Hinweisgeberschutz und Datenschutz

Ein Überblick

Der Gesetzentwurf und die Richtlinie

Beschäftigungsgeber (Arbeitgeber) haben die Vorgaben aus dem geplanten „Gesetz zum Schutz hinweisgebender Personen (Hinweisgeberschutzgesetz – HinSchG)“ umzusetzen, wenn es in der endgültigen Fassung verabschiedet ist (im Folgenden „HinSchG-E“). Zu diesem Gesetz liegt bis jetzt ein Referentenentwurf vor, mit dem die „Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ in nationales Recht umgesetzt (im Folgenden „WBR“) werden soll. Frist bis zur Umsetzung ist der 17.12.2021. Dieser Termin wird aufgrund der Regierungsbildung nicht eingehalten werden, so dass ein späteres in Kraft treten erfolgt. Daher ist es auch möglich, dass noch eine Anpassung des HinSchG-E erfolgt. Unverändert bleibt jedoch der sachliche Anwendungsbereich, soweit er mit dem der WBR übereinstimmt.

Beschäftigungsgeber mit in der Regel mindestens 50 Beschäftigten haben daher bis zum 17.12.2021 eine interne Meldestelle einzurichten. Dies gilt momentan jedoch nur für Beschäftigungsgeber mit mehr als 250 Beschäftigten, weil Beschäftigungsgeber mit 50 bis zu 249 Beschäftigten für die Umsetzung noch weitere zwei Jahre Zeit, d.h. bis zum 17.12.23, haben.

„Beschäftigungsgeber“ sind u.a. natürliche und juristische Personen des Privatrecht, also z.B. Selbständige, GmbHs oder AGs oder sonstige rechtsfähige Personenvereinigungen, z.B. Vereine, sofern mindestens eine Person bei Ihnen beschäftigt ist.

Unabhängig von den o.g. Zahlen der Beschäftigten gilt die Pflicht zur Einrichtung einer Meldestelle für bestimmte Unternehmen wie z.B. Wertpapierdienstleistungsunternehmen oder Kapitalverwaltungsgesellschaften. Für diese und die anderen juristischen Personen, die unter die im Anhang in den Teilen I.B und II der WBR genannten Unionsrechtsakte fallen, gilt keine Personengrenze.

Welche Verstöße sind erfasst?

Meldungen bei Verstößen gegen das Datenschutzrecht

Das HinSchG-E umfasst die Meldungen und die Offenlegung von Informationen über Verstöße

  • die straf- oder bußgeldbewehrt sind und
  • Verstöße gegen Gesetze, Rechtsverordnungen und sonstige Vorschriften des Bundes und der Länder sowie
  • unmittelbar geltende Rechtsakte der Europäischen Union.

Somit geht der sachliche Anwendungsbereich des HinSchG-E deutlich über den der WBR hinaus. Erfasst werden von beiden im Ergebnis aber auf jeden Falle Verstöße gegen unmittelbar geltende Rechtsakte der EU sowie die DSGVO. Ob auch Verstöße gegen das TMG, dass zukünftige TTDSG oder das BDSG erfasst werden, hängt vom zukünftigen Inhalt des HinSchG-E ab. Die neuen Regelungen erfassen somit Verstöße gegen datenschutzrechtliche Bestimmungen, führen aber gleichzeitg selbst zu einer umfangreichen Verarbeitung personenbezogener Daten.

 

Wer bearbeitet die Meldungen?

Interne Meldestelle

Beschäftigungsgeber sind verpflichtet, bei sich eine Stelle für interne Meldungen einzurichten und zu betreiben („interne Meldestelle“). Hinweisgeber sollen sich mit Meldungen über die Verletzung der o.g. Gesetze primär an die interne Meldestelle wenden. Die interne Meldestelle ist mit den notwendigen Befugnissen auszustatten, damit sie ihre Aufgaben wahrnehmen kann. Aufgaben der internen Meldestelle sind der Betrieb der Meldekanäle, prüfen der Stichhaltigkeit der Meldung und die Ergreifung der gesetzlich vorgesehenen Folgemaßnahmen. Zu den Folgemaßnahmen können insbesondere interne Untersuchungen gehören.

 

Auslagerung der Meldestelle

Dritte als Interne Meldestelle

Mit den Aufgaben der internen Meldestelle kann auch ein Dritter betraut werden.

Aufgaben des Dritten sind der Betrieb der internen Meldestelle, die Prüfung der Stichhaltigkeit der Meldungen und das Ergreifen von Folgemaßnahmen. Die Dritten sind bei der Aufgabenwahrnehmung unabhängig, genauso wie die mit den Aufgaben einer internen Meldestellte beauftragten Beschäftigten.

Auch für Dritte gelten die gesetzlichen Anforderungen in Bezug auf die Ausgestaltung des internen Meldekanals. Als interne Meldestelle gilt für Dritte der gleiche Schutzstandard für den Schutz hinweisgebender Personen, wie für Beschäftigten des Beschäftigungsgebers. Artikel 8 Absatz 5 Satz 2 der WBR sieht diese Vorgabe ausdrücklich im Falle der Beauftragung Dritter als interne Meldestelle vor.

Der Hinweisgeberschutz und auch der Datenschutz für die Bearbeitung der Meldungen obliegt den Dritten. Keine Voraussetzung ist, dass diese Dritten einer beruflichen Geheimhaltungspflicht unterliegen. Da sie eine „interne Meldestelle“ sind, gelten für sie die gleichen sich aus dem HinSchG-E ergebenden Geheimhaltungspflichten, die auch für die beim Beschäftigungseber beschäftigten Personen gelten. Vertraglich können ihnen jedoch auch weitergehende Pflichten auferlegt werde.

So ist z.B. die Beauftragung externer Anwälte als „Dritter“ möglich, die die zusätzliche Aufgabe des Betreibens einer internen Meldestelle übernehmen können. Die Vorschrift setzt Artikel 8 Absatz 5 Satz 1 der Hinweisgeberschutz-WBR um. Ergänzend nennt deren Erwägungsgrund als mögliche Dritte externe Berater, Prüfer, Gewerkschaftsvertreter oder Arbeitnehmervertreter. Ob Berufsgeheimnisträger bei der Wahrnehmung von Aufgaben als „Interne Meldestelle“ sich jedoch auf Ihre Geheimhaltungspflichten berufen können oder ein Beschlagnahmeschutz der Akten/Daten besteht, erscheint unter Berücksichtigung bisheriger Rechtsprechung fraglich. Sie sind nämlich nicht als Berufsgeheimnisträger beauftragt, sondern „Interne Stelle“ des Beauftragten und unterliegen in dieser Tätigkeit ausschließlich den Regelungen des HinSchG-E bzw. der WBR.

Kontrollfunktionen und Interne Meldestelle

Interessenkonflikte interner Meldestellen

Im Hinblick auf den Anwendungsbereich des HinwG-E und der WBR und deren Intention erscheint fraglich, ob entgegen anderslautender Ausführungen bereits bestehende Kontrollfunktionen gleichzeitig mit der Wahrnehmung der Aufgaben einer internen Meldestelle betraut werden können. So z.B. der Compliance-Beauftragte oder der Datenschutzbeauftragte. Der HinSchG-E sieht vor, dass die mit den Aufgaben der internen Meldestelle Beauftragten, im Falle der erlaubten Wahrnehmung anderer Aufgaben, keinen Interessenkonflikt haben dürfen. Entgegen anderslautenden Ausführungen könnte sich z.B. bei Datenschutzbeauftragten, sowohl internen als auch externen, durchaus die Frage nach einem Interessenkonflikt stellen. Datenschutzbeauftragte haben die Einhaltung der DS-GVO und anderer datenschutzrechtlicher Bestimmungen zu überwachen. Der Datenschutzbeauftragte darf anderer Aufgaben wahrnehmen. Gleichzeitig hat der Verantwortliche –der Beschäftigungsgeber- , sicherzustellen, dass derartige Aufgaben und Pflichten des Datenschutzbeauftragten nicht zu einem Interessenkonflikt führen. Ebenso kann hinterfragt werden, inwieweit z.B. Compliance-Abteilungen gleichzeitig sowohl Ihren Pflichten nach dem KWG, WpHG als auch denen der interne Meldestelle nachkommen sollten. Bestehende Kontrollfunktionen habe mit Sicherheit die Expertise für ihren Aufgabenbereich, können aber auch selbst Gegenstand einer Meldung sein. In diesen Fällen sollte ein Interessenkonflikt ausgeschlossen sein.

Welche Daten werden verarbeitet

Verarbeitung personenbezogener Daten

Hinweisgeber können nicht nur Verstöße gegen datenschutzrechtliche Bestimmungen melden. Meldungen und Folgemaßnahmen selbst führen wiederum zur  Verarbeitung personenbezogener Daten.

Kategorien betroffener Personen der Datenverarbeitung sind u.a. Hinweisgeber wie z.B. Beschäftigte, d.h. Arbeitnehmer und Arbeitnehmerinnen und zur Berufsausbildung Beschäftigte. Dazu zählen aber auch ehemalige Beschäftigte, unabhängig vom Grund der Beendigung des Arbeitsverhältnisses, oder Personen, deren Arbeitsverhältnis noch nicht begann und die während des Bewerbungsverfahrens Informationen über Verstöße erlangten. Betroffene Personen können aber z.B. auch externe Auftragnehmern, Lieferanten oder Organmitgliedern von Gesellschaften sein. Ebenso Personen, die Gegenstand einer Meldung sind und sonstige in der Meldung genannte Personen. Nicht zu vergessen die personenbezogenen Daten der für die Entgegennahme und Bearbeitung von Meldungen zuständigen Personen.

 

Ob das zukünftige HinSchG-E eine Anonymität dies Hinweisgebers bei Nutzung interner Meldestelle ermöglicht, ist abzuwarten. Nach den Erwägungsgründen der WBR können die nationalen Gesetzgeber hierzu unbeschadet den Regelungen des EU-Rechts eigene Regelungen vorsehen.  Der jetzige Entwurf sieht nach seinen Wortlaut vor, dass die Meldestellen befugt sind, personenbezogene Daten zu verarbeiten, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist. Für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Umsetzung und Erfüllung des Entwurfs sind die :

  • 17 RL 19/1937
  • 10 HinSchG-E
  • 11 Abs. 4 HinSchG-E
  • Begründung zu § 18 HinSchG, der auf § 26 BDSG verweist

zu berücksichtigen.

Verantwortlicher für die Verarbeitung der personenbezogenen Daten ist der Beschäftigungsgeber, der die interne Meldestelle einzurichten hat. Als Rechtsgrundlage der Verarbeitung werden nach dem bisherigen Wortlaut des HinSchG-E Art. 6 I lit. c DS-GVO und § 26 BDSG i.V.m den Regelungen des HinSchG-E maßgeblich sein.

Art. 17 WBR bestimmt, dass die vorgenommene Verarbeitung personenbezogener Daten einschließlich des Austauschs oder der Übermittlung personenbezogener Daten durch die zuständigen Behörden im Einklang mit der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 erfolgt. Personenbezogene Daten, die für die Bearbeitung einer spezifischen Meldung offensichtlich nicht relevant sind, werden nicht erhoben bzw. unverzüglich wieder gelöscht, falls sie unbeabsichtigt erhoben wurden.

Nach der Begründung schaffe § 10 HinSchG-E die für die Arbeit der internen Meldestellen erforderlichen Datenverarbeitungsbefugnisse. Aufgrund der für Meldestellen bestehenden umfassenden Dokumentationspflicht stellt § 11 Abs. 4 HinSchG-E ausdrücklich klar, dass die Dokumentation zu löschen ist, sobald das Verfahren abgeschlossen ist. Dies folgt nach meiner Auffassung jedoch bereits aus Art. 17 Abs. 1 DSGVO. Fraglich wird sein, wann ein Verfahren abgeschlossen ist. Einerseits kann sich ein Hinweisgeber nach Abschluss eines Verfahrens immer noch zusätzlich an eine externe Meldestelle wenden, andererseits werden Beschäftigungsgeber je nach Inhalt des Verfahrens verschiedene Verjährungsvorschriften berücksichtigen wollen oder die Rechtsverfolgung.

Als Rechtsgrundlage für die Verarbeitung personenbezogener Daten bei Folgemaßnahme ist in der Begründung des Entwurfs § 26 BDSG genannt. Fraglich erscheint, ob dieser für alle Verarbeitungen aufgrund von Folgemaßnahmen anwendbar ist. § 26 BDSG betrifft primär die „Durchführung“ des Beschäftigungsverhältnisses und betrifft somit Beschäftigte. Folgemaßnahmen werden aber nicht nur Beschäftigte betreffen, sondern möglicherweise auch Dritte. Ebenso ist die Durchführung von Folgemaßnahmen keine originäre Aufgabe zur Durchführung des Beschäftigungsverhältnisses.

Hinweise sind vertraulich zu behandeln

Wahrung der Vertraulichkeit

Die Bearbeitung von Meldungen und Folgemaßnahmen erfordern Vertraulichkeit. Zusätzliche Vorgaben folgen aus den §§ 8 und 16 HinSchG-E. Diese gelten für die Beschäftigten des Beschäftigungsgebers und Dritte, die als interne Meldestelle tätig sind. Auf die Vertraulichkeit sollten die Personen der internen Meldestelle  schriftlich verpflichtet werden. Aus den gesetzlichen Regelungen lassen sich Anforderungen an die technischen und organisatorischen Maßnahmen für die Datenverarbeitung personenbezogener Daten im Zusammenhang mit Meldungen und Folgemaßnahmen ableiten. Die Anforderungen gelten jedoch nicht nur für die elektronische verarbeiteten Daten, sondern auch die in Papierform, wie z.B. Papierakten, ausgedruckte Dokumente oder zu vernichtende Dokumente. Die Meldestellen haben die Vertraulichkeit der Identität

  • der hinweisgebenden Personen
  • der Personen, die Gegenstand einer Ermittlung sind
  • der sonstigen in der Meldung genannten Personen

zu wahren.

Die Wahrung der Vertraulichkeit der Identität des Hinweisgebers ist eine wesentlichen Vorsorgemaßnahme. Dies ist zwar besonders für die Identität der genannten Personen hervorgehoben, gilt aber natürlich auch für die gesamten Informationen, die in den Meldungen oder im Zusammenhang mit den Untersuchungen bekannt werden.

Die eingerichteten Meldekanäle sind so zu gestalten, dass nur die für die Entgegennahme der Bearbeitung der Meldung zuständigen Personen Zugriff auf die eingegangenen Meldungen haben. Die Vorschrift setzt Artikel 9 Absatz 1 Buchstabe a der Hinweisgeberschutz-WBR um, der verlangt, dass Meldekanäle so konzipiert, eingerichtet und betrieben werden, dass nicht befugte Mitarbeiter keinen Zugriff auf die eingehenden Meldungen haben. Damit wird sichergestellt, dass ein möglichst kleiner Personenkreis Kenntnis von der Identität der hinweisgebenden Person, von Personen, die Gegenstand einer Meldung sind, oder von sonstigen in der Meldung genannten Personen hat.

Dies hat in der Folge Auswirkungen auf das Berechtigungskonzept für den Zugriff auf die eingegangenen Meldungen und weiteren Dokumente. Insbesondere ist zu klären, ob diese Regelung so umfassend zu verstehen ist, dass z.B. auch Administratoren keinen Zugriff auf die eingegangenen Meldungen haben dürfen. Ebenso kann man die Frage stellen, ob für die Geschäftsleitung nicht nur Leserechte ausreichend sind. Sofern externe IT-Dienstleister als Auftragsverarbeiter tätig sind, sollte der Auftragsverarbeitungsvertrag zusätzliche Geheimhaltungvorschriften vorsehen.

Datenschutzrechtliche Anforderungen

Entscheidung der Italienischen Aufsichtsbehörde (GDDP)

Die Bearbeitung von Medlungen und Folgemaßnahmen erfordern erhöhte Maßnahmen, um den Datenschutz zu gewährleisten.

Die Italienische Aufsichtsbehörde hat zum Einsatz einer Whistleblower-Plattform als SaaS eine Entscheidung erlassen, die datenschutzrechtliche Anforderungen an eine solche Plattform vorgibt.

Die GDDP ist der Auffassung, dass der für die Verarbeitung Verantwortliche verpflichtet sei, den Grundsatz der Integrität und Vertraulichkeit gemäß Artikel 5 Abs. 1 lit. f DSGVO einzuhalten. Dementsprechend müssten die Daten auf eine Weise verarbeitet werden, die eine angemessene Sicherheit gewährleiste, einschließlich des Schutzes vor unbefugter Verarbeitung, Zerstörung oder Beschädigung.

Die GDDP stufte die Art der ausgetauschten Daten und ihre mögliche Aneignung durch Dritte als sehr riskant ein. Der für die Datenverarbeitung Verantwortliche muss daher angemessene technische und organisatorische Maßnahmen ergreifen, die dem Stand der Technik, der Art, den Zwecken und den mit der Verarbeitung verbundenen Risiken Rechnung tragen. Dazu gehörten der Einsatz kryptografischer Mittel sowohl für den Transport als auch für die Speicherung von Daten sowie die Durchführung einer Datenschutzfolgenabschätzung. Solange diese Maßnahmen nicht getroffen seien, verstoße die Verarbeitung gegen Artikel 5 Abs. 1 lit. f DSGVO, Artikel 25 Abs. 1 DSGVO, Artikel 32 DSGVO und Artikel 35 DSGVO.

Die deutschen Aufsichtsbehörden haben somit eine Vorlage, welche Anforderungen an eine Whistleblower-Plattform zu stellen sind.

Wie geht es weiter?

Fazit

Ab Inkrafttreten des HinSchG dürfte die juristische Diskussion über die Zulässigkeit der Datenverarbeitung nach dem HinSchG-E zunehmen, weil das Gesetz und die WBR Spielraum für eine umfangreiche Datenverarbeitung lassen. Insbesondere auch die Rechte betroffener Personen nach Art. 12 ff. DS-GVO müssen in Einklang mit den Regelungen und dem Zweck des HinSchG-E bzw. der WBR gebracht werden.