Whistleblowing und Compliance – wie man Meldesysteme nach Hinweisgeberschutzgesetz richtig implementiert

Bereits heute haben weltweit agierende Unternehmen aus den unterschiedlichsten Gründen Meldesysteme implementiert. Zumeist geht es um die Früherkennung bestandsgefährdender Risiken und um Anforderungen der Compliance.

Konzernweite Meldekanäle und Ressourcenteilung

Nur selten werden allerdings die Anforderungen aus der EU-Whistleblower-Richtlinie und dem zugehörigen Regelungsrahmen der DSGVO durch konzernweite Informationstools dieser Art bereits zugleich mit abgedeckt. Konzernweite Meldekanäle scheitern in der Regel schon an der Größe des Beschäftigungsgebers und damit Erfordernis einer Dezentralisierung: Eine Bündelung zu einer gemeinsam betriebenen Meldestelle ist nur für Unternehmen bis 249 Beschäftigte möglich.

Outsourcing der Meldestelle und Interessenkonflikte

Um Interessenkonflikte innerhalb des Unternehmens zu vermeiden, empfiehlt sich ein Outsourcing, in dem Meldekanäle durch Dritte bereitgestellt werden. Die Gefahr eines Interessenkonflikts besteht in besonderem Maße bei internen Meldestellenvertretern, etwa aus der HR-Abteilung, Rechtsabteilung, Compliance, Innenrevision und für Sonderbeauftragte wie Gleichstellung, Informationssicherheit, Datenschutz etc.

Plausibilitätsprüfung und Reporting

In allen Hinweisfällen werden Daten mit Personenbezug (oder Personenbeziehbarkeit) genutzt, bevor der dergestalt personalisierte Sachverhalt – um weitere Informationen angereichert – einem Plausibilitätscheck unterzogen wird. Dieser Plausibilitätscheck erfordert in der Regel die Beschaffung respektive Heranziehung zur Nutzung weiterer Daten aus dem Unternehmen oder Konzern.

Das Ergebnis kann schon in dieser ersten Phase eine Anhäufung unterschiedlichster datenschutzrechtlicher Gesetze, Nebengesetze, Regelungswerke und sonstiger Vorschriften sein.

Auch Haftungsthemen im Zusammenhang mit grundsätzlich bestehenden Verantwortlichkeiten des Unternehmens für die Handlungen von Hinweisgebern gilt es in den weiteren Verarbeitungsprozess mit einzuplanen.

Erweist sich der Anfangsverdacht als plausibel, kommt es zu einer Weiterverarbeitung der Daten durch die abschließende Ermittlung des Sachverhalts und das anschließende Reporting an das Management.

Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage wird hier – außerhalb der sektorspezifischen Sonderverpflichteten (wie z.B. Banken und Versicherungen) – in der Regel die Wahrnehmung berechtigter Interessen im Sinne von Art. 6 Abs. 1 lit. f) DSGVO sein. Mit seinem baldigen Inkrafttreten wird das Hinweisgeberschutzgesetz die (dann gesetzliche) Rechtsgrundlage bilden, sofern das Unternehmen durchschnittlich mehr als 50 Mitarbeiter hat. Wird dieser Wert unterschritten, sind entsprechende Rechtsgrundlagen durch Kollektivvereinbarungen möglich, namentlich wenn es – bei hinreichenden Verdachtsanhaltspunkten – um die Aufdeckung einer Straftat im Beschäftigungsverhältnis geht.

Die Einwilligung stellt – auch hier – nicht den Goldstandard einer Ermächtigungsgrundlage dar, da sie mit dem Risiko der Widerruflichkeit behaftet ist, das sich in der Regel dann realisieren wird, wenn sich Anhaltspunkte gegen eine beschuldigte Person verdichten. Im Falle eines Einwilligungswiderrufs könnten die hierzu im Meldeprozess gesammelten Daten auf dieser Rechtsgrundlage nicht weiterverarbeitet werden.

Betroffenenrechte

Es existieren aber noch weitere Schwierigkeiten im Wechselspiel zwischen dem Datenschutz und dem Betrieb einer Meldestelle.

So könnten betroffene Personen über die Informationspflicht des Art. 14 und das Auskunftsrecht aus Art. 15 DSGVO über sämtliche Umstände, die im Zusammenhang mit der Verarbeitung ihrer Daten stehen, unterrichtet werden und sich fortan unterrichtet halten, was dem Hinweisgeberschutz und der Intention des Gesetzes, Rechtsverstöße aufzudecken, zuwiderliefe.

Denn es besteht eine aktive Unterrichtungspflicht, die eine Höchstfrist von einem Monat ab Erhalt der Meldung aufstellt. Dies läuft wiederum im Interesse eines effektiven Hinweisgebersystems zuwider, wenn die betroffene Person hierdurch vor Abschluss der Ermittlungen informiert werden muss. In diesem Falle besteht über Art. 14 Abs. 5 lit. b) DSGVO die Möglichkeit einer Aufschiebung, solange eine Verdunkelungsgefahr besteht und die Beweise nicht abschließend gesichert sind.

Ferner besteht die Möglichkeit, nach Art. 14 Abs. 5 lit. c) DSGVO Rahmen der Unterrichtungspflicht die Identität des Hinweisgebers sowie der oben genannten weiteren Informationen nicht gegenüber der zu unterrichtenden Person offenzulegen und dadurch der unternehmerischen Vertraulichkeitsverpflichtung zu entsprechen. Denn für die beschuldigte Person besteht ebenfalls eine Fürsorgepflicht des Arbeitgebers – und zudem die gesetzliche Unschuldsvermutung.

Alternativ bestünde die Möglichkeit, dass die Identität des Hinweisgebers von vornherein nicht offengelegt werden kann, weil der Hinweisgeber anonym meldet, nachdem er vorab allgemein vom Arbeitgeber darüber unterrichtet und aufgeklärt worden ist, dass eine Unterrichtung auch an die betreffende Person, auf die sich die Beschwerde bezieht, erfolgen muss, und ihm alternativ die Option der anonymen Meldung vorgestellt wird.

Neben der Unterrichtungspflicht ist – wie vorausgeschickt – das Auskunftsrecht aus Art. 15 DSGVO zu beachten. Dieser Anspruch besteht auch gegenüber dem Arbeitgeber und beinhaltet das Recht auf Herausgabe von Kopien, einschließlich aller Informationen über die Herkunft der Daten. Die nach der EU-Richtlinie zu garantierende Vertraulichkeit des Meldeprozesses würde demnach durch die uneingeschränkte Ausübung des Auskunftsrechts vereitelt werden können.

Nach einem Urteil des Landesarbeitsgerichts Baden-Württemberg aus 12/2018 besteht ein solcher arbeitnehmerseitiger Anspruch auf Einsicht in die Akten des Meldefalles. Stehen diesem Einsichtsanspruch gesetzliche Geheimhaltungspflichten entgegen, so kann sich der Arbeitgeber hierauf berufen. Im Falle nur vertraglich vereinbarter Vertraulichkeit und Geheimhaltung bedarf es jeweils eines einzelfallbezogenen, umfassenden Abwägungsprozesses zwischen dem Geheimhaltungsinteresse des Hinweisgebers einerseits und dem Auskunftsinteresse des Betroffenen andererseits, deren Ergebnis dem Anspruchsberechtigten sodann in substanzieller Art und Weise darzulegen ist. Folgt man der – umstrittenen – Rechtsprechung des Bundesarbeitsgerichts, so besteht ohnehin kein unbeschränkter Anspruch auf Herausgabe von Kopien, vielmehr müssen die betreffenden Kopien (bspw. von E-Mails) durch ihre hinreichend konkrete Bezeichnung bestimmbar werden. Dies eröffnet den Meldestellen künftig die Möglichkeit, den Anspruch auf Herausgabe von Kopien zurückzuweisen, wenn die den Auskunftsanspruch geltend machende Personen ihren Anspruch nicht inhaltlich eingrenzen und konkretisieren kann.

DSGVO-Löschpflicht gegen Dokumentationspflicht nach Hinweisgebergesetz

Eine voreilige Löschung vor dem endgültigen Abschluss des Meldefalles, etwa nach der Empfehlung der DSK nach Ablauf von 2 Monaten ab Abschluss der Ermittlungen (im Ergebnis also wohl dem Schlussreport), erscheint nicht angebracht, da durch spätere Erkenntnisse oder Nachmeldungen Informationslücken bestünden, die oftmals nicht wieder aufgefüllt werden können oder dürfen. Dies stünde dem Ziel der inhaltlich gerechter Ergebnisse entgegen. Eine Ausnahme bildet Art. 17 Abs. 3 lit. e) DSGVO, der einen Beweismittelverlust bei der Verfolgung eigener Rechtsansprüche sowie bei der Verteidigung gegen Rechtsansprüche Dritter verhindern will.

Einen Ausweg bietet auch hier die von der DSGVO eröffnete Möglichkeit der Anonymisierung oder Pseudonymisierung, um die gewonnenen Erkenntnisse im Rahmen der unternehmensweiten Compliance zu verwerten und künftige Verstöße zu verhindern. Die „Entpersonalisierung“ des Vorgangs durch Anonymisierung oder Pseudonymisierung verhindert die Löschpflicht und ermöglicht damit einen Erkenntnisgewinn und eine Erkenntnisverarbeitung im betrieblichen Informations- und Compliance-Management.

Datenschutz-Folgenabschätzung

Vor Einführung eines Meldekanals ist zwingend eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen. Meldungen über mutmaßliche Rechtsverstöße haben erhebliche Auswirkungen auf die betroffenen Personen, die Hinweisgeber selbst sowie etwaige Dritte. Damit besteht ein besonderes Risiko für die Rechte und Freiheiten der betroffenen Personen.

Fehlt die Datenschutz-Folgenabschätzung, so führt dies zu einer Sanktionierung im Wege des Bußgeldverfahrens. Die italienische Datenschutzbehörde hat ein entsprechendes Bußgeld gegen einen Flughafenbetreiber und den Dienstleister eines Meldekanals verhängt. Der Betreiber hatte außerdem verabsäumt, für das Verfahren geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO zu implementieren und dabei insbesondere keine geeigneten Verschlüsselungsmechanismen für den Transport und die Speicherung der Meldungen bereitgestellt. Beanstandet wurde ferner, dass die Authentizität der Website des Meldekanals durch den Hinweisgeber nicht überprüft werden konnte und die Meldedaten in der Datenbank des Meldesystems unverschlüsselt gespeichert worden waren. Angesichts der hohen Sensibilität der Daten und der erheblichen Risiken, die sich aus ihrem Missbrauch ergeben könnten, wäre hier nach Auffassung der Bußgeldbehörde ein höher Verschlüsselungsmechanismus erforderlich gewesen.

Wichtig war in diesem Zusammenhang vor allem Art. 16 Abs. 2 der EU-Richtlinie iVm. Art. 14 Abs. 5 lit. c) DSGVO, wonach im Rahmen der Unterrichtungspflicht gegenüber der zu unterrichtenden Person keine Daten zur Identität des Hinweisgebers und zum Sachverhalt offengelegt werden dürfen.