Bei der Meldung von Hinweisen nach dem HinweisgeberInnenschutzgesetz (HSchG) werden personenbezogene Daten verarbeitet. Meldungen enthalten Informationen über natürliche Personen, die vermeintlich Rechtsverstöße begangen haben. Darüber hinaus können auch Informationen über den/die HinweisgeberIn und über Personen, die den/die HinweisgeberIn unterstützen, enthalten sein. Personen, die von solchen Meldungen betroffen sind, könnten dies als eine Beeinträchtigung ihrer Geheimhaltungsinteressen sehen. Das HSchG enthält einige spezifische Regelungen betreffend die Verarbeitung personenbezogener Daten, die nachstehend überblicksartig dargestellt werden.
Verarbeitung personenbezogener Daten zum Zweck von Whistleblowing
Das HSchG sieht vor, dass die Verarbeitung personenbezogener Daten zwecks Whistleblowing zulässig ist. Davon umfasst sind – soweit erforderlich – auch sensible sowie strafbezogene Daten.
Unternehmen, die im Rahmen eines Hinweisgebersystems – innerhalb der vom HSchG vorgegebenen Grenzen – personenbezogene Daten verarbeiten, dürfen sich daher auf den Erlaubnistatbestand der rechtlichen Verpflichtung (Art 6 Abs 1 lit c DSGVO) stützen. Wenn aber Hinweisgebersysteme z.B. weitere Meldemöglichkeiten vorsehen, können sich Unternehmen wohl nicht mehr auf die rechtliche Verpflichtung, aber unter Umständen auf die berechtigten Interessen (Art 6 Abs 1 lit f DSGVO) berufen.
Betroffenenrechte und Whistleblowing
Betroffene haben gegenüber dem/der für die Datenverarbeitung Verantwortlichen sogenannte Betroffenenrechte. Dabei handelt es sich z.B. um das Recht auf Information, Auskunft, Berichtigung oder Löschung. Würde man diese Rechte auch im Rahmen von Whistleblowing zulassen, bestünde das Risiko, dass einem Hinweis nicht mehr effektiv nachgegangen werden kann. Die Rechtsverfolgung wäre gefährdet. Ein weiteres Problem wäre, dass die Identität des/der Hinweisgebers/Hinweisgeberin offengelegt werden müsste, welche durch die Meldestellen ja gerade zu schützen ist. Der Gesetzgeber hat daher geregelt, dass im Bereich von Whistleblowing diese Betroffenenrechte nicht zur Anwendung kommen.
DSGVO-konforme Ausgestaltung des Hinweisgebersystems
Für den Betrieb eines Hinweisgebersystems haben Unternehmen entsprechende technische und organisatorische Maßnahmen im Sinne der DSGVO vorzusehen, umzusetzen und auf dem letzten Stand zu halten. Nur auf diese Weise kann die Vertraulichkeit der Identität von HinweisgeberInnen oder sonstigen involvierten Personen sichergestellt werden. Beispielsweise können Unternehmen Maßnahmen wie das Einführen von Zugangs-Berechtigungskonzepten, Verschlüsselungstechniken und ausreichende Protokollierungen vorsehen, oder spezielle interne organisatorische Abläufe festlegen.
Datenschutz-Folgenabschätzung für Hinweisgebersystem?
Die DSGVO sieht vor, dass Datenverarbeitungen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen zur Folge haben, einer Datenschutzfolgenabschätzung zu unterziehen sind. Ein solches Risiko ist unter anderem dann gegeben, wenn sensible oder strafbezogene personenbezogene Daten verarbeitet werden. Da beim Betrieb eines Hinweisgebersystems mit einer solchen Verarbeitung zu rechnen ist, wäre die Durchführung einer Datenschutzfolgenabschätzung grundsätzlich erforderlich. Diese Pflicht entfällt nach der DSGVO allerdings dann, wenn der Gesetzgeber bei Erlass einer Rechtsvorschrift bereits eine Datenschutzfolgenabschätzung durchgeführt hat. Mit Erlass des HSchG führte der Gesetzgeber bereits eine solche durch. Damit entfällt die Pflicht für Unternehmen, eine solche durchzuführen. Zu beachten ist aber, dass unter Umständen die Pflicht zur Durchführung einer Datenschutzfolgenabschätzung unabhängig davon bestehen kann. Dies könnte beispielsweise der Fall sein, wenn das Hinweisgebersystem über den gesetzlichen Mindestrahmen des HSchG hinausgeht.
Zusammenfassung
Es besteht ein Spannungsfeld zwischen Whistleblowing und Datenschutz. Dem sollten besondere Regelungen im HSchG entgegenwirken. Es bleiben aber zahlreiche Einzelfragen, besonders auch aus datenschutzrechtlicher Sicht, offen. Unternehmen sind jedenfalls gefordert, ein datenschutzkonformes Hinweisgebersystem zu implementieren.
Ihr KWR-Datenschutzteam unterstützt Sie gerne bei allen Fragen rund um das Thema Whistleblowing.
Weitere Blogbeiträge:
Whistleblowing aus arbeistrechtlicher Sicht
HinweisgeberInnenschutzgesetz (HSchG) – die Umsetzungsfrist naht
HinweisgeberInnenschutzgesetz im Nationalrat beschlossen!