Whistleblowing – Hotlines: Firmeninterne Warnsysteme und ...
Whistleblowing – Hotlines: Firmeninterne Warnsysteme und ...
Whistleblowing – Hotlines: Firmeninterne Warnsysteme und ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>Whistleblowing</strong> <strong>–</strong> <strong>Hotlines</strong>:<br />
<strong>Firmeninterne</strong> <strong>Warnsysteme</strong> <strong>und</strong> Beschäftigtendatenschutz<br />
Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Beschäftigtendatenschutz“<br />
des Düsseldorfer Kreises<br />
A. Einführung<br />
<strong>Whistleblowing</strong>-<strong>Hotlines</strong> sind Angebote von Unternehmen an ihre Mitarbeiterinnen <strong>und</strong> Mitarbeiter,<br />
ein nicht regelkonformes Verhalten anderer Mitarbeiterinnen <strong>und</strong> Mitarbeiter dem<br />
Unternehmen zu melden. Mit der Meldung von Verstößen gegen Verhaltenspflichten gehen<br />
die Erhebung, Übermittlung <strong>und</strong> Speicherung von personenbezogenen Daten einher. Wenn<br />
diese Daten automatisiert oder in nicht automatisierten Dateien verarbeitet werden, müssen<br />
die Vorschriften des Datenschutzrechts eingehalten werden. Betroffene Personengruppen sind<br />
vor allem die Hinweisgeberinnen <strong>und</strong> Hinweisgeber sowie die beschuldigten Personen. Die<br />
Artikel 29-Datenschutzgruppe (Datenschutzbeauftragte der Mitgliedstaaten der EU) hat die<br />
sich aus der EG-Datenschutzrichtlinie ergebenden datenschutzrechtlichen Ziele <strong>und</strong> Vorgaben<br />
in einer am 01.02.2006 verabschiedeten Stellungnahme zu <strong>Whistleblowing</strong>-Systemen zusammengefasst<br />
(im Folgenden: Stellungnahme WP 117). 1<br />
Der Bericht der Arbeitsgruppe „Beschäftigtendatenschutz“ des Düsseldorfer Kreises beschränkt<br />
sich auf die Beurteilung der datenschutzrechtlichen Zulässigkeit der automatisierten<br />
personenbezogenen Datenerhebung, -verarbeitung <strong>und</strong> -nutzung bei Meldeverfahren unter<br />
Einsatz von <strong>Whistleblowing</strong>-<strong>Hotlines</strong> nach den Vorschriften des B<strong>und</strong>esdatenschutzgesetzes<br />
(BDSG). Die Übermittlung von personenbezogenen Daten in Drittstaaten - beispielsweise<br />
aufgr<strong>und</strong> des Sarbanes-Oxley Act (SOX) - ist nicht Gegenstand der datenschutzrechtlichen<br />
Beurteilung des vorliegenden Arbeitsberichts.<br />
B. Verstöße gegen unternehmensinterne Verhaltensregeln<br />
Interne Verfahren zur Meldung von Missständen werden in der Regel aus dem Bedürfnis eingerichtet,<br />
zuverlässige Gr<strong>und</strong>sätze der Unternehmensführung in den täglichen Betrieb der Unternehmen<br />
einzuführen. Verfahren zur Meldung von Missständen sind als zusätzlicher Mechanismus<br />
für die Beschäftigten gedacht, um Missstände intern über einen bestimmten Kanal<br />
zu melden. Sie ergänzen die regulären Informations- <strong>und</strong> Meldekanäle der Einrichtung, wie<br />
beispielsweise Arbeitnehmervertretungen, Linienmanagement, Qualitätskontrollpersonal oder<br />
interne Auditoren, die eigens dafür eingestellt sind, solche Missstände zu melden. Die Meldung<br />
von Missständen ist als Ergänzung zum internen Management zu sehen <strong>und</strong> nicht als Ersatz<br />
dafür. 2 Bei der Einführung von Verhaltensregeln sind arbeitsrechtliche Erfordernisse zu<br />
berücksichtigen <strong>und</strong> Mitbestimmungsrechte des Betriebsrats zu wahren.<br />
Verstöße gegen Verhaltensgr<strong>und</strong>sätze können sein:<br />
1 Stellungnahme 1/2006 der Article 29 Data Protection Working Party, abrufbar im Internet unter:<br />
www.europa.eu.int/comm/justice_home/fsj/privacy/docs/wpdocs/2006/wp117_de.pdf.<br />
2 Stellungnahme WP 117, III. -S. 6-.<br />
1/7
1. Verhaltensweisen, die einen sich gegen das Unternehmensinteresse richtenden Straftatbestand<br />
erfüllen (insbesondere Betrug <strong>und</strong> Fehlverhalten in Bezug auf die Rechnungslegung<br />
sowie interne Rechnungslegungskontrollen, Wirtschaftsprüfungsdelikte, Korruption, Banken-<br />
<strong>und</strong> Finanzkriminalität, verbotene Insidergeschäfte), 3<br />
2. Verhaltensweisen, die gegen Menschenrechte (z.B. Ausnutzung günstiger Produktionsbedingungen<br />
im Ausland durch in Kauf genommene Kinderarbeit) oder Umweltschutzbelange<br />
verstoßen,<br />
3. Verhaltensweisen, die unternehmensinterne Ethikregeln beeinträchtigen (vgl. Wal-Mart-<br />
Fall). 4<br />
C. Datenströme beim <strong>Whistleblowing</strong><br />
Bei der Meldung von Verstößen gegen Verhaltensregeln werden personenbezogene Daten<br />
über Personen erhoben, verarbeitet <strong>und</strong> genutzt. Die Datenerhebung umfasst Angaben über<br />
die beschuldigte Person, die (angeblichen) Verhaltensverstöße sowie die entsprechenden<br />
Sachverhalte. Sofern ein Meldeverfahren regelt, dass Hinweise anonym erfolgen können,<br />
werden, falls Hinweisgeberinnen <strong>und</strong> Hinweisgeber sich nicht selbst anders äußern, keine personenbezogene<br />
Daten über sie erhoben. Andernfalls kommen personenbezogene Angaben wie<br />
Name der meldenden Person, ihre Position im Unternehmen <strong>und</strong> gegebenenfalls auch die<br />
Umstände ihrer Beobachtung in Betracht. Je nach Ausgestaltung des Meldeverfahrens besteht<br />
die Möglichkeit der internen Nutzung durch die dafür vorgesehene Abteilung (beispielsweise<br />
Revision, Compliance), bei verb<strong>und</strong>enen Unternehmen ist eine Übermittlung der personenbezogenen<br />
Daten an die Konzernmutter oder andere zum Konzern gehörende Unternehmen<br />
denkbar.<br />
D. Rechtsgr<strong>und</strong>lagen<br />
Sofern die personenbezogenen Daten automatisiert oder in nicht automatisierten Dateien verarbeitet<br />
werden, ist die Erhebung, Verarbeitung <strong>und</strong> Nutzung der personenbezogenen Daten<br />
nur zulässig, wenn das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet<br />
oder die Betroffenen eingewilligt haben (§ 4 Abs. 1 BDSG).<br />
1. Vertragsverhältnis gemäß § 28 Abs. 1 Satz 1 Nr. 1 BDSG<br />
Nach ganz überwiegender Auffassung findet § 28 Abs. 1 Satz 1 Nr. 1 BDSG keine Anwendung,<br />
weil das Arbeitsvertragsverhältnis bei der von der Unternehmensleitung veranlassten<br />
bzw. ihr zuzurechnenden Datenerhebung nicht unmittelbar betroffen ist. Beurteilungsgr<strong>und</strong>lage<br />
ist vielmehr § 28 Abs. 1 Satz 1 Nr. 2 BDSG.<br />
2. Abwägung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG<br />
2.1 Erforderlichkeit zur Wahrung berechtigter Interessen des Unternehmens<br />
Die Einrichtung von Verfahren zur Meldung von Missständen kann zur Verwirklichung<br />
des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen<br />
oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt<br />
werden, für erforderlich gehalten werden. Das Ziel der Gewährleistung der finanziellen<br />
Sicherheit auf den internationalen Finanzmärkten <strong>und</strong> insbesondere die<br />
Verhütung von Betrug <strong>und</strong> Fehlverhalten in Bezug auf die Rechnungslegung, interne<br />
3 Stellungnahme WP 117, IV. Nr.1 ii) -S. 9-.<br />
4 Beschluss des LAG Düsseldorf vom 14.11.2005 - 10 TaBV 46/05 <strong>–</strong> (Wal Mart); vgl. auch die Benachteiligungsverbote<br />
des Allgemeinen Gleichbehandlungsgesetzes vom 14.08.2006 (BGBl. I S. 1897).<br />
2/7
Rechnungslegungskontrollen, Fragen der Wirtschaftsprüfung sowie die Bekämpfung<br />
von Korruption, Banken- <strong>und</strong> Finanzkriminalität oder Insider-Geschäften kann ein<br />
berechtigtes Interesse des Arbeitgebers darstellen, das die Verarbeitung personenbezogener<br />
Daten mittels Verfahren zur Meldung von Missständen in diesen Bereichen<br />
rechtfertigt. 5 Eine Datenverarbeitung zur Wahrung dieses Interesses wäre jedoch nur<br />
zulässig, wenn die schutzwürdigen Interessen der Betroffenen an dem Ausschluss<br />
der Verarbeitung oder Nutzung nicht überwiegen.<br />
2.2 Schutzwürdige Interesse Betroffener<br />
Bei einem Verfahren zur Meldung von Missständen besteht die Gefahr der Viktimisierung<br />
<strong>und</strong> Stigmatisierung der belasteten Person. 6 Eine Prüfung schutzwürdiger Interessen<br />
dieser Person wird bei konkreten, auf relevante Verfehlungen hinweisenden<br />
Verdachtsmomenten besonders sorgfältig vorzunehmen sein. Die Verarbeitung von<br />
personenbezogenen Daten, die mit der Aufdeckung von Verstößen der im Kapitel B<br />
1 <strong>und</strong> B 2 beschriebenen Kategorien (sog. „harte Faktoren“) in Zusammenhang stehen,<br />
kann als zulässig angesehen werden. In der Regel wird die Interessenabwägung<br />
zugunsten des berechtigten Interesses des Unternehmens ausfallen, da die Meldung<br />
solcher Verstöße rechtliche Konsequenzen durch z.B. Strafverfolgung, Schadensersatzforderungen<br />
<strong>und</strong> Imageschaden vermeiden hilft, wenn das Verfahren im Übrigen<br />
datenschutzgerecht ausgestaltet ist (Kapitel E).<br />
Bei Verhaltensweisen entsprechend der Kategorie B 3 (sog. „weiche Faktoren“) ist<br />
die Zulässigkeit ebenso nur im Einzelfall zu beurteilen. Hierbei ist zu berücksichtigen,<br />
dass bestimmte Verhaltensweisen von vornherein nicht in eine Beurteilung<br />
bzw. Interessenabwägung einbezogen werden dürfen. 7<br />
Gr<strong>und</strong>sätzlich ist bei dieser Fallgruppe anzunehmen, dass die schutzwürdigen Interessen<br />
der Betroffenen überwiegen. Dabei sind auch arbeitsrechtliche Gr<strong>und</strong>sätze zu<br />
beachten.Für die „weichen Faktoren“ der internen Verhaltensregeln (z.B. „Fre<strong>und</strong>lichkeit<br />
bei der K<strong>und</strong>enbetreuung“) fehlt es zumeist schon an einer klar umrissenen<br />
Definition, um einen Verstoß einwandfrei identifizieren zu können. Außerdem ist<br />
ein Zusammenhang zwischen dem Verstoß <strong>und</strong> einem erheblichen Schaden für das<br />
Unternehmen (vergleichbar der im Kapitel B 1 <strong>und</strong> B 2 beschriebenen Kategorien)<br />
nicht erkennbar, so dass schon Zweifel an einem berechtigten Interesse der verantwortlichen<br />
Stelle bestehen. Daher dürfte in diesen Fällen im Gr<strong>und</strong>satz davon auszugehen<br />
sein, dass ein überwiegendes schutzwürdiges Interesse der Betroffenen besteht<br />
<strong>und</strong> eine Verarbeitung oder Nutzung personenbezogener Daten insoweit unzulässig<br />
ist.<br />
3. Besondere Rechtsvorschrift gemäß § 4 Abs. 1 BDSG<br />
Eine Betriebsvereinbarung, die Verhaltensregeln beinhaltet, kann nur dann als besondere<br />
Rechtsvorschrift angesehen werden, wenn die Datenerhebung, -verarbeitung <strong>und</strong> -nutzung<br />
ausreichend <strong>und</strong> präzise - innerhalb des Erlaubnisumfangs des BDSG - geregelt ist <strong>und</strong><br />
sie das durch das B<strong>und</strong>esdatenschutzgesetz selbst gesetzte Schutzniveau nicht unterschreitet.<br />
8 Die bloße Beschreibung einer Aufgabe reicht nicht aus, auch wenn zu deren Erledigung<br />
personenbezogene Daten verarbeitet werden müssen. Sie kann in solchen Fällen je-<br />
5 Stellungnahme WP 117, IV, Nr. I ii) -S. 9-.<br />
6 Stellungnahme WP 117, III. -S. 7-.<br />
7 s. LAG Düsseldorf, Beschluss vom 14.11.2005, NZA 2006,63. Nach Ansicht des Gerichts ist der Regelungskomplex<br />
„Private Beziehungen/ Liebesbeziehungen“ wegen Verstoßes gegen Art. 1 <strong>und</strong> 2 GG gr<strong>und</strong>gesetzwidrig<br />
<strong>und</strong> damit unwirksam.<br />
8 Bergmann/Möhrle/Herb, § 4, Rn. 24; Simitis, B<strong>und</strong>esdatenschutzgesetz, Kommentar, 6. Aufl., § 4, Rnrn. 16,17.<br />
3/7
doch herangezogen werden, um eine Abwägung zwischen den berechtigten Interessen der<br />
verantwortlichen Stelle <strong>und</strong> dem schutzwürdigen Interesse des Betroffenen an dem Ausschluss<br />
der Verarbeitung oder Nutzung vorzunehmen.<br />
4. Einwilligung der Betroffenen gemäß § 4a BDSG<br />
Die Wirksamkeit einer Einwilligung zur Einführung eines solchen Verfahrens müsste u.a.<br />
an die Kriterien Freiwilligkeit <strong>und</strong> Unterrichtung über die Datenerhebung, -verarbeitung<br />
<strong>und</strong> -nutzung anknüpfen. Es ist fraglich, ob im Arbeitsverhältnis eine Einwilligung freiwillig<br />
erklärt werden kann. In einem Beschäftigungsverhältnis kann man regelmäßig nicht<br />
davon ausgehen, dass eine Einwilligung ohne Zwang abgegeben wurde, da zwischen dem<br />
Unternehmen <strong>und</strong> seiner Arbeitnehmerin oder seinem Arbeitnehmer ein hierarchisches<br />
Verhältnis besteht 9 .<br />
E. Datenschutzgerechte Gestaltung eines Meldeverfahrens mittels <strong>Hotlines</strong><br />
1. Gr<strong>und</strong>sätze<br />
Personenbezogene Daten müssen für festgelegte eindeutige Zwecke erhoben <strong>und</strong> dürfen<br />
nicht in einer damit nicht zu vereinbarenden Weise weiterverarbeitet oder genutzt werden<br />
(§ 28 Abs. 1 Satz 2 BDSG). Darüber hinaus müssen die verarbeiteten Daten den Zwecken<br />
entsprechen, für die sie erhoben <strong>und</strong>/oder weiterverarbeitet werden, dafür erforderlich sein<br />
<strong>und</strong> nicht darüber hinausgehen. Gestaltung <strong>und</strong> Auswahl von Datenverarbeitungssystemen<br />
haben sich an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie<br />
möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere ist von den Möglichkeiten<br />
der Anonymisierung <strong>und</strong> Pseudonymisierung Gebrauch zu machen, soweit dies möglich<br />
ist <strong>und</strong> der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck<br />
steht (§ 3a BDSG). Die verantwortliche Stelle muss Maßnahmen treffen, die sicherstellen,<br />
dass nicht zutreffende oder unvollständige Daten gelöscht oder berichtigt werden.<br />
Es sollten klare, unmissverständliche Informationen zu dem mit einer <strong>Whistleblowing</strong>-Hotline<br />
verfolgten Zweck gegeben werden. Missverständnisse, jede auch nur geringfügige<br />
oder lediglich vermutete Unregelmäßigkeit sei zu melden, sollten vermeiden werden.<br />
Klar sein muss, dass kein Interesse an unkonkretisierten Beschuldigungen besteht.<br />
2. Betroffener Personenkreis<br />
Nach den Gr<strong>und</strong>sätzen der Datensparsamkeit <strong>und</strong> der Datenvermeidung sollte die verantwortliche<br />
Stelle prüfen, inwieweit der für eine Meldung in Betracht kommende Personenkreis<br />
bei einer <strong>Whistleblowing</strong>-Hotline möglichst eingegrenzt <strong>und</strong> konkret bestimmt werden<br />
kann. Das Unternehmen, das ein Verfahren zur Meldung von Missständen einführt,<br />
sollte ebenfalls sorgfältig prüfen, ob es angebracht wäre, die Zahl der Personen zu begrenzen,<br />
die über das Verfahren gemeldet werden können, insbesondere in Anbetracht der<br />
Schwere der gemeldeten mutmaßlichen Verstöße. 10 Entscheidend kommt es dabei jedoch<br />
auf die Umstände im Einzelfall an.<br />
3. Anonymer oder personenbezogener Hinweis<br />
Die Artikel-29-Datenschutzgruppe empfiehlt, anonyme Anzeigen (d.h. auch Hinweise)<br />
nur in Ausnahmefällen zu akzeptieren. Anonymität läuft dem Transparenzprinzip zuwider,<br />
begünstigt gegenüber der namentlichen Nennung von ‚Roß <strong>und</strong> Reiter’ eher Missbrauch<br />
<strong>und</strong> Denunziantentum. Einer durch anonymen Hinweis gemeldeten Person bleibt keine<br />
9 Stellungnahme WP 114, Kap. 2.1 -S.13-.<br />
10 Stellungnahme WP 117, IV. Nr. 2i) -S. 11-.<br />
4/7
Möglichkeit, sich gegen eine etwaige Verleumdung in einem rechtsstaatlichen Verfahren<br />
zur Wehr zu setzen. Ein von vornherein auf die Erhebung personenbezogener Daten abstellendes<br />
Verfahren hat andererseits den Nachteil, dass auch bei gewünschten Hinweisen<br />
ein Abschreckungseffekt möglich ist. Dies sollte jedoch gegenüber anonymen Hinweisen<br />
in Kauf genommen werden, zumal diese auch ohne eine <strong>Whistleblowing</strong>-Hotline jederzeit<br />
möglich sind. Besonders hingewiesen werden sollte auf angemessene Garantien für den<br />
Schutz der Hinweisgeberin oder des Hinweisgebers vor diskriminierenden oder disziplinarischen<br />
Maßnahmen. 11<br />
In Abwägung der genannten Interessen ist das folgende Vorgehen zu empfehlen:<br />
Verfahren zur Meldung von Missständen stellen sicher, dass die Identität der Hinweisgeberin<br />
oder des Hinweisgebers vertraulich behandelt wird. Eine Person, die eine Meldung<br />
mit Hilfe eines solchen Verfahrens machen möchte, sollte wissen, dass sie deswegen nicht<br />
benachteiligt werden wird. Aus diesem Gr<strong>und</strong> sollte die Hinweisgeberin oder der Hinweisgeber<br />
bei der ersten Kontaktaufnahme mit dem System darauf hingewiesen werden,<br />
dass ihre oder seine Identität während aller Schritte des Verfahrens vertraulich behandelt<br />
wird.<br />
4. Unterrichtungs- <strong>und</strong> Auskunftspflichten<br />
Die verantwortliche Stelle muss, wenn personenbezogene Daten bei Betroffenen erhoben<br />
werden, über die Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung personenbezogener<br />
Daten unterrichten, sofern diese nicht auf andere Weise Kenntnis erlangt haben<br />
(§ 4 Abs. 3 BDSG). Sofern Betriebsvereinbarungen über das Meldeverfahren mit Regelungen<br />
zur personenbezogenen Datenverarbeitung abgeschlossen wurden, hat sie das Unternehmen<br />
so auszulegen, dass sämtliche Arbeitnehmerinnen <strong>und</strong> Arbeitnehmer, auch die<br />
neu eingestellten, in der Lage sind, sich ohne besondere Umstände mit dem Inhalt vertraut<br />
zu machen (§ 77 Abs. 2 BetrVG). 12<br />
4.1 Information der beschuldigten Person (§ 33 BDSG)<br />
Werden erstmals personenbezogene Daten für eigene Zwecke ohne Kenntnis der<br />
betroffenen Person gespeichert, ist diese von der Speicherung, der Art der Daten, der<br />
Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung <strong>und</strong> der Identität der<br />
verantwortlichen Stelle zu benachrichtigen (§ 33 Abs. 1 BDSG). Eine Pflicht zur<br />
Benachrichtigung besteht nicht, wenn die Daten nach einer Rechtsvorschrift oder ihrem<br />
Wesen nach, namentlich wegen des überwiegenden rechtlichen Interesses einer<br />
dritten Person, geheim gehalten werden müssen (§ 33 Abs. 2 Satz 1 Nr. 3 BDSG). 13<br />
Wenn das Risiko, dass eine solche Unterrichtung die Fähigkeit des Unternehmens<br />
zur wirksamen Untersuchung des Vorwurfs oder zur Sammlung der erforderlichen<br />
Beweise gefährden würde, erheblich wäre, kann die Information der beschuldigten<br />
Person so lange aufgeschoben werden, wie diese Gefahr besteht. 14 Eine dauerhafte<br />
Geheimhaltung dürfte angesichts einer möglichen Beeinträchtigung der Persönlichkeitsrechte<br />
der beschuldigten Person <strong>und</strong> seiner Verteidigungsrechte nicht angenommen<br />
werden.<br />
11 Stellungnahme WP 117, IV. Nr. 1 ii) -S. 9- ; gr<strong>und</strong>legend: BVerfG, Beschluss vom 02.07.2001 <strong>–</strong> 1 BvR<br />
2049/00 (www.b<strong>und</strong>esverfassungsgericht.de/Entscheidungen.html); siehe im übrigen: Müller, <strong>Whistleblowing</strong><br />
- ein Kündigungsgr<strong>und</strong>? NZA 2002, 424; Breinlinger, Krader, Chancen <strong>und</strong> Risiken bei der Umsetzung von<br />
anonym nutzbaren Hinweisgebersystemen im Rahmen des Compliance - Managements von Unternehmen,<br />
RDV 2006, 60; Sauer, <strong>Whistleblowing</strong> - notwendiger Bestandteil moderner Personalpolitik, DÖD 2005, 121.<br />
12 Fitting, Anm. 25 zu § 77 BetrVG.<br />
13 Schaffland/Wiltfang Anm. 63 ff, Bergmann/Möhrle/Herb Anm. 89 ff. zu § 33 BDSG.<br />
14 Stellungnahme WP 117, IV. Nr. 4 i) -S. 15-.<br />
5/7
4.2 Auskunft (§ 34 BDSG)<br />
Nach § 34 Abs. 1 BDSG hat die betroffene Person, sowohl die Hinweisgeberin oder<br />
der Hinweisgeber als auch die beschuldigte Person, Anspruch auf Auskunft der zu<br />
ihrer Person gespeicherten Daten, auch soweit sie sich auf Herkunft <strong>und</strong> Empfänger<br />
beziehen. Der Auskunftsanspruch der beschuldigten Person kollidiert gr<strong>und</strong>sätzlich<br />
mit einer für das Meldeverfahren vorgesehenen anonymen Meldung (s. dazu Abschnitt<br />
E 3). Allerdings besteht nach § 34 Abs. 4 BDSG in den Fällen des § 33 Abs.<br />
2 Satz 1 Nr. 3 BDSG keine Auskunftsverpflichtung. Damit wären die für die Funktion<br />
einer <strong>Whistleblowing</strong>-Hotline unerlässliche Vertraulichkeit der Meldungen <strong>und</strong><br />
damit die Identität des Hinweisgebers zunächst gewährleistet. Die verantwortliche<br />
Stelle muss allerdings im Einzelfall prüfen <strong>und</strong> entscheiden, unter welchen Voraussetzung<br />
die Hinweisgeberin oder der Hinweisgeber gegenüber der beschuldigten<br />
Person offen gelegt wird.<br />
5. Weitergabe an Dritte<br />
Gr<strong>und</strong>sätzlich ist eine Weitergabe der personenbezogenen Daten sowohl der Hinweisgeberin<br />
oder des Hinweisgebers als auch der beschuldigten Person an Dritte nicht zulässig. Es<br />
ist jedoch erforderlich, Hinweisgeberinnen <strong>und</strong> Hinweisgebern zu verdeutlichen, dass ihre<br />
Identität den Personen, die an weiteren Überprüfungen oder anschließenden, im Zuge der<br />
Nachforschungen eingeleiteten Gerichtsverfahren beteiligt sind, enthüllt werden kann. 15<br />
Akteneinsichtsrechte in einem etwaigen Strafverfahren bleiben unberührt. Personenbezogene<br />
Daten der beschuldigten Person können nach § 28 Abs. 3 Satz 1 Nr. 2 BDSG zur<br />
Verfolgung von Straftaten übermittelt werden.<br />
6. Sperrung <strong>und</strong> Berichtigung (§ 35 BDSG)<br />
Nach § 35 Abs. 4 BDSG sind personenbezogene Daten zu sperren, soweit ihre Richtigkeit<br />
von der betroffenen Person bestritten wird <strong>und</strong> sich weder die Richtigkeit noch die Unrichtigkeit<br />
feststellen lässt. Personenbezogene Daten dürfen nicht für eine automatisierte<br />
Verarbeitung oder Verarbeitung in nicht automatisierten Dateien erhoben, verarbeitet oder<br />
genutzt werden, soweit die betroffene Person dieser bei der verantwortlichen Stelle widerspricht<br />
<strong>und</strong> eine Prüfung ergibt, dass das schutzwürdige Interesse der betroffenen Person<br />
wegen ihrer besonderen persönlichen Situation das Interesse der verantwortlichen Stelle<br />
an dieser Erhebung, Verarbeitung oder Nutzung überwiegt. Dies gilt nicht, wenn eine<br />
Rechtsvorschrift zur Erhebung, Verarbeitung oder Nutzung verpflichtet (§ 35 Abs. 5<br />
BDSG). Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind (§ 35 Abs.<br />
1 BDSG).<br />
7. Löschung (§ 35 BDSG)<br />
Werden personenbezogene Daten für eigene Zwecke verarbeitet, sind sie zu löschen, sobald<br />
ihre Kenntnis für die Erfüllung des Zweckes der Speicherung nicht mehr erforderlich<br />
ist (§ 35 Abs. 2 Nr. 3 BDSG). Gr<strong>und</strong>sätzlich sollten Daten innerhalb von 2 Monaten nach<br />
Abschluss der Untersuchung gelöscht werden. Eine darüber hinausgehende Speicherung<br />
ist nur für die Dauer der Klärung erforderlicher weiterer rechtlicher Schritte wie Disziplinarverfahren<br />
oder Einleitung von Strafverfahren zulässig. Personenbezogene Daten im<br />
Zusammenhang mit Meldungen, die von der Einheit, die für die Bearbeitung der Meldung<br />
zuständig ist, als gr<strong>und</strong>los erachtet werden, sollten unverzüglich gelöscht werden. 16<br />
15 Stellungnahme WP 117, IV. Nr. 2 iii) -S. 12- .<br />
16 Stellungnahme WP 117, IV. Nr. 2 v) -S. 13/14- .<br />
6/7
8. Beteiligung der betrieblichen Datenschutzbeauftragten<br />
Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte <strong>und</strong> Freiheiten der<br />
Betroffenen aufweisen, unterliegen sie nach § 4d Abs. 5 BDSG der Prüfung vor Beginn<br />
der Verarbeitung (Vorabkontrolle). Da außer im Fall einer gesetzlichen Verpflichtung keine<br />
Ausnahme von der Vorabkontrolle zutrifft, ist ein automatisiertes Meldeverfahren vorab<br />
durch die oder den betrieblichen Datenschutzbeauftragten zu prüfen.<br />
9. Beauftragung externer Stellen (§ 11 BDSG)<br />
Die Konstellation einer Auftragsdatenverarbeitung nach § 11 BDSG ist nur denkbar, wenn<br />
der Auftragnehmer aufgr<strong>und</strong> von präzisen Weisungen des Auftraggebers lediglich den<br />
technischen Prozess der Verarbeitung personenbezogener Daten durchführt. Andernfalls<br />
liegt bei der Beauftragung externer Stellen eine Übermittlung vor, deren Zulässigkeit nach<br />
§ 28 Abs. 1 Nr. 2 BDSG zu beurteilen ist. Je nach Ausgestaltung des Meldeverfahrens ist<br />
zwischen dem berechtigten Interesse der verantwortlichen Stelle <strong>und</strong> dem schutzwürdigen<br />
Interesse des Betroffenen abzuwägen. Die Zulässigkeit der Übermittlung an externe Stellen<br />
ist Gegenstand der Vorabkontrolle. In der Regel ist nicht von einer Auftragsdatenverarbeitung<br />
auszugehen, wenn die externe Stelle Teile der erforderlichen Untersuchung<br />
durchführen soll.<br />
Die Beauftragung einer externen Stelle außerhalb der Unternehmensorganisation (Konzernverb<strong>und</strong>)<br />
kann sich (bei Beachtung der datenschutzrechtlichen Vorschriften im Übrigen)<br />
als vorteilhaft erweisen, weil möglicherweise eine gewisse, das Missbrauchsrisiko<br />
verringernde Hemmschwelle entsteht.<br />
10. Technisch-organisatorische Maßnahmen (§ 9 BDSG)<br />
Um die Vorgaben der Anlage zu § 9 BDSG zu erfüllen, sind geeignete technische <strong>und</strong> organisatorische<br />
Maßnahmen zu treffen. Dies gilt insbesondere wegen der zugesicherten<br />
Vertraulichkeit <strong>und</strong> für die Löschungsverpflichtung. Bei interner Datenverarbeitung ist zu<br />
empfehlen, dass die <strong>Whistleblowing</strong>-Hotline nicht innerhalb der Personalverwaltung organisiert<br />
<strong>und</strong> betrieben wird. 17 Um zu gewährleisten, dass Unbefugte Datenverarbeitungssysteme<br />
nicht nutzen können, bieten sich neben einem Berechtigungskonzept <strong>und</strong> einer<br />
Passwortrichtlinie auch Verschlüsselungsverfahren im Hinblick auf die Sensibilität der<br />
Daten an. 18 Zu den Maßnahmen gehören auch Protokollierung von Dateneingaben <strong>und</strong><br />
Löschroutinen.<br />
F. Ergebnis<br />
Das Meldeverfahren mittels <strong>Whistleblowing</strong>-<strong>Hotlines</strong> lässt sich unter besonderer Berücksichtigung<br />
des von dem Unternehmen verfolgten Zwecks <strong>und</strong> der Einrichtungsmodalitäten<br />
datenschutzgerecht gestalten <strong>und</strong> betreiben. Für Unternehmen, die solche <strong>Warnsysteme</strong><br />
beabsichtigen einzurichten, empfiehlt sich eine rechtzeitige Abstimmung mit allen zu Beteiligenden<br />
[z.B. Innenrevision, Beauftragte der Geschäftsleitung, Beauftragte(r) für den<br />
Datenschutz, Betriebsvertretung]. Zur Klärung von Zweifelsfragen stehen auch die Aufsichtsbehörden<br />
für den Datenschutz zur Verfügung.<br />
17 Stellungnahme WP 117, IV. Nr. 6 i) -S. 17-.<br />
18 BSI-IT-Gr<strong>und</strong>schutzhandbuch.<br />
7/7