EU-Hinweisgeberrichtlinie

In Teil I der Artikelreihe zur Whistleblower-Richtlinie haben wir uns damit beschäftigt, dass mit der seit drei Jahren geltenden DSGVO und der ab Dezember 2021 in Kraft tretenden EU-Hinweisgeberrichtlinie (Whistleblower-Richtlinie) zwei Richtlinien aufeinandertreffen, die in einem Spannungsfeld stehen. In Teil II der Beitragsreihe wollen wir uns auf die Fälle konzentrieren, in denen die EU-Richtlinie zum Whistleblower-Schutz Anwendung findet.

Versetzen wir uns doch in die Lage einer Geschäftsführerin eines mittelständischen Unternehmens. Diese erhält über ein firmeneigenes Whistleblowing-System einen Hinweis über einen Mitarbeiter, der gegen die internen Compliance-Vorgaben zur Vermeidung von Interessenkonflikten verstoßen hat. Der Hinweisgeber benennt den Kollegen und gibt seine eigene Identität preis, mit der Forderung, seinen Namen nicht weiterzugeben. Es werden damit personenbezogene Daten des Beschuldigten und des Meldenden verarbeitet. Laut Unterrichtungspflicht (gemäß Art. 14 DSGVO) müsste das Unternehmen die beschuldigte Person innerhalb eines Monats über sämtliche Umstände und Inhalte der Verarbeitung informieren, da ihre personenbezogenen Daten ohne ihre Kenntnis erhoben wurden. Bei fehlender Unterrichtung droht dem Unternehmen ein Bußgeld.

Dies ist das Dilemma, in dem die Geschäftsführerin unseres Unternehmens steckt. In der konkreten Angelegenheit würde das Unternehmen die beschuldigte Person erst in einem späteren Stadium über die Eröffnung einer möglichen internen Untersuchung informieren, um die Gefahr einer ungerechtfertigten Beschuldigung zu minimieren und die Erhebung von Beweisen nicht zu erschweren. Denn im Ernstfall könnte die beschuldigte Person durch das frühzeitige Informieren Beweise beseitigen oder Zeug:innen beeinflussen. Die Vereinbarkeit von Unterrichtungspflicht laut der DSGVO und dem Interesse und Recht auf Anonymität des Hinweisgebers laut EU-Hinweisgeberrichtlinie scheint nahezu unmöglich.

Es gibt jedoch Ausnahmen in Bezug auf die Unterrichtungspflicht:

  • Es besteht die Möglichkeit des Hinauszögerns der Unterrichtung (gemäß Art 14. Abs. 5 DSGVO):
    Unternehmen können die Unterrichtung so lange hinauszögern, wie das Risiko besteht, dass durch die Unterrichtung die Untersuchung oder die Beweiserhebung gefährdet ist. Die Unterrichtungspflicht wird aber keinesfalls dauerhaft ausgesetzt. Es muss stets geprüft werden, ob das Risiko noch besteht. Kann das Unternehmen dieses Risiko nicht mehr begründen, so muss die Person sofort informiert werden. Dies birgt aus Unternehmenssicht das Risiko, die Erforderlichkeit für eine Geheimhaltung falsch einzuschätzen und die betroffene Person zu spät zu informieren.
  • Es gibt Einschränkungen der Unterrichtungspflicht (gem. Art. 14 Abs. 5 lit. c DSGVO i. V. m. § 29 Abs. 1 S. 1 BDSG):
    Die Unterrichtungspflicht kann außerdem dann eingeschränkt werden, wenn durch die Unterrichtung der betroffenen Person Informationen offenbart werden würden, die insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten geheim gehalten werden müssen. Bei den berechtigten Interessen eines Dritten kann es sich um das Interesse des Hinweisgebers, anonym zu bleiben, handeln. Hier tritt die Hinweisgeberrichtlinie in Kraft: Gemäß Art. 16 wird die Anonymität des Hinweisgebers sowie alle anderen Informationen, aus denen die Identität des Hinweisgebers direkt oder indirekt abgeleitet werden kann, besonders geschützt. Informationen sind gem. Art. 16 Abs. 2 Whistleblowing-Richtlinie nur noch dann offenzulegen, wenn die Offenlegung im Rahmen einer behördlichen Untersuchung oder eines Gerichtsverfahrens erforderlich ist. Dies gilt nur dann, wenn die hinweisgebende Person ihre Identität nicht vom Verantwortlichen für das Whistleblowing-System vertraulich behandelt wissen möchte.

Was aber, wenn der oder die Betroffene aktiv Auskunft über seine, bzw. ihre verarbeiteten Daten und eine Kopie hiervon verlangt? Welche Daten müssen dann den Betroffenen mitgeteilt werden? Dieses Auskunftsrecht steht diesen als Arbeitnehmer:innen gem. Art. 15 Abs. 1 Hs. 2 DSGVO und gem. Art. 15 Abs. 3 DSGVO zu. Das Auskunftsrecht bezieht sich auf alle Informationen einschließlich der Herkunft der Daten. Gemäß des schon genannten Art. 16 der Whistleblower-Richtlinie werden die Informationen eines anonym bleiben wollenden Hinweisgebenden privilegiert. Dies gilt jedoch nur, wenn der Hinweis in den Anwendungsbereich der Richtlinie fällt und die gegebenen Informationen Hinweise auf die Person des Hinweisgebenden erkennen lassen.

Löschungspflicht = fehlende Dokumentation?

Das größte Problempotenzial besteht in Bezug auf die Löschungspflicht gemäß Art. 17 Abs. 1 DSGVO. Ein Unternehmen ist gemäß Art. 17 Abs. 1 DSGVO verpflichtet, alle personenbezogenen Daten zu löschen, sobald deren Verarbeitung nicht mehr für den ursprünglich verfolgten Zweck notwendig sind. Zwar kann die Löschung hinausgezögert werden, aber hierfür ist immer eine sehr ausführliche Einzelfallabwägung erforderlich. Wann kann es zu einem problematischen Fall im Zusammenhang der Löschungspflicht kommen?

Hier sind zwei Szenarien denkbar:

Szenario 1: Ein Arbeitnehmer geht mit seinem Hinweis an die Öffentlichkeit, obwohl seinem Hinweis ernsthaft nachgegangen wurde. Die Fallakte wurde bereits nach zwei Monaten gelöscht.

Szenario 2: Eine Arbeitnehmerin erhält eine Kündigung. Sie behauptet anschließend, dass dies aufgrund ihrer vergangenen Whistleblowing-Aktivitäten geschehen sei. Es gibt aufgrund der Löschungspflicht der personenbezogenen Daten jedoch keine Dokumentation, dass die Arbeitnehmerin einen Hinweis abgegeben hatte.

In beiden Fällen hat das Unternehmen keine Dokumentation zur Existenz eines vorhergehenden Hinweises im firmeninternen Whistleblowing-System. Das zweite Szenario ist noch prekärer, da die Whistleblower-Richtlinie eine Beweislastumkehr in behördlichen und gerichtlichen Verfahren vorschreibt. Demnach wird so lange vermutet, dass die Kündigung oder sonstige Benachteiligung eine – unzulässige – Repressalie für die Meldung und Offenlegung war, bis es dem Unternehmen gelingt, zu beweisen, dass die Gründe für die Benachteiligung vollständig unabhängig von möglichen Whistleblowing-Aktivitäten sind und es sich bei der Benachteiligung nicht um eine Repressalie handelt.

Was kann man als Unternehmen tun, um sich in beiden Fällen zu schützen? Hierfür liefert die DSGVO in ihren Erwägungsgründen selbst eine mögliche Lösung. So kann man, anstatt die Daten vollständig zu löschen, diese nach Abschluss der Untersuchung anonymisieren und pseudonymisieren. Dies sollte immer nur dann vorgenommen werden, wenn der Fall endgültig abgeschlossen ist und eine Fassung ohne die Namen für eine spätere Rechtfertigung behalten werden soll.

Das müssen Unternehmen bei der Umsetzung der EU-Hinweisgeberrichtlinie beachten

Grundsätzlich sollten Unternehmen die Umsetzung der Richtlinien-Vorgaben sehr sorgfältig planen. Hierbei muss nicht nur auf eine vollständig konforme Umsetzung der Whistleblower-Richtlinie geachtet werden, sondern auch auf die Datenschutzkonformität der Umsetzung. Wichtige Aspekte der Planung für eine datenschutzkonforme Umsetzung in Unternehmen sind das Verfahrensverzeichnis, die Auftragsdatenverarbeitung und das Löschkonzept. Aber auch weitere DSGVO-Anforderungen sollten im Interesse aller Beteiligten rechtssicher ausgestaltet werden.

Sofern Unternehmen eine Umsetzung durch einen Drittanbieter in Erwägung ziehen, ist es besonders wichtig, bei der Auswahl auf dessen datenschutzkonformes Konzept zu achten. Beispielweise sollten die Daten aus dem System des Drittanbieters automatisch nach sechs Monaten gelöscht werden. Deshalb ist es für Unternehmen wichtig, die Daten vollständig herunterladen zu können. Das System sollte außerdem jeden Hinweis erst einmal so behandeln, als würde der Hinweis sensible sowie personenbezogene Daten beinhalten. Konkret bedeutet dies, dass außer den Hinweisgebenden und dem vorgesehenen Hinweisempfänger, bzw. der Hinweisempfängerin kein Dritter Zugang zu den Hinweisen haben sollte.

Fazit: Balanceakt zwischen dem Anonymitätsinteresse und Transparenz

Die neue EU-Richtlinie zum Schutz vor Whistleblowern und Whistleblowerinnen hilft auch kleineren und mittleren Unternehmen, eventuell unangemessenen oder strafbaren Handlungen von Mitarbeitenden rechtzeitig gegenzusteuern. Die Umsetzung der Richtlinie ist mit der Auswahl einer Whistleblowing-Software jedoch nur der erste Schritt. Wie in diesem Beitrag dargelegt, spielt der Datenschutz bei der Planung und Implementierung eine wichtige Rolle. Die Einführung eines Meldekanals in Unternehmen bleibt immer ein Balanceakt zwischen dem Anonymitätsinteresse der Hinweisgebenden, dem Unternehmensinteresse an Transparenz, und dem Datenschutzinteresse der Betroffenen. Ganz entscheidend ist, dass jedes Unternehmen in den nächsten Wochen und Monaten überprüft, ob die konkrete Ausgestaltung des eigenen Compliance-Programms den Anforderungen der EU-Hinweisgeberrichtlinie entspricht. Geschäftsleitungen müssen sich die Frage stellen, ob konkrete Vorgaben erfüllt sind, wer Hinweise im Unternehmen bearbeiten darf, wie Hinweisgebende über den laufenden Prozess der Bearbeitung der Meldung eingebunden sind – und noch einiges mehr.

Foto: Adobe Stock/

Mit dem MkG-Newsletter erhalten Sie alle sechs Ausgaben pro Jahr
pünktlich zur Veröffentlichung per Mail – zu Themen, die Sie weiterbringen:

  • Aktuelle Gesetzesänderungen,
  • Tipps zur optimalen Abrechnung,
  • Karrierechancen, Kanzleiführung u. v. m.