Die Vertraulichkeit der Identität hinweisgebender Personen einerseits und personenbezogene Daten andererseits: beide werden geschützt. Aber passt das überhaupt zusammen?
Schon lange ist darüber diskutiert worden, ob Hinweisgebersysteme mit dem geltenden Datenschutzrecht kompatibel sind. In letzterem gilt nämlich ein Verbot mit Erlaubnisvorbehalt, d.h., dass personenbezogene Daten nur dann verarbeitet werden dürfen, wenn hierfür eine Rechtsgrundlage besteht.
So ist eine Verarbeitung u.a. dann rechtmäßig, wenn
Bisher wird als rechtliche Grundlage in der Regel das berechtigte Interesse des Unternehmens an der Kenntnis von Fehlverhalten angeführt. Durch die o.a. Einschränkung – sofern nicht die berechtigten Interessen der betroffenen Person überwiegen – verbleibt jedoch immer eine Rechtsunsicherheit.
Nach Einführung des neuen Hinweisgeberschutzgesetzes (HinSchG) wird die Rechtslage eindeutig sein. § 12 beinhaltet die Pflicht zur Einrichtung einer internen Meldestelle. Nach § 10 sind Meldestellen zudem explizit befugt, personenbezogene Daten zu verarbeiten, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist.
Die Verarbeitung personenbezogener Daten in einem Hinweisgebersystem ist künftig also rechtlich verpflichtend und somit eindeutig rechtmäßig. Allerdings besteht die Informationspflicht gegenüber betroffenen Personen, also gegenüber den Personen, deren Daten im System verarbeitet werden, weiter. Näher zu betrachten bleibt somit weiterhin das Verhältnis von Vertraulichkeit des Hinweisgebers zu dieser Informationspflicht gegenüber den betroffenen Personen.
Einer der wichtigsten Punkte des im Referentenentwurf vorliegenden Hinweisgeberschutzgesetzes (HinSchG) ist das Vertraulichkeitsgebot in § 8. Hiernach muss die Vertraulichkeit der Identität der folgenden Personen gewahrt werden:
Die Wahrung der Vertraulichkeit ist deshalb so wichtig, weil sich die hinweisgebende Person darauf verlassen können muss, dass ihr aus der Hinweisabgabe kein Schaden entsteht, in dem sie sich z.B. Anfeindungen durch die in der Meldung genannten Personen ausgesetzt sieht. Bestehen Zweifel an der Wahrung der Vertraulichkeit, wird einen Meldung mit hoher Wahrscheinlichkeit erst gar nicht abgegeben oder aber anonym.
Daher gibt es im HinSchG nur eng begrenzte Ausnahmen vom Vertraulichkeitsgebot. Die Identität der hinweisgebenden Person darf lt. § 9 weitergegeben werden
In Art. 14 der DSGVO ist geregelt, dass eine betroffene Person – in diesem Zusammenhang insbesondere die Person, die Gegenstand einer Meldung ist – spätestens nach einem Monat über den Inhalt der Meldung und die Quelle der Daten zu informieren ist.
Diese Informationspflicht lt. DSGVO steht ganz offensichtlich im Widerspruch zum Vertraulichkeitsgebot des Hinweisgeberschutzgesetzes.
Dieser Konflikt wird jedoch größtenteils aufgelöst durch §29 Abs.1 des Bundesdatenschutzgesetzes:
Die Pflicht zur Information der betroffenen Person gemäß Artikel 14 Absatz 1 bis 4 der Verordnung (EU) 679/2016 besteht ergänzend zu den in Artikel 14 Absatz 5 der Verordnung (EU) 679/2016 genannten Ausnahmen nicht, soweit durch ihre Erfüllung Informationen offenbart würden, die ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen.
Unter die im BDGS genannten berechtigten Interessen eines Dritten fällt das Interesse der hinweisgebenden Person an der Vertraulichkeit seiner Identität. Allerdings bleibt unklar, ob in jedem Einzelfall eine Interessenabwägung mit den Interessen des Betroffenen vorgenommen werden muss. Somit verbleiben Restzweifel, dass die Vertraulichkeit in jedem Fall gewährleistet werden kann. Ein dem Hinweisgeber zugesagter Schutz der Vertraulichkeit seiner Identität ist jedoch bei einer ggfs. vorzunehmenden Interessenabwägung zu berücksichtigen und erhöht das Schutzniveau des Hinweisgebers.
Im Falle bewusst oder grob fahrlässig falscher Meldungen auf Fehlverhalten entfällt selbstverständlich der Schutz der Vertraulichkeit des Hinweisgebers.
Personenbezogene Daten sind zu löschen, wenn sie für den jeweiligen Zweck nicht mehr erforderlich sind. Das gilt auch für die Daten in einem Hinweisgebersystem.
Ist eine Untersuchung vollständig abgeschlossen und werden die Daten nicht mehr für weitere rechtliche Schritte, wie z.B. ein gerichtliches Verfahren oder eine arbeitsrechtliche Kündigung, benötigt, sind sie innerhalb von zwei Monaten zu löschen.
Wenn Sie sich über dieses Thema weiter informieren möchten, hören Sie gerne unseren Podcast WHISTLEpedia. Er ist bei iTunes, Spotify, YouTube oder direkt hier auf der Seite kostenlos hörbar.
Martin Walter ist Gesellschafter und Geschäftsführer der Hinweisgebersystem24 GmbH. Er schreibt diesen Blog für Einsteiger und Fortgeschrittene, die sich näher über Hinweisgebersysteme und interne Meldestellen informieren wollen.
