Obligations Under Data Prrotection Laws and Possible Stumbling Blocks When it Comes to Whistleblowing Datenschutzrechtliche Pflichten & mögliche Stolperfallen beim Whistleblowing


In German

Mit dem Inkrafttreten des Hinweisgeberschutzgesetzes (HinSchG) am 2. Juli 2023 stehen Unternehmen vor neuen datenschutzrechtlichen Herausforderungen. Regelmäßig enthalten bei einer Meldestelle eingehende Hinweise personenbezogene Daten. Dazu gehören insbesondere der Name des Hinweisgebers (sofern kein anonymer Hinweis erfolgte) und Angaben zum Sachverhalt sowie zu betroffenen Personen. Diese Daten müssen auch im Interesse des Unternehmens – als potenzieller Adressat von Bußgeldern und Schadensersatzansprüchen – in Übereinstimmung mit den Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) erfasst und verarbeitet werden.

Vorgaben bei der Einrichtung und dem Betreiben einer Meldestelle

Im Folgenden zeigen wir wesentliche Aspekte auf, die bei der Einrichtung und dem Betrieb einer Meldestelle berücksichtigt werden sollten.

Informations- und Auskunftspflichten

Das Spannungsfeld zwischen datenschutzrechtlichen Vorgaben und dem Hinweisgeberschutz wird besonders im Rahmen Auskunftspflichten deutlich.

Werden durch Eingang einer Meldung personenbezogene Daten ohne Kenntnis der betroffenen Personen erhoben, besteht die Pflicht des Beschäftigungsgebers, die betroffene Person umfassend über die Erhebung und Verarbeitung der Daten zu informieren, insbesondere über die Zwecke und die Quelle, aus der die Informationen stammen (Art. 14 Abs. 1 und 2 DSGVO). Damit müssten Beschäftigungsgeber sowohl den Inhalt einer Meldung als auch die Identität des Hinweisgebers von sich aus offenlegen.

Typischerweise werden aufgrund der Meldung eines Hinweisgebers zunächst personenbezogene Daten ohne Kenntnis der betroffenen Person (z.B. gemeldete Personen oder Zeugen) verarbeitet. In diesem Fall besteht gem. Art. 14 DSGVO für das Unternehmen die Pflicht, die betroffene Person umfassend über die Umstände der Verarbeitung zu informieren. Die Informationspflicht bezieht sich dabei insbesondere auch auf die Quelle, aus der die Informationen stammen. Damit besteht die Gefahr besteht, dass eine frühzeitige Mitteilung die Aufklärung des Sachverhalts gefährdet werden könnte. Es gibt jedoch Ausnahmen von der Informationspflicht, wenn dadurch Informationen offenbart würden, die ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen (§ 29 Abs. 1 BDSG) oder wenn dadurch voraussichtlich die Verwirklichung der Ziele der Verarbeitung unmöglich gemacht oder ernsthaft beeinträchtigt werden (Art. 14 Abs. 5 DSGVO).

Zudem haben Betroffene im Rahmen der Auskunftspflicht (Art. 15 DSGVO) einen Anspruch auf Information über die Herkunft der Daten sowie ggf. auf eine Kopie der verarbeiteten personenbezogenen Daten. Auch hiervon gibt es jedoch Ausnahmen, insbesondere soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen (§ 29 Abs. 1 BDSG).

Der entscheidende Punkt in diesen Zusammenhang ist die Geheimhaltung der Identität des Hinweisgebers. Die Auskunfts- und Informationspflicht beinhaltet grundsätzlich auch die Offenlegung der Datenherkunft, was bedeutet, dass auch die Identität des Hinweisgebers preisgegeben werden müsste. Jedoch müssen diese Verpflichtungen in Einklang mit dem Vertraulichkeitsgebot des Hinweisgeberschutzgesetzes gebracht werden kann. Bei Nichteinhaltung der Geheimhaltungspflicht drohen dem Verantwortlichen Bußgelder. Gleichzeitig können bei Nichterfüllung der datenschutzrechtlichen Informations- und Auskunftspflicht ebenfalls Bußgelder verhängt werden. Es ist essentiell, derartige Spannungsfelder frühzeitig zu erkennen und praktikable Lösungen für Meldestellen zu finden.

Ein überwindbares Spannungsfeld

Die Einhaltung datenschutzrechtlicher Vorgaben stellt eine Grundvoraussetzung effektiven Hinweisgeberschutzes dar. Es ist daher unerlässlich, diese Vorgaben bei der Einrichtung und dem Betrieb einer Meldestelle genau im Blick zu halten. Die Stolperfallen, welche sich an den vielen Schnittstellen des Hinweisgeberschutzes und Datenschutzes ergeben, sind jedoch nicht unüberwindbar. Vielmehr sind sie durch eine frühzeitige Auseinandersetzung mit datenschutzrechtlichen Anforderungen zu meistern. Letztlich lassen sich durch eine gute Datenschutzpraxis nicht nur Bußgelder oder Schadensersatzansprüche vermeiden; sie bildet auch die Grundlage für ein Klima in dem Hinweisgeber sich sicher fühlen, um Missstände frühzeitig aufzuzeigen.

Manuela Baiker ist Mitautorin und Rechtsreferendarin. Vor ihrer Tätigkeit bei McDermott studierte Manuela Rechtswissenschaften an der Universität zu Köln mit Schwerpunkt Völker- und Europarecht. Ihr Masterstudium absolvierte Manuela in Italien und Schweden.

View Original


© 2024 McDermott Will & Emery
National Law Review, Volume XIII, Number 196