array(2) { [0]=> string(13) "Open Sans:600" [1]=> string(5) "Arial" }
Open Sans:600
Arial
Datenschutz und Compliance im Bereich des Whistleblowings - Rechts- und Patentanwälte
Datenschutz und Compliance im Bereich des Whistleblowings
tmpimageup_rXCyVb

Datenschutz und Compliance im Bereich des Whistleblowings

Am 16.04.2019 hat das Europäische Parlament eine Richtlinie für den Schutz von Hinweisgebern („Whistleblowern“) verabschiedet. Auch vor deren Umsetzung durch die Mitgliedstaaten sollten sich Unternehmen mit Hinweisgebersystemen wappnen. Hierbei sind nicht nur datenschutzrechtliche Vorgaben bei Verwendung solcher Systeme zu beachten, das Hinweisgebersystem ist als technisch-organisatorische Maßnahme sogar förderlich für ein umfassendes Datenschutzmanagement.

I. Hinweisgebersysteme

Hinweisgebersysteme dienen Unternehmen dazu, auf möglichst schonendem Wege Informationen über Risiken und Rechtsverstöße im eigenen Unternehmen zu erlangen, bevor sie entstehen oder ohne dass sie über Dritte wie Behörden oder die Medien auch externe Auswirkungen nach sich ziehen.

Dazu wird dem Hinweisgeber eine Plattform zur Verfügung gestellt, die er – anonym oder mit seinen Daten – zur Meldung eines Risikos oder Rechtsverstoßes nutzen kann. Hierdurch erhält das Unternehmen frühzeitige und hilfreiche Einblicke in intransparente Vorgänge oder Strukturen.

II. Datenverarbeitung durch Hinweisgebersysteme
 
Neben Datenschutzrichtlinien, die für die Einführung des Hinweisgebersystems den Rahmen des Mediums stecken, ist das Datenschutzrecht im Hinblick auf folgende Faktoren zu berücksichtigen: 
  • Personenbezogene Daten des Hinweisgebers selbst
  • Personenbezogene Daten, die der Hinweisgeber preisgibt (z. B. von Angeschuldigten oder Zeugen)
Nicht nur Klarnamen, sondern auch Adressen, Telefonnummern, E-Mail- oder IP-Adressen sind als personenbezogene Daten Gegenstand des Datenschutzrechts. Die Daten werden zur Aufarbeitung des Falles erfasst, gespeichert und ausgewertet.
III. Pflichten bei der Datenverarbeitung
 
Aus diesen Datenverarbeitungen folgt, dass auch datenschutzrechtliche Pflichten wahrzunehmen sind, um nicht nur den Whistleblowing-Vorgaben, sondern auch Datenschutzgesetzen Rechnung zu tragen. Folgende Maßnahmen müssen nicht nur gegenüber dem Whistleblower, sondern auch gegenüber anderen Betroffenen eingehalten werden: 
  • Information jedes Betroffenen über die Datenverarbeitung und die damit einhergehenden Rechte
  • Auskunfts-, Löschungs-, Berichtigungs- und Übertragungspflichten auf Anforderung
  • Erstellung eines Verarbeitungsverzeichnisses für das Hinweisgebersystem
  • Aufnahme des Hinweisgebersystems ins TOM-Verzeichnis
  • Ggf. Abschluss eines Auftragsdatenverarbeitungsvertrages mit dem Systemanbieter

IV. Vermeidung der Gefährdung von anschließenden Untersuchungen

Um zu vermeiden, dass die datenschutzrechtlich bereitzustellenden Informationen (z. B. gegenüber einem Beschuldigten) die anschließenden Untersuchungen gefährden, ist der wohl herrschende Ansatz, die Informationspflicht so lange zurückzustellen, wie die entgegenstehenden Interessen über Art. 14 Abs. 5 lit. c) bzw. Art. 15 Abs. 4 DSGVO es rechtfertigen. Dies bedarf jedoch jedenfalls einer dezidierten Abwägung in jedem Einzelfall.

Empfehlung für die Praxis
 
Soweit Sie diese Maßgaben berücksichtigen, steht einer gelungenen Einführung eines solchen Meldekanals nichts im Wege. Vielmehr schafft er für Sie einen Mehrwert für die Vermeidung von Complianceverstößen, Bußgeldern und Haftungsrisiken.

Leistungsangebot

Gerne beraten wir Sie bei der Einführung eines Hinweisgebersystems und der rechtssicheren Implementierung.

Alexander Brittner, LL.M.
Rechtsanwalt, Datenschutzbeauftragter (TÜV)

E-Mail: alexander.brittner@bolex.de
Telefon: +49 (234) 91360

MENU