Whistleblowing – Hotlines: Firmeninterne Warnsysteme und

Whistleblowing – Hotlines:
Firmeninterne Warnsysteme und Beschäftigtendatenschutz
Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Beschäftigtendatenschutz“
des Düsseldorfer Kreises
A. Einführung
Whistleblowing-Hotlines sind Angebote von Unternehmen an ihre Mitarbeiterinnen und Mitarbeiter, ein nicht regelkonformes Verhalten anderer Mitarbeiterinnen und Mitarbeiter dem
Unternehmen zu melden. Mit der Meldung von Verstößen gegen Verhaltenspflichten gehen
die Erhebung, Übermittlung und Speicherung von personenbezogenen Daten einher. Wenn
diese Daten automatisiert oder in nicht automatisierten Dateien verarbeitet werden, müssen
die Vorschriften des Datenschutzrechts eingehalten werden. Betroffene Personengruppen sind
vor allem die Hinweisgeberinnen und Hinweisgeber sowie die beschuldigten Personen. Die
Artikel 29-Datenschutzgruppe (Datenschutzbeauftragte der Mitgliedstaaten der EU) hat die
sich aus der EG-Datenschutzrichtlinie ergebenden datenschutzrechtlichen Ziele und Vorgaben
in einer am 01.02.2006 verabschiedeten Stellungnahme zu Whistleblowing-Systemen zusammengefasst (im Folgenden: Stellungnahme WP 117).1
Der Bericht der Arbeitsgruppe „Beschäftigtendatenschutz“ des Düsseldorfer Kreises beschränkt sich auf die Beurteilung der datenschutzrechtlichen Zulässigkeit der automatisierten
personenbezogenen Datenerhebung, -verarbeitung und -nutzung bei Meldeverfahren unter
Einsatz von Whistleblowing-Hotlines nach den Vorschriften des Bundesdatenschutzgesetzes
(BDSG). Die Übermittlung von personenbezogenen Daten in Drittstaaten - beispielsweise
aufgrund des Sarbanes-Oxley Act (SOX) - ist nicht Gegenstand der datenschutzrechtlichen
Beurteilung des vorliegenden Arbeitsberichts.
B. Verstöße gegen unternehmensinterne Verhaltensregeln
Interne Verfahren zur Meldung von Missständen werden in der Regel aus dem Bedürfnis eingerichtet, zuverlässige Grundsätze der Unternehmensführung in den täglichen Betrieb der Unternehmen einzuführen. Verfahren zur Meldung von Missständen sind als zusätzlicher Mechanismus für die Beschäftigten gedacht, um Missstände intern über einen bestimmten Kanal
zu melden. Sie ergänzen die regulären Informations- und Meldekanäle der Einrichtung, wie
beispielsweise Arbeitnehmervertretungen, Linienmanagement, Qualitätskontrollpersonal oder
interne Auditoren, die eigens dafür eingestellt sind, solche Missstände zu melden. Die Meldung von Missständen ist als Ergänzung zum internen Management zu sehen und nicht als Ersatz dafür. 2 Bei der Einführung von Verhaltensregeln sind arbeitsrechtliche Erfordernisse zu
berücksichtigen und Mitbestimmungsrechte des Betriebsrats zu wahren.
Verstöße gegen Verhaltensgrundsätze können sein:
1
Stellungnahme 1/2006 der Article 29 Data Protection Working Party, abrufbar im Internet unter:
www.europa.eu.int/comm/justice_home/fsj/privacy/docs/wpdocs/2006/wp117_de.pdf.
2
Stellungnahme WP 117, III. -S. 6-.
1/7
1. Verhaltensweisen, die einen sich gegen das Unternehmensinteresse richtenden Straftatbestand erfüllen (insbesondere Betrug und Fehlverhalten in Bezug auf die Rechnungslegung
sowie interne Rechnungslegungskontrollen, Wirtschaftsprüfungsdelikte, Korruption, Banken- und Finanzkriminalität, verbotene Insidergeschäfte), 3
2. Verhaltensweisen, die gegen Menschenrechte (z.B. Ausnutzung günstiger Produktionsbedingungen im Ausland durch in Kauf genommene Kinderarbeit) oder Umweltschutzbelange verstoßen,
3. Verhaltensweisen, die unternehmensinterne Ethikregeln beeinträchtigen (vgl. Wal-MartFall). 4
C. Datenströme beim Whistleblowing
Bei der Meldung von Verstößen gegen Verhaltensregeln werden personenbezogene Daten
über Personen erhoben, verarbeitet und genutzt. Die Datenerhebung umfasst Angaben über
die beschuldigte Person, die (angeblichen) Verhaltensverstöße sowie die entsprechenden
Sachverhalte. Sofern ein Meldeverfahren regelt, dass Hinweise anonym erfolgen können,
werden, falls Hinweisgeberinnen und Hinweisgeber sich nicht selbst anders äußern, keine personenbezogene Daten über sie erhoben. Andernfalls kommen personenbezogene Angaben wie
Name der meldenden Person, ihre Position im Unternehmen und gegebenenfalls auch die
Umstände ihrer Beobachtung in Betracht. Je nach Ausgestaltung des Meldeverfahrens besteht
die Möglichkeit der internen Nutzung durch die dafür vorgesehene Abteilung (beispielsweise
Revision, Compliance), bei verbundenen Unternehmen ist eine Übermittlung der personenbezogenen Daten an die Konzernmutter oder andere zum Konzern gehörende Unternehmen
denkbar.
D. Rechtsgrundlagen
Sofern die personenbezogenen Daten automatisiert oder in nicht automatisierten Dateien verarbeitet werden, ist die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten
nur zulässig, wenn das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet
oder die Betroffenen eingewilligt haben (§ 4 Abs. 1 BDSG).
1. Vertragsverhältnis gemäß § 28 Abs. 1 Satz 1 Nr. 1 BDSG
Nach ganz überwiegender Auffassung findet § 28 Abs. 1 Satz 1 Nr. 1 BDSG keine Anwendung, weil das Arbeitsvertragsverhältnis bei der von der Unternehmensleitung veranlassten bzw. ihr zuzurechnenden Datenerhebung nicht unmittelbar betroffen ist. Beurteilungsgrundlage ist vielmehr § 28 Abs. 1 Satz 1 Nr. 2 BDSG.
2. Abwägung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG
2.1
Erforderlichkeit zur Wahrung berechtigter Interessen des Unternehmens
Die Einrichtung von Verfahren zur Meldung von Missständen kann zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, für erforderlich gehalten werden. Das Ziel der Gewährleistung der finanziellen Sicherheit auf den internationalen Finanzmärkten und insbesondere die
Verhütung von Betrug und Fehlverhalten in Bezug auf die Rechnungslegung, interne
3
4
Stellungnahme WP 117, IV. Nr.1 ii) -S. 9-.
Beschluss des LAG Düsseldorf vom 14.11.2005 - 10 TaBV 46/05 – (Wal Mart); vgl. auch die Benachteiligungsverbote des Allgemeinen Gleichbehandlungsgesetzes vom 14.08.2006 (BGBl. I S. 1897).
2/7
Rechnungslegungskontrollen, Fragen der Wirtschaftsprüfung sowie die Bekämpfung
von Korruption, Banken- und Finanzkriminalität oder Insider-Geschäften kann ein
berechtigtes Interesse des Arbeitgebers darstellen, das die Verarbeitung personenbezogener Daten mittels Verfahren zur Meldung von Missständen in diesen Bereichen
rechtfertigt.5 Eine Datenverarbeitung zur Wahrung dieses Interesses wäre jedoch nur
zulässig, wenn die schutzwürdigen Interessen der Betroffenen an dem Ausschluss
der Verarbeitung oder Nutzung nicht überwiegen.
2.2
Schutzwürdige Interesse Betroffener
Bei einem Verfahren zur Meldung von Missständen besteht die Gefahr der Viktimisierung und Stigmatisierung der belasteten Person.6 Eine Prüfung schutzwürdiger Interessen dieser Person wird bei konkreten, auf relevante Verfehlungen hinweisenden
Verdachtsmomenten besonders sorgfältig vorzunehmen sein. Die Verarbeitung von
personenbezogenen Daten, die mit der Aufdeckung von Verstößen der im Kapitel B
1 und B 2 beschriebenen Kategorien (sog. „harte Faktoren“) in Zusammenhang stehen, kann als zulässig angesehen werden. In der Regel wird die Interessenabwägung
zugunsten des berechtigten Interesses des Unternehmens ausfallen, da die Meldung
solcher Verstöße rechtliche Konsequenzen durch z.B. Strafverfolgung, Schadensersatzforderungen und Imageschaden vermeiden hilft, wenn das Verfahren im Übrigen
datenschutzgerecht ausgestaltet ist (Kapitel E).
Bei Verhaltensweisen entsprechend der Kategorie B 3 (sog. „weiche Faktoren“) ist
die Zulässigkeit ebenso nur im Einzelfall zu beurteilen. Hierbei ist zu berücksichtigen, dass bestimmte Verhaltensweisen von vornherein nicht in eine Beurteilung
bzw. Interessenabwägung einbezogen werden dürfen. 7
Grundsätzlich ist bei dieser Fallgruppe anzunehmen, dass die schutzwürdigen Interessen der Betroffenen überwiegen. Dabei sind auch arbeitsrechtliche Grundsätze zu
beachten.Für die „weichen Faktoren“ der internen Verhaltensregeln (z.B. „Freundlichkeit bei der Kundenbetreuung“) fehlt es zumeist schon an einer klar umrissenen
Definition, um einen Verstoß einwandfrei identifizieren zu können. Außerdem ist
ein Zusammenhang zwischen dem Verstoß und einem erheblichen Schaden für das
Unternehmen (vergleichbar der im Kapitel B 1 und B 2 beschriebenen Kategorien)
nicht erkennbar, so dass schon Zweifel an einem berechtigten Interesse der verantwortlichen Stelle bestehen. Daher dürfte in diesen Fällen im Grundsatz davon auszugehen sein, dass ein überwiegendes schutzwürdiges Interesse der Betroffenen besteht und eine Verarbeitung oder Nutzung personenbezogener Daten insoweit unzulässig ist.
3. Besondere Rechtsvorschrift gemäß § 4 Abs. 1 BDSG
Eine Betriebsvereinbarung, die Verhaltensregeln beinhaltet, kann nur dann als besondere
Rechtsvorschrift angesehen werden, wenn die Datenerhebung, -verarbeitung und -nutzung
ausreichend und präzise - innerhalb des Erlaubnisumfangs des BDSG - geregelt ist und
sie das durch das Bundesdatenschutzgesetz selbst gesetzte Schutzniveau nicht unterschreitet.8 Die bloße Beschreibung einer Aufgabe reicht nicht aus, auch wenn zu deren Erledigung personenbezogene Daten verarbeitet werden müssen. Sie kann in solchen Fällen je5
Stellungnahme WP 117, IV, Nr. I ii) -S. 9-.
Stellungnahme WP 117, III. -S. 7-.
7
s. LAG Düsseldorf, Beschluss vom 14.11.2005, NZA 2006,63. Nach Ansicht des Gerichts ist der Regelungskomplex „Private Beziehungen/ Liebesbeziehungen“ wegen Verstoßes gegen Art. 1 und 2 GG grundgesetzwidrig und damit unwirksam.
8
Bergmann/Möhrle/Herb, § 4, Rn. 24; Simitis, Bundesdatenschutzgesetz, Kommentar, 6. Aufl., § 4, Rnrn. 16,17.
6
3/7
doch herangezogen werden, um eine Abwägung zwischen den berechtigten Interessen der
verantwortlichen Stelle und dem schutzwürdigen Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung vorzunehmen.
4. Einwilligung der Betroffenen gemäß § 4a BDSG
Die Wirksamkeit einer Einwilligung zur Einführung eines solchen Verfahrens müsste u.a.
an die Kriterien Freiwilligkeit und Unterrichtung über die Datenerhebung, -verarbeitung
und -nutzung anknüpfen. Es ist fraglich, ob im Arbeitsverhältnis eine Einwilligung freiwillig erklärt werden kann. In einem Beschäftigungsverhältnis kann man regelmäßig nicht
davon ausgehen, dass eine Einwilligung ohne Zwang abgegeben wurde, da zwischen dem
Unternehmen und seiner Arbeitnehmerin oder seinem Arbeitnehmer ein hierarchisches
Verhältnis besteht 9.
E. Datenschutzgerechte Gestaltung eines Meldeverfahrens mittels Hotlines
1. Grundsätze
Personenbezogene Daten müssen für festgelegte eindeutige Zwecke erhoben und dürfen
nicht in einer damit nicht zu vereinbarenden Weise weiterverarbeitet oder genutzt werden
(§ 28 Abs. 1 Satz 2 BDSG). Darüber hinaus müssen die verarbeiteten Daten den Zwecken
entsprechen, für die sie erhoben und/oder weiterverarbeitet werden, dafür erforderlich sein
und nicht darüber hinausgehen. Gestaltung und Auswahl von Datenverarbeitungssystemen
haben sich an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie
möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere ist von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht (§ 3a BDSG). Die verantwortliche Stelle muss Maßnahmen treffen, die sicherstellen, dass nicht zutreffende oder unvollständige Daten gelöscht oder berichtigt werden. Es sollten klare, unmissverständliche Informationen zu dem mit einer Whistleblowing-Hotline verfolgten Zweck gegeben werden. Missverständnisse, jede auch nur geringfügige oder lediglich vermutete Unregelmäßigkeit sei zu melden, sollten vermeiden werden. Klar sein muss, dass kein Interesse an unkonkretisierten Beschuldigungen besteht.
2. Betroffener Personenkreis
Nach den Grundsätzen der Datensparsamkeit und der Datenvermeidung sollte die verantwortliche Stelle prüfen, inwieweit der für eine Meldung in Betracht kommende Personenkreis bei einer Whistleblowing-Hotline möglichst eingegrenzt und konkret bestimmt werden kann. Das Unternehmen, das ein Verfahren zur Meldung von Missständen einführt,
sollte ebenfalls sorgfältig prüfen, ob es angebracht wäre, die Zahl der Personen zu begrenzen, die über das Verfahren gemeldet werden können, insbesondere in Anbetracht der
Schwere der gemeldeten mutmaßlichen Verstöße.10 Entscheidend kommt es dabei jedoch
auf die Umstände im Einzelfall an.
3. Anonymer oder personenbezogener Hinweis
Die Artikel-29-Datenschutzgruppe empfiehlt, anonyme Anzeigen (d.h. auch Hinweise)
nur in Ausnahmefällen zu akzeptieren. Anonymität läuft dem Transparenzprinzip zuwider,
begünstigt gegenüber der namentlichen Nennung von ‚Roß und Reiter’ eher Missbrauch
und Denunziantentum. Einer durch anonymen Hinweis gemeldeten Person bleibt keine
9
10
Stellungnahme WP 114, Kap. 2.1 -S.13-.
Stellungnahme WP 117, IV. Nr. 2i) -S. 11-.
4/7
Möglichkeit, sich gegen eine etwaige Verleumdung in einem rechtsstaatlichen Verfahren
zur Wehr zu setzen. Ein von vornherein auf die Erhebung personenbezogener Daten abstellendes Verfahren hat andererseits den Nachteil, dass auch bei gewünschten Hinweisen
ein Abschreckungseffekt möglich ist. Dies sollte jedoch gegenüber anonymen Hinweisen
in Kauf genommen werden, zumal diese auch ohne eine Whistleblowing-Hotline jederzeit
möglich sind. Besonders hingewiesen werden sollte auf angemessene Garantien für den
Schutz der Hinweisgeberin oder des Hinweisgebers vor diskriminierenden oder disziplinarischen Maßnahmen.11
In Abwägung der genannten Interessen ist das folgende Vorgehen zu empfehlen:
Verfahren zur Meldung von Missständen stellen sicher, dass die Identität der Hinweisgeberin oder des Hinweisgebers vertraulich behandelt wird. Eine Person, die eine Meldung
mit Hilfe eines solchen Verfahrens machen möchte, sollte wissen, dass sie deswegen nicht
benachteiligt werden wird. Aus diesem Grund sollte die Hinweisgeberin oder der Hinweisgeber bei der ersten Kontaktaufnahme mit dem System darauf hingewiesen werden,
dass ihre oder seine Identität während aller Schritte des Verfahrens vertraulich behandelt
wird.
4. Unterrichtungs- und Auskunftspflichten
Die verantwortliche Stelle muss, wenn personenbezogene Daten bei Betroffenen erhoben
werden, über die Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unterrichten, sofern diese nicht auf andere Weise Kenntnis erlangt haben
(§ 4 Abs. 3 BDSG). Sofern Betriebsvereinbarungen über das Meldeverfahren mit Regelungen zur personenbezogenen Datenverarbeitung abgeschlossen wurden, hat sie das Unternehmen so auszulegen, dass sämtliche Arbeitnehmerinnen und Arbeitnehmer, auch die
neu eingestellten, in der Lage sind, sich ohne besondere Umstände mit dem Inhalt vertraut
zu machen (§ 77 Abs. 2 BetrVG).12
4.1
Information der beschuldigten Person (§ 33 BDSG)
Werden erstmals personenbezogene Daten für eigene Zwecke ohne Kenntnis der
betroffenen Person gespeichert, ist diese von der Speicherung, der Art der Daten, der
Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung und der Identität der
verantwortlichen Stelle zu benachrichtigen (§ 33 Abs. 1 BDSG). Eine Pflicht zur
Benachrichtigung besteht nicht, wenn die Daten nach einer Rechtsvorschrift oder ihrem Wesen nach, namentlich wegen des überwiegenden rechtlichen Interesses einer
dritten Person, geheim gehalten werden müssen (§ 33 Abs. 2 Satz 1 Nr. 3 BDSG). 13
Wenn das Risiko, dass eine solche Unterrichtung die Fähigkeit des Unternehmens
zur wirksamen Untersuchung des Vorwurfs oder zur Sammlung der erforderlichen
Beweise gefährden würde, erheblich wäre, kann die Information der beschuldigten
Person so lange aufgeschoben werden, wie diese Gefahr besteht.14 Eine dauerhafte
Geheimhaltung dürfte angesichts einer möglichen Beeinträchtigung der Persönlichkeitsrechte der beschuldigten Person und seiner Verteidigungsrechte nicht angenommen werden.
11
Stellungnahme WP 117, IV. Nr. 1 ii) -S. 9- ; grundlegend: BVerfG, Beschluss vom 02.07.2001 – 1 BvR
2049/00 (www.bundesverfassungsgericht.de/Entscheidungen.html); siehe im übrigen: Müller, Whistleblowing
- ein Kündigungsgrund? NZA 2002, 424; Breinlinger, Krader, Chancen und Risiken bei der Umsetzung von
anonym nutzbaren Hinweisgebersystemen im Rahmen des Compliance - Managements von Unternehmen,
RDV 2006, 60; Sauer, Whistleblowing - notwendiger Bestandteil moderner Personalpolitik, DÖD 2005, 121.
12
Fitting, Anm. 25 zu § 77 BetrVG.
13
Schaffland/Wiltfang Anm. 63 ff, Bergmann/Möhrle/Herb Anm. 89 ff. zu § 33 BDSG.
14
Stellungnahme WP 117, IV. Nr. 4 i) -S. 15-.
5/7
4.2
Auskunft (§ 34 BDSG)
Nach § 34 Abs. 1 BDSG hat die betroffene Person, sowohl die Hinweisgeberin oder
der Hinweisgeber als auch die beschuldigte Person, Anspruch auf Auskunft der zu
ihrer Person gespeicherten Daten, auch soweit sie sich auf Herkunft und Empfänger
beziehen. Der Auskunftsanspruch der beschuldigten Person kollidiert grundsätzlich
mit einer für das Meldeverfahren vorgesehenen anonymen Meldung (s. dazu Abschnitt E 3). Allerdings besteht nach § 34 Abs. 4 BDSG in den Fällen des § 33 Abs.
2 Satz 1 Nr. 3 BDSG keine Auskunftsverpflichtung. Damit wären die für die Funktion einer Whistleblowing-Hotline unerlässliche Vertraulichkeit der Meldungen und
damit die Identität des Hinweisgebers zunächst gewährleistet. Die verantwortliche
Stelle muss allerdings im Einzelfall prüfen und entscheiden, unter welchen Voraussetzung die Hinweisgeberin oder der Hinweisgeber gegenüber der beschuldigten
Person offen gelegt wird.
5. Weitergabe an Dritte
Grundsätzlich ist eine Weitergabe der personenbezogenen Daten sowohl der Hinweisgeberin oder des Hinweisgebers als auch der beschuldigten Person an Dritte nicht zulässig. Es
ist jedoch erforderlich, Hinweisgeberinnen und Hinweisgebern zu verdeutlichen, dass ihre
Identität den Personen, die an weiteren Überprüfungen oder anschließenden, im Zuge der
Nachforschungen eingeleiteten Gerichtsverfahren beteiligt sind, enthüllt werden kann.15
Akteneinsichtsrechte in einem etwaigen Strafverfahren bleiben unberührt. Personenbezogene Daten der beschuldigten Person können nach § 28 Abs. 3 Satz 1 Nr. 2 BDSG zur
Verfolgung von Straftaten übermittelt werden.
6. Sperrung und Berichtigung (§ 35 BDSG)
Nach § 35 Abs. 4 BDSG sind personenbezogene Daten zu sperren, soweit ihre Richtigkeit
von der betroffenen Person bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt. Personenbezogene Daten dürfen nicht für eine automatisierte
Verarbeitung oder Verarbeitung in nicht automatisierten Dateien erhoben, verarbeitet oder
genutzt werden, soweit die betroffene Person dieser bei der verantwortlichen Stelle widerspricht und eine Prüfung ergibt, dass das schutzwürdige Interesse der betroffenen Person
wegen ihrer besonderen persönlichen Situation das Interesse der verantwortlichen Stelle
an dieser Erhebung, Verarbeitung oder Nutzung überwiegt. Dies gilt nicht, wenn eine
Rechtsvorschrift zur Erhebung, Verarbeitung oder Nutzung verpflichtet (§ 35 Abs. 5
BDSG). Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind (§ 35 Abs.
1 BDSG).
7. Löschung (§ 35 BDSG)
Werden personenbezogene Daten für eigene Zwecke verarbeitet, sind sie zu löschen, sobald ihre Kenntnis für die Erfüllung des Zweckes der Speicherung nicht mehr erforderlich
ist (§ 35 Abs. 2 Nr. 3 BDSG). Grundsätzlich sollten Daten innerhalb von 2 Monaten nach
Abschluss der Untersuchung gelöscht werden. Eine darüber hinausgehende Speicherung
ist nur für die Dauer der Klärung erforderlicher weiterer rechtlicher Schritte wie Disziplinarverfahren oder Einleitung von Strafverfahren zulässig. Personenbezogene Daten im
Zusammenhang mit Meldungen, die von der Einheit, die für die Bearbeitung der Meldung
zuständig ist, als grundlos erachtet werden, sollten unverzüglich gelöscht werden.16
15
16
Stellungnahme WP 117, IV. Nr. 2 iii) -S. 12- .
Stellungnahme WP 117, IV. Nr. 2 v) -S. 13/14- .
6/7
8. Beteiligung der betrieblichen Datenschutzbeauftragten
Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der
Betroffenen aufweisen, unterliegen sie nach § 4d Abs. 5 BDSG der Prüfung vor Beginn
der Verarbeitung (Vorabkontrolle). Da außer im Fall einer gesetzlichen Verpflichtung keine Ausnahme von der Vorabkontrolle zutrifft, ist ein automatisiertes Meldeverfahren vorab durch die oder den betrieblichen Datenschutzbeauftragten zu prüfen.
9. Beauftragung externer Stellen (§ 11 BDSG)
Die Konstellation einer Auftragsdatenverarbeitung nach § 11 BDSG ist nur denkbar, wenn
der Auftragnehmer aufgrund von präzisen Weisungen des Auftraggebers lediglich den
technischen Prozess der Verarbeitung personenbezogener Daten durchführt. Andernfalls
liegt bei der Beauftragung externer Stellen eine Übermittlung vor, deren Zulässigkeit nach
§ 28 Abs. 1 Nr. 2 BDSG zu beurteilen ist. Je nach Ausgestaltung des Meldeverfahrens ist
zwischen dem berechtigten Interesse der verantwortlichen Stelle und dem schutzwürdigen
Interesse des Betroffenen abzuwägen. Die Zulässigkeit der Übermittlung an externe Stellen ist Gegenstand der Vorabkontrolle. In der Regel ist nicht von einer Auftragsdatenverarbeitung auszugehen, wenn die externe Stelle Teile der erforderlichen Untersuchung
durchführen soll.
Die Beauftragung einer externen Stelle außerhalb der Unternehmensorganisation (Konzernverbund) kann sich (bei Beachtung der datenschutzrechtlichen Vorschriften im Übrigen) als vorteilhaft erweisen, weil möglicherweise eine gewisse, das Missbrauchsrisiko
verringernde Hemmschwelle entsteht.
10. Technisch-organisatorische Maßnahmen (§ 9 BDSG)
Um die Vorgaben der Anlage zu § 9 BDSG zu erfüllen, sind geeignete technische und organisatorische Maßnahmen zu treffen. Dies gilt insbesondere wegen der zugesicherten
Vertraulichkeit und für die Löschungsverpflichtung. Bei interner Datenverarbeitung ist zu
empfehlen, dass die Whistleblowing-Hotline nicht innerhalb der Personalverwaltung organisiert und betrieben wird.17 Um zu gewährleisten, dass Unbefugte Datenverarbeitungssysteme nicht nutzen können, bieten sich neben einem Berechtigungskonzept und einer
Passwortrichtlinie auch Verschlüsselungsverfahren im Hinblick auf die Sensibilität der
Daten an.18 Zu den Maßnahmen gehören auch Protokollierung von Dateneingaben und
Löschroutinen.
F. Ergebnis
Das Meldeverfahren mittels Whistleblowing-Hotlines lässt sich unter besonderer Berücksichtigung des von dem Unternehmen verfolgten Zwecks und der Einrichtungsmodalitäten
datenschutzgerecht gestalten und betreiben. Für Unternehmen, die solche Warnsysteme
beabsichtigen einzurichten, empfiehlt sich eine rechtzeitige Abstimmung mit allen zu Beteiligenden [z.B. Innenrevision, Beauftragte der Geschäftsleitung, Beauftragte(r) für den
Datenschutz, Betriebsvertretung]. Zur Klärung von Zweifelsfragen stehen auch die Aufsichtsbehörden für den Datenschutz zur Verfügung.
17
18
Stellungnahme WP 117, IV. Nr. 6 i) -S. 17-.
BSI-IT-Grundschutzhandbuch.
7/7