Wenn Ende dieses Jahres die EU-Hinweisgeberrichtlinie – auch als Whistleblower-Richtlinie bekannt – , auf nationaler Ebene umgesetzt werden muss, wird dies von deren Befürwortern und Befürworterinnen als großer Schritt in Richtung Arbeits- und Kündigungsschutz gewertet. Kritische Stimmen hingegen bemängeln die nicht vollumfänglich geklärte Gesetzesregelung, unter anderem auch im Spannungsfeld mit der seit 2018 geltenden DSGVO. Denn die EU-Hinweisgeberrichtlinie soll einerseits den Schutz des Hinweisgebers gewährleisten, gleichzeitig und andererseits aber muss sie DSGVO-konform sein.
Was müssen betroffene Unternehmen (und damit potenzielle Mandanten) bezüglich des Spannungsfelds und der Implementierung von Hinweisgebersystemen beachten?
Betroffen von der neuen Gesetzgebung sind in Deutschland derzeit rund 80.000 Unternehmen ab 50 Mitarbeitenden, zuzüglich ca. 18.000 kleineren Unternehmen ab 20 Mitarbeitenden sowie: Behörden, Schulen, Universitäten, Unternehmen der Kommunen wie Stadtwerke, Müllabfuhr etc. Für die meisten Unternehmen bedeutet dies eine konsequente Neuausrichtung ihrer internen Richtlinien, der Compliance, für viele sogar die erstmalige Auseinandersetzung mit unternehmenseigenen, gesetzeskonformen Regelungen.
Die Pflicht zur Unterrichtung eines Beschuldigten und zur fristgerechten Löschung seiner Daten laut DSGVO widerspricht der Pflicht zum Schutz des Hinweisgebers – so erscheint es zunächst. Daher wollen wir in zwei aufeinanderfolgenden Artikeln die wichtigsten Elemente beider Gesetze, ihr Spannungsverhältnis sowie die denkbaren Lösungsansätze beleuchten.
Pflicht zur Speicherung von Daten – und zur Löschung?
Stellen Sie sich vor, Sie sind Geschäftsführer, bzw. Geschäftsführerin eines mittelständischen Unternehmens und einer Ihrer Mitarbeiter weist Sie über Ihren Whistleblower-Meldekanal auf das Fehlverhalten einer Kollegin hin. In diesem Hinweis finden sich neben dem gemeldeten Verstoß auch eine Vielzahl persönlicher Daten. Ihr erster Gedanke mag vielleicht sein: „Je mehr Informationen desto besser!“ Gleichzeitig jedoch erinnern Sie sich an die seit 2018 geltende DSGVO und die anhaltenden Diskussionen über Datenschutz und Datensicherheit sowie Ihre Verpflichtung, die Mitarbeiterin davon zu unterrichten und ihre Daten innerhalb einer gesetzlich geregelten Frist von zwei Monaten zu löschen. Deshalb könnte ihr zweiter Gedanke lauten: „Ich habe Hinweise über eine Mitarbeiterin erhalten, ohne dass diese davon weiß. Laut der EU-Hinweisgeberrichtlinie muss ich diese Daten auf einen unbestimmten Zeitraum speichern, für den Fall, dass aufgrund dieses Hinweises eine Untersuchung eingeleitet werden muss. Dazu bin ich ebenfalls verpflichtet.“ Welche Handlungsmöglichkeiten stehen Ihnen in dieser Situation zur Verfügung?
In diesem konkreten Fall treffen zwei Richtlinien aufeinander, die in einem Spannungsfeld stehen: Die seit drei Jahren geltende (DSGVO) und die ab Dezember 2021 in Kraft tretende EU-Hinweisgeber-Richtlinie (Whistleblower-Richtlinie). Da es sich sowohl bei der Whistleblower-Richtlinie als auch bei der DSGVO um rechtlich sehr komplexe Thematiken handelt, wollen wir auf die Grundlagen sowie die wichtigsten Regelungen der DSGVO bzgl. des Schutzes von Whistleblowern und Whistleblowerinnen näher eingehen.
Spannungsfeld: Schutz des Hinweisgebers und der personenbezogenen Daten
Damit die folgenden Erläuterungen leichter nachzuvollziehen sind, stellen wir kurz den Ablauf der Meldung eines Hinweises dar, wie er ab Ende 2021 vollzogen werden soll: Grundsätzlich müssen Hinweise – unabhängig von ihrem Personenbezug – gespeichert werden. Zusätzlich gibt die Richtlinie vor, dass hinweisgebende Personen innerhalb von sieben Tagen eine Eingangsbestätigung erhalten. Darüber hinaus ist das Unternehmen verpflichtet, dem Hinweisgeber innerhalb von drei Monaten eine Rückmeldung zu den ergriffenen und geplanten Folgemaßnahmen zu geben. Wenn das Unternehmen eine dieser Fristen nicht einhält oder gar keinen entsprechenden Kanal zur Verfügung stellt, kann der Hinweisgeber den Vorgang eskalieren. Das heißt, er kann seinen Hinweis an die zuständige Behörde weiterleiten.
Bei den meisten Hinweisen besteht ein Spannungsfeld zwischen Hinweisgeberschutz und dem Datenschutz laut DSGVO, da in nahezu allen gemeldeten Hinweisen das potenzielle Fehlverhalten eines namentlich benannten Mitarbeiters oder einer Mitarbeiterin gemeldet wird. Dadurch, dass Hinweise und damit personenbezogene Daten eines Mitarbeiters, bzw. einer Mitarbeiterin laut EU-Hinweisgeberrichtlinie gespeichert werden müssen, ohne dass die betroffenen Mitarbeitenden darüber informiert werden, fällt diese Speicherung der personenbezogenen Daten bereits unter den Datenschutz gemäß der DSGVO. Da es in den meisten Fällen jedoch nicht sinnvoll ist, die beschuldigten Mitarbeitenden über den eingegangenen Hinweis sofort zu informieren – angesichts der Gefahr der Vertuschung eventuell vorhandener Beweise – kollidiert das Aufklärungsinteresse des Unternehmens mit den in der DSGVO enthaltenen Grundsätze der Transparenz, Vertraulichkeit und Integrität.
Personenbezogene Daten sind Kernelement des Spannungsfelds
Kernelement dieses Spannungsfeldes sind also die personenbezogenen Daten. Unter personenbezogen Daten versteht man jene Angaben, die sich auf eine identifizierte oder identifizierbare natürliche Person, also jeden Menschen, beziehen. Als identifizierbar gilt eine Person dann, wenn sie direkt oder indirekt bestimmt werden kann. Dies ist möglich entweder durch Zuordnung einer Kennung (z. B. Kundennummer) oder durch die Kombination mehrerer Informationen. Es ist bereits ausreichend, wenn die Daten eine Identifizierung theoretisch ermöglichen. Die betroffene Person muss nicht tatsächlich bestimmt werden (s. Art. 4 DSGVO). Unter die Kategorie personenbezogener Daten fallen: Online-Daten (wie IP-Adresse oder E-Mail-Adresse), Bankdaten, Zeugnisse, demographische Daten (wie Alter, Geburtsdatum oder Geschlecht) und Kennnummern wie beispielsweise die Identifikationsnummer.
Weiterhin gibt es „besonders schutzwürdige“ personenbezogene Daten. Das heißt, die Verarbeitung von Daten aus diesen Kategorien ist untersagt, es sei denn, es liegen die in Art. 9 Abs. 2 genannten Ausnahmen vor. Zu diesen besonders schutzwürdigen Daten zählen Gesundheitsinformationen, wie Krankenstand, aber auch genetische Daten, sexuelle Orientierung, politische und religiöse Einstellung sowie eine Gewerkschaftszugehörigkeit.
Was ändert die EU-Hinweisgeberrichtlinie im Datenschutz?
Im Folgenden wollen wir auf spezifische Auswirkungen der EU-Whistleblower-Richtlinie auf die DSGVO-Pflichten eingehen. Wie oben ausgeführt, entsteht das Spannungsverhältnis zwischen Whistleblowerschutz (bzw. dem deutschen Hinweisgeberschutz-Gesetz) und DSGVO immer dann, wenn personenbezogene Daten verarbeitet werden. Grundsätzlich dürfen Unternehmen personenbezogene Daten speichern und verarbeiten, wenn eine Rechtsgrundlage vorliegt. Das ist möglich, wenn die betroffene Person in die Speicherung und Verarbeitung einwilligt. Die Einwilligung, beispielsweise einer Mitarbeiterin einzuholen, deren potenzielles Fehlverhalten gemeldet wurde, ist jedoch im Zusammenhang des Hinweisgebens praktisch kaum umsetzbar, da dies mögliche interne Ermittlungen behindern könnte. In diesem Fall stünden die Auswirkungen der Whistleblower-Richtlinie auf die Unterrichtungspflicht dem Verfolgen eines Hinweises im Wege.
Art. 8 der EU-Richtlinie regelt diesen Fall, indem Unternehmen zur Speicherung von Daten in eigens dafür installierten Hinweisgebersystemen ermächtigt werden. Im Referentenentwurf des Hinweisgeberschutzgesetzes bildet § 10 hierfür die Rechtsgrundlage. Sowohl Art. 8 der Richtlinie als auch § 10 des Referentenentwurfs greifen jedoch nur, wenn es sich bei den gemeldeten Verstößen um Verstöße gegen EU-Recht bzw. deutsches Recht handelt.
Werden Verstöße gegen einen internen Verhaltenskodex oder ausschließlich intern geltende Compliance-Vorschriften gemeldet, so ist die Rechtsgrundlage wiederum eine andere (siehe Art. 6 Abs. 1 S. 1 lit f) DSGVO). Demzufolge ist die Verarbeitung nur dann zulässig, wenn sie zur Wahrung der berechtigten Interessen des Unternehmens oder eines Dritten erforderlich sind und die Inter-essen oder Grundrechte der betroffenen Person nicht überwiegen. Leider bleiben auch nach der Whistleblowing-Richtlinie Unsicherheiten bezüglich der Anforderungen der DSGVO zur Datenspeicherung, besonders für Kleinunternehmen mit weniger als 50 Mitarbeitenden, die nicht unter deren Anwendungsbereich fallen, sowie für Verhalten, das nicht nach EU-Recht sanktioniert wird. Inwiefern sich diese Unsicherheiten mit Verabschiedung des deutschen Gesetzes aufklären werden, wird sich zeigen.
Lesen Sie im zweiten Teil mehr über: Die EU-Hinweisgeberrichtlinie und die Auswirkungen auf Unterrichtspflicht, Auskunftsanspruch und Löschungspflicht
