DSGVO/GDPR: Was bei internen Warnsystemen zu beachten ist

Betroffene Personen: Auch die Hinweisgeber

Betrachtet man die Datenverarbeitung bei einem internen Hinweissystem, werden personenbezogene Daten betroffen sein, zum einen von der Person, die gemeldet wird, also von der Person, die einen Verstoß begangen haben soll. Gibt es keine Möglichkeit zur anonymen Meldung von Verstößen, werden aber auch die Daten der Hinweisgeberin beziehungsweise des Hinweisgebers verarbeitet.

In jedem Fall muss zuerst die Rechtsgrundlage für die Datenverarbeitung geklärt werden. Da es sich um Daten von Beschäftigten handelt, sollte insbesondere das neue Bundesdatenschutzgesetz in Verbindung mit Artikel 88 DSGVO beachtet werden. Im neuen BDSG (§ 26) findet man:

„Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.“

Rechtsgrundlagen prüfen, Zweckbindung beachten

Wenn das Unternehmen im Rahmen einer Interessenabwägung zu dem Schluss kommt, dass es berechtigte Interessen gibt, die den schutzwürdigen Interessen der Betroffenen überwiegen, muss gerade die Zweckbindung der Datenverarbeitung im Fokus bleiben.

Bei dem internen Hinweissystem geht es nicht darum, Daten zu sammeln, um eine Mitarbeiterbewertung durchführen zu können, sondern es geht um die Aufdeckung von Straftaten und anderen schwerwiegenden Verstößen.

Datenschutzgrundsätze wie die Speicherbegrenzung und Datenminimierung sind ebenso zu beachten, es dürfen also keine Daten erhoben werden, die für den Zweck des Hinweissystems nicht erforderlich sind. Betroffenenrechte wie die Löschung der Daten nach Zweckerfüllung gelten natürlich ebenfalls bei Whistleblowing-Plattformen.

Personenkreis begrenzen, Sicherheit gewährleisten

Eine Hinweisplattform ist nicht dafür gedacht, einem Generalverdacht gegen die Beschäftigten nachzugehen, sondern es geht um konkrete Fälle, die Zahl der betroffenen Personen muss also so klein wie möglich gehalten werden, entsprechend sollten die Meldungen auf einen definierten Personenkreis begrenzt sein, am besten durch entsprechende Abfragen im Formular bei Meldung eines Vorfalls.

Es versteht sich, dass die Datensicherheit nach Artikel 32 DSGVO bei einem solchen Meldesystem von hoher Wichtigkeit ist, denn weder der Beschuldigte darf zu früh von dem Verdacht erfahren können, noch dürfen Dritte sehen können, dass eine Kollegin oder ein Kollege unter Verdacht steht.

Vorsicht bei den Informationspflichten

Grundsätzlich haben auch die Verdächtigen als betroffene Personen alle Betroffenenrechte, sie müssen also über die Datenverarbeitung informiert werden. Dies kann aber der Untersuchung eines Vorfalls entgegenlaufen.

Die Aufsichtsbehörden stellen deshalb klar: Wenn das Risiko erheblich wäre, dass eine solche Unterrichtung die Fähigkeit des Unternehmens zur wirksamen Untersuchung des Vorwurfs oder zur Sammlung der erforderlichen Beweise gefährden würde, kann die zu erfolgende Information der beschuldigten Person so lange aufgeschoben werden, wie diese Gefahr besteht.

Auch hier wird klar: Datenschutz ist eben kein Täterschutz, doch auch Verdächtige haben einen definierten Anspruch auf den Schutz ihrer personenbezogenen Daten.

An Datenschutz-Folgenabschätzung denken

Offensichtlich kann der Vorwurf, dass ein Beschäftigter gegen Regeln und Gesetze verstoßen hat, schwerwiegende Konsequenzen für den Betroffenen haben. Deshalb ist ein internes Hinweissystem ein Verfahren, für das eine Datenschutz-Folgenabschätzung (Artikel 35 DSGVO) vorzunehmen ist.

Im Ergebnis lässt sich sagen: Eine Whistleblowing-Plattform im Unternehmen lässt sich unter besonderer Berücksichtigung des von dem Unternehmen verfolgten Zwecks datenschutzgerecht gestalten und betreiben. Allerdings müssen die Risiken für die betroffene Person, aber auch die Risiken für das Unternehmen, wenn ein Verdacht nicht verfolgt würde, genau übergewogen und berücksichtigt werden, durch eine hohe Datensicherheit und durch eine Umsetzung der Betroffenenrechte unter Berücksichtigung, dass ein Betroffener, der verdächtigt wird, zwar informiert werden muss, aber eine Beweissicherung möglich bleiben muss.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!