Die Whistleblower-Richtlinie: eine datenschutzrechtliche Herausforderung?!

Das EU-Parlament hat sich am 16.04.19 für die geplante Whistleblower-Richtlinie ausgesprochen. Der EU-Gesetzgeber verfolgt mit der Richtlinie das Ziel, Whistleblower bzw. sog. Hinweisgeber vor Vergeltungsmaßnahmen zu schützen und Verstöße gegen das Europarecht in Unternehmen effizienter aufzudecken. Um das zu erreichen, schreibt er den Mitgliedstaaten vor, per Gesetz ein flächendeckendes Meldesystem einzuführen, mit dessen Hilfe Missstände in Unternehmen gemeldet werden können. Dieses Meldesystem soll drei Stufen umfassen:

1. Stufe: Interne Meldung im oder bei dem betroffenen Unternehmen
2. Stufe: Meldung an die zuständige Behörde (und ggf. Stellen einer Strafanzeige)
3. Stufe: Meldung an die Öffentlichkeit bzw. direktes Veröffentlichen von Rechtsverstößen in Unternehmen

Hinweisgeber sollen ermutigt werden, sich zunächst intern im Unternehmen über eine sog. Whistleblower-Hotline zu Wort zu melden, damit Sachverhalte möglichst intern, schnell und sachnah geklärt werden können. Für Unternehmen ist eine rein interne Behandlung von derartigen Vorwürfen vorzugswürdig, da so Reputationsschäden und der Veröffentlichung interner Unternehmensinformationen vorgebeugt werden kann.

Allerdings geht mit der Bearbeitung von Meldungen zu Verstößen in der Regel auch die Verarbeitung personenbezogener Daten einher, für die die DSGVO und das BDSG anwendbar sind. Auf Unternehmen kommt daher ein erhöhter Compliance-Aufwand zu, da sie bei der Einrichtung der Whistleblower-Hotline oder entsprechender Online-Lösungen die datenschutzrechtlichen Anforderungen einzuhalten haben.

Was haben Datenschutzrecht und die Whistleblower-Hotline miteinander zu tun?

Die datenschutzrechtlichen Regelungen von DSGVO und BDSG werden immer dann relevant, wenn es um die Verarbeitung von personenbezogenen Daten geht. Im Rahmen der Whistleblower-Hotline kann ein Personenbezug in mehreren Konstellationen gegeben sein. Die Whistleblower-Richtlinie schreibt zum Datenschutz lediglich vor, dass die Verarbeitung personenbezogener Daten im Einklang mit der DSGVO erfolgen soll und fordert die Mitgliedstaaten pauschal auf, den Datenschutz zu gewährleisten. Im Bereich der Whistleblower-Hotline finden spezielle Anforderungen aus DSGVO und BDSG zum Beschäftigungsverhältnis Anwendung.

Ein Weg für Unternehmen, zusätzliche datenschutzrechtliche Anforderungen zu verhindern, stellt die Anonymisierung von personenbezogenen Daten dar. Werden im Rahmen des Meldesystems Daten grundsätzlich nur anonymisiert verarbeitet und liegt insofern gar kein Personenbezug vor, ist auch die DSGVO nicht anwendbar. Faktisch werden die Meldungen jedoch zumeist personenbezogene Daten enthalten. Zunächst kann es um die Verarbeitung der Daten des Hinweisgebers selbst gehen, wenn er z.B. seinen Namen bei der Meldung eines Missstandes angibt oder für Rückfragen sogar angeben muss.
Kann der Hinweisgeber jedoch anonym handeln, dann liegt an dieser Stelle kein Personenbezug vor. Hier ist denkbar, dass das Hinweisgebersystem auf einem Formularsystem aufgebaut wird, in das der Hinweisgeber sein Anliegen eintragen kann ohne seinen Namen oder eine E-Mail-Adresse preiszugeben. So wird sichergestellt, dass nicht über eine E-Mail-Adresse oder Telefonnummer ein Personenbezug hergestellt wird.

Die Verarbeitung personenbezogener Daten kann außerdem in Bezug auf den Sachverhalt vorliegen, den der Hinweisgeber aufdecken möchte. In der Sachverhaltsbeschreibung werden sich sehr häufig auch Namen oder andere personenbezogene Daten von anderen Personen wiederfinden, die mit dem Sachverhalt in Verbindung stehen oder die der Hinweisgeber beschuldigt. In diesen Fällen ergeben häufig anonymisierte Angaben keinen Sinn, da der Sachverhalt nicht effektiv aufgeklärt werden kann, wenn genauere Informationen zu weiteren Beteiligten fehlen.

Wie kann die Verarbeitung personenbezogener Daten zulässig werden?

Ist eine anonyme Ausgestaltung des Meldesystems nicht möglich, wird der Anwendungsbereich der DSGVO und BDSG eröffnet sein und die Verarbeitung der personenbezogenen Daten ist nur erlaubt, wenn eine Rechtfertigung dafür vorliegt.

Der Hinweisgeber kann eine Einwilligung dafür erteilen, dass sein Name, seine E-Mail-Adresse oder andere personenbezogene Daten verarbeitet werden. Die Einwilligung ist allerdings nur wirksam erteilt, wenn sie freiwillig erfolgt. Dafür ist ausschlaggebend, dass der Einwilligende eine echte oder freie Wahl hatte die Einwilligung zu erteilen oder sie zu verweigern. Diesbezüglich gibt es im Beschäftigungsverhältnis in § 26 BDSG zusätzliche Kriterien, die zu beachten sind.
Eine Verarbeitung auf Grundlage des Arbeitsvertrags des Hinweisgebers oder der Person, deren Identität er preisgibt, ist unzulässig. Im Rahmen des Hinweisgebersystems ist der Arbeitsvertrag nicht direkt betroffen und die Datenverarbeitung ist zur Erfüllung des Arbeitsvertrags nicht notwendig.

Allerdings kann eine Verarbeitung zulässig werden, wenn diese zur Meldung von Missständen erforderlich ist und durch die berechtigten Interessen des Unternehmens gerechtfertigt ist. Solche Interessen können z.B. die Verhütung von Betrugsfällen im Unternehmen, die Aufdeckung oder Vermeidung von Korruption oder die Gewährleistung finanzieller Sicherheit des Unternehmens sein. Diese Interessen müssen allerdings mit den Interessen der betroffenen Personen abgewogen werden, damit die Verarbeitung zulässig wird.

Die Interessen des Unternehmens werden insbesondere bei Verhaltensweisen der betroffenen Person überwiegen, die einen Straftatbestand erfüllen oder die gegen Menschenrechte und gewichtige Umweltbelange verstoßen. Bei der Meldung von Verstößen gegen interne Regeln ist jedoch gründlich abzuwägen und im Einzelfall zu entscheiden, wessen Interessen überwiegen. Die Interessen des Unternehmens werden vermutlich nur dann ausreichen, wenn die internen Regeln, gegen die laut Hinweisgeber verstoßen wurde, der Vermeidung der Katalogstraftaten dienen. Verstöße gegen interne Regeln wie das Gebot der Freundlichkeit in der Kundenbetreuung werden die Verarbeitung personenbezogener Daten wohl nicht rechtfertigen.

Eine spezielle Vorschrift zur Datenverarbeitung im Beschäftigungsverhältnis gibt es außerdem im nationalen Recht in § 26 Abs. 1 BDSG. Die darin genannten Anforderungen an die Datenverarbeitung werden jedoch nur relevant, wenn es um die Aufdeckung von Straftaten im Beschäftigungskontext geht. Die Daten dürfen nur dann verarbeitet werden, wenn tatsächliche Anhaltspunkte vorliegen, dass die betroffene Person im Arbeitsverhältnis eine Straftat begangen hat. Außerdem können Tarifverträge oder Betriebsvereinbarungen als Grundlage der Datenverarbeitung dienen, wenn sie die Vorschriften der Datenschutz-Grundverordnung (DSGVO) beachten.

Lässt sich die Whistleblower-Hotline datenschutzkonform aufbauen?

Ist die Verarbeitung personenbezogener Daten im Rahmen der Whistleblower-Hotline zulässig, müssen die weiteren datenschutzrechtlichen Vorgaben für die Verarbeitung von personenbezogenen Daten innerhalb der Whistleblower-Hotline eingehalten werden.
Dafür ist zunächst essentiell, dass die Daten auch nur zu dem Zweck verarbeitet werden, zu dem sie erhoben wurden (Grundsatz der Zweckbindung) und dass nicht mehr Daten verarbeitet werden als notwendig (Grundsatz der Datenminimierung). Daten, die in Bezug auf die Zwecke der Verarbeitung unrichtig sind, sind unverzüglich zu löschen oder zu berichtigen. Um diese und andere Datenschutzgrundsätze zu gewährleisten, muss das Unternehmen als Verantwortlicher geeignete organisatorische und technische Maßnahmen ergreifen. Hier kommt eine Pseudonymisierung der Daten in Betracht.

Einen weiteren Knackpunkt stellen die Betroffenenrechte dar. Um eine datenschutzkonforme Whistleblower-Hotline zu betreiben, muss der Verantwortliche seinen Informations- und Auskunftspflichten nachkommen. Er ist grundsätzlich verpflichtet, den Betroffenen zu informieren, wenn er Daten von ihm speichert und warum und auch von wem er sie erlangt hat. Die Identität des Hinweisgebers würde also offengelegt werden müssen, was auf die Bereitschaft zur Meldung erhebliche Auswirkungen haben kann. Er ist über diese Konsequenzen vorab ausführlich zu informieren. Dies würde dann das Ziel der Verarbeitung, nämlich das Aufdecken von Missständen in Unternehmen, unmöglich machen oder ernsthaft beeinträchtigen. In diesen Fällen muss geprüft werden, ob die DSGVO eine Ausnahme zulässt, wenn das Unternehmen z.B. zusätzliche Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Personen ergreift. Die Information muss dann nicht erfolgen.

Ähnliches gilt bzgl. des Auskunftsrechts von betroffenen Personen auf die zu ihnen gespeicherten Daten, Herkunft und Empfänger der Daten. Dieses Recht entfällt, wenn durch die Auskunft Informationen offenbart werden würden, die wegen überwiegender berechtigter Interessen eines Dritten geheim gehalten werden müssen. Die Aufdeckung von Rechtsverstößen in Unternehmen könnte ein solches Interesse darstellen.
Des Weiteren muss, um eine Whistleblower-Hotline datenschutzkonform aufzubauen, eine Datenschutz-Folgenabschätzung durchgeführt werden und der Datenschutzbeauftragte frühzeitig in alle datenschutzrelevanten Fragen eingebunden werden.
Wird die Whistleblower-Hotline von einem externen Dienstleister geführt, könnte eine Auftragsverarbeitung vorliegen und dementsprechend die dazu einschlägigen Anforderungen zu beachten sein.

Fazit: Die Whistleblower-Hotline – datenschutzrechtliche Herausforderung und Lösung zugleich

Datenschutzrechtlich ist die Einführung einer Whistleblower-Hotline eine Herausforderung für ein Unternehmen. Allerdings werden keine unlösbaren datenschutzrechtlichen Probleme aufgeworfen. Das Hinweisgebersystem lässt sich datenschutzkonform gestalten und betreiben. Ist die Whistleblower-Richtlinie erlassen und inkraftgetreten, muss sie noch durch die einzelnen mitgliedstaatlichen Gesetzgeber in nationales Recht umgesetzt werden. Erst durch die daraus entstehenden gesetzlichen Regelungen werden private Unternehmen unmittelbar verpflichtet, ein entsprechendes Hinweisgebersystem einzuführen.
Um die Compliance effektiv und frühzeitig sicherzustellen, kann es sich empfehlen, das System schon vor Ende der Umsetzungsfrist datenschutzkonform aufzubauen oder zumindest an den neuen Anforderungen auszurichten. Nur durch rechtzeitiges Handeln kann Compliance gewährleistet und Reputationsschäden vorgebeugt werden. Außerdem ist schon auf Grund des früher inkrafttretenden Geschäftsgeheimnisgesetz zu raten, intern Hinweisgebersysteme einzuführen, weil so bestenfalls auch eine Offenlegung von Geschäftsgeheimnissen vorgebeugt werden kann.

Benötigen Sie Hilfe oder Beratung bei der Einführung eines Meldesystems oder haben Sie sonstige Fragen zur kommenden Whistleblower-Richtlinie? Sprechen Sie uns gerne an und zählen Sie auf unsere Expertise!