linkedIn Logo   LINKEDIN
facebook LogoFACEBOOK
XING LogoXING
23.Mai 2023 | Team Datenschutz | Thema: Datenschutz

Die kleine Reihe: Whistleblowing-Richtlinie Teil 3

Schlagwörter: DSGVO | EU-Richtlinie | Gesetz | kleine Reihe

Im zweiten Teil der Reihe „Whistleblowing“ hatten wir die Kerninhalte der EU-Whistleblowing-Richtlinie und des nationalen Hinweisgeberschutzgesetzes zusammengestellt. Im dritten und letzten Teil dieser Reihe betrachten wir die datenschutzrechtlichen Anforderungen, die die Einführung und der Betrieb eines Hinweisgebersystems mit sich bringen.

Die Whistleblowing-Richtlinie gibt hierbei den Rahmen vor: Die Verarbeitung von personenbezogenen Daten im gesamten Meldeprozess muss den Anforderungen der DSGVO genügen. Aber was bedeutet dies nun konkret?

Implementierung des Hinweisgebersystems

Bei der Auswahl eines geeigneten Hinweisgebersystems sind die Datenschutz-Grundsätze nach Art. 5 DSGVO zu beachten: z.B. Zweckfestlegung, Datenminimierung, Speicherbegrenzung, Löschung, Integrität und Vertraulichkeit. Dies beinhaltet die Auswahl geeigneter technischer und organisatorischer Schutzmaßnahmen, die auf den Schutzbedarf der verarbeiteten personenbezogenen Daten abgestimmt sind. Als Maßstab hierfür kann das Vertraulichkeitsgebot gem. § 8 HinSchG herangezogen werden. Die Meldestellen sind verpflichtet, die Vertraulichkeit der Identität der hinweisgebenden Person sowie der Personen, die Gegenstand einer Meldung sind und sonstiger in der Meldung genannten Personen zu wahren. Hinweisgeber haben damit einen Anspruch auf umfangreiche Schutzwirkung. Vertraulichkeit ist aber nicht mit Anonymität gleichzusetzen. Die Bereitstellung eines anonymen Meldekanals ist eine zusätzliche Anforderung an das Hinweisgebersystem.

Da der Schutzbedarf der im Whistleblowing-Verfahren verarbeiteten Daten als sehr hoch eingestuft werden muss, sind besondere Schutzmaßnahmen zur Risikominimierung, wie z.B. Pseudonymisierung oder Verschlüsselung, erforderlich.

Technische Anforderungen an ein Meldesystem sind u.a.:

  • Meldekanäle müssen so konzipiert sein, dass Unbefugte keinen Zugriff haben (Berechtigungskonzept).
  • Identität des Hinweisgebers muss geschützt sein, d.h. ausschließlich mit der Fallbearbeitung betraute Personen sind zur Kenntnisnahme berechtigt.
  • Eine anonyme Kontaktaufnahme und Kommunikation mit der hinweisgebenden Person muss möglich sein (oder alternativ: Ombudsperson).
  • Technische Meldesysteme müssen Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen umsetzen (privacy-by-design und by-default).

Art des Meldekanals

Als interne Meldekanäle können prinzipiell ein zentrales E-Mail-Konto, eine zentrale Telefonnummer, Briefkasten, Benennung einer Ombudsperson oder technische Lösungen in Betracht kommen. Eine Kombination ist möglich und sinnvoll, zumal neben einem schriftlichen und mündlichen Meldeweg auf Wunsch des Hinweisgebers auch ein persönlicher Austausch möglich sein muss.

Der oder die Meldekanäle können intern oder im Konzernverbund betrieben oder an einen Dienstleister ausgelagert werden.

Datenschutzverträge

Wird das Hinweisgeber-Verfahren an Dritte ausgelagert, ist zu prüfen, ob diese Verschwiegenheitspflichten als Berufsgeheimnisträger unterliegen (z.B. Rechtsanwälte), anderenfalls kann es erforderlich sein, Datenschutz- und ggf. Geheimhaltungsverträge abzuschließen. Beachtet werden muss, dass Konzernunternehmen zueinander als „Dritte“ zu werten sind, sodass bei Auslagerung des Meldeprozesses an ein konzernzugehöriges Unternehmen ggf. ebenfalls ein Datenschutzvertrag erforderlich wird. Ob es sich um eine Auftragsverarbeitung handelt, hängt wie immer vom konkreten Auftrag ab: Ist der Auftragsverarbeiter Empfänger und Verwalter der Meldungen ohne eigenständige Entscheidungshoheit, so handelt es sich um eine Auftragsverarbeitung. In anderen Konstellationen kommen „gemeinsame Verantwortung“ und „eigene Verantwortung“ in Betracht.

Datenschutzfolgenabschätzung

Nach Einschätzung der Datenschutzkonferenz (DSK) stellen Hinweisgebersysteme grundsätzlich eine besondere Gefahr für die Rechte und Freiheiten natürlicher Personen dar. Daher müssen Verantwortliche eine Datenschutz-Folgenabschätzung (DSFA) durchführen, bevor sie ein Hinweisgebersystem einführen. Die DSFA ist zu dokumentieren. Der/ die Datenschutzbeauftragte kann und sollte zur Unterstützung hinzugezogen werden.

Mitbestimmung beachten

Bei der Einführung technischer Einrichtungen, die dazu bestimmt sind, Arbeitsverhalten oder Leistung der Beschäftigten zu überwachen, steht dem Betriebsrat ein Mitbestimmungsrecht zu (§ 87 BetrVG). Unternehmen, die eine Arbeitnehmervertretung installiert haben, müssen bei der Einführung von Hinweisgebersystemen zwingend den Betriebsrat beteiligen.

Richtlinie oder Betriebsvereinbarung

Für den Umgang mit dem Hinweisgeberschutzsystem sollten für die Beschäftigten Umsetzungshinweise in Form einer Richtlinie oder einer Betriebsvereinbarung bereitgestellt werden. Informiert werden sollte über zulässige Meldeinhalte, den meldeberechtigten Personenkreis, über die vom HinSchG umfassten Rechtsgebiete und die Grenzen des Hinweisgeberrechts. Transparenz sollte auch darüber hergestellt werden, wie ein solches Verfahren abläuft, z.B. wie die Daten geschützt werden, welcher Personenkreis für die Bearbeitung zuständig ist oder wie Betroffene zu den Vorwürfen Stellung nehmen können. Ebenso sollte über die Konsequenzen des Missbrauchs des Meldekanals informiert werden.

Informations- bzw. Unterrichtungspflichten

Vor Einführung des Hinweisgeber-Verfahrens müssen Verantwortliche ihre Beschäftigten allgemein über die Verarbeitung von personenbezogenen Daten informieren (Datenschutzinformation nach Art. 13 DSGVO).

Bei eingehenden Meldungen im Hinweisgebersystem kommt die Pflicht für Verantwortliche hinzu, die betroffene Person („Beschuldigte/r“) zu informieren. Gem. Art. 14 DSGVO umfasst dies folgende Informationen: Herkunft der Daten, Verarbeitungszwecke und Rechtsgrundlagen, Datenkategorien, Speicherdauer und Empfänger.

Die Unterrichtungspflicht entfällt jedoch, wenn das Risiko erheblich wäre, dass eine wirksame Untersuchung des Vorwurfs und die Zusammenstellung der erforderlichen Beweise damit gefährdet werden. Die Rechtsgrundlage ergibt sich aus Art. 14 Abs. 5 lit. b DSGVO. Sobald der Grund für den Aufschub entfällt (z.B. Abschluss der Ermittlungen), ist die Information nachzuholen. Liegen keine Anhaltspunkte vor, dass eine Beeinträchtigung oder Gefährdung der Sachverhaltsklärung absehbar sind, so muss die beschuldigte Person innerhalb eines Monats nach Eingang der Meldung informiert werden (Art. 14 Abs. 3 lit. a DSGVO).

Ergänzend dazu schränkt das BDSG die Informationspflichten des Arbeitgebers wirksam ein. Eine Informationspflicht besteht demnach nicht, „soweit durch ihre Erfüllung Informationen offenbart würden, die ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen“ (§ 29 Abs.1 Satz 1 BDSG). In diesem Fall wäre eine Interessenabwägung erforderlich.

Prinzipiell von der Informationspflicht nicht umfasst ist die Identität der hinweisgebenden Person (siehe Auskunftspflichten).

Dokumentationspflichten

Der Verantwortliche unterliegt einer Rechenschaftspflicht: Alle eingegangenen Meldungen sind in dauerhaft abrufbarer Weise unter Beachtung des Vertraulichkeitsgebots gem. § 8 HinSchG zu dokumentieren. Diese Dokumentation beinhaltet alle Schritte, die im Zusammenhang mit der Meldung und Aufklärung des Vorfalls unternommen wurden.

Dies umfasst zum Beispiel die Eingangsbestätigungen (nach 7 Tagen) und Rückmeldungen über ergriffene sowie geplante Folgemaßnahmen (innerhalb von 3 Monaten) an die meldende Person.

Telefonische Meldungen dürfen als Sprachaufzeichnung oder genaue Niederschrift nur mit Einwilligung der hinweisgebenden Person dokumentiert werden. Liegt keine Einwilligung vor, so ist der Verantwortliche berechtigt, den gemeldeten Fall in Form eines Inhaltsprotokolls zu speichern.

Dokumentationen sind zwei Jahre nach Abschluss des Verfahrens zu löschen.

Anonyme Meldungen

Das HinSchG fordert die Möglichkeit, Meldungen auch anonym vornehmen zu können. Diese Verpflichtung soll jedoch erst zum 1. Januar 2025 in Kraft treten.

Anonyme Meldungen stellen für den Verantwortlichen eine erhebliche Herausforderung dar. Soll eine solche Meldung per Briefkasten, Telefon oder Ombudsmann erfolgen, lässt sich die Anonymität nicht sicher gewährleisten. So kann der Zeitpunkt der Nutzung eines Briefkastens oder die Stimme am Telefon selbst mit unterdrückter Rufnummer Rückschlüsse auf Personen ermöglichen. Erschwerend kommt hinzu, dass sachverhaltsklärende Rückfragen und das Versenden von Eingangsbestätigungen nicht möglich sind. Als Alternative steht damit nur ein digitales Hinweisgebersystem zur Verfügung.

Auskunftsrechte

Betroffene Personen, d.h. sowohl hinweisgebende als auch beschuldigte Personen, können gem. Art. 15 DSGVO ihr Auskunftsrecht in Anspruch nehmen und Informationen zu den über sie gespeicherten Daten, die Herkunft der Daten und die Empfänger anfordern. Dieses Auskunftsrecht gemäß DSGVO kollidiert jedoch mit dem gesetzlich verankerten Schutz der Sicherstellung der Identität einer hinweisgebenden Person des HinSchG.

Die Lösungsansätze sehen folgendermaßen aus:

Das Vorliegen eines Geheimhaltungsgrundes führt nicht zwangsläufig zu dem Recht, die geforderte Auskunft zu verweigern. Zur Entscheidung, ob ein überwiegendes Geheimhaltungsinteresse auf der einen Seite oder ein vorrangiges Auskunftsrecht auf der anderen Seite vorliegt, ist eine Abwägung im Einzelfall erforderlich.

Ansatz 1: Laut Hinweisgeberschutzgesetz ist die Vertraulichkeit der Identität der hinweisgebenden, der beschuldigten sowie sonstiger im Zusammenhang mit der Meldung genannten Personen zu wahren (§ 8 HinSchG). Angaben zu beteiligten Personen unterliegen damit einer strengen Vertraulichkeit, d.h. die Weitergabe von Informationen, die zur direkten oder indirekten Preisgabe der Identität der Personen führt, ist untersagt. Das HinSchG entfaltet hier vorrangige Wirkung und ist durch § 29 Abs. 1 S. 2 BDSG gedeckt („nach einer Rechtsvorschrift … geheim gehalten werden müssen“). Eine gesonderte Interessenabwägung ist nicht erforderlich.

Ansatz 2: Eine Auskunftsverpflichtung des Verantwortlichen kann entfallen, wenn durch die Auskunft Informationen offenbart werden würden, die wegen der überwiegenden berechtigten Interessen eines Dritten geheim gehalten werden müssen (§ 29 Abs. 1 S. 2 BDSG). Zu beachten ist dabei, dass eine Auskunftsverweigerung, die auf dieser Ausnahmeregelung beruht, zu begründen ist. Der Verantwortliche muss das überwiegende Geheimhaltungsinteresse nachweisen und begründen können, welche Datenarten zum Schutz der Identität welcher Person der Vertraulichkeit unterliegen. Ggf. sind Teilauskünfte zu erteilen.

Datenlöschung

Wie bei anderen Datenverarbeitungen auch gilt, dass personenbezogene Daten nicht länger aufbewahrt werden sollen als dies erforderlich und verhältnismäßig ist. Auch für die Verarbeitung „Whistleblowing“ ist somit ein Löschkonzept erforderlich.

Verzeichnis der Verarbeitungstätigkeiten

Die Verarbeitung muss in das Verzeichnis von Verarbeitungstätigkeiten aufgenommen werden.

Fazit:

Bei der Implementierung des Whistleblowing-Prozesses im Unternehmen sollten unbedingt die datenschutzrechtlichen Vorgaben beachtet werden, um Bußgeldrisiken zu minimieren. Der/die Datenschutzbeauftragte und/ oder Compliance-Beauftragte sollten frühzeitig in die Planung und Implementierung des Meldesystems einbezogen werden. Eine Kombination der Meldekanäle ist möglich und sinnvoll. Am ehesten erfüllt werden die Anforderungen des HinSchG durch Einrichtung eines IT-gestützten Systems oder die Beauftragung einer Ombudsperson mit externer Telefonnummer.

Technische Systeme müssen den Anforderungen des Art. 25 DSGVO gerecht werden (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen). Aufgrund des hohen Schutzbedarfs der verarbeiteten personenbezogenen Daten, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen beinhalten, müssen angemessene technische und organisatorische Schutzmaßnahmen (wie Verschlüsselung, Pseudonymisierung, ggf. Anonymisierung) umgesetzt und eine Datenschutz-Folgenabschätzung durchgeführt werden.

Beispiel für ein bereits verhängtes Bußgeld und die Begründung

Die Italienische Datenschutzbehörde verhängte im April 2022 je ein Bußgeld in Höhe von 40.000 EUR gegen ein öffentliches Krankenhaus (Azienda ospedaliera di Perugia) und dessen IT-Dienstleister.

Die Datenschutzbehörde hatte in verschiedenen Organisationen den Einsatz von Whistleblowing-Systemen in Bezug auf Datenschutzkonformität geprüft. Ein zentraler Prüfgegenstand war die Gewährleistung der Vertraulichkeit von Meldungen.

Das von der Klinik implementierte Meldesystem, eine webbasierte Open-Source-Anwendung, wies diesbezüglich grobe Mängel auf. Missachtet wurden u.a. die Datenschutzgrundsätze „Integrität und Vertraulichkeit“ und „Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen“. Zur Begründung hieß es, dass das Krankenhaus es versäumt habe, angemessene technische und organisatorische Maßnahmen umzusetzen, die die spezifischen Risiken der Verarbeitung berücksichtigen und damit ein angemessenes Schutzniveau der verarbeiteten Daten sicherstellen. Aufgrund nicht ordnungsgemäß konfigurierter Geräte wurden Browserdaten der Nutzer aufgezeichnet und in Firewall-Protokollen gespeichert. Dementsprechend konnten die Nutzer der App sowie die potenziellen Hinweisgeber nachverfolgt werden.

Weitere, in die Bußgeldentscheidung eingehende Kritikpunkte waren, dass weder eine Datenschutz-Folgenabschätzung durchgeführt noch ein Datenschutzvertrag mit dem Dienstleister abgeschlossen wurden. Ebenso wenig wurden die Beschäftigten über die Verarbeitung informiert (Art. 13 und 14 DSGVO) noch konnte eine Dokumentation der Verarbeitung im Verarbeitungsverzeichnis nachgewiesen werden.

Siehe auch Teil 1  und Teil 2 dieser Kleinen Reihe.

Quellen:

EU-Richtlinie „Whistleblowing“ (WB-RL)

Hinweisgeberschutzgesetz (HinschG) und Stand des Gesetzgebungsverfahrens:  https://www.bmj.de/SharedDocs/Gesetzgebungsverfahren/DE/Hinweisgeberschutz.html

Datenschutzgrundverordnung (DSGVO)

Bundesdatenschutzgesetz (BDSG)

zurück
Themen
Schlagwörter
DSGVORechtsgrundlagenTADPFSicherheitTippsEuGH-UrteilRechtsprechungprocado-internEU-RichtlinieGesetzSicherheitsrisikoKommentarGirls-Daykleine ReiheSocial MediaDatenschutzverstossBussgeldAkademieIHKSchulungenManaged Service ProviderMSPVerarbeitungsverzeichnisDatentransferEU-US Privacy Shield 2.0IT-SicherheitIT-SupportCybercrimePhishingSocial EngeneeringAufsichtsbehördenMicrosoft 365AbmahnungGoogle Fontsprivate E-Mail-NutzungTKGLogistikTrackingOffenlegungRechtswidrige AnfragenTransparenzberichtHistorischesAuftragsverarbeitungMonitoringCovidkuriosesJobJahresrückblick
Wir beim 21. Berliner FirmenlaufgwigwiPrivacy Shield 2.0 aka „TADPF“