Whistleblower und Datenschutz: Die Empfehlungen der deutschen Datenschutzbehörden
Welche Anpassungen sind nun notwendig?
Auch wenn es sich bei der Orientierungshilfe der deutschen Datenschutzbehörden nicht um ein verbindliches Gesetz handelt, sollten Sie Ihren Prozess für Whistleblowing-Meldungen in Deutschland dennoch an die Empfehlungen anpassen. So stellen Sie zum einen sicher, dass Ihre Whistleblowing-Prozesse den Anforderungen der DSGVO entsprechen. Zum anderen schaffen Sie durch eine klare Kommunikation über die Verarbeitung der Daten von Whistleblowern und Beschuldigten Transparenz und Vertrauen bei Ihren Mitarbeitern und sorgen dafür, dass Sie auch weiterhin wertvolle Hinweise erhalten werden.
Wir empfehlen daher, die folgenden Maßnahmen umzusetzen:
- Implementieren Sie ein digitales Hinweisgebersystem: Nur so können Sie die Anonymität eines Hinweisgebers zu 100 % gewährleisten und verfügen dennoch über die Möglichkeit eines weiterhin anonymen Dialogs (Zwei-Wege-Kommunikation)
- Wenn Sie bereits ein digitales Hinweisgebersystem eingeführt haben: Ergänzen Sie den Meldeprozess um einen Disclaimer. In diesem muss deutlich auf die Pflicht zur Weitergabe der Identität des Hinweisgebers an den Beschuldigten aufmerksam gemacht werden, falls sich der Hinweisgeber für eine nicht-anonyme Meldung entscheidet. Für diesen Fall ist die Einwilligung zur Verarbeitung der personenbezogenen Daten explizit einzuholen. Zudem sollte der Hinweisgeber darauf hingewiesen werden, dass diese Einwilligung innerhalb von 30 Tagen wirksam widerrufen werden kann. Um die 30-Tage-Frist zur Information des Beschuldigten nicht zu verpassen, ist es außerdem empfehlenswert, automatische Erinnerungen an die bearbeitenden Personen einzurichten.
Best Practice: Whistleblowing und Datenschutz
Leitfaden zur Einführung von Hinweisgebersystemen
Wie Sie erfolgreich ein Hinweisgebersystem in Ihrer Organisation einführen.