Datenschutz beim Whistleblowing im Unternehmen

Für Unternehmen können interne Missstände, insbesondere Kriminalität innerhalb der Organisation bedrohliche Folgen haben. Um diesem Risiko entgegenzuwirken, ermöglichen manche Unternehmen ihren Mitarbeitern, das Fehlverhalten von Kollegen über einen bestimmten Kanal (anonym) zu melden. Die Einrichtung eines solchen Whistleblowing-Systems wirft jedoch verschiedene datenschutzrechtliche Fragen auf. Unter welchen Umständen Arbeitgeber ein Hinweisgebersystem etablieren und betreiben können, erläutern wir Ihnen in diesem Ratgeber.

Datenschutz und Whistleblowing im Unternehmen

Whistleblowing-Systeme sollen die regulären Informations- und Meldekanäle innerhalb eines Unternehmens ergänzen – wie beispielsweise den Betriebsrat, Qualitätskontrolle oder interne Auditoren, die eigens dafür bestimmt sind, auftretende Missstände zu erkennen und zu melden.

Aus Sicht des Datenschutzrechts und insbesondere der Datenschutz-Grundverordnung (DSGVO) hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) eine Orientierungshilfe zu Whistleblowing-Hotlines veröffentlicht (PDF, Stand: 14. November 2018). Daraus ergeben sich einige grundsätzliche Hinweise zur Einrichtung eines solchen Hinweisgebersystems.

Wichtig ist es zunächst, die Planung und Einführung eines Whistleblowing-Systems am datenschutzrechtlichen Grundsatz der Erforderlichkeit auszurichten. Versuchen Sie realistisch einzuschätzen, inwieweit Ihr Unternehmen durch interne Missstände oder ggf. sogar durch kriminelle Aktivitäten bestimmten Gefahren ausgesetzt ist. Treten im Unternehmen immer wieder entsprechende Fälle durch Innentäter auf, kann ein Hinweisgebersystem ggf. zusätzliche nützliche Hinweise liefern.

Ausgerichtet an den konkreten Bedürfnissen im Unternehmen sollten die Fälle festgelegt werden, für die das Whistleblowing System verwendet werden soll. So kann das System zur Meldung folgender Verstöße eingesetzt werden:

  • Straftaten
  • Verstöße gegen Menschenrechte
  • Verstöße gegen unternehmensinterne Ethikregeln

Darüber hinaus sollte – orientiert am Erforderlichkeitsgrundsatz – festgelegt werden, welche Personengruppen

  • das Verfahren nutzen dürfen und
  • über das Verfahren gegenüber der Geschäftsleitung überhaupt angezeigt werden können.

Nicht relevante Personenkreise sollen ausdrücklich von dem Verfahren ausgeschlossen werden.

Schließlich stellt sich auch die Frage, ob die Hinweise anonym erfolgen oder ob die Identität des Hinweisgebers offenbart werden sollte. Die Datenschutzkonferenz empfiehlt die Einrichtung eines anonymen Hinweisgebersystems. Zwar berge dies die Gefahr des Missbrauchs, insbesondere der Denunziation unschuldiger Mitarbeiter, weil der Hinweisgeber hier letztlich unbekannt bleibt. Andererseits würden so aber ggf. auch Personen zur Abgabe von Hinweisen animiert, die ansonsten von einer Meldung Abstand genommen hätten. Zudem fehlt es nach Ansicht der Datenschutzkonferenz an einer wirksamen Rechtsgrundlage für die Verarbeitung der Daten des Hinweisgebers.

Lediglich dann, wenn der Hinweisgeber

  • seine Identität bewusst offenlegen möchte,
  • darauf hingewiesen wird, dass seine Identität während des gesamten Verfahrens vertraulich behandelt werden wird, außerdem aber auch
  • darüber in Kenntnis gesetzt ist, dass der Beschuldigte grundsätzlich innerhalb eines Monats nach Erhalt der Meldung informiert werden muss,

ist die Verarbeitung seiner Personendaten – auf Basis einer informierten Einwilligung – denkbar.

Grundsätzlich gilt, dass die Verarbeitung personenbezogener Daten einer datenschutzrechtlichen Erlaubnis bedarf – also auch dann, wenn im Rahmen des Whistleblowing-Verfahrens Daten mit Personenbezug verarbeitet werden.

Da eine Einwilligung im Beschäftigtenverhältnis aufgrund der fehlenden Freiwilligkeit oftmals mit Problemen verbunden ist, empfiehlt sich (abgesehen von der oben beschriebenen Ausnahme in Bezug auf den Hinweisgeber) als Rechtsgrundlage das berechtigte Interesse des Unternehmens an der Aufklärung und Vermeidung bestimmter Missstände im Unternehmen. Werden bei der Einrichtung und beim Betrieb des Hinweisgebersystems die hier näher dargestellten Grundsätze beachtet, wird man bei der Abwägung der Interessen des beschuldigten Mitarbeiters und der des Unternehmens in der Regel von einem überwiegenden Unternehmensinteresse ausgehen können.

Beachtet werden sollte jedoch, dass die beschriebene Rechtsgrundlage aus Sicht der Datenschutzkonferenz nicht bei Verstößen gegen interne Verhaltensrichtlinien Verwendung finden kann! Alternativ kommt der Abschluss einer Betriebsvereinbarung als Rechtsgrundlage in Frage.

Zu den – neben einer ausreichenden Rechtsgrundlage – zu beachtenden Datenschutzgrundsätzen zählen in diesem Zusammenhang insbesondere auch das Prinzip der Datensparsamkeit und der Datenminimierung:

  • (Zusätzliche) Informationen, die für den beschriebenen Zweck des Hinweisgebersystems nicht erheblich sind, dürfen auch nicht gespeichert werden.
  • Für die im Zusammenhang mit dem Verfahren erhobenen Personendaten sind zudem Speicherfristen festzulegen und sicherzustellen, dass diese genau eingehalten werden.
  • Personenbezogene Daten sind zu löschen, sobald ihr vorgesehener Zweck erfüllt ist.

Aufklärung aller Beteiligten von Anfang an

Die Akzeptanz und Kooperation der Mitarbeiter ist die essenzielle Grundvoraussetzung, damit ein Whistleblowing-Verfahren überhaupt funktionieren kann. Durch eine frühzeitige und umfassende Aufklärung über das Verfahren und die wichtigen Gründe dazu, kann vermieden werden, dass sich die Unternehmensangehörigen unter einen Generalverdacht gestellt fühlen.

Allgemeine Information der Mitarbeiter über das Verfahren

Die Mitarbeiter sollten (z. B. in einer entsprechenden Richtlinie) über folgende Punkte aufgeklärt werden:

  • Die Notwendigkeit des Verfahrens: Welche Fälle von kriminellen Handlungen sind in der Vergangenheit vorgekommen, was bedeutet das für das Unternehmen (d. h. welche Risiken bzw. Schäden sind ggf. aufgetreten)?
  • Der Anwendungsbereich: Welche Fälle sollen über das Verfahren erfasst werden und welche nicht? Erläutern Sie die verschiedenen Gruppen von Strafbeständen, die eingedämmt werden sollen, möglichst genau: Welchen Einfluss hat Industriespionage auf das Unternehmen? Welche Formen von Betrug oder Finanzkriminalität stellen ein Risiko für das Unternehmen dar?
  • Das Verfahren selbst: Wie genau funktioniert das Verfahren? Was passiert mit den dabei erhobenen Daten? Wie werden die Daten angemessen geschützt? Wie kann ein Missbrauch des Verfahrens vermieden werden? Welche Möglichkeit hat ein Betroffener, zu Vorwürfen Stellung zu nehmen? Welche Konsequenzen hat eine Meldung? Wer ist am Verfahren zu beteiligen?

Konkrete Information der an einem bestimmten Verfahren beteiligten Personen

Darüber hinaus stellt das Datenschutzrecht in Art. 13 und 14 DSGVO bestimmte Anforderungen in Bezug auf die Information zum Umgang mit personenbezogenen Daten auf. Diese sind im Rahmen der Aufklärung der Betroffenen über das Whisteblowing-System ebenfalls angemessen zu berücksichtigen. Soweit ein anonymes Hinweisgeber-System eingeführt wird, entfällt die Informationspflicht nach Art. 13 DSGVO gegenüber dem Hinweisgeber, da keine personenbezogenen Daten von ihm verarbeitet werden. Ansonsten ist er umfassend über die in Art. 13 DSGVO enthaltenen Punkte (z.B. Verantwortlicher, Zweck der Verarbeitung und mögliche Empfänger der Daten) zu informieren.

Der Beschuldigte ist nach Art. 14 DSGVO grundsätzlich zu informieren – die Verarbeitung seiner personenbezogenen Daten ist ja gerade der Kern des Verfahrens. Die Information des Beschuldigten hat spätestens einen Monat nach Erhalt der Daten zu erfolgen – dies gilt allerdings nicht, wenn durch die Information die Aufklärung der gemeldeten Tat gefährdet werden könnte. In diesem Fall kann die Information bis zum Abschluss der Ermittlungen aufgeschoben werden.

Achtung: Die Information muss in „klarer, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zur Verfügung gestellt werden.

Datensicherheit beim Whistleblowing im Unternehmen

Bei der Einrichtung eines Whistleblowing-Systems muss sichergesellt sein, dass das Verfahren den Anforderungen der DSGVO in Sachen Datensicherheit entspricht. Die entsprechenden technischen und organisatorischen Maßnahmen sollten dokumentiert werden und es ist sicherzustellen, dass die Mitarbeiter diese Maßnahmen kennen und auch beachten.

Technische Maßnahmen beinhalten beispielsweise die Sicherstellung eines zuverlässigen Schutzes der gespeicherten Daten vor unbefugtem Zugriff durch eine Pseudonymisierung oder Verschlüsselung der Daten. In organisatorischer Hinsicht empfehlen sich Regelungen zur Rechtevergabe sowie zur fristgerechten vollständigen Löschung der Daten, die wiederum technisch überwacht und/oder durchgesetzt werden sollten.

Was Sie beim unternehmensinternen Whistleblowing noch beachten sollten

  • Bei der Einführung von Whistleblowing-Systemen sind die Mitbestimmungsrechte des Betriebsrats zu beachten.
  • Der Datenschutzbeauftragte sollte frühzeitig in die Planung und Implementierung des Systems einbezogen werden.
  • Der Datenschutzbeauftragte sollte auch prüfen, ob für die Einführung des Systems eine Datenschutzfolgenabschätzung nötig ist und diese ggf. dokumentiert durchführen.
  • Verhinderung von Missbrauch: Zwar kann ein Whistleblowing-System zur Aufklärung und Eindämmung krimineller Handlungen im Unternehmen einen essenziellen Beitrag leisten. Andererseits birgt ein solches System aber auch bestimmte Risiken. So können Kollegen sich dazu animieren fühlen, sich gegenseitig zu überwachen. Gleichzeitig besteht die Gefahr falscher Meldungen.
  • Das Unternehmen muss daher klarstellen, dass nicht jede noch so geringfügige oder lediglich vermutete Unregelmäßigkeit gemeldet werden soll und kein Interesse an unkonkreten oder gar falschen Beschuldigungen besteht.
  • Wird das Verfahren im Rahmen einer Auftragsverarbeitung über einen externen Dienstleister durchgeführt, ist ein Vertrag zur Verarbeitung im Auftrag Wenn Sie schützenswerte Daten durch einen externen Dienstleister verarbeiten lassen, bleiben Sie selbst für den Schutz dieser Daten verantwortlich. Sie sind dann auch dazu verpflichtet, zu kontrollieren, dass der Auftragnehmer die gesetzlichen Anforderungen an den Datenschutz erfüllt. Etwas anderes gilt dann, wenn der Dienstleister selbst einer gesetzlichen Vertraulichkeitsverpflichtung unterliegt (wie z.B. ein Rechsanwalt).

Dieser aktualisierte Artikel erschien zuerst am 27. September 2012.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.