Daten­schutz beim Whistleblowing

Das The­ma Whist­leb­lowing beschäf­tigt zur­zeit vie­le Unter­neh­men. Bereits seit 2019 exis­tiert die Richt­li­nie (EU) 2019/1937 zum Schutz von Per­so­nen, die Ver­stö­ße gegen das Uni­ons­recht mel­den (Whistleblower-Richtlinie). Nun plant Deutsch­land die Umset­zung der Richt­li­nie in Form eines Hin­weis­ge­ber­schutz­ge­set­zes (PDF) (Hin­SchG). Dass man bei der Imple­men­tie­rung der Vor­ga­ben im Unter­neh­men eini­ges falsch machen kann, zeigt ein Fall aus Ita­li­en. Wegen Daten­schutz­ver­stö­ßen beim Umgang mit Whist­leb­lo­wern ver­häng­te die dor­ti­ge Daten­schutz­auf­sichts­be­hör­de gegen ein Kran­ken­haus und einen IT-Dienstleister Buß­gel­der in Höhe von 40.000 Euro.

Die Whistleblower-Richtlinie

Die Whistleblower-Richtlinie ver­pflich­tet Unter­neh­men mit mehr als 50 Mit­ar­bei­tern dazu, min­des­tens einen Mel­de­weg ein­zu­rich­ten. Nach Art. 9 Whistleblower-Richtlinie müs­sen die inter­nen Mel­de­ka­nä­le so sicher kon­zi­piert sein, dass die Ver­trau­lich­keit der Iden­ti­tät des Hin­weis­ge­bers und Drit­ter, die in der Mel­dung erwähnt wer­den, gewahrt bleibt. Mel­dun­gen müs­sen münd­lich und schrift­lich mög­lich sein – dabei kann sich das Unter­neh­men auch web- oder intra­net­ba­sier­ter Sys­te­me bedie­nen. Für die­se gel­ten grund­sätz­lich auch die Vor­ga­ben der DSGVO.

Daten­schutz­ver­stö­ße

Unzu­rei­chend berück­sich­tigt wur­de dies durch ein ita­lie­ni­sches Kran­ken­haus. Bei der Ein­rich­tung der erfor­der­li­chen inter­nen Mel­de­we­ge griff die­ses auf einen IT-Dienstleister zurück, der eine Soft­ware in der Cloud bereit­stell­te. Die­se Soft­ware konn­te nur über das Fir­men­netz auf­ge­ru­fen wer­den. Über die ent­spre­chen­den Firewall-Systeme besteht daher die Mög­lich­keit, poten­zi­el­le Hin­weis­ge­ber zu iden­ti­fi­zie­ren. Dies wider­spricht nach Auf­fas­sung der ita­lie­ni­schen Daten­schutz­auf­sichts­be­hör­de den von Art. 25 DSGVO gefor­der­ten Anfor­de­run­gen an Daten­schutz durch Tech­nik­ge­stal­tung und daten­schutz­freund­li­che Vor­ein­stel­lun­gen. Wei­te­re Pro­ble­me bestan­den dar­in, dass das Unter­neh­men, das den Whistleblowing-Dienst anbot, mit einem IT-Dienstleister zusam­men­ar­bei­te­te, ohne einen Auf­trags­ver­ar­bei­tungs­ver­trag abzu­schlie­ßen. Fer­ner wur­de dem Kran­ken­haus vor­ge­wor­fen, kei­ne Datenschutz-Folgenabschätzung durch­ge­führt zu haben. Eine sol­che ist nach Art. 35 DSGVO erfor­der­lich, wenn eine Ver­ar­bei­tung, ins­be­son­de­re bei Ver­wen­dung neu­er Tech­no­lo­gien, auf­grund der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung vor­aus­sicht­lich ein hohes Risi­ko für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen zur Fol­ge hat. Wegen der Sen­si­bi­li­tät der Daten und des hohen per­sön­li­chen Risi­kos von Hin­weis­ge­bern spricht vie­les dafür, die­se bei Ein­rich­tung von Mel­de­we­gen für erfor­der­lich zu halten.

Span­nungs­feld zwi­schen DSGVO und Whistleblower-Richtlinie

Über den ita­lie­ni­schen Fall hin­aus bestehen wei­te­re daten­schutz­recht­li­che Her­aus­for­de­run­gen bei der Umset­zung der Whistleblower-Richtlinie. Eine Mel­dung ent­hält regel­mä­ßig Infor­ma­tio­nen über den Hin­weis­ge­ber, sodass der Anwen­dungs­be­reich der DSGVO eröff­net ist. Dies gilt häu­fig jedoch nicht nur für den Hin­weis­ge­ber selbst, son­dern auch in Bezug auf drit­te Per­so­nen. Gera­de im Inter­es­se der Sach­ver­halts­auf­klä­rung kann es gebo­ten sein, die­se zunächst nicht zu infor­mie­ren, ins­be­son­de­re wenn etwa einem Unter­neh­mens­mit­ar­bei­ter ein Fehl­ver­hal­ten ange­las­tet wird. Nach Art. 14 und Art. 15 DSGVO bestün­den in die­sem Fall jedoch eigent­lich Informations- und Aus­kunfts­pflich­ten gegen­über dem Drit­ten. Dabei kommt es auf eine sorg­fäl­ti­ge Prü­fung an, wel­che daten­schutz­recht­li­che Pflich­ten im Ein­zel­fall hin­ter die Whistleblower-Richtlinie zurück­tre­ten müssen.

Was soll­ten Unter­neh­men beachten?

Auch in Deutsch­land wird in abseh­ba­rer Zeit die Whistleblower-Richtlinie in natio­na­les Recht umge­setzt. Unter­neh­men soll­ten sich daher schon jetzt mit den neu­en Vor­ga­ben aus­ein­an­der­set­zen. Beson­de­re Auf­merk­sam­keit soll­te dabei neben der tech­ni­schen Umset­zung und Ein­rich­tung von Mel­de­we­gen auf den daten­schutz­recht­li­chen Vor­ga­ben lie­gen. Dazu dürf­te regel­mä­ßig auch die Durch­füh­rung einer Datenschutz-Folgenabschätzung gehö­ren. Nicht zuletzt ver­deut­licht der ita­lie­ni­sche Fall erneut, dass Unter­neh­men sich in daten­schutz­recht­li­cher Hin­sicht nicht blind auf exter­ne IT-Dienstleister ver­las­sen soll­ten.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.