Rechtsverstöße, Mobbing und sonstige Missstände in Unternehmen werden häufig nur von den Beschäftigten wahrgenommen, nicht jedoch von der Geschäftsführung. Dies kann verschiedenste Gründe haben: Oftmals hat die Geschäftsleitung einen gewissen Abstand zum Personal und somit keinen detaillierten Einblick in die Geschehnisse der einzelnen Abteilungen. Aus Angst, benachteiligt oder sogar gekündigt zu werden, weisen Beschäftigte die Geschäftsleitung lieber nicht auf derartige Gegebenheiten hin. Obwohl die Geschäftsführung in der Regel großes Interesse haben dürfte, Missstände aller Art aufzudecken und zu beheben. Hierdurch kommt es in Unternehmen zur Häufung verschiedener Umstände, die zu Unzufriedenheit in der Belegschaft und gegebenenfalls sogar zur Verletzung verschiedener Gesetze führt.
Mit dem Hinweisgeberschutzgesetz soll nun die überfällige Umsetzung der europäischen Whistleblowing-Richtlinie (EU) 2018/1937 erfolgen. Ziel dieses Gesetzes ist die nachhaltige Verbesserung des bislang lückenhaften Schutzes von Hinweisgebern, um jegliche Benachteiligung auszuschließen. Weiterhin sollen Hinweisgeber durch das Gesetz Rechtssicherheit erlangen. Nach der Whistleblower-Richtlinie sind Unternehmen ab einer Größe von 50 Beschäftigten verpflichtet, ein Whistleblowing-System einzurichten. Bei der Einrichtung müssen jedoch verschiedene Aspekte berücksichtigt werden, unter anderem selbstverständlich der Datenschutz.
Datenschutzrecht im Kontrast zur Whistleblower-Richtlinie
Es liegt auf der Hand, dass im Wege eines Whistleblowing-Systems nicht ausschließlich Probleme gemeldet werden, die beispielweise organisatorischer Natur sind. Es werden zwangsläufig auch, unter namentlicher Erwähnung, Entscheidungen oder Verhaltensweisen bestimmter Personen gemeldet. Zudem dürfte es äußerst schwierig sein, die Anonymität der meldenden Person gegenüber das jeweilige Meldesystem zu gewährleisten: Wird die Meldung nämlich per Anruf getätigt, könnte die Telefonnummer zurückverfolgt werden. Bei einer Meldung über ein spezielles IT-System kann es zur Preisgabe der IP-Adresse kommen. Aus diesem Grund dürfte der Anwendungsbereich der DS-GVO regelmäßig eröffnet sein. Es kommt also zwangsläufig zur Erhebung und Verarbeitung personenbezogener Daten.
Hinzu kommt, dass durch die Inanspruchnahme des Meldesystems gegebenenfalls personenbezogene Daten ohne Kenntnis der betroffenen Personen erhoben und verarbeitet werden, weshalb die betroffene Person gemäß Art. 14 DS-GVO eigentlich über die Datenverarbeitung informiert werden müsste. Dies läuft jedoch dem Sinn des Whistleblowings zuwider, da die Geschäftsleitung großes Interesse daran haben dürfte, Meldungen zunächst über interne Ermittlungsverfahren näher zu untersuchen. Wenn beschuldigte Personen eine sie betreffende Meldung mitbekommen, könnte die interne Ermittlung verfälscht werden. Problematisch könnten in der Praxis auch die Betroffenenrechte nach Art. 15 DS-GVO sein. Demnach müssten dem Beschuldigten gegebenenfalls sämtliche verfügbaren Informationen über die Herkunft der Daten gegeben werden. Eine IP-Adresse oder die Kombination aus mehreren an sich nicht personenbezogenen Daten eröffnen die Möglichkeit, den Personenkreis des Meldenden stark einzugrenzen.
Datenschutzkonforme Umsetzung in der Praxis
Da das Hinweisgeberschutzgesetz voraussichtlich schrittweise Anfang des neuen Jahres in Kraft treten wird, sollte man sich schon jetzt Gedanken machen, wie ein solches System im Unternehmen eingebaut werden kann, ohne mit dem Datenschutz in Konflikt zu geraten. Wir haben Ihnen die wichtigsten Faktoren zusammengestellt, die Sie bei der Umsetzung des Meldesystems beachten sollten:
- Nach § 8 des Entwurfs zum Hinweisgeberschutzgesetz haben Meldestellen die Vertraulichkeit der hinweisgebendenen Person, Personen die Gegenstand der Meldung sind und sonstige genannte Personen zu wahren. Achten Sie bei der Umsetzung Ihres Whistleblowing-Systems auf den Schutz der Identitäten. Sowohl Beschäftigte als auch die Geschäftsführung dürfen unter keinen Umständen die Möglichkeit haben, die meldende Person zu identifizieren.
- Falls Sie einen Dienstleister einsetzen möchten, muss – je nach beauftragter Dienstleistung – ein Vertrag zur Auftragsverarbeitung abgeschlossen werden.
- Whistleblowing-Systeme bergen immer ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen. Aus diesem Grund ist vor Einführung des jeweiligen Systems gemäß Art. 35 DS-GVO eine Datenschutz-Folgenabschätzung durchzuführen. Ihr Datenschutzbeauftragter kann Sie hierbei unterstützen.
- In Vergangenheit sind zahlreiche IT-Anbieter auf diesen Markt aufgesprungen, die keine Erfahrung mit solchen Systemen haben. Leider kam es dabei zu Zwischenfällen, in denen beispielsweise die Identität des Hinweisgebers offengelegt wurde. Wählen Sie den Dienstleister daher mit größter Sorgfalt aus.
Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.