Sogenannte Compliance-Hotlines erfreuen sich in den USA großer Beliebtheit. Auch in deutschen Unternehmen erhalten Mitarbeiter und Externe die Möglichkeit, Missstände im Unternehmen anzuzeigen, Fälle sexueller Belästigung zu melden oder auch einfach Fragen zu stellen. Wegen der beteiligten Parteien und entgegenstehenden Interessen sind die datenschutzrechtlichen Aspekte dabei nicht zu vernachlässigen.
Der Inhalt im Überblick
Neuigkeiten nach der DSGVO
Die Anforderungen an die Whistleblowing-Hotline haben wir bereits hier im Blog aufgegriffen. Die Datenschutzkonferenz hat darüber hinaus ebenfalls eine Orientierungshilfe zu Whisteblowing-Hotlines (Stand November 2018) veröffentlicht. Diese sollen Unternehmen bei firmeninternen Warnsystemen unterstützen.
Vor gut einer Woche wurde auf europäischer Ebene zudem ein einheitlicher Schutz beschlossen (Pressemitteilung vom 12.03.2019), das aber erst durch die Mitgliedstaaten in nationales Recht umgewandelt werden muss. Das Thema ist und bleibt aktuell.
Einwilligung erforderlich?
Für die Verarbeitung personenbezogener Daten im Rahmen der Whistleblowing-Hotlines sind die Rechtsgrundlagen des Art. 6 Abs. 1 lit. f 1 DSGVO und § 26 BDSG-neu heranzuziehen. Diese gelten jedoch nicht für die Identität des Hinweisgebers, denn eine Meldung sollte auch anonym erfolgen können. Eine Pflicht zur Offenlegung der eigenen Identität gibt es demnach nicht. Die Abgabe eines personenbezogenen Hinweises kann somit nur auf die Einwilligung gestützt werden.
Für die informierte Einwilligung müssen in diesem Fall einige Besonderheiten beachtet werden. So muss der Hinweisgeber darüber aufgeklärt werden, dass die Identität sowohl für interne als auch für außergerichtliche Schritte genutzt werden kann.
Identität des Hinweisgebers offenlegen?
Nach der oben erwähnten Orientierungshilfe ist auch der Beschuldigte über die Identität des Hinweisgebers zu informieren. Eine solche Pflicht könnte sich aus Artikel 14 DSGVO ergeben. Demnach umfasst die Informationspflicht nach Artikel 14 Abs. 2 lit. f DSGVO auch die Quelle personenbezogener Daten. Allerdings lässt sich m.E. durchaus vertreten, als Quelle lediglich auf die Whistleblowing-Hotline zu verweisen und nicht die Identität eines konkreten Hinweisgebers zu offenbaren.
Soll die Identität jedoch tatsächlich offenbart werden, müsste die Einwilligung ausdrücklich darauf hinweisen. Außerdem wäre klarzustellen, dass die Einwilligung mit Bekanntgabe der Identität nicht mehr widerrufen werden kann. Die Orientierungshilfe nennt den Zeitraum von 1 Monat bis diese geschehen muss.
Informationspflichten nicht vergessen
Auch hier sind – wie gewohnt – neben der Aufklärung im Rahmen der Einwilligung die Informationspflichten nach Artikel 13 und 14 DSGVO zu beachten. Im Sinne der Transparenz ist dies auf der Plattform den Mitarbeitern oder ggf. Externen zur Verfügung zu stellen. Gerade diese Informationen sind mit Hinblick auf die mögliche Komplexität und Auswirkung einer Meldung transparent zu gestalten und verständlich zu formulieren.
Die Erfüllung der Informationspflichten dieser Compliance- und Whistleblowing-Hotlines ist im Trubel der Datenschutz-Grundverordnung seit Mai 2018 vielleicht untergegangen. Wichtig ist es jedoch, das nun nachzuholen.
