Hinweisgeber und DSGVO

Klaudia Kamińska-Kiempa, Maciej Ogórek
16. Februar 2021

Das Whistleblowing-System stellt eine Herausforderung für die Sicherheit der Verarbeitung personenbezogener Daten in Unternehmen dar. Vor dessen Einführung sind die Anonymität und die Vertraulichkeit der Daten zu gewährleisten, die Ethikgrundsätze zu beachten und die Rechte des Hinweisgebers sowie anderer beteiligten Dritter zu respektieren.

Schutz der personenbezogenen Daten des Hinweisgebers – Rechtsakte

Der Schutz der personenbezogenen Daten des Hinweisgebers wird in zwei Rechtsakten erwähnt.

• Richtlinie (EU) 2019/1937 des Europäischen Parlaments und des Rates vom 23. Oktober 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (sog. EU-Whistleblower-Richtlinie);
• Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO).

Die EU-Whistleblower-Richtlinie, die die EU-Mitgliedstaaten bis zum 17. Dezember 2021 umsetzen müssen, weist auf die Notwendigkeit hin, Verfahren zur Wahrung der Vertraulichkeit der Identität folgender Personen einzuführen:

• jedes Hinweisgebers;
• der Personen, die die Meldung betrifft (potenzieller „Täter“);
• Dritter, die in der Meldung erwähnt werden (z.B. Zeugen).

Die Richtlinie enthält jedoch keine Sondervorschriften zur Verarbeitung personenbezogener Daten. In der Richtlinie wird nur darauf hingewiesen, dass die EU-Mitgliedstaaten dies wirksam unter Verwendung der DSDVO-Leitlinien und des Gesetzes über den Schutz personenbezogener Daten des jeweiligen EU-Mitgliedstaaten gewährleisten sollen.  

Grundsätze der Verarbeitung personenbezogener Daten

Daher sollte sich die Verarbeitung personenbezogener Daten des Hinweisgebers und anderer Beteiligter des Whistleblowing-Verfahrens nach den in der DSGVO genannten allgemeinen Grundsätzen richten, d.h.: 

• Transparenz;
• Verarbeitung nach Treu und Glauben;
• Rechtsmäßigkeit;
• Zweckbindung;
• Datenminimierung;
• Richtigkeit;
• Speicherbegrenzung;
• Integrität;
• Vertraulichkeit;
• Rechenschaftspflicht.

Bei der Erstellung eines Whistleblowing-Systems im Unternehmen ist vor allem der Grundsatz der Vertraulichkeit zu beachten. Nur die Gewährleistung sicherer und vertrauenerweckender Bedingungen sowie ein effektiver Schutz der Identität der Betroffenen ermöglichen es, das Whistleblowing-System im Unternehmen einzuführen. 

Die Grundlage für die Verarbeitung personenbezogener Daten – der Grundsatz der Rechtsmäßigkeit
Bezug nehmend auf die DSGVO-Vorschriften können personenbezogene Daten des Hinweisgebers verarbeitet werden, wenn:

• die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat;
• die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen;
• die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt;
• die Verarbeitung erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
• die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt, oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
• die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Bei Implementierung eines Whistleblowing-Systems im Unternehmen muss berücksichtigt werden, dass der Hinweisgeber anonym bleiben kann und das System nicht verlangen darf, seine Daten weiterzugeben. Legt der Hinweisgeber seine Identität offen, so ist seine freiwillige Einwilligung die Grundlage für die Verarbeitung personenbezogener Daten.

Anders sieht es im Falle von Daten aus, die im Verfahren genannt werden, d.h. derjenigen Person, die die Meldung betrifft, bzw. Zeugen (Dritter). Die Grundlage zur Verarbeitung personenbezogener Daten stellt die Erfüllung der rechtlichen Verpflichtung dar, die dem Verantwortlichen obliegt.

Grundlagen zur Verarbeitung der in der Meldung enthaltenen personenbezogenen Daten (personenbezogene Daten des Hinweisgebers bzw. Dritter): 

• Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich (Art. 6 Abs. 1 Buchst. c DSGVO) – nach Umsetzung der Richtlinie, wenn die Verantwortlichen einer besonderen rechtlichen Verpflichtung unterliegen werden, die zum Ziel hat, interne Kontrollverfahren in bestimmten Bereichen festzulegen;
• bzw. begründetes Interesse eines Verantwortlichen oder eines Dritten, deren Daten offen gelegt werden (Art. 6 Abs. 1 Buchst. f DSGVO) – eine Verarbeitung, die nicht mit der erforderlichen Übereinstimmung mit den rechtlichen Verpflichtungen begründet werden kann, kann weiterhin möglich sein, wenn der Verantwortliche nachweisen kann, dass es erforderlich ist, dass er seine begründeten Interessen wahrnehmen muss und er dieses Interesse mit dem Interesse der betroffenen Personen abgewogen hat.   

Insoweit die Verarbeitung besondere Kategorien personenbezogener Daten umfassen kann, die in Art. 9 DSGVO genannt werden, muss der Verantwortliche sich auch vergewissern, dass die Verarbeitung solcher personenbezogener Daten rechtlich zulässig ist. Dazu kann argumentiert werden, dass die Verarbeitung personenbezogener Daten aus Gründen eines erheblichen öffentlichen Interesses, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaates erforderlich ist.

Technische Sicherheit

Der Verantwortliche hat geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko der Verletzung der Rechte und Freiheiten natürlicher Personen angemessenes Schutzniveau zu gewährleisten. Diese Maßnahmen werden je nach Unternehmen unterschiedlich sein (Anzahl der Beschäftigten, Struktur usw.)

Die technischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung personenbezogener Daten im Sinne der DSGVO stellen sich wie folgt dar:

• Pseudonymisierung und Verschlüsselung personenbezogener Daten;
• Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
• Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
• regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. 

 
In der DSGVO werden keine konkreten Maßnahmen vorgeschrieben, die zu ergreifen sind, um den Datenschutz zu gewährleisten. Das Unternehmen ist daher nicht verpflichtet, die technologisch fortschrittlichsten bzw. die teuersten Lösungen anzuwenden. Wichtig ist, dass das System personenbezogene Daten technisch und organisatorisch vor einem Leak bzw. vor unbefugter Offenlegung schützt.

Die DSGVO-Vorschriften weisen auf Risiken hin, die zu berücksichtigen sind, so dass der Verantwortliche bzw. der Auftragsverarbeiter selbstständig geeignete Datenschutzmaßnahmen ergreifen können.

Dies bedeutet, dass der Verantwortliche bzw. der Auftragsverarbeiter die Schutzmaßnahmen unter Berücksichtigung der Bedürfnisse sowie der Möglichkeiten des jeweiligen Unternehmens selbst wählen sollen.

Falls Sie mehr von der Verarbeitung personenbezogener Daten des Hinweisgebers wissen möchten, so empfehlen wir Ihnen das Webinar „Hinweisgeber und Schutz personenbezogener Daten” : https://www.youtube.com/watch?v=ZioE9E30sk0

Setzen Sie sich bitte auch mit den Experten von Rödl & Partner in Verbindung.