Datenschutz beim Whistleblowing

Stefan Hessel

Das Thema Whistleblowing beschäftigt zurzeit viele Unternehmen. Bereits seit 2019 existiert die Richtlinie (EU) 2019/1937 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (Whistleblower-Richtlinie). Nun plant Deutschland die Umsetzung der Richtlinie in Form eines Hinweisgeberschutzgesetzes (PDF) (HinSchG). Dass man bei der Implementierung der Vorgaben im Unternehmen einiges falsch machen kann, zeigt ein Fall aus Italien. Wegen Datenschutzverstößen beim Umgang mit Whistleblowern verhängte die dortige Datenschutzaufsichtsbehörde gegen ein Krankenhaus und einen IT-Dienstleister Bußgelder in Höhe von 40.000 Euro.

Die Whistleblower-Richtlinie

Die Whistleblower-Richtlinie verpflichtet Unternehmen mit mehr als 50 Mitarbeitern dazu, mindestens einen Meldeweg einzurichten. Nach Art. 9 Whistleblower-Richtlinie müssen die internen Meldekanäle so sicher konzipiert sein, dass die Vertraulichkeit der Identität des Hinweisgebers und Dritter, die in der Meldung erwähnt werden, gewahrt bleibt. Meldungen müssen mündlich und schriftlich möglich sein – dabei kann sich das Unternehmen auch web- oder intranetbasierter Systeme bedienen. Für diese gelten grundsätzlich auch die Vorgaben der DSGVO.

Datenschutzverstöße

Unzureichend berücksichtigt wurde dies durch ein italienisches Krankenhaus. Bei der Einrichtung der erforderlichen internen Meldewege griff dieses auf einen IT-Dienstleister zurück, der eine Software in der Cloud bereitstellte. Diese Software konnte nur über das Firmennetz aufgerufen werden. Über die entsprechenden Firewall-Systeme besteht daher die Möglichkeit, potenzielle Hinweisgeber zu identifizieren. Dies widerspricht nach Auffassung der italienischen Datenschutzaufsichtsbehörde den von Art. 25 DSGVO geforderten Anforderungen an Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen. Weitere Probleme bestanden darin, dass das Unternehmen, das den Whistleblowing-Dienst anbot, mit einem IT-Dienstleister zusammenarbeitete, ohne einen Auftragsverarbeitungsvertrag abzuschließen. Ferner wurde dem Krankenhaus vorgeworfen, keine Datenschutz-Folgenabschätzung durchgeführt zu haben. Eine solche ist nach Art. 35 DSGVO erforderlich, wenn eine Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Wegen der Sensibilität der Daten und des hohen persönlichen Risikos von Hinweisgebern spricht vieles dafür, diese bei Einrichtung von Meldewegen für erforderlich zu halten.

Spannungsfeld zwischen DSGVO und Whistleblower-Richtlinie

Über den italienischen Fall hinaus bestehen weitere datenschutzrechtliche Herausforderungen bei der Umsetzung der Whistleblower-Richtlinie. Eine Meldung enthält regelmäßig Informationen über den Hinweisgeber, sodass der Anwendungsbereich der DSGVO eröffnet ist. Dies gilt häufig jedoch nicht nur für den Hinweisgeber selbst, sondern auch in Bezug auf dritte Personen. Gerade im Interesse der Sachverhaltsaufklärung kann es geboten sein, diese zunächst nicht zu informieren, insbesondere wenn etwa einem Unternehmensmitarbeiter ein Fehlverhalten angelastet wird. Nach Art. 14 und Art. 15 DSGVO bestünden in diesem Fall jedoch eigentlich Informations- und Auskunftspflichten gegenüber dem Dritten. Dabei kommt es auf eine sorgfältige Prüfung an, welche datenschutzrechtliche Pflichten im Einzelfall hinter die Whistleblower-Richtlinie zurücktreten müssen.

Was sollten Unternehmen beachten?

Auch in Deutschland wird in absehbarer Zeit die Whistleblower-Richtlinie in nationales Recht umgesetzt. Unternehmen sollten sich daher schon jetzt mit den neuen Vorgaben auseinandersetzen. Besondere Aufmerksamkeit sollte dabei neben der technischen Umsetzung und Einrichtung von Meldewegen auf den datenschutzrechtlichen Vorgaben liegen. Dazu dürfte regelmäßig auch die Durchführung einer Datenschutz-Folgenabschätzung gehören. Nicht zuletzt verdeutlicht der italienische Fall erneut, dass Unternehmen sich in datenschutzrechtlicher Hinsicht nicht blind auf externe IT-Dienstleister verlassen sollten.

[Juli 2022]