Hinweisgeber und Datenschutz: Die Empfehlungen der deutschen Datenschutzbehörden
Im Mittelpunkt der Orientierungshilfe der deutschen Datenschutzbehörden stehen die Auswirkungen der DSGVO auf den Meldeprozess sowie auf die weitere Verarbeitung einer Meldung im Unternehmen zur Untersuchung des Vorwurfs. Gemäß Artikel 14 DSGVO dürfen Unternehmen personenbezogene Daten nicht erheben, ohne die Betroffenen über die Datenverarbeitung und deren Umfang in Kenntnis zu setzen. Das bedeutet, dass Unternehmen dazu verpflichtet sind, Beschuldigte über den Eingang einer Whistleblowing-Meldung gegen sie zu informieren.
Das Problem an dieser Regelung: Bei einer strikten Auslegung der DSGVO erfährt der Beschuldigte auch den Namen des Hinweisgebers, sodass die Vertraulichkeit einer Whistleblowing-Meldung verloren geht. Daher müssen Hinweisgeber im Meldeprozess eindeutig auf diese Einschränkung der Garantie der Vertraulichkeit aufmerksam gemacht werden.
Es ist allerdings zu befürchten, dass die fehlende Vertraulichkeit abschreckend auf potenzielle Hinweisgeber wirkt und dazu führen könnte, dass weniger Hinweise eingehen. Um weiterhin eine diskrete Hinweisübermittlung zu ermöglichen, empfehlen die Datenschutzbehörden deshalb digitale Hinweisgebersysteme zu nutzen, die anonyme Meldungen ermöglichen. Denn im Falle einer anonymen Meldung ist der Beschuldigte nur darüber zu informieren, dass eine (anonyme) Meldung über ihn eingegangen ist. Der Hinweisgeber bleibt also geschützt.
Die Frist für die Informationsweitergabe an den Beschuldigten beträgt 30 Tage nach Eingang des Hinweises. Ein Aufschub ist gemäß der Empfehlung nur dann erlaubt, wenn dadurch die Untersuchung des Vorwurfs oder die Beweissammlung gefährdet wäre. Verlangt die beschuldigte Person jedoch Auskunft über die zu ihrer Person gespeicherten Daten nach Artikel 15 DSGVO, besteht gemäß der Orientierungshilfe keine Möglichkeit für einen zeitlichen Aufschub der Informationspflicht.
Welche Anpassungen sind nun notwendig?
Auch wenn es sich bei der Orientierungshilfe der deutschen Datenschutzbehörden nicht um ein verbindliches Gesetz handelt, sollten Sie Ihren Prozess für Whistleblowing-Meldungen in Deutschland dennoch an die Empfehlungen anpassen. So stellen Sie zum einen sicher, dass Ihre Whistleblowing-Prozesse den Anforderungen der DSGVO entsprechen. Zum anderen schaffen Sie durch eine klare Kommunikation über die Verarbeitung der Daten von Whistleblowern und Beschuldigten Transparenz und Vertrauen bei Ihren Mitarbeitern und sorgen dafür, dass Sie auch weiterhin wertvolle Hinweise erhalten werden.
Wir empfehlen daher, die folgenden Maßnahmen umzusetzen:
- Implementieren Sie ein digitales Hinweisgebersystem: Nur so können Sie die Anonymität eines Hinweisgebers zu 100 % gewährleisten und verfügen dennoch über die Möglichkeit eines weiterhin anonymen Dialogs (Zwei-Wege-Kommunikation).
- Wenn Sie bereits ein digitales Hinweisgebersystem eingeführt haben: Ergänzen Sie den Meldeprozess um einen Disclaimer. In diesem muss deutlich auf die Pflicht zur Weitergabe der Identität des Hinweisgebers an den Beschuldigten aufmerksam gemacht werden, falls sich der Hinweisgeber für eine nicht-anonyme Meldung entscheidet. Für diesen Fall ist die Einwilligung zur Verarbeitung der personenbezogenen Daten explizit einzuholen. Zudem sollte der Hinweisgeber darauf hingewiesen werden, dass diese Einwilligung innerhalb von 30 Tagen wirksam widerrufen werden kann. Um die 30-Tage-Frist zur Information des Beschuldigten nicht zu verpassen, ist es außerdem empfehlenswert, automatische Erinnerungen an die bearbeitenden Personen einzurichten.
Leitfaden zur Einführung von Hinweisgebersystemen
Wie Sie erfolgreich ein Hinweisgebersystem in Ihrer Organisation einführen.