Whistleblowing – Hinweisgeberschutz und Datenschutz
Bereits im April dieses Jahres haben wir Sie in unserem Newsletter zu den Neuerungen hinsichtlich des Hinweisgeberschutzes informiert. Die Umsetzung des Hinweisgeberschutzes in nationales Recht geht aus einer europäischen Harmonisierungsrichtlinie für einen standardisierten Schutz von Hinweisgebern hervor. Hinweisgeber (engl. Whistleblower) sind Personen, die sowohl rechtliches als auch moralisches Fehlverhalten anderer Wirtschaftssubjekte melden und aufdecken. Dabei spielen Hinweisgeber immer wieder eine entscheidende Rolle bei der Aufklärung wirtschaftlicher Missstände und rechtlicher Verstöße im Wirtschaftsverkehr. Wir haben die wichtigsten Aspekte zum Whistleblowing aus Sicht des Datenschutzes für Sie zusammengetragen. Dies stellt ausdrücklich keine Rechtsberatung dar und dient einzig und allein Ihrer Information.
Pflicht zur Bereitstellung eines Hinweisgebersystems
Aufgrund einer Meldung durch einen Hinweisgeber können systematische Fehlentwicklungen und fehlerhafte Kontrollsysteme frühzeitig identifiziert werden. Folgerichtig verpflichtet Art. 8 der Whistleblower-Richtlinie (WBRL) juristische Personen des privaten und öffentlichen Sektors ein Hinweisgebersystem, insbesondere Kanäle und Verfahren für interne Meldungen, einzurichten – zum Schutz hinweisgebender Personen.
Dabei kann eine Meldestelle zur Hinweisgebung sowohl intern als auch extern bereitgestellt werden. Der europäische Gesetzgeber empfiehlt, interne Abteilungen anhand der Unternehmensstruktur für das Betreiben eines Hinweisgebersystems auszuwählen. Personal-, Rechts- oder Compliance-Abteilung sowie Datenschutzbeauftragte seien geeignete Funktionseinheiten (ErwG 56 WBRL). Ebenso können Hinweise bei externen, von Behörden eingerichteten, Meldestellen eingehen. Zentrale externe Meldestellen werden von dem Bundesamt für Justiz, der Bundesanstalt für Finanzdienstleistungsaufsicht und dem Bundeskartellamt bereitgestellt. Wird ein internes Meldesystem nicht eingerichtet, sieht der Gesetzgeber ein Bußgeld vor. Auch anderes ordnungswidriges Verhalten im Sinne des Hinweisgeberschutzgesetztes (§40 HinSchG) wird mit einem Bußgeld belegt.
Zur Verarbeitung personenbezogener Daten in Hinweisgebersystemen
Durch die Meldung über ein Hinweisgebersystem werden regelmäßig personenbezogene Daten verarbeitet. Eine Meldung enthält sowohl Daten zum Hinweisgeber als auch ggf. Daten von Beschuldigten und betroffenen Personen. Darüber hinaus kann der Sachverhalt auch zusätzliche Informationen mit Personenbezug beinhalten. Aufgrund der verschiedenen personenbezogenen Daten, die infolge einer Hinweisgeber-Meldung verarbeitet werden, ist der Anwendungsbereich des Datenschutzrechts (DSGVO) eröffnet.
Einerseits kann die Verarbeitung personenbezogener Daten im Zusammenhang mit dem Hinweisgeberschutz voraussichtlich auf die Rechtsgrundlage des Art. 6 Abs. 1 lit. c DSGVO gestützt werden. Voraussetzung dafür ist eine rechtliche Verpflichtung, die eine Datenverarbeitung erfordert. Zuvor waren nur ausgewählte Branchen zur Implementierung eines Hinweisgebersystems verpflichtet, darunter Banken und Versicherungen. Diese Unternehmen können sich auf die Rechtsgrundlage der Verarbeitung aufgrund rechtlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO) beziehen. Mit der Verabschiedung des Hinweisgeberschutzgesetztes können sich nun auch Unternehmen mit durchschnittlich mehr als 50 Mitarbeitenden auf die gesetzliche Pflicht zur Verarbeitung stützen, da sie fortan ebenfalls zur Implementierung eines Hinweisgebersystems verpflichtet werden.
Unternehmen, die weniger als 50 Mitarbeiter beschäftigen, werden sich hingegen nicht auf die zuvor genannte Rechtsgrundlage stützen können, wenn sie ein Hinweisgebersystem implementieren wollen, da eine rechtliche Verpflichtung nicht vorliegt. Dennoch können sich die Unternehmen auf die Rechtsgrundlage des Art. 6 Abs. 1 lit. f DSGVO stützen. Dafür müsste das berechtigte Interesse des Unternehmens das Interesse der beschuldigten Person übersteigen. Das wird voraussichtlich regelmäßig der Fall sein, da das Unternehmensinteresse, illegale Aktivitäten und Machenschaften (Betrug, Korruption, Geldwäsche, Insiderhandel) einzuschränken, vorhanden ist.
Weitere datenschutzrechtliche Anforderungen an ein Hinweisgebersystem
Um ein datenschutzkonformes Hinweisgebersystem zu implementieren, müssen für eine datenschutzkonforme Einrichtung eines Hinweisgeberschutzsystems eine Reihe weiterer Anforderungen erfüllt werden.
- Informationsplicht nach Art. 14 DSGVO
- Löschfristen gem. Art. 17 Abs. 1 DSGVO vs. Dokumentationserfordernis gem. Art. 18 WBRL
- Datenschutzfolgenabschätzung nach Art. 35 DSGVO
Um den Hinweisgeberschutz in Einklang mit dem Datenschutz zu bringen, müssen die Vorgaben des HinSchG und der DSGVO gleichermaßen berücksichtigt und harmonisiert werden. Das Hinweisgebersystem sollte in der Praxis wirksam und rechtssicher implementiert werden. Dabei sollte das Hinweisgebersystem auf die Minimierung der datenschutzrechtlichen Risiken betroffener Personen gerichtet sein. Die Entwicklung eines entsprechenden Datenschutzkonzeptes ist ratsam.
Ausblick zum Hinweisgeberschutzgesetz
Beim Hinweisgeberschutzgesetz (HinSchG) handelt es sich um die nationale Umsetzung der europäischen Whistleblower-Richtlinie (WBRL). Das Gesetz wurde im Juli 2022 durch die Bundesregierung beschlossen, und im September 2022 durch den Bundesrat kommentiert. Bisher sollte das Gesetz zum Ende des Jahres erlassen werden, inzwischen ist allerdings eher mit Anfang 2023 zu rechnen. Die Umsetzungsfrist der Richtlinie ist allerdings bereits zum 17.12.2021 ablaufen.
Gerne stehen wir als Team des Bitkom Consult bei weiteren Fragen zum Hinweisgeberschutz zur Verfügung. Wenn Sie vor der Aufgabe stehen, ein internes Hinweisgebersystem in Ihrem Unternehmen etablieren zu wollen, helfen wir Ihnen gerne bei der Einrichtung.