Am 02.07.2023 trat das neue Hinweisgeberschutzgesetz als nationale Umsetzung der europäischen Whistleblower-Richtlinie (WBRL) in Kraft. Damit soll der bislang unzureichende Schutz hinweisgebender Personen ausgebaut sowie sichergestellt werden, dass diesen im Rahmen des Gesetzes keine Benachteiligungen bevorstehen.
Wozu dient das neue HinSchG?
Whistleblower, zu deutsch „Hinweisgeber“ oder hinweisgebende Personen, können im Unternehmen rechtlichen Verstöße melden. In der Vergangenheit erlitten dieser Hinweisgeber immer wieder Nachteile oder verzichteten aufgrund der Furcht vor Repressalien auf die Meldung von Rechtsverstößen. Vor diesen Repressalien sollen diese Personen sowie Personen, die die Hinweisgeber unterstützen, Gegenstand einer Meldung oder in sonstiger Weise von der Meldung betroffen sind, durch das neue Hinweisgeberschutzgesetz (HinSchG) geschützt werden.
Wer ist vom HinSchG erfasst?
Um dafür ein weitgehendes und einheitliches Schutzniveau zu errichten, fasst der Gesetzgeber den Kreis der betroffenen Beschäftigungsgeber recht weit. Prinzipiell wird damit jeder Beschäftigungsgeber mit mehr als 50 Mitarbeitenden ab dem 02.07.2023 gesetzlich dazu verpflichtet, ein bestimmtes Hinweisgebersystem (Whistleblowingsystem) einzuführen. Für private Beschäftigungsgeber mit in der Regel 50 bis 249 Mitarbeitenden gilt eine Schonfrist zur Einführung bis 17.12.2023. Damit müssen die betroffenen Unternehmen ein internes Meldesystem einführen, über welches die Meldungen der hinweisgebenden Personen eingehen können. Bei einem Verstoß gegen die Einführung einer solchen Meldestelle drohen Bußgelder.
Das Problem mit den Hinweisgebersystemen
Die Einführung eines geeigneten Hinweisgebersystems ist folglich eine entscheidende Maßnahme für die Umsetzung des Hinweisgeberschutzgesetzes. Dabei ist ein anonymer Meldekanal in Deutschland nicht vorgeschrieben, aber möglich. Es soll eine interne Meldestelle eingeführt werden, welche einen Meldekanal betreibt, über den die Hinweisgeber mit der Meldestelle kommunizieren und die Meldestelle angemessene Maßnahmen – wie eine Kontaktaufnahme mit den betroffenen Personen oder interne Untersuchungen – ergreifen kann. Für die Besetzung eines solchen internen Meldesystems geeignet sind in der Regekl die Compliance-, Rechts-, oder Personalabteilung, aber auch Datenschutzbeauftragte (ErwG 56 WBRL). Will man nicht die eigenen Mitarbeiter mit der Besetzung einer solchen Meldestelle belasten, können auch externer Anbieter wie Anwaltskanzleien, die von Hause aus zur Verschwiegenheit verpflichtet sind, mit der Wahrnehmung der Funktion der externen Meldestelle betraut werden. Dies bringt zwar hohe Anforderungen an die Datenverarbeitung der personenbezogenen Daten mit sich, die jedoch auch jenseits des HinSchG von dieser Berufsgruppe eingehalten werden sollten.
Licht und Schatten
Das Risiko der Nachverfolgbarkeit bei der Einreichung über externe Meldestellen, wie das Bundesamt für Justiz, die Bundesanstalt für Finanzdienstleistungsaufsicht und das Bundeskartellamt ist hoch, da diese nicht in Abläufe der Unternehmen eingebunden sind, sodass diese bei auftretenden Unklarheiten Rückfragen stellen müssten. Findet eine Meldung jedoch anonym statt, existiert diese Möglichkeit nicht, sodass im Zweifel keine angemessenen Folgemaßnahmen in Bezug auf die Meldung ergriffen werden können. Wurden hingegen speziell vorgehaltene Kanäle genutzt, wäre durch Rückverfolgung und Datenerhebung eine Kontaktaufnahme zwar möglich, ähnlich einer Anlaufstelle im Firmennetz die Anonymität der Hinweisgeber möglicherweise jedoch beeinträchtigt.
Und der Datenschutz?
Durch die Einführung und Nutzung eines Meldesystems werden typischerweise regelmäßig eine Vielzahl an personenbezogenen Daten erhoben und verarbeitet, bei denen es sich in aller Regel um solche i.S.d. Art. 4 Nr. 1 DSGVO handelt. Betroffen sind namentlich Daten zum Hinweisgeber, sofern er nicht anonym bleibt, als auch Angaben zum gemeldeten Sachverhalt mit Angaben zu den Beschuldigten und anderen betroffenen Personen wie z.B. Zeugen. Dazu zählen auch intern erhobene Daten aus IT-Systemen, Datenbanken, Korrespondenzen oder E-Mails. Dadurch ist der Anwendungsbereich des Datenschutzrechtes, insb. der Datenschutzgrundverordnung (DSGVO) eröffnet, denn das HinSchG selbst enthält kaum Bestimmungen bezüglich datenschutzrechtlicher Aspekte. Lediglich die Dokumentation und Löschung der Daten (§ 11 HinSchG) und die Weitergabe der Daten an Dritte (§ 9 HinSchG) sind in Hinblick auf den Datenschutz näher gesetzlich bestimmt. Daher müssen für die Datenverarbeitungen zahlreiche Vorgaben des Datenschutzrechts beachtet werden, wie die der Datenschutzfolgenabwägung (DSFA), das Vorhandensein einer entsprechenden Rechtsgrundlage, aber auch die Vertraulichkeitsgebote, Betroffenenrechte und Auskunftsansprüche müssen gewahrt sein.
Genauer bedeutet dies, dass gem. Art. 35 DSGVO eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge durchzuführen ist, soweit die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
Des Weiteren dürfen personenbezogene Daten nur aufgrund einer Rechtsgrundlage erhoben und verarbeiten werden. Auf die in den Meldekanälen eingehenden Meldungen dürfen zudem nur Personen der internen Meldestelle Zugriff haben (§ 16 II HinSchG), die Informationen sind vertraulich zu behandeln (§ 8 I 2; II HinSchG) und dürfen nur in Ausnahmefällen weitergegeben werden (§ 9 HinSchG). Voraussetzung hierzu ist wiederum, dass dies für die Durchführung von Folgemaßnahmen erforderlich ist oder der Hinweisgeber seine Einwilligung erteilt hat.
Im Widerspruch zur Gewährleistung dieses vertraulichen Umgangs mit den Daten des Hinweisgebers stehen die sog. Betroffenenrechte. Danach steht es in der Pflicht des Beschäftigungsgebers, bei Eingang einer Meldung die betroffene Person umfassend über die Erhebung und Verarbeitung ihrer Daten zu informieren, sofern personenbezogene Daten ohne Kenntnis der betroffenen Person erhoben werden (Art. 14 DSGVO). Danach sind sowohl Inhalt der Meldung als auch die Identität des Hinweisgebers offenzulegen, was jedoch im Widerspruch zum sog. Vertraulichkeitsgebot (s.o.) steht. § 29 I 1 BDSG versucht dieses Spannungsverhältnis zu lösen, indem die Informationspflicht ausnahmsweise nicht bestehen soll, soweit durch ihre Erfüllung Informationen offenbart würden, die ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen.
Zudem steht Personen, die Gegenstand eines geäußerten Verdachts sind, ein Auskunftsanspruch nach Art. 15 I DSGVO zu. Danach hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Dazu zählt auch der Anspruch der betroffenen Person, die Quelle, also auch die Identität des Hinweisgebers, zu erfahren. Dem entgegen stehen allerdings regelmäßig sowohl das Interesse des Hinweisgebers, als auch die Pflicht des Beschäftigungsgebers zur Geheimhaltung der Identität des Hinweisgebers. Auch hiervon sieht § 29 in Absatz 1 Satz 2 BDSG eine Ausnahme vor, nämlich besteht danach das Auskunftsrecht nicht, soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach geheim gehalten werden müssen.
Löschung von Daten
Hier kollidiert unter Umständen das Recht auf Löschung der Daten der betroffenen Personen aus Art. 17 DSGVO mit der Dokumentationspflicht eingehender Meldungen im Hinweisgebersystem. Die Dokumentation nach § 11 Abs. 5 HinSchG ist drei Jahre nach Abschluss des Verfahrens zu löschen. Die Dokumentation kann länger aufbewahrt werden, um die Anforderungen nach diesem Gesetz oder nach anderen Rechtsvorschriften zu erfüllen, solange dies erforderlich und verhältnismäßig ist. Die Datenschutzkonferenz empfiehlt eine Löschung sämtlicher Daten zwei Monate nach Abschluss der Ermittlungen, sofern die Klärung weiterer Schritte nicht erforderlich ist. Aber kann der Beschäftigungsgeber je sicher sein, dass diese Daten nicht doch noch benötigt werden?
Der Konflikt
Schnell wird deutlich: Das neue Hinweisgeberschutzgesetz birgt somit ein Spannungsverhältnis zwischen dem Hinweisgeberschutz und dem stets zu wahrenden Datenschutz. Auf den jeweiligen Einzelfall kommt es an.
Wir unterstützen Sie gerne bei der Einrichtung oder dem Betrieb Ihrer internen Meldestelle. Auch bei Fragen der juristischen Bewertung datenschutzrechtlicher Aspekte stehen wir gerne mit unserer Expertise zu Seite. Nehmen Sie Kontakt auf unter info [at] anwaltskanzlei-albrecht.de oder gern telefonisch.