Kurzinterview: Whistleblowing und Datenschutz – 4 Fragen an Dr. Frank Schemmel, Practice Lead International Privacy & Compliance, DataGuard

Deutschland hat die EU-Hinweisgeberrichtlinie bisher noch nicht umgesetzt und die Kommission hat deswegen im Januar ein Vertragsverletzungsverfahren eingeleitet – was bedeutet das für deutsche Unternehmen?

Für deutsche Unternehmen hat das zunächst einmal keine direkten Auswirkungen. Insbesondere ist zu beachten, dass – entgegen der in diesem Zusammenhang leider immer noch häufig zu findenden Irrmeinung – die Richtlinie nicht direkt anwendbar ist und damit die darin enthaltenen Vorschriften auch noch nicht zwingend von Unternehmen umzusetzen sind. Eine unmittelbare Drittwirkung von nicht-umgesetzten Richtlinien zwischen Privaten (und damit auch Unternehmen) kennt das EU-Recht nicht. Vielmehr kann in einem solchen Fall lediglich die Kommission gegen das entsprechende Mitgliedsland vorgehen (was ja auch geschehen ist) und nach ständiger Rechtsprechung ein betroffener Bürger das Mitgliedsland in Regress nehmen, soweit ihm durch die Nicht-Umsetzung ein Schaden entstanden ist.

Was sind denn typischerweise die größten Herausforderungen bzw. Stolpersteine aus datenschutzrechtlicher Sicht bei der Implementierung von Whistleblowing-Systemen?

Es gibt üblicherweise ein Spannungsverhältnis zwischen datenschutzrechtlicher Transparenz und dem Schutz der Identität des Hinweisgebers. Unternehmen müssen aufgrund der Informationspflichten der DSGVO transparent über die Verarbeitung personenbezogener Daten im Zusammenhang mit Whistleblowing informieren – und zwar sowohl den Hinweisgeber als auch den Beschuldigten. Letzteres kollidiert natürlich regelmäßig mit dem ungestörten Aufklärungsinteresse des Unternehmens im Falle eines relevanten Hinweises, Beschuldigte nicht zu früh über eine entsprechende Ermittlung in Kenntnis zu setzen, um Verschleierung und Beweismittelunterdrückung zu verhindern.

Und wie kommt man als ermittelndes Unternehmen aus einem solchem Dilemma wieder heraus?

Sowohl die DSGVO als auch das BDSG sehen Möglichkeiten vor, die Information des Beschuldigten unter bestimmten Voraussetzungen zurückzuhalten, soweit dies die Ermittlung ernsthaft beeinträchtigen bzw. schutzwürdige Interessen eines Dritten (insb. des Hinweisgebers) verletzen würde. Hier muss aber immer eine Interessenabwägung im Einzelfall erfolgen.

Wie kann ein effektives Hinweisgebersystem in der Praxis umgesetzt werden? Gibt es da „best practices“?

Es sollte auf jeden Fall eine softwaregestützte Lösung verwendet werden, die einerseits ein sicheres Postfach für die anonyme Kommunikation mit dem Hinweisgeber bereitstellt und andererseits ein entsprechendes Dashboard für ein effizientes Case Management und Reporting. Wir selbst haben eine Kooperation mit dem europäischen Marktführer für Hinweisgebersysteme und bieten das Tool sowie weitere Services in diesem Zusammenhang unseren Kunden an.