Whistleblowing vs. Datenschutz: Auskunftsanspruch gefährdet Whistleblower
© Getty Images / Meyer & Meyer
Whistleblowing vs. Datenschutz

Auskunftsanspruch gefährdet Whistleblower

Neueste Skandale wie Wirecard zeigen, wie essentiell es ist, im Unternehmen ein angemessenes und wirksames Compliance-Management-System (CMS) zu implementieren, um die rechtzeitige Entdeckung und Ahndung von Gesetzesverstößen sicherzustellen. Ein Bestandteil eines solchen CMS ist ein Whistleblowing-System, das Mitarbeitern oder Externen ermöglicht, Gesetzesverstöße (anonym) zu melden.

Unternehmen mit mehr als 50 Beschäftigten sowie juristische Personen des öffentlichen Sektors und Gemeinden ab 10.000 Einwohner sind zukünftig verpflichtet, ein internes Whistleblowing-System einzurichten. Unternehmen ab 250 Mitarbeiter müssen diese Anforderung bis zum 17. Dezember 2021, Unternehmen zwischen 50 und 249 Mitarbeitern bis zum 17. Dezember 2023 erfüllen. Dies schreibt die im Dezember 2019 in Kraft getretene Whistleblower-Richtlinie (WBRL) der Europäischen Union vor, die vom deutschen Gesetzgeber bis dato noch in nationales Recht umzusetzen ist.  

Bei der Implementierung eines solchen Whistleblowing-Systems gibt es für die betroffenen Unternehmen einiges zu beachten. Vor allem der Datenschutz bietet eine besondere Herausforderung. Denn die Verarbeitung personenbezogener Daten soll im Einklang mit der EU-Datenschutzgrundverordnung (DSGVO) erfolgen (Art. 17 WBRL). Erste Hinweise erhalten Unternehmen aus der am 14. November 2018 veröffentlichten „Orientierungshilfe der deutschen Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines“.

Die Crux: Mitarbeiter, die in Meldungen genannt oder beschuldigt werden, haben gemäß Art. 15 DSGVO einen Anspruch auf Auskunft über den sie betreffenden Inhalt der Meldung. Dies kann jedoch dazu führen, dass die Identität des Whistleblowers offenbart wird. Die deutschen Datenschutzbehörden sehen die Lösung darin, dem Whistleblower entweder die Option zu gewähren, anonym zu melden oder seine Einwilligung einzuholen, seine Identität offenzulegen. Dieser Vorschlag dürfte nicht nur die Aufklärung von Compliance-Verstößen erschweren, sondern auch regelmäßig dazu führen, dass Meldungen erst gar nicht erfolgen.

Die deutschen Datenschutzbehörden stehen mit dieser Ansicht dennoch nicht alleine da. So gewährte bereits das Landesarbeitsgericht Baden-Württemberg in seinem Urteil vom 20. Dezember 2018 (Az. 17 Sa 11/18) einem gekündigten Mitarbeiter den Auskunftsanspruch und damit die Offenlegung der Identität des Whistleblowers. Gegen dieses Urteil wurde Revision eingelegt. Statt einer Entscheidung durch das Bundesarbeitsgericht (Az. 5 AZR 66/19) einigten sich die Parteien außergerichtlich, so dass weiterhin Rechtsunsicherheit besteht.

Der nationale Gesetzgeber ist somit gehalten, diesen Konflikt rechtzeitig und klarstellend zu lösen. Die WBRL würde dies ermöglichen (Erwägungsgrund 84). Bis dahin sollten Unternehmen anonyme Meldungen bevorzugen oder – soweit möglich – die Identität des Whistleblowers in Dokumenten, zum Beispiel Personalakten, schwärzen, auf die sich der Auskunftsanspruch des von der Meldung Betroffenen erstrecken könnte.

 

Das könnte sie auch noch interessieren

Foto: Getty Images / Westend61

Warum Unternehmen Government-Risk-Compliance Tools brauchen

So helfen Software-Lösungen, die geforderte Nachweis- und Dokumentationspflicht zu gewährleisten.

Foto: Getty Images / TBE

Auswertung beschlagnahmter VW-Unterlagen erlaubt

Das Bundesverfassungsgericht hat entschieden: Die Unterlagen aus der internen Aufklärung der VW AG im „Diesel-Skandal“, die bei deren Rechtsanwaltskanzlei Jones Day beschlagnahmt wurden, dürfen...

Foto: Getty Images / Eric Audras

Die neue EU-Richtlinie zum Schutz von Whistleblowern

Es ist jetzt genau einen Monat her, seit dem der Entwurf einer EU-Richtlinie zum Schutz von Whistleblowern veröffentlicht wurde. Und die erste offizielle Beratung durch die EU-Justizminister steht...

Foto: Thinkstock / seb_ra

Keine „Vorgesetztenverantwortlichkeit“ im Strafrecht!?

Rechtsprechung und Strafverfolgungsbehörden erhöhen seit Jahren stetig den Druck auf Unternehmen und deren Leitungspersonen. Zuletzt kam ein weiterer Impuls von Seiten der Politik.

Foto: Thinkstock / YakobchukOlena

Die EU-DSGVO als Chance nutzen

Die europäische Datenschutzgrundverordnung (EU-DSGVO) tritt am 25. Mai 2018 in Kraft. Während der Stichtag immer näher rückt, müssen sich die Verantwortlichen durch eine Flut an Informationen...

Foto:Thinkstock / LucaZola

Kartellschadensersatz in der Unternehmenspraxis

Kartellfälle und daraus resultierende Schadensersatzklagen sind nicht erst seit diesen Tagen häufiges Thema. Doch mit der EU-Kartellschadensersatzrichtlinie kommt eine neue Dynamik, die für die...

Neuen Kommentar schreiben