Whistleblower und DSGVO – ein Widerspruch?

Whistleblower-Hotline

Schließen sich Whistleblowing und EU-Datenschutzgrundverordnung (DSGVO) gegenseitig aus? Bereits 2018 hatten die Bundes- und Landesdatenschutzbehörden eine „Orientierungshilfe zu Whistleblowing-Hotlines: Firmeninterne Warnsysteme und Beschäftigtendatenschutz“ herausgegeben. Da Bundesjustizminister Marco Buschmann (FDP) die Einführung des Hinweisgeberschutzgesetzes vorantreibt und mit einer Verabschiedung nach der Sommer-Parlamentspause zu rechnen ist, sollten sich Unternehmen aktuell damit auseinandersetzen.

Das Hinweisgeberschutzgesetz schützt Menschen, die in der Ausübung ihrer beruflichen Tätigkeit über Verstöße in ihrer Organisation erfahren und darüber interne oder auch externe Stellen informieren. Gemäß dem neuen Gesetz, mit dem eine EU-Richtlinie in Deutschland umgesetzt wird, sind alle Formen von Repressalien oder Vergeltungsmaßnahmen, die sich gegen den sogenannten Whistleblower richten, verboten.

Einen Haken gibt es allerdings insofern, dass die DSGVO in Artikel 14 vorschreibt, dass Unternehmen die Betroffenen – also die Menschen, gegen deren Verhalten sich die Whistleblower-Meldung richtet – informieren müssen, wenn deren personenbezogene Daten erhoben oder verarbeitet werden. Mit anderen Worten: Geht eine Meldung über Beschäftigte ein, müssen sie darüber informiert werden. Das bedeutet aber zugleich, dass der Name des Hinweisgebers dadurch publik würde.

Um zu verhindern, dass das Werkzeug des Whistleblowings zur Verhinderung von Missständen in Unternehmen nicht oder weniger genutzt wird, müssen Unternehmen entsprechende Vorkehrungen treffen:

  • Zunächst müssen Hinweisgeber ganz deutlich auf die mögliche Einschränkung der Vertraulichkeit hingewiesen werden, wenn sie ihre Angaben nicht anonym machen wollen.
  • Die Datenschutzbehörden raten außerdem zur Einführung digitaler Whistleblower-Systemen in Unternehmen, über die die Hinweise auch anonym abgegeben werden können. Wünschen Beschuldigte Auskunft über die erfassten personenbezogenen Daten, bleibt die Identität des Hinweisgebers geschützt.

Wichtig ist, dass das Whistleblower-System in Unternehmen für alle Beteiligten transparent ist und Schutz für alle bietet – zum einen für den Hinweisgeber, zum anderen aber auch für die personenbezogenen Daten dessen, der eines Fehlverhaltens beschuldigt wird.