DSGVO und Hinweisgebersysteme

Konflikt zwischen Richtlinie und DSGVO

Die EU-Whistleblower-Richtlinie sieht vor, dass die Identität von Hinweisgebern zu wahren ist. Die Richtlinie will einen umfassenden Schutz von Hinweisgebern ermöglichen. Die Vertraulichkeit der Daten, der meldenden Person ist daher ein sehr wichtiger Punkt. In Art. 16 Abs. 1 der Whistleblower-Richtlinie findet sich das sog. Vertraulichkeitsgebot. Danach soll die Identität des Hinweisgebers ohne seine ausdrückliche Zustimmung gegenüber keiner anderen Person preisgegeben werden.

Im Gegensatz hierzu steht die Datenschutzgrundverordnung (DSGVO). Nach der DSGVO darf keine Sammlung von personenbezogenen Daten erfolgen, ohne die betroffene Person über die Verarbeitung ihrer Daten zu informieren. Es besteht eine Informationspflicht, diese ergibt sich aus Art. 14 DSGVO. Für die verantwortlichen Stellen bedeutet dies, dass beim Eingang eines Hinweises, durch den eine andere Person eines Fehlverhaltens beschuldigt wird, dieser Beschuldigte eigentlich über den Eingang der Meldung informiert werden muss. Insbesondere müsste dabei auch die Information erfolgen, wer die Meldung eingereicht hat.

Hier entsteht also ein Konflikt zwischen dem Vertraulichkeitsgebot der Richtlinie und der Erfüllung der Informationspflichten nach der DSGVO. Wird der Beschuldigte umfassend über den Hinweis informiert, kann dies zum einen die weiteren Ermittlungen zum vorgeworfenen Fehlverhalten behindern. Zum anderen wird bei entsprechender Mitteilung der Identität des Hinweisgebers an den Beschuldigten das Vertraulichkeitsgebot der EU-Whistleblower-Richtlinie verletzt. Demnach soll der Hinweisgeber gerade anonym bleiben können und in der Folge vor befürchteten negativen Folgen geschützt werden.

Würde die Identität des Hinweisgebers tatsächlich in jedem Fall offengelegt werden müssen, hätte dies möglichweise zur Folge, dass weniger Hinweise eingereicht werden – dies ist wiederum nicht im Sinne der EU-Whistleblower-Richtlinie. Auch die verpflichteten Unternehmen und öffentlichen Stellen haben ein Interesse daran, dass Hinweisgeber nicht davor zurückschrecken, Meldungen einzureichen. Nur so können Fehlverhalten und Missstände frühzeitig erkannt und beseitigt werden.

Hinweisgebersysteme als Lösung

Eine Lösung kann hier die Einführung eines Hinweisgebersystems sein, welches es ermöglicht, Hinweise anonymisiert einzureichen. So kann der Hinweisgeber selbst entscheiden, ob er anonym melden will oder nicht. Gibt der Hinweisgeber seine Identität nicht preis, kann diese auch dem Beschuldigten nicht mitgeteilt werden.

Die deutschen Datenschutzbehörden haben für die Lösung des Konflikts eine Orientierungshilfe herausgegeben und favorisieren die beschriebene Lösung durch die Einführung eines Hinweisgebersystems.

Aufgrund einer anonymisierten Meldung muss der Beschuldigte lediglich über die Verarbeitung seiner Daten wegen eines eingegangenen Hinweises informiert werden.

Whistleblowing-Prozesse anpassen

Die Orientierungshilfe der deutschen Datenschutzbehörden ist nicht verpflichtend, dennoch sollten Sie den Empfehlungen folgen. So passen Sie Ihre Prozesse an die Anforderungen der Datenschutzgrundverordnung an:

Wurde bereits ein Hinweisgebersystem implementiert, sollte ein entsprechender Disclaimer ergänzt werden. Dieser sollte darauf hinweisen, dass nach der DSGVO die Pflicht besteht, Beschuldigte auch über die Identität des Hinweisgebers aufzuklären, soweit der Hinweis nicht anonym erfolgt ist.

Auch vom Hinweisgeber selbst muss eine Einwilligung zur Verarbeitung seiner Daten gemäß Art. 7 DSGVO eingeholt werden. Er hat dabei eine Frist zum Widerruf von 30 Tagen, auf die er ebenfalls hinzuweisen ist.

Wurde im Unternehmen noch kein Prozess für die Meldung von Hinweisen eingeführt, so empfiehlt es sich, ein digitales Hinweisgebersystem zu implementieren. Das tell it Hinweisgebersystem ermöglicht die anonyme Meldung von Hinweisen und unterstützt Sie gern bei der Einrichtung Ihres internen Meldekanals.