Das Verhältnis von Datenschutz und Whistleblowing

Das Hinweisgeberschutzgesetz (HinSchG) stellt eine wichtige Weiterentwicklung im Bereich des Datenschutzes dar und ergänzt die Bestimmungen der Datenschutz-Grundverordnung (DSGVO). Das HinSchG zielt darauf ab, Personen, die Verstöße melden und auf Missstände hinweisen, einen besseren rechtlichen Schutz zu bieten. Das Datenschutzrecht (DSGVO) und das HinSchG stehen dabei in einem komplexen Verhältnis zueinander.

Während die DSGVO allgemeine Datenschutzprinzipien festlegt und Verantwortliche und Auftragsverarbeiter dazu verpflichtet, personenbezogene Daten ordnungsgemäß zu schützen, schafft das Hinweisgeberschutzgesetz (HinSchG) einen spezifischen rechtlichen Rahmen für hinweisgebende Personen. Bei der Verarbeitung und Weitergabe personenbezogener Daten sind sowohl der Datenschutz als auch der Schutz der Privatsphäre zu beachten. Hier entsteht ein Spannungsfeld. Um Missstände offen zu legen, werden häufig vertrauliche Informationen beim Whistleblowing weitergegeben. Wir setzen uns im Folgenden mit der Frage auseinander, wie beim Whistleblowing personenbezogene Daten durch das HinSchG geschützt werden.

Was ist Inhalt der DSGVO? 

Die DSGVO resultiert aus dem Grundrecht zur informationellen Selbstbestimmung und dient der Vereinheitlichung des Datenschutzrechts. Das erklärte Ziel ist der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zugleich die Gewährleistung des freien Verkehrs solcher Daten (Art. 1 Abs. 1 DSGVO).

Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten. Sie ist nur ausnahmsweise zulässig, wenn die Voraussetzungen einer Erlaubnisnorm vorliegen (Art. 6 Abs. 1 DSGVO). Unternehmen müssen vor der Verarbeitung personenbezogener Daten die Einwilligung der betroffenen Person einholen. Öffentliche Stellen dürfen personenbezogene Daten nur verarbeiten, wenn dies zur Erfüllung ihrer Aufgaben erforderlich ist.

Darüber hinaus regelt die DSGVO die Rechte der Betroffenen. Betroffene, deren Daten verarbeitet werden, haben z. B. ein Auskunftsrecht über die Verarbeitung und darauf aufbauend auch Berichtigungs-, Widerspruchs- und Löschungsrechte.

Datenschutz im HinSchG
Grundsätzlich darf die interne Meldestelle personenbezogene Daten nur aufgrund einer gesetzlichen Grundlage erheben und verarbeiten. Eine solche spezielle Rechtsgrundlage enthält § 10 HinSchG. Danach ist die Meldestelle befugt, personenbezogene Daten zu verarbeiten, soweit dies zur Erfüllung ihrer Aufgaben (z. B. der Betrieb der Meldestelle) erforderlich ist; auch die Verarbeitung besonderer Kategorien ist danach möglich. In diesem Fall hat die Meldestelle spezifische und angemessene Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen.

Vertraulichkeitsangebot ist im HinSchG verankert  
Interne Meldestellen und Hinweisgebersysteme müssen dafür Sorge tragen, dass die Daten der Whistleblower, der hinweisgegenständlichen Personen und anderer Personen vertraulich behandelt werden und nur befugte Personen Zugang zur internen Meldestelle haben. Dies ist wichtig, um ihre Sicherheit zu gewährleisten und sie vor möglichen Repressalien zu schützen. Das Vertraulichkeitsgebot bzgl. der Identität gilt auch unabhängig davon, ob die Meldestelle für die eingehende Meldung zuständig ist oder nicht.

Auskunftsrechte Betroffener nach Art. 15 Abs. 1 DSGVO
In einem Spannungsverhältnis zu den Regelungen des HinSchG steht insbesondere das Auskunftsrecht des oder der Betroffenen. Die betroffene Person kann von dem für die Datenverarbeitung Verantwortlichen grundsätzlich Auskunft darüber verlangen, welche Daten dort gespeichert oder verarbeitet werden. Auskunft kann auch über den Zweck der Verarbeitung, die Herkunft der Daten, über den Empfänger etc. verlangt werden. Auf diese Weise kann die betroffene Person die Kontrolle über den Datenfluss behalten. Das Auskunftsrecht umfasst die Stammdaten und die mit ihnen geführte Kommunikation sowie interne Notizen. Das Auskunftsrecht findet seine Grenzen in den Rechten Dritter, Betriebs- und Geschäftsgeheimnissen und anderen Gesetzen wie dem HinSchG.

Bei der Hinweisabgabe werden in der Regel Daten über die hinweisgegenständliche Person sowie weitere Personen, die mit der Meldung in Verbindung stehen, übermittelt und verarbeitet.

Daten, die typischerweise über ein Hinweisgebersystem erhoben und verarbeitet werden:

  • Informationen zur hinweisgebenden Person (sofern sie nicht anonym bleibt)
  • Informationen über den gemeldeten Sachverhalt mit Angaben zu möglichen Beschuldigten und Betroffenen
  • Daten aus internen Untersuchungen, z. B. aus IT-Systemen, Datenbanken, E-Mails oder Befragungen zur Sachverhaltsaufklärung

Den Betroffenen steht daher grundsätzlich ein Auskunftsrecht zu. Eine Verletzung der Auskunftspflicht ist bußgeldbewehrt.

Dem Auskunftsanspruch steht regelmäßig das Interesse der hinweisgebenden Person und die Pflichten des Beschäftigungsgebers zur Geheimhaltung ihrer Identität entgegen. Um den Schutz von hinweisgebenden Personen nicht zu unterlaufen, müssen Datenschutz und Hinweisgeberschutz in einen angemessenen Ausgleich gebracht und gleichermaßen berücksichtigt werden. Hierbei hilft auch eine Ausnahmevorschrift weiter (§ 29 Abs. 1 S. 2 BDSG), nach der das Auskunftsrecht nicht besteht, soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift geheim gehalten werden müssen. Das Vertraulichkeitsgebot aus dem HinSchG stellt eine solche Rechtsvorschrift dar.

Erheben Sie so wenig Daten wie möglich
Unternehmen und Organisationen, die interne Meldestellen einrichten, sollten sicherstellen, dass nur die für die Untersuchung relevanten Informationen gesammelt und verarbeitet werden. Es ist wichtig, Daten so weit zu reduzieren wie möglich und nur die personenbezogenen Daten zu erheben, die für den Zweck der Meldung unbedingt erforderlich sind. Darüber hinaus sollten die Daten nur für die Personen zugänglich sein, die für die Untersuchung des gemeldeten Vorfalls und Betrieb der Meldestelle zuständig und geschult sind.

Welche Löschpflichten gelten im Rahmen des HinSchG?

Im Hinblick auf die DSGVO stellt sich die Frage nach den Löschpflichten im Rahmen des HinSchG. Nach der DSGVO sind personenbezogene Daten grundsätzlich dann zu löschen, wenn sie für die Zwecke, zu denen sie erhoben wurden, nicht mehr notwendig sind. Nach dem HinSchG muss die Dokumentation der Meldungen drei Jahre nach Abschluss des Verfahrens gelöscht werden. Die Dokumentation kann jedoch länger aufbewahrt werden, um bestimmten Anforderungen aus dem HinSchG oder aus anderen Rechtsvorschriften nachzukommen, solange dies erforderlich und verhältnismäßig ist.

Einrichtung eines Hinweisgebersystem
Durch die Einrichtung einer internen Meldestelle, die insbesondere die Vertraulichkeit vollumfänglich gewährleistet – z. B. durch Outsourcing – kann das Spannungsfeld zwischen Datenschutz und Hinweisabgabe angemessen ausbalanciert werden. Ein digitales Hinweisgebersystem mit der Möglichkeit zur anonymen Meldung kann hier helfen. Durch die anonyme Bearbeitung von Hinweisen entfällt in vielen Fällen der Personenbezug und die Bestimmungen der DSGVO sind nicht unmittelbar anwendbar. Ein digitales Hinweisgebersystem ermöglicht eine diskrete Übermittlung von Hinweisen durch die Möglichkeit, keine persönlichen Informationen wie Namen, E-Mail-Adressen oder Telefonnummern preiszugeben. Damit ist sichergestellt, dass über diese Daten kein Personenbezug hergestellt werden kann. Dennoch sollte selbstverständlich vor der Einrichtung des Systems eine Datenschutz-Folgenabschätzung durchgeführt werden.

Bei der Verarbeitung personenbezogener Daten hat die interne Meldestelle die Vorschriften über den Datenschutz zu beachten. Die interne Meldestelle verarbeitet personenbezogene Daten zur Erfüllung ihrer Aufgaben. Bei einer internen Meldestelle, die von einer Einzelperson betrieben wird, ist diese nicht als Verantwortliche für die Datenverarbeitung im Sinne der Datenschutzvorschriften anzusehen.

Unsere Rechtsanwältinnen und Compliance-Expertinnen sind ebenfalls zur Verschwiegenheit verpflichtet, was nicht nur die Unabhängigkeit der internen Meldestelle vom Unternehmen oder der Verwaltung, sondern auch einen noch höheren Datenschutz gewährleistet.

Sie haben noch keinen internen Meldestellenservice eingerichtet? Dann sollten wir sprechen!

Stand: 17.01.2024