Von Mareike Gehrmann*)

Skandale wie Wirecard zeigen, wie essenziell es ist, im Unternehmen ein angemessenes und wirksames Compliance-Management-System (CMS) zu implementieren, um die rechtzeitige Entdeckung und Ahndung von Gesetzesverstößen sicherzustellen. Ein Bestandteil eines solchen CMS ist auch ein Whistleblowing-System, das Mitarbeitern oder Externen ermöglicht, Gesetzesverstöße anonym zu melden. Die Europäische Union hat im Dezember 2019 mit der Whistleblower-Richtlinie ihren Mitgliedstaaten vorgegeben, gesetzliche Regelungen zu schaffen, die Unternehmen verpflichten, interne Whistleblowing-Systeme einzurichten. Bis zum 17. Dezember 2021 sollen Unternehmen ab 250 Mitarbeiter hierzu verpflichtet werden – Unternehmen zwischen 50 und 249 Mitarbeitern bis zum 17. Dezember 2023. Auch juristische Personen des öffentlichen Sektors und Gemeinden ab 10000 Einwohner sind betroffen.

Dies stellt Unternehmen vor einige Herausforderungen, denn bei der Implementierung sowie beim späteren Betrieb sind diverse Aspekte zu beachten. Eine entscheidende Herausforderung bildet der Datenschutz. Denn die Whistleblower-Richtlinie gibt vor, dass die Datenverarbeitungen im Einklang mit der EU-Datenschutzgrundverordnung (DSGVO) erfolgen sollen.

Erste Hinweise haben die deutschen Datenschutzbehörden in einer „Orientierungshilfe der deutschen Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines“ am 14. No­vember 2018 gegeben. Hier zeigt sich bereits, dass der Datenschutz erneut einen anderen Blick einnimmt, der nicht immer mit dem Grundgedanken des Whistleblowing übereinstimmt. Denn der Datenschutz schützt beide gleichermaßen, die beschuldigte Person und den Whistleblower, also den Hinweisgeber.

Rechtsgrundlage für die Verarbeitung von Daten des Whistleblowers ist die Einwilligung. Der Whistleblower muss über den Zweck der Datenverarbeitung und darüber informiert werden, dass er seine Einwilligung ohne Angaben von Gründen – innerhalb eines Monats nach erfolgter Meldung – für die Zukunft widerrufen kann. Vor allem muss er, soweit die Meldung nicht anonym erfolgt, darüber unterrichtet werden, dass die beschuldigte Person über seine Identität grundsätzlich spätestens einen Monat nach der Meldung informieren wird. Nur in Ausnahmefällen kann die Unterrichtung zu einem späteren Zeitpunkt erfolgen.

Neben der Pflicht, den Beschuldigten über die Datenverarbeitung zu informieren, haben der Beschuldigte sowie alle anderen Personen, die in der Meldung genannt werden, einen datenschutzrechtlichen Auskunftsanspruch. Dies kann dazu führen, dass die Identität des Whistleblowers offenbart wird. Die deutschen Datenschutzbehörden sehen die Lösung darin, dem Whistleblower entweder die Option zu gewähren, anonym zu melden oder in die Offenlegung einzuwilligen. Dies dürfte jedoch nicht nur die Aufklärung von Compliance-Verstößen erschweren, sondern auch regelmäßig dazu führen, dass Meldungen erst gar nicht erfolgen.

Grundsätzlich kennt auch das Gesetz Ausnahmen von der Auskunftspflicht. Die Anforderungen sind jedoch hoch, wie die Praxis zeigt. Insbesondere müssen Unternehmen umfassend darlegen, weshalb der Whistleblower aufgrund des Auskunftsrechts gefährdet sei. Bereits diese Begründungspflicht birgt das Risiko, dass der Whistleblower vom Beschuldigten identifiziert werden kann. Auch die Verarbeitung von den in der Meldung befindlichen Daten des Beschuldigten muss gerechtfertigt sein.

Grundlage hierfür ist, neben der Betriebsvereinbarung, das Gesetz. Dies kann zum Beispiel eine spezialgesetzliche Regelung, wie das Gesetz über das Kreditwesen oder die DSGVO, sein, wenn berechtigte Interessen des Unternehmens an der Datenverarbeitung gegenüber den Datenschutzinteressen des Beschuldigten überwiegen.

Das ist regelmäßig dann der Fall, wenn das gemeldete Verhalten einen gegen das Unternehmensinteresse sich richtenden Straftatbestand (z.B. Wirtschaftsprüfungsdelikte, Korruption, verbotene Insidergeschäfte) er­füllt oder Menschenrechte, Umweltschutzbelange oder die Vorschriften des Allgemeinen Gleichbehandlungsgesetzes verletzt sind. Anders sieht es aus, wenn das Verhalten des Beschuldigten nur gegen „unternehmensinterne Ethikregeln“ verstößt. Dies reicht nicht.

Zu guter Letzt muss das Whistleblowing-System datenschutzkonform ge­staltet sein, also vor allem ein Lösch- und Sicherheitskonzept enthalten.

Erste Fälle in der Praxis haben gezeigt, dass der Datenschutz bei Whistleblowing-Systemen eine besondere Rolle spielt. Nicht nur, weil oftmals besonders sensible Daten verarbeitet werden, sondern auch, weil Datenschutz dem Beschuldigten als Abwehroption dienen kann. Die Tendenz des Beschuldigten eine Datenschutzverletzung der Datenschutzbehörde zu melden, ist deutlich höher. Diesem Risiko sollten Unternehmen und Gemeinden rechtzeitig begegnen.

*) Mareike Gehrmann ist Fachanwältin für IT-Recht bei Taylor Wessing.