Hinweisgebersysteme und die DSGVO

Die Beachtung des Datenschutzes spielt bei der Einführung eines internen Hinweisgebersystems eine entscheidende Rolle. Denn die 2018 in Kraft getretene europäische Datenschutzgrundverordnung (DSGVO) hat auch Auswirkungen auf den Umgang mit Hinweisgebern. Laut DSGVO müssen Unternehmen dafür Sorge tragen, dass sie vertraulich mit den Daten von Hinweisgebern und Beschuldigten umgehen und die geltenden Datenschutzbestimmungen einhalten.

Wie wirkt sich die DSGVO auf Hinweisgebersysteme aus?

Artikel 14 der DSGVO legt fest, dass Unternehmen personenbezogene Daten nur dann erheben dürfen, wenn sie den Betroffenen über die Datenverarbeitung und deren Umfang in Kenntnis setzen. Im Falle der Nutzung eines Hinweisgebersystems bedeutet das aber auch, dass Unternehmen dazu verpflichtet sind, den Beschuldigten über den Eingang einer Meldungen gegen ihn zu informieren.

Das Problem liegt nun darin, dass der Beschuldigte bei einer strikten Auslegung der DSGVO auch den Namen des Hinweisgebers erfährt. Die Vertraulichkeit seines Hinweises kann also nicht gewahrt werden. Eine solche fehlende Vertraulichkeit hat selbstverständlich eine abschreckende Wirkung auf Whistleblower und würde dazu führen, dass weniger Hinweise eingehen.

Wie kann trotz DSGVO die Anonymität des Hinweisgebers gewahrt werden?

Ein Weg für Unternehmen, um zusätzliche datenschutzrechtliche Anforderungen zu verhindern, stellt die Anonymisierung von personenbezogenen Daten dar. Wenn im Rahmen des Hinweisgebersystems Daten grundsätzlich nur anonym verarbeitet werden, liegt kein Personenbezug vor und die DSGVO ist nicht anwendbar.

Um weiterhin eine diskrete Übermittlung von Hinweisen zu ermöglichen, empfehlen die Datenschutzbehörden deshalb, Whistleblower-Systeme zu nutzen, die anonyme Meldungen möglich machen – also Systeme, bei denen der Hinweisgeber weder seinen Namen, noch seine E-Mail-Adresse, Telefonnummer etc. preisgeben muss. So wird sichergestellt, dass über diese Daten kein Personenbezug hergestellt werden kann. Im Falle eines anonymen Hinweises ist der Beschuldigte lediglich darüber zu informieren, dass eine Meldung über ihn eingegangen ist. Die Identität des Hinweisgebers bleibt gewahrt.

Die DSGVO erfordert Informationsweitergabe an den Beschuldigten

Eine Meldung über Compliance-Verstöße wird in den allermeisten Fällen eine Beschreibung des Sachverhalts beinhalten, in dem der Hinweisgeber die Namen von Personen nennt, die mit dem Verstoß in Verbindung stehen oder die er direkt beschuldigt. Für die effektive Aufklärung der Meldung ist es wichtig, dass genauere Informationen zu allen Beteiligten vorliegen. Ein Hinweis mit anonymisierten Angaben macht hier keinen Sinn.

Die beschuldigte beziehungsweise im Hinweis genannte Person muss innerhalb von 30 Tagen nach Eingang der Meldung informiert werden. Ein Aufschub ist nur dann möglich, wenn durch die Information die Beweissammlung oder die Untersuchung des Vorwurfs gefährdet wäre. Laut Artikel 15 der DSGVO besteht jedoch keine Möglichkeit eines zeitlichen Aufschubs, wenn die beschuldigte Person Auskunft zu ihren gespeicherten Daten verlangt.

Umsetzung eines DSGVO-konformen Hinweisgebersystems

Für Unternehmen stellt sich nun die Frage, wie sie ein Whistleblowing-System errichten können, das den strengen Anforderungen der DSGVO gerecht werden. Wir empfehlen die Einführung eines digitalen Hinweisgebersystems – zum Beispiel von Vispato – mit dem Sie die Anonymität des Hinweisgebers zu 100 Prozent gewährleisten können. Der große Vorteil eines solchen Systems ist, dass es einen anonymen Dialog ermöglicht. Der Hinweisgeber kann also unter der Wahrung der Vertraulichkeit seiner Identität für Rückfragen zur Verfügung stehen. Wichtig ist, dass die 30-Tage-Frist zur Information des Beschuldigten eingehalten wird.