Kapitel
Bild: MEV Verlag GmbH

Bei Implementierung eines Whistleblowingsystems und der Bearbeitung von Hinweisen treten oft datenschutzrechtliche Probleme auf, die von dem jeweiligen Unternehmen und insbesondere von einem Datenschutzbeauftragten unbedingt zu beachten sind.

Zulässige Datenerhebung

Personenbezogene Daten (Ausnahme: anonyme Hinweise, keine personenbezogenen Daten in Bezug auf den Hinweisgeber, z.b. die. IP Adresse, den Namen etc.) dürfen nur für den vorgesehenen Zweck – die Vorhaltung des Whistleblowingsystems und die Prüfung und Untersuchung der eingegangenen Hinweismeldungen – erhoben, verarbeitet und genutzt werden. Eine Rechtsgrundlage zur Datenerhebung bietet das Bundesdatenschutzgesetz (BDSG) bei der Aufklärung von Straftaten (§ 32 Abs.1 S.2 BDSG a.F., 26 BDGS n.F., Art. 88 DSGVO), wenn sie einem Vertragszweck oder der Wahrung berechtigter Interessen des Betroffenen dient (§ 28 Abs. 1 S. 1 Nr. 1 und 2 BDSG). Ebenso nennt Artikel 7 f Datenschutzrichtlinie 95/46/EG die Verwirklichung eines berechtigten Interesses. Gesetzeseinhaltung von Mitarbeitern und deren Überwachung dienen dem arbeitsvertraglichen Zweck, nämlich dem geordneten und wirtschaftlich erfolgreichen Ablauf des Wertschöpfungsprozesses. Das zu erfassende Verhalten bzw. die zulässigen Themen müssen jedoch einen deutlichen Arbeitsbezug aufweisen. Eine Regelung in einer Betriebsvereinbarung kann als eigene Rechtsgrundlage im Sinne des BDSG dienen. Bei einer Regelung durch Betriebsvereinbarung ist ebenso stets die Verhältnismäßigkeit zwischen Arbeitgeberinteresse und Arbeitnehmerinteresse (Schutz des allgemeinen Persönlichkeitsrechts) abzuwägen, sowie entsprechende technisch-organisatorische Maßnahmen zum Schutze dieser Rechte zu treffen.

Speicherung und Löschung

Die zulässigen Speicher- und Löschfristen sind zu beachten. Personenbezogene Daten dürfen nur für eine bestimmte Dauer aufbewahrt werden, die zur Aufklärung und abschließenden Beurteilung des Hinweises notwendig sind. Nach Abschluss der Untersuchungen müssen die personenbezogenen Daten innerhalb einer angemessenen Frist und entsprechend der gesetzlichen Vorgaben gelöscht werden. Eine anonyme Speicherung ist nach Ablauf der angemessenen Frist erforderlich, wenn der Fallbetreuer die Dokumentation des Falls behalten möchte. Im Falle der Einleitung von gerichtlichen und/oder disziplinarischen Verfahren kann eine Aufbewahrung bis zum Verfahrensabschluss bzw. bis zum Ablauf von Rechtsbehelfsfristen erfolgen. Personenbezogene Daten im Zusammenhang mit grundlos abgegebenen Hinweismeldungen werden unverzüglich gelöscht. Sofern gesetzliche Bestimmungen oder Anordnungen staatlicher Organe dies erforderlich machen, können personenbezogene Daten an diese herausgegeben werden.

Informationspflicht

Beachten Sie die Betroffenenrechte. Sowohl der Whistleblower als auch Verdächtigte und andere, deren Daten im Rahmen von Whistleblowing anfallen, haben entsprechende Rechte. Dies sind insbesondere Rechte auf Information, Berichtigung, Löschung sowie der Anspruch auf Vorkehrungen die sicherstellen, dass nur die Personen informiert werden, die für Ermittlungen nötig sind.

Erlaubnis der deutschen Datenschutzbehörde

Die deutsche Datenschutzbehörde, Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), verpflichtet im Gegensatz zur der französischen Datenschutzbehörde, Commission Informatique et Libertés (CNIL) die Unternehmen in Deutschland nicht, spezielle Erlaubnisse für die Verarbeitung des Whistleblowingsystems vor der Verarbeitung an die BfDI zu schicken. Das Bundesdatenschutzgesetz gibt schon den Rahmen vor: Interne Verfahrensverzeichnisse von Verarbeitungstätigkeiten müssen von den für die Verarbeitung Verantwortlichen intern dokumentiert werden. Es ist die Rolle des Datenschutzbeauftragten, die Konformität mit dem BDSG innerhalb einer Organisation zu gewährleisten. Seine Rolle und Funktion ist auch im BDSG (§§ 5., 6. Und 7. BDGS n.F.) klar definiert und ein Muss für einige öffentlichen und privaten Unternehmen. Dies ist zwar noch nicht der Fall im französischen Datenschutzgesetz. Allerdings ist dieser Unterschied im Rahmen der neuen EU-DSGVO hinfällig.

Gibt es finanzielle Anreize für Whistleblower?

Sind Belohnungen für Whistleblower wie in den USA möglich? In Deutschland ist dies nicht zulässig. In den USA dagegen können Whistleblower dreistellige Millionenbeträge bekommen, wenn sie Gesetzesverstöße melden. Einige amerikanische Gesetze sehen Belohnungen für Whistleblower vor, wenn deren Hinweise zur Verhängung von Bußgeldern führen, etwa bei Steuerhinterziehung, im Bereich der Börsenaufsicht oder anderen Wirtschaftsgesetzen. In Deutschland dürfen keine Anreize gegeben werden. Belohnungen passen hier jedoch zum deutschen Arbeitsrecht und der Treupflicht. Informiert ein Arbeitnehmer etwa die Staatsanwaltschaft oder gar ausländische Behörden, ohne zuvor mit seinem Arbeitgeber über das Problem gesprochen zu haben, droht die fristlose Kündigung. Anders liegt der Fall, wenn eine interne Klärung dem Mitarbeiter nicht zugemutet werden kann.

Eine Hinweisgeberschutz-Regelegung gibt es in Deutschland nicht und daher auch keine automatische Entschädigung. Nichtdestotrotz kann der Whistleblower eine Entschädigung erhalten, wenn nicht rechtmäßige oder unverhältnismäßige Sanktionen gegen den Whistleblower verhängt wurden.

Fazit

Jenseits der Komplexität und der Rechtsunsicherheit des Whistleblowers-Schutzes, ermöglichen Hinweise die Identifikation von entsprechenden Risiken und Verstößen. Nach den zahlreichen Compliance Skandalen in der Presse und dem damit einhergehenden Reputationsverlust sowie Schaden, kann es nur lohnenswert sein, präventiv gegen Verstöße und Missbräuche zu kämpfen. Dafür bleibt das Whistleblowingsystem weiterhin die richtige Lösung. Dabei ist bei der Implementierung sowohl der Top-Down wie auch der Bottom-Up Ansatz zu wählen. Dementsprechend sollte die Einführung auch mit viel Transparenz und Vertrauen kommuniziert werden. Dies ist eine herausfordernde aber wichtige Aufgabe für jedes Unternehmen; in sorgfältiger Kooperation mit dem Vorstand, den Führungskräften, dem Betriebsrat und den Mitarbeitern. Nur so funktioniert gelebte Compliance ohne die Angst vor Hinweisen.


Quellen:

Behringer Stefan, Compliance kompakt: Best Practice im Compliance-Management, S. 303 ff.

Hüper, Reiner, Strafrechtliche Risiken für den Hinweisgeber, 24.03.2017.

Lutterbach, Carolin, Die strafrechtliche Würdigung des Whistleblowings, Dissertation zur Erlangung des Doktorgrades der Rechtswissenschaften, 2010, S.26.

Maschke, M., Betriebliche Vereinbarungen, Whistleblowing.

Rudkowski L., Schreiber A., Aufklärung von Compliance-Verstößen, S. 16 ff.

EuGH v. 21.7.2011, 28274/08 (Heinisch).

Section 922, US Dodd-Frank Wall Street Reform and Consumer Protection Act.


Autoren:

Colline Jux: Colline Jux, LL.M. in Compliance and Corporate Security (Köln/San Diego) sowie Certified Compliance Officer. Sie arbeitet als Compliance & Risk Manager bei der Haufe Group und verantwortet als Fachexpertin u.a. den Ausbau des Compliance-Portfolios. Zudem verfügt sie, durch ihre ehemalige Tätigkeit in einem Beratungsunternehmen über langjährige Erfahrung bei der Implementierung und Prüfung von Compliance-Management-Systemen. 

Chloé Saby: Chloé Saby ist Politikwissenschaftlerin und hat 2012 ihr binationales Politikwissenschaftsstudium erfolgreich in Aix-en-Provence und Freiburg absolviert. Sie ist Compliance Officer bei der Haufe Group zuständig für das Compliance-Management-System. Davor war sie Compliance Manager, schwerpunktmäßig Ethik und Risikobewertung, bei einem deutsch-französischen Einkaufs-Joint-Venture in Paris. Zudem lehrt sie an Pariser Universitäten als Compliance Gastreferentin.

Schlagworte zum Thema:  Datenschutz, Datenschutz-Grundverordnung, Whistleblower, Compliance-Organisation, Hinweispflicht, Whistleblowing, Compliance-Management, Compliance-Beauftragter, Arbeitsrecht

Aktuell
Meistgelesen