Whistleblowing & Datenschutz: DSGVO gefährdet die Vertraulichkeit von Whistleblowern

Vertraulichkeit von Hinweisgebermeldungen wahren trotz DSGVO: Empfehlungen der deutschen Datenschutzaufsichtsbehörden

Christian Hasewinkel
  • Aktualisiert: 3. Mai 2024
  • 3 min
Auf einen Blick

Die Europäische Datenschutzgrundverordnung (DSGVO) macht auch vor dem Umgang mit Hinweisgebern keinen Halt. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder in Deutschland hat deshalb eine Orientierungshilfe für die Verarbeitung von Whistleblowing-Fällen in Unternehmen veröffentlicht. Wir erläutern die wichtigsten Kernaussagen der Empfehlung und zeigen auf, welche Anpassungen Unternehmen in puncto Whistleblowing vornehmen sollten.

GDPR and Whistleblowing teaser image person in spotlight | integrityline.com

Whistleblower und Datenschutz: Die Empfehlungen der deutschen Datenschutzbehörden

Im Mittelpunkt der Orientierungshilfe der deutschen Datenschutzbehörden stehen die Auswirkungen der DSGVO auf den Meldeprozess sowie auf die weitere Verarbeitung einer Meldung im Unternehmen zur Untersuchung des Vorwurfs. Gemäß Artikel 14 DSGVO dürfen Unternehmen personenbezogene Daten nicht erheben, ohne die Betroffenen über die Datenverarbeitung und deren Umfang in Kenntnis zu setzen. Das bedeutet, dass Unternehmen dazu verpflichtet sind, Beschuldigte über den Eingang einer Whistleblowing-Meldung gegen sie zu informieren. Das Problem an dieser Regelung: Bei einer strikten Auslegung der DSGVO erfährt der Beschuldigte auch den Namen des Hinweisgebers, sodass die Vertraulichkeit einer Whistleblowing-Meldung verloren geht. Daher müssen Hinweisgeber im Meldeprozess eindeutig auf diese Einschränkung der Garantie der Vertraulichkeit aufmerksam gemacht werden. Es ist allerdings zu befürchten, dass die fehlende Vertraulichkeit abschreckend auf potenzielle Hinweisgeber wirkt und dazu führen könnte, dass weniger Hinweise eingehen. Um weiterhin eine diskrete Hinweisübermittlung zu ermöglichen, empfehlen die Datenschutzbehörden deshalb Hinweisgebersysteme zu nutzen, die anonyme Meldungen ermöglichen. Denn im Falle einer anonymen Meldung ist der Beschuldigte nur darüber zu informieren, dass eine (anonyme) Meldung über ihn eingegangen ist. Der Hinweisgeber bleibt also geschützt. Die Frist für die Informationsweitergabe an den Beschuldigten beträgt 30 Tage nach Eingang des Hinweises. Ein Aufschub ist gemäß der Empfehlung nur dann erlaubt, wenn dadurch die Untersuchung des Vorwurfs oder die Beweissammlung gefährdet wäre. Verlangt die beschuldigte Person jedoch Auskunft über die zu ihrer Person gespeicherten Daten nach Artikel 15 DSGVO, besteht gemäß der Orientierungshilfe keine Möglichkeit für einen zeitlichen Aufschub der Informationspflicht.

Welche Anpassungen sind nun notwendig?

Auch wenn es sich bei der Orientierungshilfe der deutschen Datenschutzbehörden nicht um ein verbindliches Gesetz handelt, sollten Sie Ihren Prozess für Whistleblowing-Meldungen in Deutschland dennoch an die Empfehlungen anpassen. So stellen Sie zum einen sicher, dass Ihre Whistleblowing-Prozesse den Anforderungen der DSGVO entsprechen. Zum anderen schaffen Sie durch eine klare Kommunikation über die Verarbeitung der Daten von Whistleblowern und Beschuldigten Transparenz und Vertrauen bei Ihren Mitarbeitern und sorgen dafür, dass Sie auch weiterhin wertvolle Hinweise erhalten werden.

Wir empfehlen daher, die folgenden Maßnahmen umzusetzen:

  • Implementieren Sie ein digitales Hinweisgebersystem: Nur so können Sie die Anonymität eines Hinweisgebers zu 100 % gewährleisten und verfügen dennoch über die Möglichkeit eines weiterhin anonymen Dialogs (Zwei-Wege-Kommunikation)
  • Wenn Sie bereits ein digitales Hinweisgebersystem eingeführt haben: Ergänzen Sie den Meldeprozess um einen Disclaimer. In diesem muss deutlich auf die Pflicht zur Weitergabe der Identität des Hinweisgebers an den Beschuldigten aufmerksam gemacht werden, falls sich der Hinweisgeber für eine nicht-anonyme Meldung entscheidet. Für diesen Fall ist die Einwilligung zur Verarbeitung der personenbezogenen Daten explizit einzuholen. Zudem sollte der Hinweisgeber darauf hingewiesen werden, dass diese Einwilligung innerhalb von 30 Tagen wirksam widerrufen werden kann. Um die 30-Tage-Frist zur Information des Beschuldigten nicht zu verpassen, ist es außerdem empfehlenswert, automatische Erinnerungen an die bearbeitenden Personen einzurichten.

Best Practice: Whistleblowing und Datenschutz

Durch die Wiedergabe dieses Videos kann der Anbieter der Videoplattform, zu der Sie weitergeleitet werden, Cookies platzieren. Da Sie die Verwendung von Cookies abgelehnt haben, wurde die Wiedergabe des Videos blockiert, um Ihre Wahl zu respektieren. Wenn Sie fortfahren und das Video abspielen möchten, geben Sie bitte zunächst Ihre Zustimmung, indem Sie auf die Schaltfläche unten klicken.
Akzeptieren & Video abspielen

Leitfaden zur Einführung von Hinweisgebersystemen

Wie Sie erfolgreich ein Hinweisgebersystem in Ihrer Organisation einführen.

Jetzt herunterladen

Teilen Sie diesen Artikel auf:

Christian Hasewinkel
Head of Sales Compliance Services | EQS Group
Christian Hasewinkel ist seit fast 15 Jahren in der Digitalbranche tätig und verfügt über eine große Expertise in Software-as-a-Service-Lösungen. Seit Ende 2020 ist er als Teil der Geschäftsleitung verantwortlich für den Markterfolg des Compliance Produktprogramms.
Icon-linkedin Icon-xing Facebook Icon-iconmonstr-instagram-11 Icon-youtube

Kontaktieren Sie uns

EQS Group GmbH
Karlstr. 47
80333 München

Cookie-Präferenzen verwalten