Whistleblowing und Datenschutz: das ist zu beachten
Whistleblowing und Datenschutz: das ist zu beachten
Bei der Einrichtung einer internen Meldestelle zur Umsetzung des Whistleblower-Gesetztes müssen Organisationen auch Anforderungen hinsichtlich des Datenschutzes erfüllen. Was hierbei zu beachten ist.
Peter wird von Bernhard gemobbt. Das geht schon seit Jahren so. Peter leidet psychisch massiv unter den Beleidigungen, die Bernhard immer wieder gegen ihn loslässt – auch vor anderen KollegInnen. Aus Angst vor noch schlimmeren Anfeindungen, wenn er Peter bei seinem Arbeitgeber verpetzen würde, hat Peter die Schmährufe bisher ertragen. Nach der Einführung Hinweisgeberschutzgesetzes hat sich Peter nun endlich ein Herz gefasst und will Bernhard bei seinem Arbeitgeber melden. Doch was, wenn Bernhard den Namen des Whistleblowers erfahren will? Darf er das aus Datenschutzsicht?
Whistleblowing und Datenschutz
Tatsächlich müssen Organisationen bei der Einrichtung der internen Meldestelle auch datenschutzrechtliche Anforderungen beachten. Schließlich werden in der Regel personenbezogene Daten verarbeitet. Etwa der Name der hinweisgebenden Person oder eben die Namen der beschuldigten Personen. Auch während der Ermittlungen zu den Fällen werden wieder Daten erhoben, die datenschutzrechtlich relevant sein können. Doch was müssen Organisationen hier beachten?
Rechtsgrundlage §10 HinSchG
Paragraf 10 des Hinweisgeberschutzgesetzes schafft für die Meldestelle eine Rechtsgrundlage zur Verarbeitung personenbezogener Daten. Demnach darf die Meldestelle personenbezogene Daten verarbeiten, sofern dies für die Erfüllung ihrer Pflichten notwendig ist.
Verzeichnis der Verarbeitungstätigkeiten
Auch die Meldestelle muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) bei der Verarbeitung personenbezogener Daten führen.
Whistleblowing und Datenschutz: Datensicherheit
Die Verarbeitung der Daten rund um den Meldevorgang muss nach der DSGVO technisch und organisatorisch abgesichert werden. Dazu gehört die Verschlüsselung von Meldeformularen, Emails müssen verschlüsselt versandt werden. Auf eingehende Meldungen sollten so wenige Personen wie möglich Zugriff haben. Im Idealfall nur der oder die Meldestellenbeauftragte.
Das Whistleblowing-System: Korrekte Rahmenbedingungen
Rund um die Meldestelle müssen schon im Vorhinein Rahmenbedingungen geschaffen werden, die ein datensicheres Arbeiten möglich machen. Das eingesetzte Rund um die Meldestelle müssen schon im Vorhinein Rahmenbedingungen geschaffen werden, die ein datensicheres Arbeiten möglich machen. Das eingesetzte Whistleblowing-System muss den Anforderungen entsprechen und möglichst datenarm arbeiten.
Informationspflicht über den Datenschutz
Jeder, der mit der Hinweisgeberstelle in Kontakt tritt, muss gemäß den Vorgaben der DSGVO über die Verarbeitung der Daten informiert werden.
Auskunftsrecht
Auskunftsrecht und Vertraulichkeit können im Widerspruch zueinander stehen. Hier müssen sich Organisationen darüber klar werden, wie sie mit dem Auskunftsrecht der Beschuldigten umgehen wollen.
Datenschutz: Vorab die Folgen abschätzen
Bevor Organisationen eine interne Meldestelle einrichten, sollten sie schon vorab mögliche Folgen für den Datenschutz von Profis abschätzen lassen. So lassen sich Risiken schon früh aufdecken und Gegenmaßnahmen definieren. So weiß im Ernstfall jede/r, was zu tun ist.
Löschkonzept anpassen
Whistleblowing-Meldungen müssen drei Jahre aufbewahrt werden. Diese Fristen sind im Löschkonzept festzuhalten.
Meldefall intern festlegen
Hinsichtlich Datenschutz-Compliance und der Rechenschaftspflicht der DSGVO sollten Organisationen intern klare Regeln und Zuständigkeiten festlegen, wie mit den Daten im Meldefall umzugehen ist. Im Idealfall sollte auch der Betriebsrat bei der Einführung einer elektronischen Meldestelle eingebunden werden.
Externe Experten für die interne Whistleblowing-Meldestelle
Über all diese Fragen müssen sich Organisationen, die einen externen Beauftragten für ihre interne Meldestelle einsetzen, keine Gedanken machen. Hier gilt es nur, einen Partner auszuwählen, der neben den Grundsätzen der Vertraulichkeit, Unabhängigkeit und Fachkunde sich auch mit den datenschutzrechtlichen Voraussetzungen auskennt.
Wer sich entscheidet, sein internes Hinweisgebersystem durch Externe betreuen zu lassen, hat eine Reihe von Vorteilen. Nicht nur datenschutzrechtlich ist man mit einem Experten an der Seite auf der sicheren Seite. Vor allem verfügen externe Experten immer über aktuelle Fachkunde und das Risiko von Fehlentscheidungen sinkt. Hier können Sie sich über unser Angebot als externe Whistleblowing-Beauftragte für Ihre Organisation informieren.
Und was ist mit Peter? Hat er zu befürchten, dass Bernhard seinen Namen erfährt und er mit vielleicht noch schlimmeren Mobbing-Attacken rechnen muss? Legt man die DSGVO streng aus, dürfte Peter nach §15 DSGVO Bernhards Namen erfahren. Die Vertraulichkeit der Whistleblowing-Meldung ginge also verloren.
Um diesen Konflikt zu vermeiden, sollten Organisationen die Möglichkeiten des anonymen Hinweisgebens anbieten. Denn im Falle einer anonymen Meldung muss Bernhard nur darüber informiert werden, dass ein Hinweis eingegangen ist – nicht aber von wem.