Ein datenschutzrechtlicher Blick auf den neuen Entwurf des HinSchG
Mit Spannung wurde in Fachkreisen der neue Referentenentwurf des Hinweisgeberschutzgesetzes („HinSchG-E“) zur Umsetzung der EU-Whistleblower-Richtlinie (RL (EU) 2019/1937) erwartet. Da mit der Bearbeitung von Compliance-Hinweisen regelmäßig sensible personenbezogene Daten verarbeitet werden, sollten Compliance-Verantwortliche auf die aus Datenschutzsicht relevanten Regelungen besonderes Augenmerk legen.
Im Spannungsfeld zwischen DSGVO und Hinweisgeberschutzgesetz: Wie umgehen mit personenbezogenen Daten?
§ 11 Abs. 5 HinSchG-E sieht nun vor, dass zwei Jahre nach Abschluss eines Verfahrens die Dokumentation der Meldung zu löschen ist. Diese pauschale Vorschrift wirft aus Datenschutzsicht Fragen auf. Einerseits kann es bspw. bei offensichtlich falschen Verdächtigungen geboten sein, solche Meldungen früher zu löschen. Andererseits ist unklar, ob die gesamte Dokumentation gelöscht werden muss, oder sich die Vorschrift zur Wahrung der Vertraulichkeit von Hinweisgebern und weiteren betroffenen Personen nur auf deren personenbezogene Daten beziehen soll. Zwar hat der Gesetzgeber in seiner Begründung zu § 11 Abs. 5 HinSchG-E die Kriterien der Erforderlichkeit und Verhältnismäßigkeit im Zusammenhang mit der Aufbewahrung von Meldungen erkannt, gibt diesen jedoch bislang keinen ausreichenden Raum.
Der HinSchG-E sieht weiterhin keine Pflicht zur Einrichtung anonymer Meldekanäle vor. Demnach ist damit zu rechnen, dass Hinweisgeber nicht anonym auftreten (können) und zumindest ihr Name erfasst wird. Dies kann für Unternehmen die Unsicherheit zur Folge haben, ob bei der Erfüllung datenschutzrechtlicher Informations- und Auskunftspflichten nach Art. 13-15 DSGVO die Identität des Hinweisgebers preiszugeben ist, obwohl § 8 Abs. 1 S. 2 HinSchG-E dessen Identität ausdrücklich schützt. Dabei wird es vor allem darauf ankommen, ob der Hinweisgeber den Hinweis in gutem Glauben abgegeben hat oder vorsätzlich bzw. leichtfertig falsche Tatsachen oder Falschanschuldigungen vorgetragen wurden.
Über die Begründung zu § 14 Abs. 1 HinSchG-E wird Konzernunternehmen die Möglichkeit eröffnet, eine gemeinsame Meldestelle im Konzern einzurichten. Die Frage, wie ein damit verbundener Austausch personenbezogener Daten datenschutzrechtlich gerechtfertigt werden kann (insb. Art. 6 Abs. 1 lit. f DSGVO) und ob es sich in diesem Zusammenhang tatsächlich um Auftragsverarbeitungen handeln kann, ist nicht neu. Hinsichtlich der Rechtsgrundlage der Datenverarbeitungen dürfte die Begründung eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO im Zusammenspiel mit EG (DSGVO) 48 S. 1 und der explizit in § 14 Abs. 1 HinSchG-E vorgesehenen Möglichkeit für Zwecke des Hinweismanagements zukünftig einfacher werden. In Bezug auf die Einordnung des Datenaustauschs wird hier die klare Auffassung vertreten, dass der Gesetzgeber am Ende seiner (knappen) datenschutzrechtlichen Ausführungen in der Begründung zu § 14 Abs. 1 HinSchG-E die naheliegende Form der Joint Controllership (Art. 26 DSGVO) in Abgrenzung zur Auftragsverarbeitung (Art. 28 DSGVO) und Controller-to-Controller-Übermittlung übersieht. Jedenfalls wenn die Konzernobergesellschaft die zentrale Meldestelle einrichtet, wird man diese Alternative in Betracht ziehen müssen.
In § 17 Abs. 2 HinSchG-E ist weiterhin vorgesehen, dass durch die Rückmeldung an Hinweisgeber die Rechte der Personen, die Gegenstand einer Meldung sind oder die in der Meldung genannt werden, nicht beeinträchtigt werden dürfen (§ 17 Abs. 2 S. 3 HinSchG-E). Es wird deshalb datenschutzrechtlich zu klären sein, inwieweit die Mitteilung geplanter sowie bereits ergriffener Folgemaßnahmen sowie die Gründe für diese dem Hinweisgeber überhaupt mitgeteilt werden dürfen. Es ist bspw. nicht ersichtlich, welche überwiegenden Interessen des Hinweisgebers diesen in die Lage versetzen sollen, Informationen über getroffene arbeitsrechtliche Sanktionen zu erhalten. Möglich scheint jedoch die allgemeine Bekanntgabe des Status der Sachverhaltsaufklärung sowie die Mitteilung, dass sofern erforderlich (individuelle) Maßnahmen ergriffen wurden. Des Weiteren könnte es zulässig sein, über die erfolgte allgemeine Prüfung bestehender präventiver Maßnahmen in einem bestimmten Bereich zu informieren. Problematisch hingegen könnte sich die Rückmeldung über erfolgte Anpassungen präventiver Maßnahmen erweisen, sofern dadurch dem Hinweisgeber die ihm noch unbekannte Information offenbart würde, dass ein Beschuldigter tatsächlich Täter war. Auch wenn in der Begründung zu dieser Vorschrift das Problem grundsätzlich erkannt wurde, ist unter Betrachtung der tatsächlich verbleibenden Mitteilungsoptionen unklar, weshalb die Formulierung des § 17 Abs. 2 HinSchG-E derart weit ausfällt.
Christian Nickel
Christian Nickel ist Compliance Manager in Frankfurt am Main und beschäftigt sich schwerpunktmäßig mit der Prävention von Wirtschaftskriminalität sowie der Bearbeitung und Koordination von Hinweisen auf Compliance-Verstöße.
Sein Beitrag spiegelt ausschließlich die Privatmeinung des Autors wider.