Blog
CMS Deutschland bloggt
Aktuelle Rechtsthemen und was eine Großkanzlei sonst bewegt
7. Oktober 2022
Whistleblowing Datenschutz
Whistleblowing

Zusammenspiel von Datenschutz- und Hinweisgeberschutz im Kontext des Whistleblowings

Sylle Schreyer-Bestmann und Martina Jentsch SEITE DRUCKEN   SEITE SCHICKEN

Das neue Hinweisgeberschutzgesetz bringt ein Spannungsverhältnis zwischen Hinweisgeberschutz und Datenschutz mit sich. Der Beitrag zeigt Lösungsansätze auf.

Die Meldung eines Hinweisgebers* (Whistleblower) in einem Unternehmen über Gesetzesverstöße löst eine Reihe von Handlungspflichten aus. Schnell kann dabei die enorme Bedeutung des Datenschutzes übersehen werden. Ohne ihn ist zum einen der effektive und rechtskonforme Schutz des Hinweisgebers, der bezichtigten Personen sowie des Unternehmens nicht gewährleistet. Zum anderen stehen zugleich die Rechte der betroffenen Personen (z.B. der „Beschuldigten“) im Spannungsfeld mit dem Hinweisgeberschutz. 

Mit Inkrafttreten des Hinweisgeberschutzgesetzes (HinSchG) – vermutlich Anfang 2023 – wird dieser Komplex rechtlich konkretisiert. Vor diesem Hintergrund zeigen wir auf, welche datenschutzrechtlichen Vorgaben bereits jetzt und zukünftig bei Meldungen von Hinweisgebern zu beachten sind und inwieweit die Rechte von betroffenen Personen im Rahmen von Hinweisgeberschutzsystemen eingeschränkt werden.

Schutz von Hinweisgebern, aber auch von „Beschuldigten“ und sonstigen betroffenen Personen 

Der Kabinettsentwurf (nachfolgend: RegE-HinSchG) regelt den Schutz von Hinweisgebern, wie im Rahmen unserer Blog-Serie zum Thema Whistleblowing bereits gezeigt, v.a. durch drei Elemente:

  • Pflicht zur Einrichtung interner Hinweisgebersysteme bei Arbeitgebern,
  • Errichtung externer (staatlicher) Hinweisgebersysteme sowie
  • spezifische Schutzvorschriften für Hinweisgeber (z.B. ein Repressalienverbot mit einer Beweislastumkehr zuungunsten von Arbeitgebern und eine Schadensersatzpflicht).

Geschützt werden hinweisgebende Personen, die Informationen über strafbewehrte Verstöße, bestimmte bußgeldbewehrte Verstöße oder Verstöße gegen die im RegE-HinSchG genannten Rechtsvorschriften melden oder offenlegen. Geschützt werden weiter Personen, die Gegenstand einer Meldung oder Offenlegung gegenüber der Öffentlichkeit sind, oder Personen, die sonst hiervon betroffen sind (dies können z.B. Zeugen sein).

Vom Gesetz sind explizit auch Datenschutzverstöße (Verstöße gegen die Bestimmungen der EU-Datenschutzgrundverordnung [DSGVO]) erfasst, die Gegenstand einer Meldung oder Offenlegung sind (§ 2 Abs. 1 Nr. 3 lit. p) RegE-HinSchG). Demgemäß wird die Datenschutz-Compliance eines Unternehmens auch explizit durch den Hinweisgeberschutz flankiert.

Relevanz der Vorgaben des RegE-HinSchG für sämtliche Unternehmen

Die spezifischen Schutzvorschriften für Hinweisgeber betreffen sämtliche Arbeitgeber (sog. „Beschäftigungsgeber“), denn der Anwendungsbereich des RegE-HinSchG nimmt keine Differenzierung nach der Größe des Unternehmens oder der Anzahl der Beschäftigten vor. 

Eine Pflicht zur Einrichtung von internen Meldestellen besteht dagegen nur für Beschäftigungsgeber mit jeweils i.d.R. mind. 50 Beschäftigten (§ 12 Abs. 2 RegE-HinSchG). Beschäftigungsgeber mit weniger als 50 Beschäftigten sind von dieser Pflicht ausgenommen. Private Beschäftigungsgeber mit 50 bis 249 Beschäftigten profitieren von einer Übergangsregelung bis zum 17. Dezember 2023 (§ 42 RegE-HinSchG): Erst zu diesem Zeitpunkt muss ein Hinweisgebersystem eingerichtet sein. 

Hinweisgebersysteme zum Schutz der Hinweisgeber 

Entscheidende Maßnahme für den Hinweisgeberschutz ist die Einrichtung eines Hinweisgebersystems, das aus einer internen Meldestelle und einem internen Meldekanal besteht. 

Nach dem RegE-HinSchG sollen die internen Meldestellen die Meldekanäle betreiben, mit dem Hinweisgeber kommunizieren, ihn falls nötig um weitere Informationen bitten und angemessene Folgemaßnahmen ergreifen. Angemessene Folgemaßnahmen sollen v.a. interne Untersuchungen, die Kontaktierung betroffener Personen und Arbeitseinheiten, die Abgabe an für interne Ermittlungen im Unternehmen zuständige Stellen oder an Behörden oder der Abschluss des Verfahrens mangels Beweisen sein. 

Interne Meldestelle kann eine einzelne Person sein oder eine Arbeitseinheit innerhalb des Unternehmens. Auch die Benennung eines Dritten ist zulässig. 

Über die internen Meldekanäle soll es Hinweisgebern möglich sein, sich an die interne Meldestelle zu wenden, was bspw. mündlich oder in Textform ermöglicht werden muss. Beschäftigungsgeber können anonyme Meldungen über diesen Kanal zulassen; eine Verpflichtung dazu besteht indes nicht (§ 27 Abs. 1 RegE-HinSchG).

Hinweisgeberschutz als Einfallstor für den Datenschutz 

Über Hinweisgebersysteme werden typischerweise eine Vielzahl von Daten erhoben bzw. verarbeitet, bei denen es sich in aller Regel um personenbezogene Daten i.S.d. Art. 4 Nr. 1 DSGVO handelt:

  • Angaben zum Hinweisgeber (sofern er nicht anonym bleibt),
  • Angaben zum gemeldeten Sachverhalt mit Angaben zu den beschuldigten und betroffenen Personen sowie Zeugen und
  • durch interne Ermittlungen erhobene Daten, z.B. aus IT-Systemen, Datenbanken, Korrespondenzen, E‑Mails, sachverhaltsaufklärenden Interviews.

Für die entsprechenden Datenflüsse beim Beschäftigungsgeber sind zahlreiche unterschiedliche Vorgaben des Datenschutzrechts zu beachten:

  • Datenschutzfolgenabschätzung: Vor Einrichtung des Hinweisgebersystems muss der Beschäftigungsgeber i.d.R. eine Datenschutzfolgenabschätzung (Art. 35 DSGVO) durchführen, da die zukünftig erfolgende Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen begründet.
  • Rechtsgrundlage: Die interne Meldestelle darf personenbezogene Daten nur aufgrund einer Rechtsgrundlage erheben und verarbeiten. Aktuell wird die Verarbeitung i.d.R. auf Art. 6 Abs. 1 S. 1 lit. f) DSGVO gestützt, der eine Verarbeitung gestattet, wenn dies zur Wahrung berechtigter Interessen des Unternehmens erforderlich ist und die Interessen oder Grundrechte der betroffenen Personen nicht überwiegen. Rechtsgrundlage kann zudem eine Betriebsvereinbarung oder ein Tarifvertrag sein (Art. 88 DSGVO i.V.m. § 26 Abs. 4 BDSG). Mit dem HinSchG wird sich das ändern: § 10 des RegE-HinSchG enthält eine spezielle Rechtsgrundlage für die Datenverarbeitung durch interne Meldestellen. Die Meldestellen sind befugt, personenbezogene Daten zu verarbeiten, soweit dies zur Erfüllung ihrer Aufgaben nach §§ 13, 24 RegE-HinSchG (für interne Meldestellen: Betreiben von Meldekanälen, Führen des Verfahrens und Ergreifen von Folgemaßnahmen) erforderlich ist. 
  • Vertraulichkeitsgebote: Der RegE-HinSchG enthält Vertraulichkeitsvorgaben für durch Hinweisgebersysteme erlangte Daten. Zugriff auf in den Meldekanälen eingehende Meldungen dürfen gem. § 16 Abs. 2 RegE-HinSchG nur Personen haben, die als interne Meldestelle zuständig sind oder diese unterstützen (z.B. IT-Dienstleister, Bürokräfte). Informationen über den Hinweisgeber oder Personen, die von Meldungen betroffen oder sonst in ihnen benannt sind, dürfen ausschließlich internen Meldestellen oder für Folgemaßnahmen zuständigen Personen (v.a. Compliance-Abteilungen für interne Ermittlungen) sowie den sie unterstützenden Personen bekannt werden (§ 8 Abs. 1 S. 2 RegE-HinSchG). Diese Informationen dürfen nur in bestimmten Ausnahmefällen weitergegeben werden (§ 9 RegE-HinSchG). So darf eine Weitergabe von Informationen über die Identität des Hinweisgebers nur erfolgen, wenn diese für die Durchführung von Folgemaßnahmen erforderlich ist und der Hinweisgeber seine Einwilligung erteilt hat. 
  • Die vorgenannten Vertraulichkeitsgebote stehen grds. im Widerspruch zu den sog. Betroffenenrechten: Werden durch Eingang einer Meldung personenbezogene Daten ohne Kenntnis der betroffenen Personen erhoben, besteht die Pflicht des Beschäftigungsgebers, die betroffene Person umfassend über die Erhebung und Verarbeitung der Daten zu informieren, insbesondere über die Zwecke und die Quelle, aus der die Informationen stammen (Art. 14 Abs. 1 und 2 DSGVO). Damit müssten Beschäftigungsgeber sowohl den Inhalt einer Meldung als auch die Identität des Hinweisgebers von sich aus offenlegen, zumal eine Verletzung der Unterrichtungspflicht bußgeldbewehrt ist (Art. 83 Abs. 5 lit. b) DSGVO). Die Erteilung von Informationen über den Hinweisgeber steht allerdings im Widerspruch zur Pflicht, den vertraulichen Umgang mit den Daten des Hinweisgebers zu gewährleisten. Auch kann die Erteilung von Informationen über den Inhalt einer Meldung den Erfolg interner Ermittlungen beeinträchtigen (z.B. aufgrund Verdunklungsgefahr durch die Vernichtung von Beweisen). Der RegE-HinSchG löst dieses Spannungsverhältnis nicht auf. Lediglich die Gesetzesbegründung verweist auf § 29 Abs. 1 S. 1 BDSG, wonach die Informationspflicht ausnahmsweise nicht besteht, soweit durch deren Erfüllung Informationen offenbart würden, die ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen. Hinsichtlich des Inhalts einer Meldung kann daneben der Ausnahmetatbestand in Art. 14 Abs. 5 lit. b) DSGVO zum Tragen kommen: Danach besteht die Informationspflicht nicht, soweit sie voraussichtlich die Verwirklichung der Ziele der Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, sodass bei internen Ermittlungen mit einer Verdunklungsgefahr argumentiert werden kann. Im Laufe der Bearbeitung von Meldungen kann die Informationspflicht für bestimmte Daten allerdings wieder „aufleben“, wenn das Geheimhaltungsinteresse des Beschäftigungsgebers nicht mehr überwiegt. Daher sollten Beschäftigungsgeber der Informationspflicht spätestens nach Sicherung der maßgeblichen Beweise im Rahmen eines ersten Gesprächs mit den Beschuldigten nachkommen. 

    Bei Personen, die Gegenstand eines geäußerten Verdachts sind, steht zudem der Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO im Raum: Dieser Anspruch erfasst u.a. die Auskunft über die Herkunft der Daten (Art. 15 Abs. 1 lit. g) DSGVO). Eine Verletzung der Auskunftspflicht ist ebenfalls bußgeldbewehrt (Art. 83 Abs. 5 lit. b) DSGVO). Über diesen Auskunftsanspruch hätte der Beschuldigte das Recht, u.a. die Identität des Hinweisgebers in Erfahrung zu bringen. Dem stehen allerdings regelmäßig das Interesse des Hinweisgebers und die Pflichten des Beschäftigungsgebers an der Geheimhaltung seiner Identität entgegen. Ein Ausgleich der widerstreitenden Interessen ist – mangels expliziter Regelung im RegE-HinSchG – nur anhand der Ausnahmevorschrift in § 29 Abs. 1 S. 2 BDSG zu finden: Danach besteht das Auskunftsrecht nicht, soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach geheim gehalten werden müssen. Mit Blick auf §§ 8, 9 RegE-HinSchG lässt sich künftig argumentieren, dass das Vertraulichkeitsgebot eine derartige Rechtsvorschrift darstellt, die den Beschäftigungsgeber berechtigt und verpflichtet, ein entsprechendes Auskunftsersuchen abzulehnen.

  • Beauftragung Dritter als interne Meldestelle: Wird ein Dritter vom Beschäftigungsgeber als interne Meldestelle beauftragt, stellt sich die Frage, ob dieser Dritte Auftragsverarbeiter ist oder in eigener Verantwortlichkeit handelt, also eine Datenübermittlung stattfindet. Da im Datenschutzrecht auch andere Konzernunternehmen als Dritte einzuordnen sind, stellt sich die Frage auch, wenn in einem Konzern andere Konzernunternehmen als zentrale Meldestelle eingerichtet werden. Entscheidend für die datenschutzrechtliche Einordnung ist, ob der Beschäftigungsgeber die wesentlichen Entscheidungen über Zweck und Mittel der Datenverarbeitung trifft oder diese dem Dritten obliegen. Dies bedarf einer Prüfung der Ausgestaltung der Meldestelle im Einzelfall. Die Verantwortung dafür, einen festgestellten Verstoß zu beheben, trifft aber in jedem Fall den Beschäftigungsgeber (§ 14 Abs. 1 S. 2 RegE-HinSchG).
  • Löschung von Daten: Mit Blick auf Art. 5 Abs. 1 lit. d) DSGVO und Art. 17 DSGVO, der betroffenen Personen das Recht auf Löschung ihrer Daten gibt, stellt sich die Frage nach dem Zeitpunkt, zu dem personenbezogene Daten im Rahmen eines Hinweisgebersystems zu löschen sind. Nach der DSGVO sind personenbezogene Daten zu löschen, wenn sie für die Zwecke, für die sie erhoben bzw. verarbeitet wurden, nicht mehr notwendig sind. Die Datenschutzkonferenz empfiehlt eine Löschung sämtlicher Daten zwei Monate nach Abschluss der Ermittlungen, sofern die Klärung weiterer Schritte nicht erforderlich ist (S. 12). Die Dokumentation eingehender Meldungen ist nach § 11 Abs. 5 RegE-HinSchG zwei Jahre nach Abschluss des Verfahrens zu löschen. Unberücksichtigt bleibt insofern, dass der Zweck der Verarbeitung auch zwei Jahre nach Abschluss der Ermittlungen noch bestehen kann, z.B. wenn weitere Informationen offenbart werden. 

Hinweisgebersysteme datenschutzgerecht gestalten

Das Inkrafttreten des HinSchG dürfte nur noch eine Frage der Zeit sein. Das Hinweisgebersystem lässt sich datenschutzkonform gestalten. Unternehmen sollten daher bereits jetzt mit der Planung der Umsetzung beginnen. Dabei sollten auch die aufgezeigten datenschutzrechtlichen Themen berücksichtigt werden. Dies dient nicht nur der Vermeidung von Bußgeldern, die sowohl bei Verstößen gegen das HinSchG als auch bei Verstößen gegen die DSGVO drohen, sondern kann insgesamt die Compliance-Kultur im Unternehmen positiv beeinflussen.

Alles in allem ein spannendes Feld, das Schnittstellenkompetenz verlangt. Wir freuen uns darauf, Ihnen in unserer Blog-Serie zum Whistleblowing dieses Feld durch unser arbeitsrechtliches Brennglas vorzustellen.

*Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.

Tags: Arbeitsrecht Datenschutzrecht Whistleblowing


Avatar-Foto

Sylle Schreyer-Bestmann

weitere Artikel der Autorin
Autor:innenprofil
Avatar-Foto

Martina Jentsch

weitere Artikel der Autorin
Autor:innenprofil
nach oben
© CMS Hasche Sigle 2024