Whistleblowing-Hotline einrichten

– das gilt es nach DSGVO zu beachten

 

Der Begriff Whistleblowing taucht seit dem US-amerikanischen „Sarbanes-Oxley Act“ immer häufiger auf. Dieses Gesetz besagt, dass an der US-Börse gelistete Unternehmen ihren Mitarbeitern die Möglichkeit bieten müssen, über ein internes Verfahren, sprich: eine spezielle Plattform Fehlverhalten durch andere Personen bzw. Beschäftigte zu melden. Dieses Aufdecken von Fehlverhalten wird im Englischen als „whistle-blowing“ bezeichnet. Mittlerweile haben auch viele europäische Tochterunternehmen sowie weitere Dienstleistungsunternehmen diese Regel eingeführt.

 

Nationale und internationale Datenschutzrichtlinien

 

Wird ein Fehlverhalten durch einen Mitarbeiter gemeldet, erhebt das Unternehmen sowohl die Daten des Beschuldigten als auch die des Meldenden und von möglichen Zeugen. Das Unternehmen verarbeitet die Daten und gibt sie ggf. an die Strafverfolgungsbehörde weiter. Darüber hinaus besteht die Möglichkeit, dass das Unternehmen die Daten an Mutter- und Tochterunternehmen in anderen Ländern weitergibt. Aus diesem Grund sind die datenschutzrechtlichen Aspekte bei der Einrichtung einer Whistleblowing-Hotline nicht immer auf die nationalen Datenschutzrichtlinien begrenzt.

 

Rechtsgrundlagen - Whistleblowing-Hotline einrichten

 

Die Erhebung, Verarbeitung und Nutzung der Daten von Beschäftigten via Whistleblowing-Hotline ist grundlegend rechtens. Die Voraussetzungen für die zulässige Datensammlung sind im Artikel 88 Abs.1 DSGVO, § 26 Abs. 1 S. 2 BDSG neu geregelt. Dieser besagt u. a., dass bei einem dokumentierten Verdacht auf eine Straftat durch eine Person im Beschäftigungsverhältnis die Verarbeitung der Daten notwendig ist, um die Aufdeckung zu gewährleisten. Eine Bedingung für die Datenverarbeitung ist, dass das schutzwürdige Interesse der Person nicht überwiegt. D.h. die Straftat muss derartige Ausmaße haben, dass man die Datensammlung rechtfertigen und über das persönliche Interesse der Person stellen kann. Das Unternehmen muss bestimmen, welche Anlässe zu einer Meldung der verdächtigten Person führen (sollen). Diese Anlässe sind den Mitarbeitern mitzuteilen.

 

Die Unterrichtungs- und Auskunftspflichten gegenüber den Beteiligten

 

Das Unternehmen ist gegenüber seinen Mitarbeitern zur Auskunft verpflichtet, d. h. die Stelle muss den Zweck der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten erläutern. So steht es im Artikel 12/13 DSGVO. Darüber hinaus ist die Firma dazu verpflichtet, die Mitarbeiter über die Betriebsvereinbarungen sowie über die Ethik- und die Compliance-Regelungen bezüglich der Hotline zu unterrichten. Die Regelungen müssen so bekannt gemacht werden, dass jeder Mitarbeiter dazu in der Lage ist, sich mit dem Inhalt vertraut zu machen und zwar ohne dafür Aufwand betreiben zu müssen. Die Beschäftigten müssen auch über das Auskunftsrecht und das Berichtigungsrecht der beschuldigten Person informiert werden. Selbiges gilt für die Löschungsrechte.

 

Die Hinweise zum Whistleblowing müssen im Intranet sowie im Datenschutzmanagement-System des Unternehmens hinterlegt sein. Sie müssen jederzeit abrufbar sein. Des Weiteren sollen die Mitarbeiter via E-Mail, Aushänge und andere Kommunikationsformen über das Thema Whistleblowing informiert werden.

 

Die umgehende Information des Beschuldigten - Whistleblowing-Hotline einrichten

 

Sofern aufgrund einer Whistleblower-Meldung gegen eine Person ermittelt wird, ist diese nach Artikel 12, 14 DSGVO umgehend und umfassend darüber zu informieren. Nach Artikel 14 Abs. 5 lit. b S. 1 Hs. 2 Alt. 2 DSGVO darf diese Information zurückgehalten und eine längerfristige verdeckte Datenerhebung dann ermöglicht werden, wenn die frühzeitige, umfassende Information des Beschuldigten negative Auswirkungen auf die Untersuchung bzw. den Ermittlungserfolg hätte. Spätestens nach Abschluss der Untersuchungen ist der Informationspflicht gegenüber dem Beschuldigten aber unbedingt nachzukommen. Sollten die Informationen aus besagten Gründen zurückgehalten werden, bedürfen die Maßnahmen hierfür einer Dokumentation sowie einer Begründung. Diese Dokumentation und Begründung muss auf Nachfrage den Behörden ausgeliefert werden.

 

Informationen über den Hinweisgeber nur bei Falschaussagen

 

Es gilt zu beachten, dass weder der Hinweisgeber noch die am Verfahren beteiligten Personen gegenüber dem Beschuldigten zu nennen sind. Die Empfehlungen der Artikel-29-Datenschutzgruppe hierzu lauten, dass der Name des Whistleblowers gegenüber dem Beschuldigten nur dann genannt werden sollte, wenn es sich um eine absichtliche Falschaussage handelt. Andernfalls sollte die Identität des Whistleblowers stets gewahrt werden.

 

Artikel 11 DSGVO: die Information der Zeugen und des Whistleblowers

 

Auch potentielle Zeugen müssen vor der Befragung rechtlich in Kenntnis gesetzt werden und zwar nach Artikel 11 DSGVO. Dieser Artikel besagt außerdem, dass der Whistleblower über mögliche Empfänger der Informationen aufgeklärt werden muss. Der Whistleblower ist ebenso über die Folgen des Verfahrens-Missbrauchs sowie über die möglichen Disziplinarmaßnahmen in Kenntnis zu setzen.

 

Die Frist für die Löschung der Daten

 

Entfällt der Zweck für die Aufbewahrung (= die Beschuldigung bzw. die Straftat), sind die personenbezogenen Daten umgehend zu löschen (Artikel 4 Abs. 1 lit. e DSGVO). Das kann beispielsweise der Fall sein, wenn die Ermittlungen ergeben, dass der Verdacht gegen eine Person nicht begründet ist.

Allgemein sollten die Daten nicht später als zwei Monate nach dem Abschluss der Ermittlungen gelöscht werden. Die weitere Aufbewahrung ist nur zulässig, wenn die Daten für weitere rechtliche Schritte, wie die Einleitung eines Strafverfahrens oder Disziplinarverfahren notwendig sind.

 

Whistleblowing-Hotline einrichten – weitere Regelungen

 

Wichtige Aspekte, die es bei der Einrichtung einer Whistleblowing-Hotline zu beachten gilt:

 

• Die Mitbestimmungsrechte des Betriebsrates müssen beachtet werden.
• Artikel 35 DSGVO besagt, dass eine Folgenabschätzung durch den Datenschutzbeauftragten notwendig ist.
• Falls ein Dienstleister vorhanden ist: ADV mit diesem (Artikel 28 DSGVO).
• Die Hotline muss in das Verzeichnis der Verarbeitungstätigkeiten aufgenommen werden (Artikel 30 Abs.1 DSGVO).