Am 16. Dezember 2022 beschloss der Bundestag den Gesetzesentwurf zum Hinweisgeberschutz („HinSchG-E“). Die Zustimmung des Bundesrats steht noch aus. Unternehmen sollten sich schon jetzt mit den Anforderungen des HinSchG-E auseinandersetzen und ggf. die Anpassung oder Einrichtung interner Meldekanäle anstoßen.
Bei der Anpassung oder Einrichtung interner Meldekanäle sind auch datenschutzrechtliche Anforderungen zu berücksichtigen. Denn Meldungen über Hinweisgebersysteme beinhalten regelmäßig die Verarbeitung personenbezogener Daten, z.B. die der hinweisgebenden Person oder der Person, die Gegenstand der Meldung ist.
Es wird sich noch zeigen, wie sich die Datenschutzbehörden zum Thema Whistleblowing nach Inkrafttreten der Whistleblowing-Richtlinie und betreffend das HinSchG-E positionieren werden. Doch schon jetzt sind Unternehmen gut beraten, datenschutzrechtliche Aspekte früh in ihre Planung mit aufzunehmen, um den datenschutzrechtlichen Anforderungen gerecht zu werden, besonders der Datenschutzgrundverordnung („DSGVO“).
Unternehmen sollten bzw. müssen v.a. Folgendes aus datenschutzrechtlicher Sicht berücksichtigen, wenn sie Hinweisgebersysteme einrichten:
Rechtsgrundlage für die Verarbeitung analysieren
Meldungen über Hinweisgebersysteme beinhalten regelmäßig Verarbeitungen personenbezogener Daten. Daher müssen Unternehmen prüfen, ob sie hierfür eine Rechtsgrundlage haben.
Soweit ein Unternehmen personenbezogene Daten verarbeitet, um eine rechtliche Verpflichtung zu erfüllen, kann es typischerweise Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage heranziehen. Dass ein Unternehmen eine interne Meldestelle einrichten muss, kann v.a. aus § 12 HinSchG-E resultieren.
Soweit es keine rechtliche Verpflichtung gibt, z.B. bei Meldungen von Verstößen, die vom HinSchG-E oder anderen spezifischen Gesetzen nicht umfasst sind, müssen Unternehmen prüfen, ob sie die Verarbeitung auf eine andere Rechtsgrundlage stützen können. Das kann z.B. Art. 6 Abs. 1 lit. f DSGVO sein, der eine Verarbeitung erlaubt, wenn dies zur Wahrung berechtigter Interessen des Unternehmens erforderlich ist und die Interessen der betroffenen Person nicht überwiegen.
Datenschutzerklärungen entwerfen oder überarbeiten
Unternehmen sollten ihre Datenschutzerklärungen daraufhin überprüfen, dass sie alleerforderlichen Informationen nach Art. 13/14 DSGVO auch i.Z.m. dem Hinweisgebersystem enthalten.
In das Verzeichnis von Verarbeitungstätigkeiten aufnehmen und Datenschutzfolgenabschätzung durchführen
Unternehmen sollten darauf achten, dass das Verzeichnis von Verarbeitungstätigkeiten die mit dem Hinweisgebersystem einhergehende Verarbeitung personenbezogener Daten enthält. Nach der Orientierungshilfe zu Whistleblowing Hotlines der deutschen Datenschutzbehörden – veröffentlicht im Jahr 2018, also noch vor Inkrafttreten der Whistleblowing-Richtlinie – muss für ein Hinweisgebersystem eine Datenschutzfolgenabschätzung durchgeführt werden.
Datenschutzrechtliche Verträge abschließen und anpassen
I.Z.m. dem Hinweisgebersystem oder der anschließenden Untersuchung kann es dazu kommen, dass ein Unternehmen personenbezogene Daten z.B. an eine andere Konzerngesellschaft oder externe Dienstleister übermittelt, etwa an den Anbieter eines Hinweisgebersystems. Unternehmen müssen dann ggf. zusätzlich zur Analyse der Rechtsgrundlage (siehe oben) prüfen, ob und welche Art von datenschutzrechtlichen Verträgen ggf. abzuschließen sind (z.B. Auftragsverarbeitungsverträge nach Art. 28 DSGVO oder Verträge für gemeinsam Verantwortliche gemäß Art. 26 DSGVO).
Löschkonzept aus- oder überarbeiten
Unternehmen sollten außerdem auch ein Löschkonzept für die personenbezogenen Daten, die im Rahmen des Hinweisgebersystems verarbeitet werden, entwickeln oder ein bestehendes Löschkonzept überarbeiten. § 11 Abs. 5 HinSchG-E sieht vor, dass die Dokumentation drei Jahre nach Abschluss des Verfahrens gelöscht wird.
Mit Betroffenenrechten umgehen, v.a. mit dem Auskunftsrecht
Nach Art. 15 DSGVO haben betroffene Personen ein Auskunftsrecht im Hinblick auf die Verarbeitung der personenbezogenen Daten, die sie betreffen. § 8 HinSchG-E enthält ein Vertraulichkeitsgebot. Danach müssen interne Meldestellen u.a. die Vertraulichkeit der Identität der hinweisgebenden Person wahren.
Die Folge: Unternehmen können so in das Spannungsfeld zwischen Auskunftsrecht und Vertraulichkeitsgebot geraten. Es ist an den Unternehmen zu prüfen, ob und inwieweit im Einzelfall eine Ausnahme bzw. Beschränkung des Auskunftsrechts in Frage kommt. Die endgültige Fassung des HinSchG-E steht noch aus. Es wird sich zeigen, wie sich die Datenschutzbehörden zum Thema Whistleblowing positionieren.