Whistleblowing: Aufdeckung von Rechtsverletzungen im Betrieb / 5 Datenschutzrechtliche Aspekte

Bei der Einrichtung eines Hinweisgebersystems sind zudem auch datenschutzrechtliche Aspekte^[1] zu berücksichtigen.

Personenbezogene Daten, insbesondere der von einem Hinweis betroffenen Person (die in die Datenverarbeitung nicht einwilligen kann), dürfen nur dann verarbeitet (mithin gespeichert oder weitergegeben) werden, wenn das Interesse des Unternehmens an der Verarbeitung der personenbezogenen Daten der betroffenen Person die Interessen der betroffenen Person an der Nichtverarbeitung ihrer personenbezogenen Daten überwiegt. Dies wird insbesondere bei Straftaten mit Unternehmensbezug der Fall sein, oder wenn Hinweisgebermeldungen und die Verarbeitung der entsprechenden personenbezogenen Daten explizit gesetzlich vorgesehen sind (z. B.gemäß EU-HinSchRL, HinSchG oder dem Lieferkettensorgfaltspflichtengesetz). Im Übrigen hat eine Interessenabwägung im Einzelfall zu erfolgen.

Lediglich in die Verarbeitung der eigenen personenbezogenen Daten kann und sollte die hinweisgebende Person datenschutzkonform einwilligen.^[2]

[1] Siehe hierzu die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates v. 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung – DSGVO), in Kraft seit 25.5.2018 und das gleichzeitig in Kraft getretene Bundesdatenschutzgesetz (BDSG-neu); Art. 1 des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 – DSAnpUG-EU).

[2] S. dazu auch Breinlinger/Krader, Whistleblowing – Chancen und Risiken bei der Umsetzung von anonym nutzbaren Hinweisgebersystemen im Rahmen des Compliance-Managements von Unternehmen, RDV 2006, S. 60.