Whistleblowing & Datenschutz: DSGVO gefährdet die Vertraulichkeit von Whistleblowern

Vertraulichkeit von Hinweisgebermeldungen wahren trotz DSGVO: Empfehlungen der deutschen Datenschutzaufsichtsbehörden

Christian Hasewinkel
Auf einen Blick

Die Europäische Datenschutzgrundverordnung (DSGVO) macht auch vor dem Umgang mit Hinweisgebern keinen Halt. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder in Deutschland hat deshalb eine Orientierungshilfe für die Verarbeitung von Whistleblowing-Fällen in Unternehmen veröffentlicht. Wir erläutern die wichtigsten Kernaussagen der Empfehlung und zeigen auf, welche Anpassungen Unternehmen in puncto Whistleblowing vornehmen sollten.

GDPR and Whistleblowing teaser image person in spotlight | integrityline.com

Whistleblower und Datenschutz: Die Empfehlungen der deutschen Datenschutzbehörden

Im Mittelpunkt der Orientierungshilfe der deutschen Datenschutzbehörden stehen die Auswirkungen der DSGVO auf den Meldeprozess sowie auf die weitere Verarbeitung einer Meldung im Unternehmen zur Untersuchung des Vorwurfs. Gemäß Artikel 14 DSGVO dürfen Unternehmen personenbezogene Daten nicht erheben, ohne die Betroffenen über die Datenverarbeitung und deren Umfang in Kenntnis zu setzen. Das bedeutet, dass Unternehmen dazu verpflichtet sind, Beschuldigte über den Eingang einer Whistleblowing-Meldung gegen sie zu informieren. Das Problem an dieser Regelung: Bei einer strikten Auslegung der DSGVO erfährt der Beschuldigte auch den Namen des Hinweisgebers, sodass die Vertraulichkeit einer Whistleblowing-Meldung verloren geht. Daher müssen Hinweisgeber im Meldeprozess eindeutig auf diese Einschränkung der Garantie der Vertraulichkeit aufmerksam gemacht werden. Es ist allerdings zu befürchten, dass die fehlende Vertraulichkeit abschreckend auf potenzielle Hinweisgeber wirkt und dazu führen könnte, dass weniger Hinweise eingehen. Um weiterhin eine diskrete Hinweisübermittlung zu ermöglichen, empfehlen die Datenschutzbehörden deshalb Hinweisgebersysteme zu nutzen, die anonyme Meldungen ermöglichen. Denn im Falle einer anonymen Meldung ist der Beschuldigte nur darüber zu informieren, dass eine (anonyme) Meldung über ihn eingegangen ist. Der Hinweisgeber bleibt also geschützt. Die Frist für die Informationsweitergabe an den Beschuldigten beträgt 30 Tage nach Eingang des Hinweises. Ein Aufschub ist gemäß der Empfehlung nur dann erlaubt, wenn dadurch die Untersuchung des Vorwurfs oder die Beweissammlung gefährdet wäre. Verlangt die beschuldigte Person jedoch Auskunft über die zu ihrer Person gespeicherten Daten nach Artikel 15 DSGVO, besteht gemäß der Orientierungshilfe keine Möglichkeit für einen zeitlichen Aufschub der Informationspflicht.

Welche Anpassungen sind nun notwendig?

Auch wenn es sich bei der Orientierungshilfe der deutschen Datenschutzbehörden nicht um ein verbindliches Gesetz handelt, sollten Sie Ihren Prozess für Whistleblowing-Meldungen in Deutschland dennoch an die Empfehlungen anpassen. So stellen Sie zum einen sicher, dass Ihre Whistleblowing-Prozesse den Anforderungen der DSGVO entsprechen. Zum anderen schaffen Sie durch eine klare Kommunikation über die Verarbeitung der Daten von Whistleblowern und Beschuldigten Transparenz und Vertrauen bei Ihren Mitarbeitern und sorgen dafür, dass Sie auch weiterhin wertvolle Hinweise erhalten werden.

Wir empfehlen daher, die folgenden Maßnahmen umzusetzen:

Best Practice: Whistleblowing und Datenschutz

Leitfaden zur Einführung von Hinweisgebersystemen

Wie Sie erfolgreich ein Hinweisgebersystem in Ihrer Organisation einführen.

Teilen Sie diesen Artikel auf:

Share on linkedin
Share on xing
Share on twitter
Share on facebook
Christian Hasewinkel
Head of Sales Compliance Services | EQS Group
Christian Hasewinkel ist seit fast 15 Jahren in der Digitalbranche tätig und verfügt über eine große Expertise in Software-as-a-Service-Lösungen. Seit Ende 2020 ist er als Teil der Geschäftsleitung verantwortlich für den Markterfolg des Compliance Produktprogramms.