Whistleblowing: Anforderungen an den Datenschutz
Die Frist zur Umsetzung der Europäischen Whistleblowing-Richtline wird Deutschland wohl nicht einhalten (können). Die letzte Regierung konnte sich in der inzwischen beendeten Legislaturperiode auf keinen Entwurf einigen. Doch dass die Neuregelung kommen muss, steht außer Frage. Deutsche Unternehmen sollten sich darauf rechtzeitig vorbereiten und sich auch intensiv mit den Anforderungen an den Datenschutz auseinandersetzen.
Whistleblower: Seine Identität soll vertraulich bleiben.
Oberster Grundsatz der Richtlinie soll sein, dass die Identität des Hinweisgebers vertraulich bleibt. Das haben die Mitgliedstaaten nach Art. 16 der Richtlinie sicherzustellen und es betrifft außer der Identität des Hinweisgebers auch alle anderen Informationen, aus denen die Identität direkt oder indirekt abgeleitet werden kann. Ohne ausdrückliche Zustimmung des Hinweisgebers darf die Identität keinen anderen Personen als gegenüber den befugten Mitarbeitern, die für die Entgegennahme von Meldungen oder für das Ergreifen von Folgemaßnahmen zu Meldungen zuständig sind, offengelegt werden. Eine Offenlegung darf nur insoweit erfolgen, als die notwendige und verhältnismäßige Pflicht im Rahmen der Untersuchungen durch nationale Behörden, von Gerichtsverfahren oder für die Verteidigung der beschuldigten Person dies erfordern.
Art. 17 der Richtlinie stellt klar, dass die nach dieser Richtlinie vorgenommene Verarbeitung personenbezogener Daten unter Einhaltung der bereits im Jahre 2016 bzw. 2018 erlassenen Datenschutzrichtlinien erfolgt. Besonders hervorzuheben sind dabei die Art. 14, 15 und 17 DSGVO.
Art. 14 DSGVO soll der betroffenen Person die Kenntnis über die Verarbeitung ihrer personenbezogenen Daten ermöglichen. Im Fall einer Meldung durch einen Hinweisgeber muss daher jeweils im Einzelfall geprüft werden, ob gegenüber der Person, deren (vermeintliches) Fehlverhalten gemeldet wurde, eine Unterrichtungspflicht besteht oder der Hinweisgeber unter den Schutz der Richtlinie fällt.
Während die Unterrichtungspflicht den Betroffenen in Kenntnis von Verarbeitungen setzen soll, dient der Auskunftsanspruch nach Art. 15 DSGVO dazu, dass der Betroffene „Herr seiner Daten“ wird bzw. die konkreten Umstände der Verarbeitung abfragen kann. Die Unternehmen sind als Verantwortliche im Sinne des Art. 4 Zif. 7 DSGVO und dabei grundsätzlich auch verpflichtet, Auskunft über die Herkunft der personenbezogenen Daten zu erteilen. Dieser Ansatz steht dabei natürlich in Widerspruch zu der statuierten Vertraulichkeit gemäß der EU-Hinweisgeberrichtlinie.
In Art. 17 DSGVO hat der Verordnungsgeber ganz bewusst das Recht zur Löschung von personenbezogenen Daten normiert, das er im Grundsatz auch in Art. 17 der Hinweisgeberrichtlinie festhält. Obwohl Löschbegehren Ausnahmeregelungen unterliegen, soll damit grundsätzlich den Betroffenen die Möglichkeit eingeräumt werden, Verarbeitungen zu unterbinden. Die Bearbeitung von etwaigen Meldungen und der Geltendmachung eines Löschbegehrens einer betroffenen Person stehen damit in einem erheblichen Widerspruch, der stets im Einzelfall aufgelöst werden muss.
Dr. Michael S. Braun und Katja Müller
Dr. Michael S. Braun ist Niederlassungsleiter im Hofer Büro von Rödl & Partner. Er leitet die Praxisgruppe Arbeitsrecht.
Katja Müller ist Rechtsanwältin im Hofer Büro von Rödl & Partner mit den Schwerpunkten Gesellschaftsrecht und Arbeitsrecht.