Am 16.12.2019 ist die EU-Whistleblower-Richtlinie (im Folgenden auch WBRL abgekürzt) in Kraft getreten. Sinn und Zweck der Richtlinie ist es, einen ausgewogenen und europäisch angeglichenen Schutz für Hinweisgeber zu gewährleisten. Am 17. Dezember 2021 lief die Frist für EU-Staaten aus, diese in nationale Gesetze zu überführen. Deutschland hatte in der letzten Legislaturperiode einen Entwurf für das sog. Hinweisgeberschutzgesetz vorgelegt. Der Gesetzesentwurf scheiterte allerdings in der Großen Koalition. Auch wenn bislang noch kein neuer Entwurf für das Hinweisgeberschutzgesetz vorliegt, hat die Ampel-Regierung eine zügige Umsetzung der EU-Whistleblower-Richtlinie angekündigt. Sie bringt nicht nur eine Vielzahl relevanter Neuerungen für das deutsche Recht im Umgang mit Whistleblowern mit sich, sie wirft auch aus Sicht des Datenschutzes einige relevante Fragen auf, die es bei der Umsetzung in der Praxis zu beachten gilt.
Datenverarbeitung im Einklang mit der DSGVO
Bei der Entgegennahme und Bearbeitung von Whistleblower-Hinweisen werden personenbezogene Daten des Hinweisgebers, der betroffenen Person und sonstiger Dritter verarbeitet. Diese müssen laut Artikel 17 der WBRL im Einklang mit den Vorschriften der DSGVO verarbeitet werden. Bei jeder Verarbeitung personenbezogener Daten sind – neben einer ausreichenden Rechtsgrundlage – die Grundprinzipien der Transparenz, Vertraulichkeit und auch die Zweckbindung zu wahren. Das bedeutet, es muss genau festgelegt werden, wer, wann welche personenbezogenen Daten zu welchem Zweck verarbeitet und wer diese im Unternehmen überhaupt verarbeiten darf.
Hinweisgeberschutz vs. Betroffenenrechte
Eine Hürde stellen die Informationspflichten dar: Alle Beteiligten sind sowohl über den Umgang mit ihren Daten als auch über ihre diesbezüglichen Rechte zu informieren. Während sich dies gegenüber dem Hinweisgeber nach Art. 13 noch relativ einfach gestaltet (z.B. auf der jeweiligen Website bzw. im Hinweisgeberportal), wird es beim Beschuldigten schon etwas schwieriger. Werden nämlich Daten eines Beschuldigten verarbeitet, hat dieser nach Art. 14 DSGVO das Recht, innerhalb eines Monats darüber in Kenntnis gesetzt zu werden. Während eines laufenden Verfahrens erweist sich das allerdings als äußerst schwierig. Die DSGVO sieht zwar in Art. 14 Abs. 5 eine Ausnahme vor, nach der eine solche Informationspflicht dann nicht besteht, wenn damit die Verwirklichung der Verarbeitungsziele ernsthaft beeinträchtigt würde. Allerdings hat die Datenschutzkonferenz (DSK) in ihrer Orientierungshilfe zu Whistleblowing-Hotlines angemerkt, dass eine Zurückhaltung dieser Information nur zulässig ist, solange das Risiko besteht, dass bei Unterrichtung des Beschuldigten die Untersuchung gefährdet wäre. Sobald dieser Grund aber entfällt, sei die Information nachzuholen.
Eine dauerhafte Geheimhaltung dürfte angesichts einer möglichen Beeinträchtigung der Persönlichkeitsrechte der beschuldigten Person und entsprechender Verteidigungsrechte ausgeschlossen sein. Ein vollumfänglicher Schutz des Hinweisgebers vor der Bekanntgabe an den Beschuldigten wäre somit nicht zu gewährleisten. Darüber hinaus stehen Betroffenen weitere umfassende Rechte, wie z.B. das Recht auf Auskunft oder auf Löschung zu, welche ebenfalls Interessenskonflikte mit sich bringen können. Auch hier wird man sich – zumindest so lange das Verfahren läuft – auf Ausnahmetatbestände berufen können. Eine Auskunftsverpflichtung besteht beispielsweise dann nicht, wenn dadurch Informationen offenbart würden, die wegen überwiegender berechtigter Interessen eines Dritten geheim gehalten werden müssen. Wie diese Spannungsfelder letztlich aufgelöst werden, bleibt abzuwarten. In Erwägungsgrund 84 der WBRL hatte der EU-Gesetzgeber die Mitgliedstaaten bei der Umsetzung der Richtlinie explizit zu gesetzgeberischen Maßnahmen aufgefordert, die den Schutz der Identität des Whistleblowers sicherstellen und nennt in diesem Zusammenhang auch eine mögliche Einschränkung der Betroffenenrechte. Die DSGVO bietet hierfür in Art. 23 eine sog. Öffnungsklausel, die es nationalen Gesetzgebern ermöglicht, von den Regelungen der DSGVO abzuweichen, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und eine notwendige und verhältnismäßige Maßnahme darstellt.
Lösung: Hinweisgeberplattform
Um sicherzustellen, dass einerseits die rechtlichen Anforderungen eingehalten werden und andererseits die Identitäten der Hinweisgeber vertraulich behandelt werden können, empfehlen die Datenschutzbehörden den Einsatz von Whistleblowing-Systemen, welche einerseits anonyme Meldungen und andererseits dennoch die Kommunikation mit dem Whistleblower ermöglichen.
Die Hinweisgeberplattform White Sparrow von MKM erfüllt die rechtlichen Anforderungen der WBRL, bietet eine datenschutzkonforme Umsetzung und arbeitet auf Grundlage der DIN ISO 37002 für Hinweisgebermanagement-systeme. Machen Sie sich das Know-How der MKM Gruppe aus der Prozessgestaltung und die rechtliche Expertise der MKM Rechtsanwälte zunutze. Das deutsche Hinweisgeberschutzgesetz wird voraussichtlich im ersten Quartal dieses Jahres in Kraft treten. Wir empfehlen deshalb, sich zeitnah mit dem Thema auseinanderzusetzen und Meldesysteme bereits jetzt so zu gestalten, dass sie den Anforderungen der WBRL entsprechen und damit Compliance-Verstöße frühzeitig identifiziert und bekämpft werden können. Für weitere Informationen schreiben Sie uns gerne eine E-Mail an kundenservice@mkm-compliance.de.
Autorin: Susanne Wischnat