Im Juni 2023 wurde nach langem gesetzgeberischem Tauziehen das Hinweisgeberschutzgesetz (HinSchG) als Umsetzung der europäischen Whistleblowing-Richtlinie verabschiedet. Unternehmen mit mindestens 50 Mitarbeitenden müssen nunmehr insbesondere interne Meldestellen einrichten und eingegangenen Hinweisen entsprechend nachgehen. Dabei stellen sich viele Fragen an der Schnittstelle zum Schutz personenbezogener Daten sowohl des Hinweisgebers als auch der in einem Hinweis genannten Personen.
Wenn Unternehmen Hinweise über ihr Whistleblowing-System oder auf andere Weise erhalten, verarbeiten sie in der Regel eine ganze Reihe noch dazu häufig besonders sensibler Informationen über Personen: Dabei kann es sich um Informationen über den Whistleblower selbst handeln, außerdem über eine Person, deren Fehlverhalten gemeldet wird sowie über sämtliche andere Personen, die im Hinweis genannt werden. Auch mittelbar ableitbare Informationen reichen insoweit aus (etwa Berichte über einen gemeinsamen Geschäftstermin, deren Teilnehmende für den Arbeitgeber leicht herauszufinden sind, auch wenn im Hinweis selbst keine Namen genannt werden).
Unternehmen müssen bei ihrer Organisation und der Bearbeitung eingegangener Hinweise neben den Regelungen aus dem HinSchG (und ggf. entsprechenden Umsetzungsgesetzen in anderen EU-Mitgliedstaaten) entsprechend auch stets datenschutzrechtliche Anforderungen mitdenken, insbesondere aus der DSGVO.
Als praktisch besonders relevant haben sich dabei insbesondere folgende Themen erwiesen:
Inhalt von Meldungen: Wenn ein Whistleblower behauptet, das Unternehmen habe selbst einen materiellen Datenschutzverstoß begangen, so muss das Unternehmen diesen Hinweis entgegennehmen und entsprechend der konkretisierenden Bestimmungen aus dem Hinweisgeberrecht investigativ tätig werden.
Einbindung von Dienstleistern: Wenn ein Dienstleister (z.B. ein Ombudsmann oder ein Anbieter von Hinweisgebersystemen) beauftragt wird, muss in der Regel ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit diesem geschlossen werden.
Struktur im Konzern: Wenn eingegangene Hinweise mehrere Konzerngesellschaften betreffen oder eine Gesellschaft die zentrale Anlaufstelle für den Konzern bilden soll, müssen diese Verhältnisse vertraglich abgebildet werden. Dies gilt auch für datenschutzrechtliche Inhalte.
Zugriffsrechte: Idealerweise vor der Inbetriebnahme des Systems sollte geklärt werden, welche Personen/Abteilungen/Management-Stufen in welchem Detailgrad Zugriff auf Hinweise und den Stand der Ermittlungen bekommen sollen. Hierfür bietet sich der Aufbau einer Matrix nach dem Need-to-know-Prinzip an.
Informationspflichten: Sämtliche Personen, deren Daten Gegenstand eines Hinweises oder daraus folgender Ermittlungen sein können, müssen vorab abstrakt über den Umgang mit diesen Daten informiert werden. Dies ist durchaus herausfordernd, da es nicht nur um eigene Mitarbeitende, sondern potentiell auch um sonstige Personen geht. Dabei stellt sich zudem die Frage, ob angeschuldigte Personen im Nachgang konkret über die Anschuldigungen und den Verfahrensgang informiert werden müssen.
Umgang mit Betroffenenrechten: Insbesondere die eines Fehlverhaltens beschuldigte Person hat – sofern sie überhaupt von dem Hinweis erfährt – häufig ein gesteigertes Interesse daran, herauszufinden, wer sie welchen Verhaltens bezichtigt hat. Hier müssen Unternehmen neben der Wahrung der Rechte dieser Person auch die Rechte des Hinweisgebers achten. Zudem versuchen sie sinnvollerweise, den Betriebsfrieden bestmöglich zu wahren. Dieses Gleichgewicht zu wahren, ist durchaus herausfordernd.
Anonymität des Whistleblowers: Vorsichtig sollte man damit sein, dem Hinweisgeber Anonymität zuzusichern. So mag es insbesondere bei strafrechtlich relevantem Verhalten vorkommen, dass die Staatsanwaltschaft mit ihren speziellen Ermittlungsbefugnissen die Identität des Hinweisgebers lüftet, auch wenn dies durch das Unternehmen unbeabsichtigt ist. Zudem sollte die technische Einbindung des Hinweisgeber-Systems darauf überprüft werden, ob etwa die IT doch in der Lage wäre, den Mitarbeitenden hinter einem eingegangenen Hinweis zu identifizieren.
Bei der Gestaltung eines Hinweisgebersystems ist es auch angesichts der geschilderten Problemfelder sehr empfehlenswert, neben weiteren Rechtsgebieten (insbesondere dem Arbeitsrecht, etwa im Hinblick auf den Abschluss von Betriebsvereinbarungen) schwerpunktmäßig auch die Einhaltung des Datenschutzrechts zu berücksichtigen. Entsprechend sollten die dabei relevanten Akteure wie Datenschutzbeauftragte und externe Rechtsanwälte (natürlich unbedingt von Osborne Clarke 😉) frühzeitig involviert werden.
Dr. Till Gerhardt hat an der Universität Hamburg im Europäischen Privatrecht promoviert. Nach seinem Referendariat in Hamburg, Berlin und Madrid arbeitete er zunächst als Rechtsanwalt bei der Kanzlei Hogan Lovells. Seit April 2017 ist er im Datenschutz-Team von Flemming Moos und Jens Schefzig am Hamburger Standort von Osborne Clarke als Rechtsanwalt tätig.
