Whistleblowing

Auch das sog. Whistleblowing ist von datenschutzrechtlicher Relevanz. Mittels Whistleblowing-System soll der Arbeitgeber die Möglichkeit erhalten, frühzeitig von Missständen innerhalb seines Unternehmens zu erfahren. Ein großer Vorteil ist dabei vor allem, dass die Missstände zunächst intern aufgeklärt werden können. Die Gefahr, dass die Öffentlichkeit davon erfährt und das Unternehmen einen Imageschaden erleidet, kann dadurch vermieden werden.

Es sollte bereits bei der Gestaltung von Whistleblowing-Systemen dem Datenschutzrecht Beachtung geschenkt werden. Im Rahmen eines Whistleblowing-Meldesystems werden Daten von Mitarbeitern erhoben und verarbeitet. Dabei bedarf es einer datenschutzrechtlichen Rechtfertigung. Der § 28 Abs. 1 Nr. 2 BDSG ist hier schon nicht anwendbar, da die Anwendung dessen ausschließlich zum Zwecke des Beschäftigungsverhältnisses zum Tragen kommt. Ein solches System kommt daher einer präventiven Compliance-Maßnahme gleich. Maßgeblich ist somit auch hier, die Abwägung der Interessen des Arbeitgebers und den Rechten der Mitarbeiter. Die Ausgestaltung von Whistleblowing-Systemen ist aus datenschutzrechtlicher Sicht von Beginn an umfassend zu planen.

Was ist zu tun?

Es ist zunächst zu klären, ob und für welche genauen Tatbestände bzw. Verhaltensweisen eine Meldepflicht vorgesehen ist. Problematisch wird es bereits dann, wenn die personenbezogenen Daten eines Whistleblowers innerhalb eines Unternehmensverbunds (Konzern) weitergegeben werden und ggf. sogar eine Drittländerübermittlung stattfindet. Hierbei ist eine gesonderte Prüfung vorzunehmen.

Liegt ein Verstoß gegen Verhaltensregeln vor und werden für die Meldung des Verstoßes – je nach Ausgestaltung des Meldesystems – personenbezogene Daten erhoben, verarbeitet oder genutzt, muss auch hier die DSGVO Beachtung finden. Sofern der Konzern weltweit aufgestellt ist, treten weitere Probleme in Bezug auf die Drittstaatenübermittlung auf. Nicht selten hat das Mutterunternehmen seinen Sitz in den USA oder sonstigen datenschutzrechtlich nichtsicheren Drittstaaten.

Aus datenschutzrechtlicher Sicht ist es grundsätzlich möglich ein solches Meldesystem in deutschen Unternehmen zu etablieren, insoweit die Einrichtungsmodalitäten des Unternehmens und der verfolgte Zweck berücksichtigt werden. Die Unternehmen stehen bei der Umsetzung dennoch vor jeder Menge Herausforderungen. Benötigen Sie Hilfe bei der Umsetzung eines Whistleblowing-Systems, was seinen Zweck erfüllt und gleichzeitig die Vorgaben des Gesetzgebers einhält? Gerne geben wir Ihnen Handlungsvorschläge dazu und stehen Ihnen bei der Etablierung von einheitlichen Unternehmensrichtlinien zur Seite.

Unsere bundesweit tätigen Berater und Datenschutzbeauftragten aus Dresden vertreten vor allem Mandanten in Dresden, aber auch in den Regionen Pirna, Görlitz, Bautzen, Kamenz, Meißen, Riesa, Freiberg, Zwickau, Mittweida, Chemnitz, Freital, Löbau, Dippoldiswalde, Leipzig und Umgebung.