Interne Meldestelle vs. Datenschutz: Ein Zielkonflikt!
Unternehmen sind, bei strikter Auslegung von Artikel 14 DSGVO, dazu verpflichtet, Beschuldigte über den Eingang einer Whistleblowing-Meldung gegen sie zu informieren und ihm den Namen des einreichenden Hinweisgebers zu nennen. Einerseits ist es wichtig den Hinweisgeber, vor Einreichung eines Hinweises, auf diesen Umstand hinzuweisen, andererseits schädigt dies die Vertraulichkeit der internen Meldestelle (fortan „Meldestelle“). Es besteht die Gefahr, dass der Hinweisgeber sich stattdessen an eine externe Meldestelle wendet, oder den Hinweis nicht einreicht. Ersteres führt zu Reputationsschäden und Weiteres führt dazu das etwaige Missstände nicht erkannt und abgestellt werden können.
Auch die deutschen Datenschutzbehörden betonen in ihrer Orientierungshilfe die Auswirkungen der DSGVO auf den Meldeprozess und die Verarbeitung von Whistleblowing-Meldungen in Unternehmen. Gemäß Artikel 14 DSGVO dürfen Unternehmen personenbezogene Daten nur mit Zustimmung der Betroffenen erheben und müssen Beschuldigte über eingehende Meldungen informieren. Die Herausforderung besteht darin, dass die strikte Auslegung der DSGVO die Vertraulichkeit gefährdet, da der Beschuldigte den Namen des Hinweisgebers erfahren würde. Um die Vertraulichkeit zu wahren, empfehlen die Behörden die Nutzung von anonymen Hinweisgebersystemen, welche die anonyme Kommunikation mit dem Hinweisgeber ermöglichen, um potenzielle Hinweisgeber nicht abzuschrecken.
Die Meldestelle informiert bei einer anonymen Meldung den Beschuldigten lediglich darüber, dass diese eingegangen ist und schützt dabei die Identität des Hinweisgebers. Diese Information muss sie dem Beschuldigten innerhalb von 30 Tagen nach Eingang des Hinweises übermitteln. Nur wenn dadurch die Untersuchung des Vorwurfs oder die Beweissammlung gefährdet würde, ist es Ihr gestattet die Information an den Beschuldigten aufzuschieben. Allerdings muss die Meldestelle beachten, dass im Falle eines Auskunftsersuchens der beschuldigten Person bezüglich der gespeicherten Daten gemäß Artikel 15 DSGVO keine Möglichkeit für einen zeitlichen Aufschub der Informationspflicht besteht.
Empfehlung #1 - Anonymen Dialog anbieten
Führen Sie ein digitales Hinweisgebersystem ein, welches es Ihnen ermöglicht, einen anonymen Dialog mit Ihren Hinweisgebern zu führen
Empfehlung #2 - Disclaimer im Meldeprozess
Falls Sie bereits ein digitales Hinweisgebersystem nutzen, ergänzen Sie den Meldeprozess um einen klaren Disclaimer. Dieser sollte die Pflicht zur Weitergabe der Identität des Hinweisgebers an den Beschuldigten bei nicht-anonymer Meldung betonen. Die Einwilligung zur Verarbeitung personenbezogener Daten sollte in diesem Fall explizit eingeholt werden, mit dem Hinweis, dass die Einwilligung innerhalb von 30 Tagen widerrufen werden kann. Automatische Erinnerungen an die bearbeitenden Personen können helfen, die 30-Tage-Frist einzuhalten.
Der Datenschutzbeauftragte als interne Meldestelle
Grundsätzlich ist diese Doppelfunktion zulässig, da die Anforderungen an beide Funktionen wichtige Parallelen aufweisen:
- Unabhängigkeit der Tätigkeit sicherstellen
- Vertraulichkeit und Geheimhaltung wahren
- Verstöße und Meldungen untersuchen und auf Abstellung hinwirken
Die europäische Whistleblower-Richtlinie (2019/1937) weist für kleine Unternehmen explizit auf die Möglichkeit hin, Hinweise auch in einer Doppelfunktion entgegenzunehmen. Dabei listet sie unter anderem den Datenschutzbeauftragten als geeignete Funktion zur Entgegennahme von Meldungen. Das Hinweisgeberschutzgesetz (HinSchG) und die DSGVO erlauben zwar grundsätzlich Doppelfunktionen, setzen jedoch auch Grenzen, um Interessenskonflikte zu vermeiden. Überdies ergeben sich faktische Risiken:
- Selbstkontrolle hebelt Überwachungsfunktion aus: Die Doppelfunktion birgt den Konflikt der Selbstkontrolle des Datenschutzbeauftragten. Denn wenn dieselbe Person, welche die Kommunikationswege und Meldeverfahren für die Meldestelle festlegt, auch die Datenschutzkonformität eben dieser Verfahren überwachen soll, überwacht sich die Person in Ihrer Doppelfunktion somit selbst.
- Bußgelder bei mangelnder Ressourcenausstattung: Soll der Datenschutzbeauftragte, die Meldestelle in Personalunion durchführen ist sicherzustellen, dass ausreichend Zeit für beide Aufgaben vorhanden ist. Aus der Bußgeldpraxis der Aufsichtsbehörden sind bereits Bußgeldfälle für mangelnde zeitliche Ressourcenzuweisung an den Datenschutzbeauftragten bekannt. Eine zeitliche Überlastung der Meldestelle birgt außerdem die Gefahr, dass Hinweisgeber externe Kanäle nutzen. Ob beide Rollen in Personalunion durchgeführt werden sollten, hängt also von der Unternehmensgröße und dem daraus resultierenden Arbeitsaufwand ab.
- Interessenskonflikte durch Verschwiegenheitsverpflichtung: Die Verschwiegenheitsverpflichtungen in HinSchG und DSGVO führen zu potenziellen Interessenskonflikten, da jeweils unterschiedliche Schutzniveaus gelten.
Empfehlung #3 - Doppelfunktionen vermeiden, oder entlasten
Um Risiken zu mindern, sollte bei einer Doppelfunktion, wenn möglich, mindestens eine weitere Person in die Meldestelle eingebunden sein. Entscheidend ist auch das die Rollen klar verteilt und die zugehörigen Prozesse lückenlos dokumentiert sind. Trotz der Möglichkeit, den Datenschutzbeauftragten und die Meldestelle in Personalunion zu betreiben, empfehlen wir, diese Funktionen, wenn möglich, zu trennen. Eine Auslagerung dieser Funktion, bietet die Möglichkeiten die eigenen Mitarbeiter zu entlasten und gleichzeitig die Zielkonflikte zu vermeiden.