Anforderungen an eine Whistleblowing-Hotline nach DSGVO

Fachbeitrag

Dieser Artikel beschäftigt sich damit, was Unternehmen ab Mai 2018 bei der Einrichtung von Whistleblowing-Hotlines zu beachten haben. Außerdem werden im Folgenden die Informationspflichten gegenüber den Betroffenen dargestellt.

Was versteht man unter Whistleblowing

Unser Artikel „Whistleblowing“ vermittelt übersichtlich Grundlagen zum Thema Whistleblowing . Grundsätzlich geht es beim Whistleblowing darum, Mitarbeitern eine Plattform zur Verfügung zu stellen, über die sie verbotenes Verhalten ihrer Kollegen melden können.

Datenschutzrechtliche Aspekte

Bei der Angabe von Verstöße gegen Verhaltensregeln werden in der Regel personenbezogene Daten der Beschuldigten, etwaiger Zeugen und auch des Meldenden durch das betroffene Unternehmen erhoben, verarbeitet und genutzt und ggf. an Strafverfolgungsbehörden weitergegeben. Auch kann es sein, dass die so erhobenen Daten an Mutter-oder Tochterunternehmen im EU-Ausland, oder in Drittstaaten weitergegeben werden. Dabei stellen sich dann auch Fragen des internationalen Datenschutzes.

Rechtsgrundlagen

Die Erhebung, Verarbeitung und Nutzung von Beschäftigtendaten mit Whistleblowing-Hotlines ist auch nach der neuen Rechtslage unter den Voraussetzungen des Artikel 88 Abs.1 DSGVO, § 26 Abs. 1 S. 2 BDSG-neu grundsätzlich zulässig. Danach dürfen zur Aufdeckung von Straftaten Beschäftigtendaten nur dann erhoben, verarbeitet und genutzt werden

„wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.“

Anlässe für Meldungen (z.B. Erfüllung eines Straftatbestands, oder Verstoß gegen Code of Conduct) dieser Art sind festzulegen und den Mitarbeitern bekannt zu machen.

Unterrichtungs- und Auskunftspflichten

Information der Mitarbeiter

Die verantwortliche Stelle muss die Mitarbeiter über die Zweckbestimmung der Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten unterrichten (Artikel 12/13 DSGVO). Betriebsvereinbarung oder Compliance- oder Ethikregelungen über die Whistleblowing-Hotline muss das Unternehmen so bekannt machen, dass sämtliche Mitarbeiter in der Lage sind, sich ohne besondere Umstände mit dem Inhalt vertraut zu machen. Außerdem müssen die Beschäftigten immer über das Auskunftsrecht, das Berichtigungsrecht und die Löschungsrechte der Betroffenen unterrichtet werden.

Nach einer Stellungnahme des Europäischen Datenschutzbeauftragten kann unter Umständen sogar ein Hinweis auf der Unternehmenswebseite z.B. im Rahmen der Datenschutzerklärung notwendig sein. In jedem Fall, sollten die Hinweise zum Whistleblowing im Intranet und im Datenschutzmanagementsystem hinterlegt und für die Mitarbeiter zum Abruf bereit sein. Außerdem sollten die Mitarbeiter auch aktiv über das Whistleblowing informiert werden, entweder durch E-Mail oder durch Aushändigung eines schriftlichen Hinweises.

Information der beschuldigten Person

Werden gegen einen Beschäftigten auf Grund von Whistleblowermeldungen verdeckte Untersuchungen durchgeführt, ist er nach Artikel 12, 14 DSGVO hierüber umfassend zu informieren. Das gilt unabhängig von der Anhörung vor eventuell zu ergreifenden Personalmaßnahmen.

In bestimmten Fällen kann sich aber eine umfassende Information des Beschuldigten im Frühstadium nachteilig auf die Untersuchung auswirken und ggf. sogar den Ermittlungserfolg gefährden. Dann darf die Bereitstellung Informationen an den Betroffenen nach Artikel 14 Abs. 5 lit. b S. 1 Hs. 2 Alt. 2 DSGVO zurückgehalten werden, was dem Verantwortlichen eine längerfristig verdeckte Datenerhebung ermöglicht.

Zu beachten ist in diesem Zusammenhang, dass Artikel 14 Abs. 5 lit. b S. 1 Hs. 2 Alt. 2 DSGVO nur so lange anwendbar ist, wie der Ermittlungserfolg tatsächlich gefährdet ist. Damit sind spätestens nach Abschluss der Ermittlungen die Informationspflichten zu erfüllen. Die Gründe für die Einschränkungen der Informationspflicht sind vor der Maßnahme zu dokumentieren und zu begründen. Laut dem Europäischen Datenschutzbeauftragten muss diese Dokumentation auf Anfrage im Rahmen einer Kontrolle der Behörden zur Verfügung stehen.

Allerdings gilt es auch zu beachten, dass die Beteiligten am Verfahren und der Hinweisgeber dem Beschuldigten in der Regel nicht genannt werden sollten. So empfiehlt die Artikel-29-Gruppe:

„Under no circumstances can the person accused in a whistleblower’s report obtain information about the identity of the whistleblower …except where the whistleblower maliciously makes a false statement. Otherwise, the whistleblower’s confidentiality should always be guaranteed.“

Information von Zeugen

Auch sollten potentielle Zeugen vor der Befragung im Verfahren nach Artikel 11 DSGVO informiert werden.

Information des Whistleblowers

Der Whistleblower ist nach Artikel 11 DSGVO über mögliche Empfänger oder Kategorien von Empfängern zu informieren. Außerdem sollte er über die Folgen einer missbräuchlichen Nutzung des Whistleblowing-Verfahrens und mögliche Disziplinarmaßnahmen informiert werden.

Löschung

Personenbezogene Daten müssen nach Artikel 4 Abs. 1 lit. e DSGVO gelöscht werden, sobald der Zweck für die Aufbewahrung entfällt. Dies trifft z.B. dann zu, wenn sich während des Verfahrens herausstellt, dass der Verdacht nicht begründet ist. In diesem Fall sollten die Daten sofort nach Kenntnis gelöscht werden.

Generell sollten Daten spätestens nach 2 Monaten nach Abschluss der Untersuchung gelöscht werden. Eine darüber hinausgehende Speicherung ist nur für die Dauer der Klärung erforderlicher weiterer rechtlicher Schritte wie Disziplinarverfahren oder Einleitung von Strafverfahren zulässig.

Fazit

Die folgenden Punkte sollten aus Datenschutzsicht bei der Einführung einer Whistleblowing-Hotline berücksichtigt werden:

  • Folgenabschätzung durch den Datenschutzbeauftragten erforderlich (Artikel 35 DSGVO)
  • Aufnahme ins Verzeichnis der Verarbeitungstätigkeiten (Artikel 30 Abs.1 DSGVO)
  • Informationsrechte der Beteiligten wahren (Artikel 11, 12, 13, 14 DSGVO)
  • Mitbestimmungsrechte des Betriebsrates beachten
  • ADV mit dem Dienstleister(falls vorhanden) (Artikel 28 DSGVO)
  • Daten sollten maximal 2 Monate nach Abschluss der Ermittlungen gespeichert bleiben, wenn keine weiteren Schritte eingeleitet werden.

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

Ein Kommentar zu diesem Beitrag

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.