03.09.2018 von

Neue Regeln der Datenschutzbehörden für Whistleblowing-Hotlines

Vor dem Hintergrund der Datenschutzgrundverordnung („DSGVO“) haben die deutschen Datenschutzbehörden eine neue Stellungnahme zu Whistleblowing-Hotlines veröffentlicht. Was sollten Unternehmen bei ihren Whistleblowing-Hotlines nun beachten?

Vor Inkrafttreten der DSGVO im Mai 2018 galt der Grundsatz, dass Whistleblower nicht dazu ermutigt werden sollten, anonyme Meldungen einzureichen. In einigen EU-Ländern, z.B. Portugal, war die anonyme Meldung sogar verboten.

Die Stellungnahme der deutschen Datenschutzbehörden kehrt diese Position nun um: Die Whistleblower müssen nun ermutigt werden, anonym zu berichten.

Die deutschen Datenschutzbehörden fordern zudem, dass ein Whistleblower, der eine Meldung unter Offenlegung seiner Identität einreicht, klar und deutlich darüber informiert werden muss, dass seine Identität auch gegenüber den Personen, die er in seinem Bericht erwähnt, als Quelle für deren personenbezogenen Daten offengelegt werden muss (Art. 14 DSGVO).

Für die deutschen Datenschutzbehörden ist diese Offenlegung aber nur dann zulässig, wenn der Whistleblower in diese Offenlegung eingewilligt.

Informationspflichten einhalten

Gemäß Art. 14 DSGVO muss der für die Verarbeitung Verantwortliche die betroffenen Personen informieren, wenn personenbezogene Daten nicht direkt bei den betroffenen Personen erhoben wurden. Unter anderem, muss der Verantwortliche darüber informieren, woher die personenbezogenen Daten stammen (Art. 14 Abs. 2 No. f) DSGVO).

Im Zusammenhang mit einer Whistleblowing Hotline besteht nach Meinung der deutschen Datenschutzbehörden deshalb eine Pflicht, dass der Whistleblower gegenüber den in einem Bericht genannten Personen, v.a. der beschuldigten Person, unter Namensnennung identifiziert wird. Daraus folgt, dass das Unternehmen dem Whistleblower nicht mehr zusichern kann, dass seine Identität vertraulich behandelt wird.

Ausdrücklicher Hinweis auf Offenlegung der Identität

Stattdessen muss man nun ausdrücklich darauf hinweisen, dass bei Offenlegung der Identität der Name des Whistleblowers dem Beschuldigten gegenüber mitgeteilt werden muss. Allerdings sehen die deutschen Datenschutzbehörden keine gesetzliche Rechtsgrundlage für ein Unternehmen, um den Namen des Whistleblowers dem Beschuldigten gegenüber mitzuteilen.

Insbesondere scheint weder eine gesetzliche Verpflichtung zur Offenlegung zu bestehen (beruhend auf Art. 6 Abs. 1 No. c) DSGVO i.V.m. Art. 14 Abs. 2 No. f) DSGVO) noch eine positive Interessensabwägung (gemäß Art. 6 Abs. 1 No. f) DSGVO) aufgrund der Anforderungen des Art. 14 Abs. 2 No. f) DSGVO.

Daher soll ein Unternehmen nur dann seinen Informationspflichten nach Art. 14 Abs. 1 lit. f DSGVO nachkommen können, wenn es eine Einwilligung des Whistleblowers zur Offenlegung seiner Identität eingeholt hat.

 

 

Zwei Möglichkeiten, eine Meldung über eine Whistleblowing Hotline einzureichen

Whistleblower haben mithin zwei Möglichkeiten, einen Bericht einzureichen:

  • Sie reichen die Meldung anonym ein, also ohne Namensnennung oder Angabe sonstiger Informationen, die eine Identifizierung erlauben
  • Sie reichen die Meldung unter Namensnennung ein, vorausgesetzt, die Whistleblower willigen zudem ein, dass das Unternehmen den im Bericht genannten Personen die Identität der Whistleblower offenlegen darf.

Es wird empfohlen, dass die Unternehmen zur anonymen Meldung ermutigen. Somit haben die deutschen Datenschutzbehörden ihre Position zur anonymen Berichterstattung um 180 Grad gedreht. Die früheren Argumente, denen zufolge anonyme Meldungen das Risiko von unbegründete Beschuldigung erhöht und die weiteren Untersuchung erschweren, wird nicht mehr aufgegriffen.

Umsetzung in der Praxis

Es ist unklar, wie Unternehmen diese neue Stellungnahme in der Praxis umsetzen sollen: 

  • Um das anonyme Meldesystem und das Einwilligungserfordernis bei einer nicht-anonymen Meldung zu implementieren, sollten Unternehmen die Einreichung von Meldungen nur über ein Online-Formular gestatten. Berichte per E-Mail geben über die E-Mail-Adresse i.d.R. die Identität des Whistleblowers preis.

    Außerdem erfordern Berichte per E-Mail oder Telefon zusätzliche Maßnahmen, um eine dokumentierte Einwilligung einholen zu können, falls der Berichterstatter seine Identität preisgeben möchte.

  • Es ist unklar, wie ein Unternehmen vorgehen soll, wenn beispielsweise die Compliance-Abteilung außerhalb der regulären Meldekanals eine Meldung per E-Mail erhält. Verpflichtet dieser Fall das Unternehmen dazu, sich an den Whistleblower zu wenden, um vor der weiteren Bearbeitung seine Einwilligung einzuholen? Oder ist das Unternehmen bei der Verweigerung der Einwilligung dann daran gehindert, die Meldung weiter zu untersuchen?
  • Es ist nicht klar, warum die deutschen Datenschutzbehörden ihre Interpretation von 14 Abs. 2 No. f) DSGVO nicht weiter ausgeführt haben. Warum etwa interpretieren sie „Informationen über die Quelle, aus der die personenbezogenen Daten stammen“ als Angabe der Identität der Quelle?

  • Es ist nicht klar, warum die deutschen Datenschutzbehörden keine Ausnahmen zu Art. 14 DSGVO diskutieren? 14 Abs. 5 No. b) DSGVO sieht beispielsweise eine Ausnahme von der Informationspflicht vor, wenn die Informationserteilung sich als unmöglich erweist, beispielsweise weil die Informationserteilung die Verwirklichung der Ziele der Datenverarbeitung unmöglich macht oder ernsthaft beeinträchtigt.

    Im Zusammenhang mit Whistleblowing Hotlines könnte man argumentieren, dass eine Offenlegung der Identität des Whistleblowers dazu führen würde, dass die Mitarbeiter aus Sorge vor Vergeltungsmaßnahmen keine potentiellen Compliance-Verstößen über eine Whistleblowing Hotline mehr melden werden.

  • Außerdem ist unklar, ob sich die deutschen Datenschutzbehörden nach Art. 60 und 63 DSGVO mit den anderen europäischen Datenschutzbehörden für ein einheitliches europäisches Datenschutzrecht abgestimmt haben. Nach unserem Kenntnisstand scheint das nicht der Fall gewesen zu sein.

Vor diesem Hintergrund wird es für deutsche Unternehmen eine Herausforderung, die Sichtweise der deutschen Datenschutzbehörden in die Praxis umzusetzen. Ob der Europäische Datenschutzausschuss das Thema in Kürze aufgreifen wird und eine europa-weit abgestimmte Stellungnahme zu Whistleblowing Hotlines unter der DSGVO veröffentlichen wird, bleibt abzuwarten.

Autor:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.