Bei Implementierung eines Whistleblowingsystems und der Bearbeitung von Hinweisen treten oft datenschutzrechtliche Probleme auf, die von dem jeweiligen Unternehmen und insbesondere von einem Datenschutzbeauftragten unbedingt zu beachten sind.
Zulässige Datenerhebung
Hinsichtlich des Themas Datenerhebung ist immer zu beachten, dass personenbezogene Daten (Ausnahme: anonyme Hinweise, keine personenbezogenen Daten in Bezug auf den Hinweisgeber, z.b. die. IP-Adresse, den Namen etc.) nur für den vorgesehenen Zweck – die Vorhaltung des Whistleblowing Systems und die Prüfung und Untersuchung der eingegangenen Hinweismeldungen – erhoben, verarbeitet und genutzt werden. Als Rechtsgrundlage zur Datenerhebung dient das Bundesdatenschutzgesetz (BDSG) bei der Aufklärung von Straftaten (§ 32 Abs.1 S.2 BDSG a.F., 26 BDGS n.F., Art. 88 DSGVO), wenn sie einem Vertragszweck oder der Wahrung berechtigter Interessen des Betroffenen dient (§ 28 Abs. 1 S. 1 Nr. 1 und 2 BDSG).
Gesetzeseinhaltung von Mitarbeitern und deren Überwachung dienen dem arbeitsvertraglichen Zweck, nämlich dem geordneten und wirtschaftlich erfolgreichen Ablauf des Wertschöpfungsprozesses. Das zu erfassende Verhalten bzw. die zulässigen Themen müssen jedoch einen deutlichen Arbeitsbezug aufweisen. Eine Regelung in einer Betriebsvereinbarung kann als eigene Rechtsgrundlage im Sinne des BDSG dienen. Bei einer Regelung durch Betriebsvereinbarung ist ebenso stets die Verhältnismäßigkeit zwischen Arbeitgeberinteresse und Arbeitnehmerinteresse (Schutz des allgemeinen Persönlichkeitsrechts) abzuwägen, sowie entsprechende technisch-organisatorische Maßnahmen zum Schutze dieser Rechte zu treffen.
Speicherung und Löschung
Auch im Hinblick auf das Speichern und Löschen von Daten sind bestimmte Fristen zu beachten. Personenbezogene Daten dürfen nur für eine bestimmte Dauer aufbewahrt werden, die zur Aufklärung und anschließenden Beurteilung des Hinweises notwendig sind. Nach Abschluss der Untersuchungen müssen die personenbezogenen Daten innerhalb einer angemessenen Frist und entsprechend der gesetzlichen Vorgaben gelöscht werden. Eine anonyme Speicherung ist nach Ablauf der angemessenen Frist nur dann erforderlich, wenn der Fallbetreuer die Dokumentation des Falls behalten möchte. Im Falle der Einleitung von gerichtlichen und/oder disziplinarischen Verfahren kann eine Aufbewahrung bis zum Verfahrensabschluss bzw. bis zum Ablauf von Rechtsbehelfsfristen erfolgen. Personenbezogene Daten im Zusammenhang mit grundlos abgegebenen Hinweismeldungen werden unverzüglich gelöscht. Sofern gesetzliche Bestimmungen oder Anordnungen staatlicher Organe dies erforderlich machen, können personenbezogene Daten an diese herausgegeben werden.
Informationspflicht
In Bezug auf die Informationspflicht, sollten immer die Betroffenenrechte beachtet werden. Sowohl der Whistleblower als auch Verdächtigte und andere, deren Daten im Rahmen von Whistleblowing anfallen, haben entsprechende Rechte. Dies sind insbesondere Rechte auf Information, Berichtigung, Löschung sowie der Anspruch auf Vorkehrungen, die sicherstellen, dass nur die Personen informiert werden, die für Ermittlungen nötig sind.
Erlaubnis der deutschen Datenschutzbehörde
Die deutsche Datenschutzbehörde, Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), verpflichtet im Gegensatz zur der französischen Datenschutzbehörde, Commission Informatique et Libertés (CNIL) die Unternehmen in Deutschland nicht, spezielle Erlaubnisse für die Verarbeitung des Whistleblowing Systems vor der Verarbeitung an die BfDI zu schicken. Das Bundesdatenschutzgesetz gibt schon den Rahmen vor: Interne Verfahrensverzeichnisse von Verarbeitungstätigkeiten müssen von den für die Verarbeitung Verantwortlichen intern dokumentiert werden. Es ist die Rolle des Datenschutzbeauftragten, die Konformität mit dem BDSG innerhalb einer Organisation zu gewährleisten. Seine Rolle und Funktion ist auch im BDSG (§§ 5., 6 und 7. BDGS n.F.) klar definiert und ein Muss für einige öffentlichen und privaten Unternehmen. Dies ist zwar noch nicht der Fall im französischen Datenschutzgesetz. Allerdings ist dieser Unterschied im Rahmen der neuen EU-DSGVO hinfällig.
Gibt es finanzielle Anreize für Whistleblower?
Sind Belohnungen für Whistleblower wie in den USA möglich? In Deutschland dürfen keine Anreize gegeben werden. Belohnungen passen hier jedoch zum deutschen Arbeitsrecht und der Treupflicht. Informiert ein Arbeitnehmer etwa die Staatsanwaltschaft oder gar ausländische Behörden, ohne zuvor mit seinem Arbeitgeber über das Problem gesprochen zu haben, droht die fristlose Kündigung. Anders liegt der Fall, wenn eine interne Klärung dem Mitarbeiter nicht zugemutet werden kann.
Eine Hinweisgeberschutz-Regelegung gibt es in Deutschland nicht und daher auch keine automatische Entschädigung. Nichtsdestotrotz kann der Whistleblower eine Entschädigung erhalten, wenn nicht rechtmäßige oder unverhältnismäßige Sanktionen gegen den Whistleblower verhängt wurden.
Fazit
Jenseits der Komplexität und der Rechtsunsicherheit des Whistleblower Schutzes ermöglichen Hinweise die Identifikation von entsprechenden Risiken und Verstößen innerhalb eines Unternehmens. Nach zahlreichen Compliance Skandalen in der Presse und dem damit einhergehenden Reputationsverlust sowie Schäden, kann es nur lohnenswert sein, präventiv gegen Verstöße und Missbräuche zu kämpfen. Dafür bleibt das Whistleblowing-System weiterhin die richtige Lösung. Dabei ist bei der Implementierung sowohl der Top-Down wie auch der Bottom-Up Ansatz zu wählen. Dementsprechend sollte die Einführung auch mit viel Transparenz und Vertrauen kommuniziert werden. Dies ist eine herausfordernde, aber wichtige Aufgabe für jedes Unternehmen; in sorgfältiger Kooperation mit dem Vorstand, den Führungskräften, dem Betriebsrat und den Mitarbeitern. Nur so funktioniert gelebte Compliance ohne die Angst vor Hinweisen.
- Zurück
- Weiter