In Deutschland wird der Begriff „Whistleblowing“ oft einseitig interpretiert und ausschließlich mit Plattformen, wie z.B. Wikileaks, in Verbindung gebracht. Tatsächlich steckt hinter dem Begriff viel mehr, nämlich ein wirkungsvolles Meldesystem, das Unternehmen bei der Bekämpfung von Verstößen gegen Menschenrechte oder Korruption unterstützt.
Einige Unternehmen setzen derartige Plattformen freiwillig ein. Andere Unternehmen sind hingegen aufgrund von Kapitalmarktbestimmungen dazu gezwungen, Whistleblowing Meldesysteme zu unterhalten.
Die Umsetzung gilt – insbesondere in Deutschland – als äußerst anspruchsvoll, da im Hinblick auf den Datenschutz mehrere Stolpersteine existieren. Die rechtssichere Einführung einer Whistleblowing Plattform bedarf daher einer gründlichen Vorbereitung.
Definition Whistleblowing
Im internationalen Umfeld wurde das Whistleblowing vor allem aufgrund des Erfolgs von Wikileaks bekannt. Die Webplattform gestattet es allen Menschen, größere Fehlverstöße in Politik oder Wirtschaft anonym anzuprangern und damit in Verbindung stehende Beweise einzureichen.
Whistleblowing Systeme in Unternehmen basieren letztlich auf demselben Prinzip. Mitarbeitern und Außenstehenden wird die Möglichkeit eingeräumt, Verstöße zu melden, die von Kollegen, Vorgesetzten, Lieferanten etc. begangen wurden. Konkret zu melden sind Straftatbestände gegen die jeweilige Organisation, Verstößen gegen Menschenrechte sowie andere Verstöße, die mit Kultur oder Philosophie der Organisation nicht zu vereinbaren sind.
Sinn und Zweck einer solchen Plattform besteht darin, den gemeldeten Verstößen gewissenhaft nachzugehen, um sie anschließend zu unterbinden. In zahlreichen Unternehmen haben sich Whistleblowing Plattformen als wirksames Mittel erwiesen, um Benachteiligung, Bestechung, Vetternwirtschaft etc. zu unterbinden.
Wie angedeutet, gibt es Unternehmen, die zur Einführung eigener Whistleblowing Plattformen verpflichtet sind. Dies trifft insbesondere für Unternehmen zu, die an US-Börsen gelistet sind – die Grundlage dafür bildet der Sarbanes-Oxley Act. Somit kann das Thema Whistleblowing auch für Unternehmen in Deutschland, weil sie beispielsweise ein Börsen-Listing in den USA anstreben oder sie eine Tochtergesellschaft eines US-Konzerns sind, von Bedeutung sein.
Was hat der Datenschutz mit Whistleblowing zu tun?
Auf den ersten Blick scheint das Whistleblowing eine sinnvolle Maßnahme zu sein. Dennoch ist die Einführung im Unternehmen nicht auf die leichte Schulter zu nehmen. Grund dafür ist die zwangsläufig stattfindende Übermittlung personenbezogener Daten. Zumal es sich dabei um Informationen handelt, die den Beschuldigten großen Schaden zufügen können.
Im Hinblick auf den Datenschutz gelten diese Eigenschaften als kritisch. Sensible Daten dürfen nicht ohne detaillierte Berücksichtigung der Rechtsgrundlage berücksichtigt werden. Im Rahmen der Entwicklung des Systems sind zahlreiche Vorschriften zu beachten. Ergänzend können Konstellationen auftreten, die die Gewährleistung des Datenschutzes zusätzlich erschweren.
Da wäre zunächst der Konzerndatenschutz. Womöglich erfolgt der Austausch von Whistleblowing Daten über die Grenzen einzelner Konzernunternehmen hinweg. Je nach Unternehmen ist es ebenso denkbar, dass der Datentransfer über Landesgrenzen hinweg erfolgt – womöglich sogar in Drittländer. Gerade in solchen Umfeldern sind komplexe rechtliche Zusammenhänge zu berücksichtigen, damit keine Datenschutzverstöße und somit weder Bußgelder noch andere Konsequenzen drohen.
Es muss möglich sein, Verstöße auf einer Whistleblowing Plattform anonym zu melden. Dieses Konzept widerspricht jedoch Transparenzgebot. Die Aufklärung von Sachverhalten wird unter Umständen zusätzlich erschwert, weil aufgrund der anonymen Einreichung keine Möglichkeit besteht, Rückfragen an den Whistleblower zu stellen.
Rechtsgrundlagen
Mitarbeiter, die ein Whistlesblowing System fit für den Datenschutz machen sollen, stellen meist nach kurzer Zeit fest, dass der gegebene Spielraum für ein Datenschutzkonzept überraschend klein ist. Es gibt nur wenige Rechtsgrundlagen, die eine sichere Umsetzung gestatten, wie Artikel 88 Abs.1 DSGVO und § 26 Abs. 1 S. 2 BDSG-neu, die solch eine Maßnahme rechtfertigen, um ausgewählte Verhaltensverstöße zu verhindern. Entsprechend sind Erhebung, Verarbeitung und Nutzung von Beschäftigtendaten mit Whistleblowing-Hotlines zulässig, „wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.“ Zulässige Anlässe für solche Meldungen (wie z.B. die Erfüllung eines Straftatbestands oder ein Verstoß gegen den Code of Conduct) gilt es festzulegen und den Mitarbeitern bekannt zu machen.
Was kann ein externer Datenschutzbeauftragter tun?
Vielen Unternehmen ist nicht bekannt, dass die Einführung einer Whsitleblowing Plattform eine Vorabkontrolle durch den Datenschutzbeauftragten erfordert. Im Allgemeinen empfiehlt es sich, den Datenschutzbeauftragten von Beginn an in den Planungsprozess einzubeziehen, damit auf diesem Weg ein System entsteht, dass eine angemessene Rechtssicherheit verspricht. Eine spätere Einbindung ist selbstverständlich ebenfalls möglich, jedoch ist es dann unter Umständen erforderlich, erhebliche Anpassungen vorzunehmen.
Sollte sich das erforderliche Knowhow nicht im eigenen Haus befinden, besteht die Möglichkeit, einen externen Datenschutzbeauftragten zu bestellen oder alternativ einen erfahrenen Berater zu engagieren, der das Unternehmen mit seinem Fachwissen gezielt unterstützt.
Wenn auch Sie ein Whistleblowing System installieren möchten und deswegen Fragen rund um den Datenschutz haben, sind Sie bei uns genau richtig. Wir freuen uns auf Ihre Anfrage.