Blog: Neue Datenschutzprobleme für Unternehmen

Blog: Neue Datenschutzprobleme für Unternehmen

Ein Blogbeitrag von Mona Wrobel, LL.M. (Stellenbosch) (Rechtsanwältin für IT- und Datenschutzrecht) und Mareike Gehrmann, Fachanwältin für IT-Recht und Salary Partnerin bei der Wirtschaftskanzlei Taylor Wessing.

 

Mareike Gehrmann
Mareike Gehrmann

Die europäische Hinweisgeberschutzrichtlinie soll die Rechtsstellung von Whistleblowern in der gesamten Europäischen Union verbessern. In den Niederlanden existieren hierzu bereits seit 2016 gesetzliche Regelungen. In Deutschland ist der Schutz von Whistleblowern bisher bestenfalls lückenhaft. Datenschutzrechtlich stellt die Umsetzung der (neuen) gesetzlichen Vorgaben Unternehmen in beiden Ländern vor vergleichbare Probleme. Die Anstrengungen, die in beiden Ländern zur Umsetzung der europäischen Richtlinie unternommen werden müssen, unterscheiden sich allerdings erheblich.

Die Frist für die Umsetzung der europäischen Hinweisgeberrichtlinie in nationales Recht ist bereits im Dezember 2021 abgelaufen. Deutschland hat es aufgrund eines gescheiterten initialen Entwurfs sowie der Bundestagswahl 2021 nicht geschafft, innerhalb der vorgegebenen Frist nationale Regelungen zu verabschieden. Erst in September 2022 wurde schließlich ein Entwurf des „Gesetzes für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ (HinSchG) in den Bundestag eingebracht. Mit der Verabschiedung dieses Entwurfs wird frühestens Anfang 2023 gerechnet. In den Niederlanden existiert mit dem „Wet Huis voor klokkenluiders“ bereits seit dem 1. Juli 2016 ein Whistleblowergesetz. Dieses Gesetz muss nun jedoch angepasst werden, um den Anforderungen der europäischen Richtlinie gerecht zu werden. Diese Anpassung erfolgt mithilfe dem neuen „Wet bescherming klokkenluiders“, dessen Gesetzgebungsprozess bisher auch noch nicht abgeschlossen ist.

Die Umsetzung der gesetzlich vorgesehenen Maßnahmen bringt für Unternehmen sowohl in den Niederlanden als auch Deutschland diverse Herausforderungen mit sich. Hierzu gehören insbesondere auch datenschutzrechtliche Fragen, die sich angesichts der europarechtlichen Vereinheitlichung des Rechtsgebiets in beiden Staaten stellen.

Überblick über die gesetzliche Neureglung in Deutschland

Mona Wrobel
Mona Wrobel

Das HinSchG will die Rechte von Whistleblowern, also Personen, die Hinweise auf Gesetzesverletzungen oder Straftaten in Unternehmen oder Institutionen geben, erheblich stärken. Hierfür sieht das Gesetz u.a. Vorgaben für Meldeprozesse und -stellen vor. Darüber hinaus garantiert es Whistleblowern insbesondere Vertraulichkeit sowie weitergehende Rechte. Auf diese Weise soll sowohl für die Whistleblower als auch für Unternehmen Rechtssicherheit geschaffen werden. Unternehmen werden verpflichtet, interne Meldestellen einzurichten, die Whistleblowern Meldekanäle bereitstellen, z.B. in Form von Hinweisgeberportalen, E-Mail-Adressen oder Hotlines. Die gemeldeten Vorwürfe sind neutral zu untersuchen und abhängig vom Ergebnis dieser Untersuchung sind Folgemaßnahmen zu ergreifen.

Geschützt werden Beschäftigte, die einen im HinSchG aufgeführten Verstoß melden. Aus diesem Grund betrifft das geplante HinSchG ausschließlich straf- und bußgeldbewehrte Gesetzesverstöße oder schwerwiegende Rechtsverletzungen mit Bezug zu den Bereichen Steuern, Geldwäsche und Finanzaufsicht, Produkt- und Verkehrssicherheit und Vergaben, nicht aber zum Beispiel rein interne Unternehmensrichtlinien.

Identität darf fast nie preisgegeben werden

Die wichtigste Schutzmaßnahme für Meldungen, die über die verschiedenen Kanäle bei den internen Meldestellen eingehen, stellt das Vertraulichkeitsgebot nach § 8 HinSchG dar: Die Identität der hinweisgebenden oder vom Hinweis betroffenen Personen dürfen mit wenigen Ausnahmen nicht preisgegeben werden. Hinweisgeber dürfen darüber hinaus weder für die Beschaffung gemeldeter Informationen zur Verantwortung gezogen noch aufgrund der Meldung eines Verstoßes vom Unternehmen benachteiligt werden. Andernfalls steht ihnen einen Schadenersatzanspruch zu. Bei Verstößen gegen diese Schutzmaßnahmen droht dem Unternehmen zudem ein Bußgeld (vgl. § 40 HinSchG).

Zur Einrichtung interner Meldestellen sind nach § 12 HinSchG grundsätzlich alle Unternehmen mit mehr als 50 Beschäftigten verpflichtet. Kleinere Unternehmen trifft diese Pflicht, wenn sie in bestimmten Sektoren tätig sind. In Bezug auf die Organisationsform der Meldestelle steht den Unternehmen hingegen ein breiter Umsetzungsspielraum zu (vgl. §§ 7, 14 HinSchG). Sie können die Meldestelle selbst durch einen Mitarbeiter oder eine Abteilung betreiben oder die Funktion externen Dritten übertragen. Unternehmen mit einer Mitarbeiterzahl von 50 bis 249 Beschäftigten haben darüber hinaus die Möglichkeit gemeinsame Meldestellen zu errichten, was gerade im Konzernkontext Bedeutung erlangen kann. Sie haben Zeit, die interne Meldestelle bis zum 17. Dezember 2023 einzurichten (vgl. § 42 HinSchG). Unternehmen mit mehr als 250 Beschäftigten haben hingegen eine drei monatige Umsetzungsfrist ab Inkrafttreten des HinSchG.

Überblick über die wichtigsten Änderungen in den Niederlanden

In den Niederlanden existieren bereits gesetzliche Regelungen zum Schutz von Hinweisgebern. Dennoch geht die Ablösung des geltenden „Wet Huis voor klokkenluiders“ (HVK) durch das „Wet bescherming klokkenluiders“ (WBK) mit einigen Änderungen der Rechtslage einher. Hierzu gehört zum Beispiel die Einführung eines Vertraulichkeitsgebots für Meldende. Darüber hinaus werden die Benachteiligungsverbote für den Meldenden noch umfassender ausgestaltet. Zukünftig soll zudem eine Beweislastumkehr eingeführt werden, aufgrund der Arbeitgeber beweispflichtig dafür sind, dass es sich bei einer Maßnahme gegen einen Arbeitnehmer nicht um eine Repressalie für die Meldung eines Verstoßes handelt. Weitergehende strenge Anforderungen an das interne Meldeverfahren sind ebenfalls vorgesehen.

Zur Einrichtung einer Meldestelle sind weiterhin alle Unternehmen mit regelmäßig mindestens 50 Beschäftigten verpflichtet (Art. 2 (1) HVK, Art. 2 (1) WBK). Bisher waren Verstöße zunächst innerhalb der Institution zu melden. Somit kam internen Meldung prinzipiell ein Vorrang vor externen Anzeigen zu. Zukünftig soll jedoch, wie in Deutschland, ein Wahlrecht der Meldenden bestehen, ob sie intern oder extern melden wollen. Ebenfalls wie in Deutschland sieht Art. 2 (4) WBK die Möglichkeit vor, dass Arbeitgeber des privaten Sektors mit 50 bis 249 Beschäftigten für die Entgegennahme von Berichten über mutmaßliches Fehlverhalten oder Informationen über einen Verstoß sowie für die Durchführung von Ermittlungen in diesen Fällen Ressourcen gemeinsam nutzen können. Unternehmen mit einer Mitarbeiterzahl in diesem Bereich wird bis zum 17. Dezember 2023 Zeit gegeben, die gesetzlichen Maßnahmen umzusetzen (Art. 21c WBK).

Achtung: Datenschutz!

Wie immer steckt „der Teufel im Detail“. Bereits aus der Natur der Sache vom Whistleblowing folgt, dass in diesem Verfahren, viele zum Teil sensible personenbezogene Daten verarbeitet werden (könnten). Das HinSchG berechtigt zwar die interne Meldestelle personenbezogene Daten zu verarbeiten, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist (vgl. § 10 HinSchG). Hierbei wird die interne Meldestelle dann allerdings als Verantwortliche gemäß Art. 4 Nr. 7 Datenschutz-Grundverordnung (DSGVO) tätig. Das bedeutet, dass sie für die Erhebung und weitere Verarbeitung, vor allem für die Übermittlung von personenbezogenen Daten an Dritte (z.B. die Konzerngesellschaft, bei welcher die in der Meldung genannte Person beschäftigt ist), eine Rechtsgrundlage gemäß Art. 6 DSGVO benötigt. Auch die weiteren datenschutzrechtlichen Pflichten sollten unbedingt im Vorfeld evaluiert und implementiert werden. Um einem reibungslosen Start nicht entgegenzustehen, ist z.B. eine frühzeitige Einbindung des Datenschutzbeauftragten empfohlen.

Entsprechendes gilt für die Niederlande. Hier sehen weder das aktuell geltende HVK noch das geplante WBK eine eigenständige datenschutzrechtliche Verarbeitungsgrundlage für Meldestellen vor, sodass auf die allgemeinen Normen des Datenschutzrechts zurückgegriffen werden muss.

  • Rechtsgrundlage: Wird die interne Meldestelle für ein Unternehmen mit mehr als 250 Beschäftigten tätig, kann sie ihre Datenverarbeitung auf das HinSchG bzw. das WBK stützen. Unternehmen, mit 50 und 249 Beschäftigte können dies in beiden Ländern streng genommen erst ab dem 17. Dezember 2023. Sofern diese Unternehmen bereits vor diesem Termin eine interne Meldestelle einrichten möchten, stellt sich die Frage, ob das HinSchG oder das WBK “vorgreift“ oder die Rechtsgrundlage nicht vielmehr in Art. 6 Abs. 1 S. 1 lit. f DSGVO (Interessenabwägung) zu finden ist. Die Interessenabwägung dürfte auch die Rechtsgrundlage sein, wenn sich Unternehmen mit weniger als 50 Mitarbeiter für die Einrichtung einer internen Meldestelle entscheiden. Nutzen mehrere Konzerngesellschaften mit 50 bis 249 Beschäftigten eine interne Meldestelle gemeinsam, ist daher im Detail zu prüfen, welche Datenverarbeitungen noch von den nationalen Gesetzen gedeckt sind und wo ergänzend auf die DSGVO zurückgegriffen werden muss. Abhängig von der konkreten Ausgestaltung ist es sogar denkbar, dass die interne Meldestelle als sog. Auftragsverarbeiterin tätig wird, folglich nur „auf Weisung“ agiert und personenbezogene Daten für die eigentliche interne Meldestelle verarbeitet. Noch komplexer wird es, jedenfalls in Deutschland, wenn sich ein Unternehmen entscheidet, eine externe Meldestelle einzurichten. Wird hingegen nur ein Whistleblowing-System „eingekauft“, ist an den Abschluss eines Vertrages zur Auftragsverarbeitung gemäß Art. 28 DSGVO zu denken.
  • Betroffenenrechte: Datenschutzrechtlich hat eine betroffene Person verschiedene Rechte zum Schutz der Integrität ihrer personenbezogenen Daten, wie beispielweise Informations- und Auskunftsrechte. Bislang war streitig, ob und unter welchen Voraussetzungen das Informations- und Auskunftsrecht zum Schutz der Identität des Whistleblowers begrenzt werden dürfen. Sowohl die deutschen Datenschutzbehörden in ihrer am 14. November 2018 veröffentlichten „Orientierungshilfe der deutschen Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines“ als auch einige Gerichte, wie das Landesarbeitsgericht Baden-Württemberg in seinem Urteil vom 20. Dezember 2018 (Az. 17 Sa 11/18), vertraten, dass die in einer Meldung genannten Personen ein Recht hätten, den Inhalt der Meldung zu erfahren. Dies sollte auch dann der Fall sein, wenn dadurch der Whistleblower identifiziert werden kann. Die Ansicht ist angesichts der Europäisierung des Datenschutzrechts auf die Niederlande übertragbar. Diese Wertung hat jedoch viel Kritik erfahren. Das Vertraulichkeitsgebot im Entwurf des § 8 HinSchG und Art. 1a (1) WBK beendet die Diskussion und schützt den Whistleblower nunmehr umfassend. Es gibt nur wenige Ausnahmen, bei deren Vorliegen eine Weitergabe der Identität des Whistleblowers erlaubt ist. Vor diesem Hintergrund sollten Unternehmen sich wappnen und definieren, was sie bei etwaigen Auskunftsanfragen oder in ihren Datenschutzhinweisen preisgeben dürfen. Der Umgang mit datenschutzrechtlichen Betroffenenanfragen sollte bereits im Vorfeld klar definiert werden, damit nicht „aus Versehen“ bei der Bearbeitung solcher Anfragen geschützte Informationen preisgegeben werden.
  • Dokumentation: Die DSGVO sieht umfangreiche Dokumentationspflichten vor. Insbesondere ist eine sog. Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen. Hierbei sind vor allem die technischen und organisatorischen Maßnahmen, die zum Schutz der sensiblen Daten ergriffen worden sind, zu dokumentieren. Das gilt insbesondere dann, wenn ein Whistleblowing-System von einem Dritten verwendet wird. Neben technischen Schutzmechanismen ist z.B. ein umfassendes Rollen- und Berechtigungskonzept zu erstellen, welches die internen Zugriffe auf die Informationen einer Meldung festlegen. Auch sind die Löschfristen eindeutig zu definieren und die Umsetzung der Löschung zu dokumentieren.

Fazit

Auch wenn die gesetzlichen Regelungen zum Schutz von Hinweisgebern sich in Deutschland und den Niederlanden in bestimmten Bereichen unterscheiden, erfordert die Umsetzung in den europäischen Vorgaben vorgesehenen Maßnahmen in beiden Ländern in erster Linie ein einheitliches Konzept. Hierbei sind auch datenschutzrechtliche Fragestellungen umfassend zu berücksichtigen. Mit den Vorbereitungen hierfür sollten Unternehmen schon jetzt beginnen, denn der erforderliche Aufwand kann ansonsten in der knappen Umsetzungsfrist nur schwer bewältigt werden.

X