Icon Datenschutzbeauftragter
Datenschutz

Whistleblower DSGVO konform schützen: Das Hinweisgebersystem

Cihan Cevirme
Verfasst von: Cihan Cevirme
Teamassistenz

Würde die „interne Meldestelle“ jemals Daten herausgeben?

Spätestens seit dem 17. Dezember ist die EU-Whistleblower-Richtlinie (EU-WBRL) ein großes Thema. Der Bundestag unterlag nämlich bis zum 17. Dezember 2021 einer Umsetzungsfrist für die EU-Whistleblowing-Richtlinie. Diese Frist hat er leider verpasst. Seit November 2020 liegt zwar ein Referentenentwurf vor – dieser wurde aber aufgrund von Meinungsverschiedenheiten innerhalb der großen Koalition nicht verabschiedet.


Unsere aktuellen Blogbeiträge verwenden eine gendergerechte Sprache. Beiträge vor dem 01.01.2023 haben wir nicht nachträglich überarbeitet. Grundsätzlich legen wir Wert darauf, eine inklusive und respektvolle Kommunikation zu fördern. Vielen Dank für Ihr Verständnis.


Die Ampel-Koalition teilte jüngst in ihrem Vertrag mit, dass sie eine überschießende Umsetzung beabsichtigt: Die Stellung von Whistleblowern soll grundlegend gestärkt werden. So sollen neben dem Schutz bei Meldungen auch Ansprüche des Whistleblowers wegen Repressalien besser durchgesetzt werden können.

Wie dieses Vorhaben konkret umgesetzt werden soll, ließ die Ampel-Koalition bisher nicht verlauten. Zwar ist die Umsetzungsfrist der EU-Richtlinie abgelaufen und sie könnte somit unmittelbar in jedem Mitgliedstaat gelten – inwieweit sie das tut, ist aber noch unklar. Vor allem wie das Aufeinandertreffen der Betroffenenrechte aus der DSGVO und der Schutz des Hinweisgebers aus der Whistleblowing-Richtlinie zu lösen sein wird, ist noch ungeklärt.

Muss die gemeldete Person informiert werden?

Die Betroffenenrechte nach Art. 12 ff. DSGVO und der Schutz des Hinweisgebers aus Art. 16 EU-WBRL kollidieren miteinander. Die Kollision wird sogar noch verstärkt durch Art. 17 der EU-WBRL, der voraussetzt, dass das Hinweisgebersystem im Einklang mit der DSGVO, also auch konform mit den Betroffenenrechten sein muss.

Art. 14 DSGVO schreibt nämlich vor, dass der Verantwortliche spätestens einen Monat nach Verarbeitung von personenbezogenen Daten den Betroffen über Zweck der Verarbeitung und über ihre Quelle informieren muss. Solch ein Betroffener ist beispielsweise die gemeldete Person. Die Identität des Hinweisgebers müsste bei absoluter DSGVO-Konformität somit offengelegt werden.

Das kann es doch aber nicht gewesen sein…

Bei einer orthodoxen Anwendung der DSGVO wäre es das gewesen mit der Whistleblowing-Richtlinie – doch die DSGVO bietet einige Instrumente.

Über Art. 14 Abs. 5 lit. c) DSGVO in Verbindung mit Art. 29 Abs. 1, Satz 1 BDSG könnte eine Interessenabwägung zugunsten des Hinweisgebers ausgelegt und somit die Informationspflicht aus Art. 14 Abs. 1 bis 4 DSGVO gesperrt werden. Das heißt, dass die die Betroffenenrechte aus der DSGVO eingeschränkt werden müssen, um der WBRL Geltung zu verleihen. Weder in der Richtlinie noch in dem Referentenentwurf gibt es dazu klare Regeln.

Zur Auslegung kann hier aber Erwägungsgrund 84 der WBRL helfen. Dort werden die Mitgliedstaaten bei der Umsetzung der Vorgaben der Richtlinie explizit zu gesetzgeberischen Maßnahmen aufgefordert, die den Schutz der Identität des Whistleblowers sicherstellen, und nennt als eines der Mittel dabei auch die Einschränkung der Betroffenenrechte. So sollen die Mitgliedstaaten die Wirksamkeit der Richtlinie gewährleisten, indem sie unter anderem die Ausübung bestimmter Datenschutzrechte betroffener Personen gem. Art. 23 Abs. 1 lit. e) und lit. i) und Art. 23 Abs. 2 der DSGVO durch gesetzgeberische Maßnahmen einschränken, soweit und solange dies notwendig ist, um Versuche zu unterbinden, die Identität der Hinweisgeber festzustellen. Außerdem erfährt der Vertraulichkeitsschutz des Hinweisgebers über Art. 16 EU-WBRL eine gesetzliche Privilegierung.

Im Ergebnis wird der Schutz der Vertraulichkeit der Identität des Hinweisgebers höher zu gewichten sein als das Informationsinteresse des Beschuldigten, um so den Zielsetzungen des Hinweisgeberschutzes zu entsprechen. Die Offenlegung der Identität ist nach Art. 16 EU-WBRL nur in Ausnahmetatbeständen vorgesehen.

Fazit

Der Richtliniencharakter der bestehenden Unionsvorschriften zum Hinweisgebersystem und die fehlende Umsetzung ins nationale Recht sorgen für Rechtsunsicherheit. Dennoch gilt die Richtlinie, wenn auch nur teilweise. Spätestens wenn die ersten Beschlüsse und Urteile aus der Rechtsprechung kommen, wird sich eine Tendenz zeigen. Diese Tendenz wird vermutlich dahin gehen, dass die Betroffenenrechte der gemeldeten Person eingeschränkt werden, um dem Hinweisgeber ausreichenden Schutz zu gewähren. So lesen sich auch die Äußerungen im Koalitionsvertrag. Insbesondere aufgrund einer ungenügend regulierten Rechtslage wäre man gut darin beraten, ein Hinweisgeberschutzsystem von erfahrenen Expertenteams einrichten zu lassen.

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.