Ratgeber.

Datenschutz und Whistleblowing im Unternehmen

Whistleblowing-Systeme sollen die regulären Informations- und Meldekanäle innerhalb eines Unternehmens ergänzen – wie beispielsweise den Betriebsrat, Qualitätskontrolle oder interne Auditoren, die eigens dafür bestimmt sind, auftretende Missstände zu erkennen und zu melden.

Aus Sicht des Datenschutzrechts und insbesondere der Datenschutz-Grundverordnung (DSGVO) hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) eine Orientierungshilfe zu Whistleblowing-Hotlines veröffentlicht (PDF, Stand: 14. November 2018). Daraus ergeben sich einige grundsätzliche Hinweise zur Einrichtung eines solchen Hinweisgebersystems.

Wichtig ist es zunächst, die Planung und Einführung eines Whistleblowing-Systems am datenschutzrechtlichen Grundsatz der Erforderlichkeit auszurichten. Versuchen Sie realistisch einzuschätzen, inwieweit Ihr Unternehmen durch interne Missstände oder ggf. sogar durch kriminelle Aktivitäten bestimmten Gefahren ausgesetzt ist. Treten im Unternehmen immer wieder entsprechende Fälle durch Innentäter auf, kann ein Hinweisgebersystem ggf. zusätzliche nützliche Hinweise liefern.

Ausgerichtet an den konkreten Bedürfnissen im Unternehmen sollten die Fälle festgelegt werden, für die das Whistleblowing System verwendet werden soll. So kann das System zur Meldung folgender Verstöße eingesetzt werden:

  • Straftaten
  • Verstöße gegen Menschenrechte
  • Verstöße gegen unternehmensinterne Ethikregeln

Darüber hinaus sollte – orientiert am Erforderlichkeitsgrundsatz – festgelegt werden, welche Personengruppen

  • das Verfahren nutzen dürfen und
  • über das Verfahren gegenüber der Geschäftsleitung überhaupt angezeigt werden können.

Nicht relevante Personenkreise sollen ausdrücklich von dem Verfahren ausgeschlossen werden.

Schließlich stellt sich auch die Frage, ob die Hinweise anonym erfolgen oder ob die Identität des Hinweisgebers offenbart werden sollte. Die Datenschutzkonferenz empfiehlt die Einrichtung eines anonymen Hinweisgebersystems. Zwar berge dies die Gefahr des Missbrauchs, insbesondere der Denunziation unschuldiger Mitarbeiter, weil der Hinweisgeber hier letztlich unbekannt bleibt. Andererseits würden so aber ggf. auch Personen zur Abgabe von Hinweisen animiert, die ansonsten von einer Meldung Abstand genommen hätten. Zudem fehlt es nach Ansicht der Datenschutzkonferenz an einer wirksamen Rechtsgrundlage für die Verarbeitung der Daten des Hinweisgebers.

Lediglich dann, wenn der Hinweisgeber

  • seine Identität bewusst offenlegen möchte,
  • darauf hingewiesen wird, dass seine Identität während des gesamten Verfahrens vertraulich behandelt werden wird, außerdem aber auch
  • darüber in Kenntnis gesetzt ist, dass der Beschuldigte grundsätzlich innerhalb eines Monats nach Erhalt der Meldung informiert werden muss,

ist die Verarbeitung seiner Personendaten – auf Basis einer informierten Einwilligung – denkbar.

Grundsätzlich gilt, dass die Verarbeitung personenbezogener Daten einer datenschutzrechtlichen Erlaubnis bedarf – also auch dann, wenn im Rahmen des Whistleblowing-Verfahrens Daten mit Personenbezug verarbeitet werden.

Da eine Einwilligung im Beschäftigtenverhältnis aufgrund der fehlenden Freiwilligkeit oftmals mit Problemen verbunden ist, empfiehlt sich (abgesehen von der oben beschriebenen Ausnahme in Bezug auf den Hinweisgeber) als Rechtsgrundlage das berechtigte Interesse des Unternehmens an der Aufklärung und Vermeidung bestimmter Missstände im Unternehmen. Werden bei der Einrichtung und beim Betrieb des Hinweisgebersystems die hier näher dargestellten Grundsätze beachtet, wird man bei der Abwägung der Interessen des beschuldigten Mitarbeiters und der des Unternehmens in der Regel von einem überwiegenden Unternehmensinteresse ausgehen können.

Beachtet werden sollte jedoch, dass die beschriebene Rechtsgrundlage aus Sicht der Datenschutzkonferenz nicht bei Verstößen gegen interne Verhaltensrichtlinien Verwendung finden kann! Alternativ kommt der Abschluss einer Betriebsvereinbarung als Rechtsgrundlage in Frage.

Zu den – neben einer ausreichenden Rechtsgrundlage – zu beachtenden Datenschutzgrundsätzen zählen in diesem Zusammenhang insbesondere auch das Prinzip der Datensparsamkeit und der Datenminimierung:

  • (Zusätzliche) Informationen, die für den beschriebenen Zweck des Hinweisgebersystems nicht erheblich sind, dürfen auch nicht gespeichert werden.
  • Für die im Zusammenhang mit dem Verfahren erhobenen Personendaten sind zudem Speicherfristen festzulegen und sicherzustellen, dass diese genau eingehalten werden.
  • Personenbezogene Daten sind zu löschen, sobald ihr vorgesehener Zweck erfüllt ist.

Aufklärung aller Beteiligten von Anfang an

Die Akzeptanz und Kooperation der Mitarbeiter ist die essenzielle Grundvoraussetzung, damit ein Whistleblowing-Verfahren überhaupt funktionieren kann. Durch eine frühzeitige und umfassende Aufklärung über das Verfahren und die wichtigen Gründe dazu, kann vermieden werden, dass sich die Unternehmensangehörigen unter einen Generalverdacht gestellt fühlen.

Allgemeine Information der Mitarbeiter über das Verfahren

Die Mitarbeiter sollten (z. B. in einer entsprechenden Richtlinie) über folgende Punkte aufgeklärt werden:

  • Die Notwendigkeit des Verfahrens: Welche Fälle von kriminellen Handlungen sind in der Vergangenheit vorgekommen, was bedeutet das für das Unternehmen (d. h. welche Risiken bzw. Schäden sind ggf. aufgetreten)?
  • Der Anwendungsbereich: Welche Fälle sollen über das Verfahren erfasst werden und welche nicht? Erläutern Sie die verschiedenen Gruppen von Strafbeständen, die eingedämmt werden sollen, möglichst genau: Welchen Einfluss hat Industriespionage auf das Unternehmen? Welche Formen von Betrug oder Finanzkriminalität stellen ein Risiko für das Unternehmen dar?
  • Das Verfahren selbst: Wie genau funktioniert das Verfahren? Was passiert mit den dabei erhobenen Daten? Wie werden die Daten angemessen geschützt? Wie kann ein Missbrauch des Verfahrens vermieden werden? Welche Möglichkeit hat ein Betroffener, zu Vorwürfen Stellung zu nehmen? Welche Konsequenzen hat eine Meldung? Wer ist am Verfahren zu beteiligen?

Konkrete Information der an einem bestimmten Verfahren beteiligten Personen

Darüber hinaus stellt das Datenschutzrecht in Art. 13 und 14 DSGVO bestimmte Anforderungen in Bezug auf die Information zum Umgang mit personenbezogenen Daten auf. Diese sind im Rahmen der Aufklärung der Betroffenen über das Whisteblowing-System ebenfalls angemessen zu berücksichtigen. Soweit ein anonymes Hinweisgeber-System eingeführt wird, entfällt die Informationspflicht nach Art. 13 DSGVO gegenüber dem Hinweisgeber, da keine personenbezogenen Daten von ihm verarbeitet werden. Ansonsten ist er umfassend über die in Art. 13 DSGVO enthaltenen Punkte (z.B. Verantwortlicher, Zweck der Verarbeitung und mögliche Empfänger der Daten) zu informieren.

Der Beschuldigte ist nach Art. 14 DSGVO grundsätzlich zu informieren – die Verarbeitung seiner personenbezogenen Daten ist ja gerade der Kern des Verfahrens. Die Information des Beschuldigten hat spätestens einen Monat nach Erhalt der Daten zu erfolgen – dies gilt allerdings nicht, wenn durch die Information die Aufklärung der gemeldeten Tat gefährdet werden könnte. In diesem Fall kann die Information bis zum Abschluss der Ermittlungen aufgeschoben werden.

Achtung: Die Information muss in „klarer, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zur Verfügung gestellt werden.

Datensicherheit beim Whistleblowing im Unternehmen

Bei der Einrichtung eines Whistleblowing-Systems muss sichergesellt sein, dass das Verfahren den Anforderungen der DSGVO in Sachen Datensicherheit entspricht. Die entsprechenden technischen und organisatorischen Maßnahmen sollten dokumentiert werden und es ist sicherzustellen, dass die Mitarbeiter diese Maßnahmen kennen und auch beachten.

Technische Maßnahmen beinhalten beispielsweise die Sicherstellung eines zuverlässigen Schutzes der gespeicherten Daten vor unbefugtem Zugriff durch eine Pseudonymisierung oder Verschlüsselung der Daten. In organisatorischer Hinsicht empfehlen sich Regelungen zur Rechtevergabe sowie zur fristgerechten vollständigen Löschung der Daten, die wiederum technisch überwacht und/oder durchgesetzt werden sollten.

Was Sie beim unternehmensinternen Whistleblowing noch beachten sollten

  • Bei der Einführung von Whistleblowing-Systemen sind die Mitbestimmungsrechte des Betriebsrats zu beachten.
  • Der Datenschutzbeauftragte sollte frühzeitig in die Planung und Implementierung des Systems einbezogen werden.
  • Der Datenschutzbeauftragte sollte auch prüfen, ob für die Einführung des Systems eine Datenschutzfolgenabschätzung nötig ist und diese ggf. dokumentiert durchführen.
  • Verhinderung von Missbrauch: Zwar kann ein Whistleblowing-System zur Aufklärung und Eindämmung krimineller Handlungen im Unternehmen einen essenziellen Beitrag leisten. Andererseits birgt ein solches System aber auch bestimmte Risiken. So können Kollegen sich dazu animieren fühlen, sich gegenseitig zu überwachen. Gleichzeitig besteht die Gefahr falscher Meldungen.
  • Das Unternehmen muss daher klarstellen, dass nicht jede noch so geringfügige oder lediglich vermutete Unregelmäßigkeit gemeldet werden soll und kein Interesse an unkonkreten oder gar falschen Beschuldigungen besteht.
  • Wird das Verfahren im Rahmen einer Auftragsverarbeitung über einen externen Dienstleister durchgeführt, ist ein Vertrag zur Verarbeitung im Auftrag Wenn Sie schützenswerte Daten durch einen externen Dienstleister verarbeiten lassen, bleiben Sie selbst für den Schutz dieser Daten verantwortlich. Sie sind dann auch dazu verpflichtet, zu kontrollieren, dass der Auftragnehmer die gesetzlichen Anforderungen an den Datenschutz erfüllt. Etwas anderes gilt dann, wenn der Dienstleister selbst einer gesetzlichen Vertraulichkeitsverpflichtung unterliegt (wie z.B. ein Rechsanwalt).

Dieser aktualisierte Artikel erschien zuerst am 27. September 2012.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Verbandsklagerecht im Datenschutz: eine zunehmende Gefahr für datenverarbeitende Unternehmen

Gegen Datenschutzverstöße, die einen kommerziellen Bezug haben, können in Deutschland nach dem Unterlassungsklagegesetz (UKlaG) bereits seit Februar 2016 auch Verbraucherverbände juristisch vorgehen. Die EU-Datenschutz-Grundverordnung (DSGVO) sieht seit Mai 2018 vor, dass neben den einzelnen Betroffenen auch „Einrichtungen, Organisationen oder Vereinigungen ohne Gewinnerzielungsabsicht“ umfassende Befugnisse hinsichtlich der Geltendmachung von Datenschutzverstößen haben. Dieser Beitrag beleuchtet, worauf sich Unternehmen aufgrund der Möglichkeit zur Verbandsklage sowie der Regelungen der DSGVO einstellen sollten, um teure Abmahn- und Prozesskosten möglichst zu vermeiden.

Angreifbarkeit von Datenschutzverstößen durch „Einrichtungen, Organisationen oder Vereinigungen“

Lange Zeit waren für den Schutz der Rechte des Betroffenen ausschließlich dieser selbst und die jeweilige Datenschutzbehörde zuständig. Auf die Unterstützung schlagkräftiger Verbraucherverbände konnte der Betroffene in der Regel nicht setzen. Denn diese konnten ausschließlich gegen Wettbewerbsverstöße vorgehen – zum Beispiel gegen eine irreführende Werbung. Der deutsche Gesetzgeber hatte diese Durchsetzungslücke erkannt und bereits im Jahr 2016 durch eine Änderung des Unterlassungsklagegesetzes ein (begrenztes) Verbandsklagerecht eingeführt.

Auch der europäische Gesetzgeber hat im Bereich der Durchsetzung des Datenschutzrechts ein Vollzugsdefizit festgestellt, das unter anderem auf die schlechte personelle und materielle Ausstattung der Aufsichtsbehörden zurückzuführen war.

Durch die Aufnahme des Art. 80 in die DSGVO soll der kollektive Rechtsschutz im Datenschutzrecht gestärkt und ausgebaut sowie das u.a. auch von Verbraucherschutzverbänden kritisierte Vollzugsdefizit (bei den auch verbraucherschützenden Vorschriften des Datenschutzrechts) beseitigt werden.

Einführung eines Vertretungsrechts (inkl. Verbandsklagerecht bei Datenschutzverstößen) nach DSGVO

In welchen Fällen dürfen Betroffene durch eine Einrichtung, Organisation oder Vereinigung vertreten werden?

Art. 80 DSGVO sieht zwei Möglichkeiten vor, wie der Vertreter (dies kann eine Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht sein) „aktiv“ werden kann:

  1. Er kann entweder von dem Betroffenen explizit beauftragt werden, in dessen Namen bestimmte Rechte geltend zu machen bzw. die Rechte vom Betroffenen überlassen bekommen haben (Absatz 1).
  2. Nach Absatz 2 kann der „Vertreter“ auch ohne Beauftragung bei einer Verletzung der Rechte eines Betroffenen diese Rechte gegenüber der Aufsichtsbehörde oder vor Gericht geltend machen.

Welche Rechte können von dem Vertreter geltend gemacht werden?

Der Vertreter kann grundsätzlich bei sämtlichen Datenschutzverletzungen eine Beschwerde bei der zuständigen Aufsichtsbehörde oder einen gerichtlichen Rechtsbehelf einlegen. Im Fall der Beauftragung durch den Betroffenen (Abs. 1) kann der Vertreter darüber hinaus auch Schadensersatz im Namen des Betroffenen fordern.

Können sich Einrichtungen, Organisationen oder Vereinigungen in Deutschland seit Mai 2018 auf Artikel 80 DSGVO berufen?

Nein, die DSGVO sieht vor, dass die Rechte zunächst in den Mitgliedstaaten umgesetzt werden müssen. Der deutsche Gesetzgeber hat bisher mit den seit 2016 geltenden Änderungen des Unterlassungsklagegesetzes allenfalls einen Teil hiervon umgesetzt. Das Klagerecht ist im Vergleich zu Artikel 80 DSGVO deutlich abgeschwächt, insbesondere da nach deutschem Recht

  • nur bestimmte Verbände klagen dürfen,
  • nur bestimmte Datenverarbeitungen angegriffen werden können,
  • kein umfassendes Klage- und Beschwerderecht besteht (siehe unten).

Es bleibt abzuwarten, ob der deutsche Gesetzgeber von seinem Recht Gebrauch macht, das Verbandsklagerecht auf Basis der DSGVO-Bestimmungen deutlich zu erweitern und zu stärken. Mit der Möglichkeit sollte zumindest gerechnet werden.

Verbandsklagerecht bei Datenschutzverstößen nach dem deutschen UKlaG

Welche Verarbeitungen können von Verbänden angegriffen werden?

Nicht alle! Ausgenommen sind insbesondere Datenverarbeitungen, die für den Abschluss, die Durchführung oder die Beendigung eines Vertrags mit dem Betroffenen erforderlich sind. Dies betrifft insbesondere die Verarbeitung von Arbeitnehmerdaten. Auch dann, wenn das Unternehmen mit der Datenverarbeitung einer gesetzlichen Pflicht nachkommt (z. B. einer Aufbewahrungspflicht), greift das Gesetz nicht.

Demgegenüber dürfen Verbände jedenfalls dann abmahnen und klagen, wenn die Daten in folgenden Verwendungszusammenhängen verarbeitet werden:

  • Werbung;
  • Markt- und Meinungsforschung;
  • Tätigkeit einer Auskunftei;
  • Erstellen von Persönlichkeits- und Nutzungsprofilen;
  • Adress- und sonstiger Datenhandel.

Hier wird deutlich, dass der Gesetzgeber personenbezogene Daten offenbar als Wirtschaftsgut erkannt hat und dementsprechend schützen möchte. Das Gesetz findet deshalb nur bei kommerziellen Datenverarbeitungen Anwendung.

In diesem Zusammenhang kann ein klageberechtigter Verband Ansprüche auf Unterlassung, Sperrung und Löschung personenbezogener Daten geltend machen.

Welche Verbände dürfen gegen Datenschutzverstöße vorgehen?

Nicht alle. Abmahnen und klagen darf ein Verband nur, wenn er in eine vom Bundesamt für Justiz geführte Liste aufgenommen wurde. Das Amt prüft vor Aufnahme eines Verbandes, ob dieser seiner Satzung und anderer Kriterien gemäß für die Wahrnehmung von Verbraucherrechten qualifiziert ist. Dies soll einen Missbrauch der Klagebefugnis verhindern. Neben Verbraucherverbänden können auch Wirtschaftsverbände, Industrie- und Handelskammern sowie Handwerkskammern vor den Zivilgerichten abmahnen und klagen.

Welche Rolle spielen die Aufsichtsbehörden im Verbandsklagerecht?

Vor seiner Entscheidung muss das Gericht grundsätzlich die zuständige Datenschutzbehörde anhören. Der Gesetzgeber möchte nicht auf den Sachverstand der unabhängigen Datenschutzbehörden verzichten und verdeutlichen, dass er in den Behörden nach wie vor das wichtigste Kontrollorgan im Datenschutzrecht sieht. Eine Anhörung der Datenschutzbehörde ist dann allerdings nicht erforderlich, wenn eine einstweilige Verfügung ohne mündliche Verhandlung beantragt wird.

Fazit: Datenverarbeitenden Unternehmen droht ein erhöhtes Rechts- und Reputationsrisiko

Die zusätzliche Kontrollinstanz im Datenschutzrecht – neben dem Betroffenen, der Aufsichtsbehörde und eingeschränkt den Mitbewerbern – erhöht das Risiko auf Seiten der datenverarbeitenden Unternehmen, für Datenschutzverstöße rechtlich einstehen zu müssen. Hinzu kommt die Gefahr des Imageverlusts für den Fall, dass das eigene Unternehmen zur Zielscheibe eines Verbraucherverbands wird.

Unternehmen sollten einen rechtssicheren Datenschutz daher mehr denn je mit Priorität versehen und entsprechenden Sachverstand frühzeitig hinzuziehen. Dies gilt insbesondere vor dem Hintergrund der EU-Datenschutz-Grundverordnung, die nun zum einen den Mitgliedsstaaten die Möglichkeit gibt, sehr viel weitergehende Rechte für Vertreter der Betroffenen (insbesondere auch für Verbände) festzulegen und darüber hinaus das datenschutzrechtliche Schadensersatzrecht deutlich verschärft.

Dieser aktualisierte Artikel wurde zuerst am 24. Februar 2018 veröffentlicht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!