Die EU-Hinweisgeberrichtlinie und ihre datenschutz­rechtlichen Implikationen bei Unternehmen

veröffentlicht am 13. Juli 2021 | Lesedauer ca. 3 Minuten

Mit der Richtlinie (EU) 2019/1937 ist die EU dabei, einen weiteren Baustein zur Sicher­stellung der Compliance in den Unternehmen zu manifestieren. Während viele Compliance-Abteilungen bei der Implementierung von Hinweisgebersystemen oftmals auf die Widerstände bei den Geschäftsführungen stießen, wird es künftig keinen Weg mehr daran vorbei geben – sofern die Anwendungsvoraussetzungen vorliegen. Zwar mag der Deutsche Bundestag noch kein Gesetz verabschiedet haben, allerdings ist das lediglich eine Frage der Zeit. Denn die Mitgliedsstaaten sind verpflichtet, das bis zum 17. Dezember 2021 umzusetzen.

      
       
Spektakuläre Fälle wie Edward Snowden, Chelsea Manning oder Julian Assange haben medial die mögliche Wirkung von Hinweisgebern wahrnehmbar gemacht. Auf der einen Seite sind Hinweisgeber extrem nützlich, um Missstände aufzudecken, denn niemand kennt die internen Abläufe besser als die Beschäftigten, die sie ausführen. Auf der anderen Seite setzen sich Hinweisgeber der Gefahr von Repressalien aus. Kurzum: Die EU und insbesondere die nationalen Gesetzgeber haben die Aufgabe, dieses Spannungsverhältnis aufzulösen. Nur dann kann die der Richtlinie (EU) 2019/1937 immanente Intention auch tatsächlich greifen.  

 
Bei den Unternehmen sollte zudem die Erkenntnis reifen, dass durch ein gut funktionierendes Hinweisgeber­system die Integrität der eigenen Handlungen gesichert wird. Nicht zuletzt die Staatsanwaltschaften und auch die Gerichte sehen bereits losgelöst des Impulses der EU Hinweisgebersysteme als einen wesentlichen Compliance-Baustein.
 
Neben strafrechtlichen und arbeitsrechtlichen Aspekten sind datenschutzrechtliche Punkte unverzichtbar zu bedenken. Der sachliche Anwendungsbereich erfasst nämlich gerade auch unter Art. 2 lit. a (x) den Schutz der Privatsphäre und personenbezogener Daten sowie Sicherheit von Netz- und Informationssystemen. Aber nicht nur das; Unternehmen müssen sich insbesondere folgende Fragen stellen:

1. wie wird die Identität des Hinweisgebers geschützt?
2. wie weitreichend sind die Informationspflichten gemäß Art. 14 DSGVO der Unternehmen? oder
3. welche Reichweite hat der Auskunftsanspruch gemäß Art. 15 DSGVO? 

 
Ein kurzer Blick auf zentrale datenschutzrechtliche Vorschriften macht deutlich, dass für die Implementierung eines Hinweisgebersystems ein tiefes Verständnis und echtes datenschutzrechtliche Know-how vorhanden sein muss. Es sind nämlich stets Einzelfallprüfungen notwendig.
 

Grundsatz des Art. 16 Richtlinie (EU) 2019/1937  

Oberster Grundsatz der EU-Hinweisgeberrichtlinie soll sein, dass die Identität des Hinweisgebers vertraulich bleibt. Das erscheint zwingend, da ansonsten wohl eine geringere Bereitschaft zur Abgabe von Hinweisen entstehen wird und mediale Wellen, wie bei Edward Snowden sowie Julian Assange, verhindert werden sollen.
 

Die Unterrichtungspflicht nach Art.14 DSGVO   

Die Unterrichtungspflicht soll der betroffenen Person die Kenntnis über die Verarbeitung ihrer personenbe­zogenen Daten ermöglichen. In den Fallgestaltungen der Meldungen der Hinweisgeber ist damit u.a. die Fallgestaltung zu durchdenken, dass bei den Meldungen (mögliches) Fehlverhalten einzelner Betroffener mitgeteilt wird und der Betroffene von der Verarbeitung seiner personenbezogenen Daten keine Kenntnis erhält. Es muss daher jeweils im Einzelfall geprüft werden, ob bei einer Meldung eine Unterrichtspflicht besteht bzw. der Hinweisgeber unter den Schutzmantel der Richtlinie fällt. Falls dann eine Unterrichtungspflicht besteht, müsste diese gemäß Art. 14 Abs. 1 u. 3 DSGVO binnen eines Montas erfüllt werden; hierbei sind sodann Ausnahmetatbestände wie Art. 14 Abs. 5 DSGVO und Rechenschaftspflichten gemäß Art. 5 DSGVO zu beachten.
 

Die Auskunftspflicht nach Art. 15 DSGVO

Während die Unterrichtungspflicht den Betroffenen in Kenntnis von Verarbeitungen setzen soll, dient der Auskunftsanspruch dazu, dass der Betroffene „Herr seiner Daten“ wird bzw. die konkreten Umstände der Verarbeitung abfragen kann. Die Unternehmen sind als Verantwortliche im Sinne des Art. 4 Ziffer. 7 DSGVO dabei grundsätzlich auch verpflichtet, Auskunft über die Herkunft der personenbezogenen Daten zu erteilen. Dieser Ansatz steht dabei natürlich in Widerspruch zu der statuierten Vertraulichkeit gemäß der EU-Hinweisgeberrichtlinie. 

    
Das Dilemma hat auch seinen Niederschlag in dem vielbeachteten Urteil des LAG Stuttgart (Urteil vom 20. Dezember 2018, Az. 17 Sa 11/18) gefunden. Demnach haben Arbeitnehmer grundsätzlich ein Einsichtsrecht hinsichtlich der sie betreffenden Fallakten. Insofern müssen die Unternehmen ihre verantwortlichen Beschäftigten im Umgang mit diesen Kategorien von personenbezogenen Daten durch Schulungen fit machen und klare Maßstäbe für die notwendigen Einzelfallprüfungen definieren.
 

Die Löschungspflicht nach Art. 17 DSGVO

Mit der Einführung der EU-Datenschutzgrundverordnung hat der Verordnungsgeber ganz bewusst das Recht zur Löschung von personenbezogenen Daten statuiert. Obwohl Löschbegehren Ausnahmeregelungen unterliegen, soll damit grundsätzlich den Betroffenen die Möglichkeit eingeräumt werden, Verarbeitungen zu unterbinden. Vor dem Hintergrund etwaiger Meldungen und der Geltendmachung eines Löschbegehrens einer betroffenen Person ist u.a. rechtlich zu prüfen, 

1. auf welcher Rechtsgrundlage eine Verarbeitung im weiteren gestützt werden kann, 
2. welche Ausnahmeregelungen bestehen und ganz besonders
3. wann die personenbezogenen Daten einer Löschung zugeführt werden.

  
Die Unternehmen haben ein konsistentes Löschkonzept aufzubereiten, das durch technische sowie organisatorische Maßnahmen flankiert werden muss.
    
Der kurze Einblick in datenschutzrechtliche Fragestellungen verdeutlicht, dass bereits bei der Implementierung eines Hinweisgebersystems die Themen interdisziplinär betrachtet werden müssen. Arbeitsrecht, Strafrecht, IT- und Datenschutzrecht sind als Disziplinen bereits im Vorfeld der Einführung von Hinweisgeber-Kanälen unbedingt sauber aufzuarbeiten und miteinander zu verzahnen.