Risiken für Unternehmen minimieren

Artikel als PDF (Download)

 

Unternehmen in anderen EU-Mitgliedsstaaten müssen die Vorgaben der Richtlinie (EU) 2019/1937 (Whistleblower-Richtlinie) bereits seit einiger Zeit beachten. Deutschland hatte sich mit der Umsetzung der Richtlinie bisher jedoch Zeit gelassen. Nun soll es aber ganz schnell gehen. Das Bundeskabinett hat am 27.07.2022 beschlossen, den Entwurf für ein Hinweisgeberschutzgesetz (HinSchG) in den Bundestag einzubringen und damit die Whistleblower-Richtlinie umzusetzen. Da das Gesetz bereits drei Monate nach Verkündung in Kraft treten soll, ist damit zu rechnen, dass Unternehmen spätestens im Frühjahr 2023 die Vorschriften vollumfänglich umsetzen und beachten müssen. Für kleinere Unternehmen zwischen 50 und 249 Mitarbeitern gilt immerhin eine Schonfrist bis zum 17.12.2023. Aufgrund der Kürze der Zeit sollten sich Unternehmen umgehend Gedanken über eine Umsetzung der Vorgaben machen. Zusätzlich erschwert wird die gesetzeskonforme Ausgestaltung der erforderlichen Meldewege durch datenschutzrechtliche Vorgaben. Dass Unternehmen dabei Fehler unterlaufen können und bei der Nichtbeachtung durchaus empfindliche Bußgelder drohen, zeigen unter anderem Verfahren der italienischen Datenschutzaufsichtsbehörde.

Das Hinweisgeberschutzgesetz

Das Hinweisgeberschutzgesetz (HinSchG) soll Unternehmen mit mindestens 50 Mitarbeitern zur Einrichtung interner Meldewege für Complianceverstöße verpflichten. Eingehende Meldungen unterliegen Geheimhaltungspflichten und dürfen nur durch die zuständigen Mitarbeiter entgegengenommen und untersucht werden. Darüber hinaus werden Hinweisgeber gesetzlich geschützt, und jegliche Repressalien gegen Hinweisgeber sind verboten. Werden dennoch Repressalien verhängt, stehen dem Hinweisgeber Schadensersatzansprüche zu. Wird der Hinweisgeber nach einer Meldung im Zusammenhang mit seiner beruflichen Tätigkeit benachteiligt, gilt sogar die gesetzliche Vermutung, dass es sich um eine unzulässige Repressalie handelt. Es ist dann Sache des Unternehmens nachzuweisen, dass die Benachteiligung auf gerechtfertigten Gründen basiert oder dass kein Zusammenhang mit dem Whistleblowing besteht.

Datenschutzrechtliche Vorgaben

Das Hinweisgeberschutzgesetz sieht in § 8 explizite Geheimhaltungspflichten vor. Darüber hinaus müssen bei der Einrichtung interner Meldewege die Vorgaben der Datenschutz-Grundverordnung (DSGVO) beachtet werden. Das Hinweisgeberschutzgesetz sieht eine Pflicht zur Entgegennahme und Bearbeitung interner Meldungen nur vor, wenn die Identität des Hinweisgebers bekannt ist. Unternehmen können anonymen Meldungen nachgehen, müssen dies jedoch nicht (§ 16 Abs. 1 HinSchG). Im Normallfall werden bei einer Meldung folglich personenbezogene Daten verarbeitet, und der Anwendungsbereich der DSGVO ist eröffnet. Die nach der DSGVO erforderliche Rechtsgrundlage für die Datenverarbeitung ist dabei die Erfüllung der rechtlichen Verpflichtungen aus dem Hinweisgeberschutzgesetz.

Die internen Meldekanäle müssen Meldungen in mündlicher und in Textform ermöglichen. Grundsätzlich können Unternehmen sich dabei auch web- oder intranetbasierter Systeme bedienen. Hierbei sind die strengen Vorgaben des Datenschutzrechts zu beachten. Insbesondere bei der Einrichtung digitaler Meldewege sind nach Art. 32 DSGVO dem Stand der Technik angemessene technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dabei ist unter anderem an ein Berechtigungskonzept sowie an Maßnahmen zum Schutz vor Veränderung, Verlust und unberechtigtem Zugriff, zum Beispiel durch eine Verschlüsselung der Daten, zu denken. Grundsätzlich können sich Unternehmen zur Umsetzung ihrer Verpflichtungen aus dem Hinweisgeberschutzgesetz auch externer Dienstleister bedienen. Ist der Dienstleister lediglich damit beauftragt, die Meldekanäle zu betreiben sowie Meldungen entgegenzunehmen und zu konsolidieren, wird regelmäßig eine Auftragsverarbeitung vorliegen. In diesen Fällen ist dann der Abschluss eines Auftragsverarbeitungsvertrags erforderlich. Trifft der Dienstleister hingegen inhaltliche Entscheidungen und bietet Fachleistungen an, die einem Weisungsrecht des Unternehmens entzogen sind, liegt in der Regel eine getrennte Verantwortlichkeit vor.

Spannungsfelder zwischen DSGVO und HinSchG

Es bestehen einige ungelöste Probleme durch das Zusammenspiel von DSGVO und HinSchG. Die Pflicht, über eine Verarbeitung von personenbezogenen Daten zu informieren, besteht nach der DSGVO beispielsweise auch, wenn die Daten bei einem Dritten erhoben werden. Dies würde bedeuten, dass interne Meldestellen auch Personen, denen gegebenenfalls Rechtsverstöße nachgesagt werden, über die Meldung informieren müssten. Dies erscheint wenig sachgerecht, da eine weitere Sachverhaltsaufklärung durch die Meldestelle erschwert werden könnte. Es müssen daher Ausnahmen von der Informationspflicht genutzt werden. Das parallele Problem stellt sich im Hinblick auf das Recht auf Auskunft nach Art. 15 DSGVO. Erfährt etwa eine beschuldigte Person von Aufklärungsbemühungen, könnte diese ein Auskunftsersuchen nach Art. 15 DSGVO bei der Meldestelle geltend machen. Auch hier müssen die Rechte des Betroffenen und das Interesse, die Aufklärung von Rechtsverstößen nicht durch eine Warnung potentieller Täter zu vereiteln, in Ausgleich gebracht werden.

Datenschutzfolgenabschätzung

Nach Art. 35 DSGVO muss der Verantwortliche eine Datenschutzfolgenabschätzung durchführen, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Bei Hinweisen von Whistleblowern handelt es sich häufig um sehr sensible Daten. Dies gilt sowohl für den Hinweisgeber selbst, der im schlimmsten Fall Repressalien durch Vorgesetzte und Kollegen ausgesetzt sein kann, als auch für inkriminierte Personen, deren Reputation durch mögliche Vorwürfe gefährdet ist. Aus diesen Gründen ist vor Einrichtung eines Hinweisgebersystems in der Regel eine Datenschutzfolgenabschätzung durchzuführen. Deren Mindestinhalt besteht aus vier Elementen. Zunächst muss eine systematische Beschreibung der Verarbeitungsvorgänge sowie der Zwecke der Verarbeitung erfolgen. Diese müssen sodann hinsichtlich der Notwendigkeit und Verhältnismäßigkeit bewertet werden. Anschließend müssen die Risiken für die Rechte und Freiheiten der betroffenen Personen bewertet und geeignete Abhilfemaßnahmen ergriffen werden. Die Datenschutzfolgenabschätzung ist zu dokumentieren.

Fazit

Unternehmen sollten sich zur Vermeidung von Bußgeldern zeitnah um die Umsetzung des Hinweisgeberschutzgesetzes kümmern. Der Zeitraum von drei Monaten nach Verkündung ist knapp bemessen. Dabei gilt es, auch die Vorgaben der DSGVO zu beachten und eine Datenschutzfolgenabschätzung durchzuführen. Bei der Einrichtung interner Meldewege sind, zum Beispiel durch Verschlüsselung, Sicherheitsmaßnahmen nach dem Stand der Technik umzusetzen. Sollten externe IT-Dienstleister beauftragt werden, kann ein Auftragsverarbeitungsvertrag erforderlich sein. Der Bußgeldrahmen für Verstöße gegen das Hinweisgeberschutzgesetz ist wesentlich niedriger als der für Verstöße gegen die DSGVO. So hat die italienische Datenschutzaufsichtsbehörde in einem Verfahren gegen ein Krankenhaus und einen IT-Dienstleister Bußgelder in Höhe von 40.000 Euro verhängt. Nicht zuletzt deswegen sollten Unternehmen im wohlverstandenen Eigeninteresse der Datenschutzkonformität ihrer Meldewege besondere Aufmerksamkeit widmen.

 

stefan.hessel@reuschlaw.de

Aktuelle Beiträge