Das neue Hinweisgeberschutzgesetz verlangt von Unternehmen mit mehr als 50 Beschäftigten die Einrichtung interner Meldestellen. Beim Datenschutz stellt dies die Unternehmen vor die Herausforderung, eine Balance zwischen dem Schutz der Whistleblower und dem Schutz der Beschuldigten zu finden. In diesem Artikel behandeln wir die Datenschutzaspekte, die bei der Einrichtung einer Meldestelle zu beachten sind.
Was ist das Whistleblower-Gesetz?
Mit dem Hinweisgeberschutzgesetz, das seit dem 2. Juli 2023 gilt, hat sich Deutschland daran gemacht, die EU-Richtlinie zum Schutz von Hinweisgebern (Whistleblowern) in nationales Recht zu übertragen.
Was ist das Ziel des Gesetzes? Es soll den Rücken von Personen stärken, die auf Missstände im Job aufmerksam machen. Unternehmen mit über 50 Beschäftigten müssen nun interne Meldestellen einrichten. Für bestimmte Unternehmen der Finanzbranche ist die Einrichtung einer Meldestelle unabhängig von der Mitarbeiterzahl Pflicht.
Die Aufgabe der Meldestellen: Sie müssen unter Wahrung der Vertraulichkeit Meldungen entgegennehmen, bewerten und gegebenenfalls Ermittlungen gegen die beschuldigte Person einleiten.
Das Fehlen einer Hinweisgeberstelle kann das Unternehmen 20.000 Euro kosten. Wer eine Meldung verhindert, muss bis zu 50.000 Euro zahlen.
Wie funktioniert die Meldung?
Meldungen können grundsätzlich mündlich oder in Textform abgegeben werden. Die Einrichtung einer Hotline mit einem befähigten Gegenüber ist genauso zulässig wie z.B. die Benennung einer Vertrauensperson. Die Meldung kann sowohl mündlich als auch in Textform abgegeben werden, was elektronische Meldungen einschließt. Um die Anonymität der Hinweisgeber zu schützen und Ressourcen zu schonen, verwenden viele Unternehmen Online-Plattformen, die von einer Vielzahl von Anbietern bereitgestellt werden.
In der Regel verläuft der Meldeprozess bei Online-Meldestellen nach dem folgenden Schema ab:
Der Hinweisgeber nutzt das sichere Online-Formular des Fallmanagement-Systems, um die Meldung über den vermuteten Missstand oder Verstoß einzureichen. Dies kann eine Beschreibung des Vorfalls, Namen von Personen oder Abteilungen, Orte und Daten sowie andere relevante Details umfassen. Der Hinweisgeber sollte die Möglichkeit haben, eine Meldung anonym abzugeben, kann aber auch entscheiden, unter Angabe der Identität zu melden.
Nachdem die Meldung online eingereicht wurde, erhält der Hinweisgeber automatisch, spätestens aber nach sieben Tagen, eine Bestätigung über den Eingang seiner Meldung. Wird die Meldung vom Meldestellenverantwortliche (auch Ombudsmann genannt) als relevant eingestuft, koordiniert dieser anschließend das gesamte Verfahren.
Der Ombudsmann informiert innerhalb von drei Monaten den Hinweisgeber über den Fortschritt der Untersuchung und die ergriffenen Maßnahmen und fordert bei Bedarf weitere Dokumente und Informationen beim Hinweisgeber an. Wenn die Untersuchung Verstöße oder Missstände bestätigt, wird ein internes Ermittlungsverfahren durchgeführt.
Das Verfahren endet, wenn die Untersuchung abgeschlossen ist und alle erforderlichen Maßnahmen ergriffen wurden. Der Ombudsmann übermittelt dem Hinweisgeber das Ergebnis der Ermittlungen, soweit dies mit gesetzlichen Verschwiegenheitspflichten vereinbar ist. Üblicherweise wird die Meldung zusammen mit allen zum Fall gehörenden Ermittlungsergebnisse und Dokumente an diesem Punkt archiviert und aus dem Hinweisgeber-System entfernt.
Kann eine interne Meldestelle extern beauftragt werden?
Die Einrichtung und der Betrieb einer internen Meldestelle im eigenen Hause gemäß dem Hinweisgeberschutzgesetz kann für Unternehmen aus verschiedenen Gründen unpraktisch sein.
Zunächst besteht das Risiko von Interessenkonflikten. Ein intern beauftragter Ombudsmann könnte befangen sein, insbesondere wenn die Meldung gegen Kollegen oder Vorgesetzte gerichtet ist. Die Objektivität und Unabhängigkeit der Untersuchung könnten dadurch beeinträchtigt werden.
Zweitens ist der Betrieb einer internen Meldestelle arbeitsintensiv und erfordert spezielle Kompetenzen und Schulungen, die zusätzliche Ressourcen beanspruchen. Nicht jedes Unternehmen kann auf qualifizierte Mitarbeiter zurückgreifen, die unter Berücksichtigung der Vertraulichkeit und der nötigen Fachkunde für die Rolle des Ombudsmannes in Frage kommen.
Drittens werden bei internen Meldestellen sensible Daten verarbeitet, was eine Herausforderung hinsichtlich des Datenschutzes darstellt.
Ein externer Dienstleister kann dieses Dilemma lösen, indem er Unabhängigkeit und Fachkenntnis bietet und das Unternehmen von der Verwaltung der Meldestelle entlastet. Die Meldestelle bleibt auch bei externer Vergabe eine interne Meldestelle. Externe Meldestellen sind im Gesetz gesondert geregelt und werden u.a. vom Bund eingerichtet.
Welche datenschutzrechtlichen Verträge sind notwendig?
Bei der Einrichtung einer Meldestelle liegt die Verantwortung für die Verarbeitung personenbezogener Daten beim verantwortlichen Unternehmen, auch wenn sie von externen Dienstleistern betrieben wird.
In Unternehmensgruppen hängt die Vertragsart für die Datenverarbeitung beim gemeinsamen Betrieb eines Hinweisgebersystems davon ab, wie die Verarbeitung organisiert ist. Bei gemeinsamer Verantwortlichkeit, typischerweise wenn mehrere Konzerngesellschaften die Mittel und Zwecke gemeinsam bestimmen (was bei einem gemeinsamen Datenpool der Fall sein dürfte), wird eine entsprechende Vereinbarung über die gemeinsame Verantwortlichkeit (Joint Controller Agreement) nach Art. 26 DSGVO benötigt.
Die Bereitstellung des Tools für die interne Meldestelle durch einen Dienstleister (egal ob intern oder extern) ist in jedem Fall Auftragsverarbeitung und muss vertraglich geregelt werden.
Braucht es eine Datenschutzfolgenabschätzung (DSFA) für die Verarbeitung im Rahmen der internen Meldestelle?
Im Jahr 2018 hat die Datenschutzkonferenz in einer Orientierungshilfe ohne weitere Begründung festgestellt, dass ein Verfahren zur Meldung von Missständen aufgrund des hohen Risikos für die Rechte und Freiheiten natürlicher Personen einer Datenschutz-Folgenabschätzung unterliegt. Zu diesem Zeitpunkt war die Einrichtung einer internen Meldestelle noch eine freiwillige Maßnahme. Seit der Einführung des Hinweisgeberschutzgesetzes, ist der Sachverhalt jedoch völlig anders und die Orientierungshilfe der Aufsichtsbehörden sollte überarbeitet oder zurückgezogen werden. Im Gegensatz zum österreichischen Gesetzgeber hat es der Deutsche Bundestag leider versäumt, die DSFA gleich mit ins Gesetz zu schreiben. Es stellt sich die Frage, warum eine vom Gesetzgeber geforderte automatisierte Verarbeitung (hier: Meldung in Textform), die unter Einhaltung der Anforderungen der DSGVO (Artikel 25, 28 und 32) implementiert wird überhaupt zu einem hohen Risiko, das im Rahmen einer DSFA gesondert geprüft werden muss, führen kann. Dass Aufsichtsbehörden und Berater die Notwendigkeit einer DSFA bejahen ist nur verständlich, aber rechtlich begründet ist es nicht.