In Deutschland wird der Begriff „Whistleblowing“ oft einseitig interpretiert und ausschließlich mit Plattformen, wie z.B. Wikileaks, in Verbindung gebracht. Tatsächlich steckt hinter dem Begriff jedoch viel mehr, nämlich ein wirkungsvolles Meldesystem, das Unternehmen bei der Bekämpfung von Verstößen gegen Menschenrechte oder Korruption unterstützt. Im Übrigen gibt es Unternehmen, die aufgrund von Kapitalmarktbestimmungen dazu gezwungen sind, eigene Meldesysteme dieser Art zu unterhalten.

Die Umsetzung gilt jedoch – insbesondere in Deutschland – als äußerst anspruchsvoll, da im Hinblick auf den Datenschutz mehrere Stolpersteine existieren. Die rechtssichere Einführung einer Whistleblowing Plattform bedarf daher einer gründlichen Vorbereitung.

Definition Whistleblowing

Im internationalen Umfeld wurde das Whistleblowing vor allem aufgrund des Erfolgs von Wikileaks bekannt. Die Webplattform gestattet es allen Menschen, größere Fehlverstöße in Politik oder Wirtschaft anonym anzuprangern und damit in Verbindung stehende Beweise einzureichen.

Whistleblowing Systeme in Unternehmen basieren letztlich auf demselben Prinzip. Mitarbeitern und Außenstehenden wird die Möglichkeit eingeräumt, Verstöße zu melden, die beispielsweise von Kollegen, Vorgesetzten, Lieferanten etc. begangen wurden. Konkret zu melden sind Straftatbestände gegen die jeweilige Organisation, Verstößen gegen Menschenrechte sowie andere Verstöße, die mit Kultur oder Philosophie der Organisation nicht zu vereinbaren sind.

Sinn und Zweck einer solchen Plattform besteht darin, den gemeldeten Verstößen gewissenhaft nachzugehen, um sie anschließend zu unterbinden. In zahlreichen Unternehmen haben sich Whistleblowing Plattformen als wirksames Mittel erwiesen, um Benachteiligung, Bestechung, Vetternwirtschaft etc. zu unterbinden.

Wie einleitend angedeutet wurde, gibt es Unternehmen, die zur Einführung eigener Whistleblowing Plattformen verpflichtet sind. Dies trifft insbesondere für Unternehmen zu, die an US-Börsen gelistet sind – die Grundlage dafür bildet der Sarbanes-Oxley Act. Somit kann das Thema Whistleblowing auch für Unternehmen in Deutschland, weil sie beispielsweise ein Börsen-Listing in den USA anstreben oder sie eine Tochtergesellschaft eines US-Konzerns sind, von Bedeutung sein.

Was hat der Datenschutz mit Whistleblowing zu tun?

Auf den ersten Blick scheint das Whistleblowing eine sinnvolle Maßnahme zu sein. Dennoch ist die Einführung im Unternehmen nicht auf die leichte Schulter zu nehmen. Grund dafür ist die zwangsläufig stattfindende Übermittlung personenbezogener Daten. Zumal es sich dabei um Informationen handelt, die den Beschuldigten großen Schaden zufügen können.

Im Hinblick auf den Datenschutz gelten diese Eigenschaften als kritisch. Sensible Daten dürfen nicht ohne detaillierte Berücksichtigung der Rechtsgrundlage berücksichtigt werden. Im Rahmen der Entwicklung des Systems sind zahlreiche Vorschriften zu beachten. Ergänzend können Konstellationen auftreten, die die Gewährleistung des Datenschutzes zusätzlich erschweren.

Da wäre zunächst der Konzerndatenschutz. Womöglich erfolgt der Austausch von Whistleblowing Daten über die Grenzen einzelner Konzernunternehmen hinweg. Je nach Unternehmen ist es ebenso denkbar, dass der Datentransfer über Landesgrenzen hinweg erfolgt – womöglich sogar in Drittländer. Gerade in solchen Umfeldern sind komplexe rechtliche Zusammenhänge zu berücksichtigen, damit weder Bußgelder noch andere Konsequenzen drohen.

Außerdem ist zu berücksichtigen, dass die Mitteilung von Verstößen anonym erfolgen kann. Dieses Konzept verstößt wiederum gegen das Transparenzgebot. Die Aufklärung von Sachverhalten wird unter Umständen zusätzlich erschwert, weil aufgrund der anonymen Einreichung keine Möglichkeit besteht, Rückfragen an den Whistleblower zu stellen.

Ein anspruchsvolles Thema

Mitarbeiter, die ein Whistlesblowing System fit für den Datenschutz machen sollen, stellen meist nach kurzer Zeit fest, dass der gegebene Spielraum für ein Datenschutzkonzept überraschend klein ist. Es gibt nur wenige Rechtsgrundlagen, die eine sichere Umsetzung gestatten, wie beispielsweise § 28 BDSG, der solch eine Maßnahme rechtfertigt, um ausgewählte Verhaltensverstöße zu verhindern. Außerdem lässt sich die Option in Betracht ziehen, eine wirksame Betriebsvereinbarung zu treffen.

Was kann ein externer Datenschutzbeauftragter tun?

Vielen Unternehmen ist nicht bekannt, dass die Einführung einer Whsitleblowing Plattform eine Vorabkontrolle durch den Datenschutzbeauftragten erfordert. Im Allgemeinen empfiehlt es sich, den Datenschutzbeauftragten von Beginn an in den Planungsprozess einzubeziehen, damit auf diesem Weg ein System entsteht, dass eine angemessene Rechtssicherheit verspricht. Eine spätere Einbindung ist selbstverständlich ebenfalls möglich, jedoch ist es dann unter Umständen erforderlich, erhebliche Anpassungen vorzunehmen.

Sollte sich das erforderliche Knowhow nicht im eigenen Haus befinden, besteht die Möglichkeit, einen externen Datenschutzbeauftragten zu bestellen oder alternativ einen erfahrenen Berater zu engagieren, der das Unternehmen mit seinem Fachwissen gezielt unterstützt.

Wenn auch Sie ein Whistleblowing System installieren möchten und deswegen Fragen rund um den Datenschutz haben, sind Sie bei uns genau richtig. Wir freuen uns auf Ihre Anfrage.