Die Europäische Datenschutzgrundverordnung (DSGVO) macht auch vor dem Umgang mit Whistleblowern keinen Halt. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder in Deutschland hat deshalb eine Orientierungshilfe für die Verarbeitung von Whistleblowing-Fällen in Unternehmen veröffentlicht. Wir erläutern die wichtigsten Punkte der Empfehlung und zeigen auf, welche Anpassungen Unternehmen vornehmen sollten.

Hinweisgeber und Datenschutz: Die Empfehlungen der deutschen Datenschutzbehörden

Im Mittelpunkt der Orientierungshilfe der deutschen Datenschutzbehörden stehen die Auswirkungen der DSGVO auf den Meldeprozess sowie auf die weitere Verarbeitung einer Meldung im Unternehmen zur Untersuchung des Vorwurfs. Gemäß Artikel 14 DSGVO dürfen Unternehmen personenbezogene Daten nicht erheben, ohne die Betroffenen über die Datenverarbeitung und deren Umfang in Kenntnis zu setzen. Das bedeutet, dass Unternehmen dazu verpflichtet sind, Beschuldigte über den Eingang einer Whistleblowing-Meldung gegen sie zu informieren.

Das Problem an dieser Regelung: Bei einer strikten Auslegung der DSGVO erfährt der Beschuldigte auch den Namen des Hinweisgebers, sodass die Vertraulichkeit einer Whistleblowing-Meldung verloren geht. Daher müssen Hinweisgeber im Meldeprozess eindeutig auf diese Einschränkung der Garantie der Vertraulichkeit aufmerksam gemacht werden.

Es ist allerdings zu befürchten, dass die fehlende Vertraulichkeit abschreckend auf potenzielle Whistleblower wirkt und dazu führen könnte, dass weniger Hinweise eingehen. Um weiterhin eine diskrete Hinweisübermittlung zu ermöglichen, empfehlen die Datenschutzbehörden deshalb Hinweisgebersysteme zu nutzen, die anonyme Meldungen ermöglichen. Denn im Falle einer anonymen Meldung ist der Beschuldigte nur darüber zu informieren, dass eine (anonyme) Meldung über ihn eingegangen ist. Der Whistleblower bleibt also geschützt.

Die Frist für die Informationsweitergabe an den Beschuldigten beträgt 30 Tage nach Eingang des Hinweises. Ein Aufschub ist gemäß der Empfehlung nur dann erlaubt, wenn dadurch die Untersuchung des Vorwurfs oder die Beweissammlung gefährdet wäre. Verlangt die beschuldigte Person jedoch Auskunft über die zu ihrer Person gespeicherten Daten nach Artikel 15 DSGVO, besteht gemäß der Orientierungshilfe keine Möglichkeit für einen zeitlichen Aufschub der Informationspflicht.

Welche Anpassungen sind nun notwendig?

Auch wenn es sich bei der Orientierungshilfe der deutschen Datenschutzbehörden nicht um ein verbindliches Gesetz handelt, sollten Sie Ihren Prozess für Whistleblowing-Meldungen in Deutschland dennoch an die Empfehlungen anpassen. So stellen Sie zum einen sicher, dass Ihre Whistleblowing-Prozesse den Anforderungen der DSGVO entsprechen. Zum anderen schaffen Sie durch eine klare Kommunikation über die Verarbeitung der Daten von Whistleblowern und Beschuldigten Transparenz und Vertrauen bei Ihren Mitarbeitern und sorgen dafür, dass Sie auch weiterhin wertvolle Hinweise erhalten werden.

Wir empfehlen daher, die folgenden Maßnahmen umzusetzen:

  • Implementieren Sie ein digitales Whistleblowing-System: Nur so können Sie die Anonymität eines Hinweisgebers zu 100 % gewährleisten und verfügen dennoch über die Möglichkeit eines weiterhin anonymen Dialogs (Zwei-Wege-Kommunikation).
  • Wenn Sie bereits ein digitales Whistleblowing-System eingeführt haben: Ergänzen Sie den Meldeprozess um einen Disclaimer. In diesem muss deutlich auf die Pflicht zur Weitergabe der Identität des Hinweisgebers an den Beschuldigten aufmerksam gemacht werden, falls sich der Whistleblower für eine nicht-anonyme Meldung entscheidet. Für diesen Fall ist die Einwilligung zur Verarbeitung der personenbezogenen Daten explizit einzuholen. Zudem sollte der Hinweisgeber darauf hingewiesen werden, dass diese Einwilligung innerhalb von 30 Tagen wirksam widerrufen werden kann. Um die 30-Tage-Frist zur Information des Beschuldigten nicht zu verpassen, ist es außerdem empfehlenswert, automatische Erinnerungen an die bearbeitenden Personen einzurichten.

Unser digitales Hinweisgebersystem EQS Integrity Line erfüllt alle Anforderungen der Orientierungshilfe der deutschen Datenschutzbehörden. Kontaktieren Sie uns gerne für weitere Informationen und eine unverbindliche Demo unseres Whistleblowing-Systems.