Lexis Briefings
Lexis Briefings Wirtschaftsrecht
vorheriges Dokument
nächstes Dokument

Hinweisgeberschutz – datenschutzrechtliche Aspekte

UnternehmensrechtAllgemeines UnternehmensrechtTerceroAugust 2023

Im Rahmen von Hinweisgebersystemen werden regelmäßig personenbezogene Daten verarbeitet. Bei der Errichtung der Meldestelle, bei der Hinweisgebung, beim Umgang mit Meldungen und beim Setzen von Folgemaßnahmen sind daher maßgebliche datenschutzrechtliche Bestimmungen beachten. 

Einleitung

Die Vertraulichkeit der Hinweisgebung und der Schutz der Identität von Hinweisgeber:innen sind zentrale Elemente des HinweisgeberInnenschutzgesetzes (HSchG). Auch die Identität der in Hinweisen genannten Personen ist zu schützen. Dies insb im Hinblick darauf, dass sich Vorwürfe als unzutreffend erweisen könnten.

Rechtsgrundlagen

Detaillierte Regeln zum Datenschutz im Rahmen des Hinweisgeber:innenschutzes finden sich in § 8 HSchG.

Zudem unterliegt die Verarbeitung personenbezogener Daten im Rahmen eines Meldesystems grds den Bestimmungen der DSGVO und des DSG. 

Personenbezogene Daten

Melden Hinweisgeber:innen Hinweise im Sinne des HSchG an eine interne oder externe Meldestelle oder machen sie diese öffentlich zugänglich, so übermitteln bzw veröffentlichen sie damit idR zumindest Informationen über sich selbst (es sei denn, sie handeln anonym) sowie über die Person, die eine Rechtsverletzung begangen haben soll.

Handelt es sich dabei um Informationen über eine natürliche Person, die identifizierbar ist, liegen personenbezogene Daten iSd Art 4 Z 1 DSGVO vor.

Beispiel

In einem Finanzunternehmen arbeiten die zwei langjährigen Angestellten Anna und Benjamin in der Abteilung für Kund:innenbetreuung. An die interne Meldestelle wird eine anonyme E-Mail gesendet, in der behauptet wird, dass Benjamin vertrauliche Kund:innendaten rechtswidrig verkauft haben soll. Obwohl die hinweisgebende Person ihren Namen nicht angegeben hat, deuten die detaillierten Informationen darauf hin, dass es sich dabei nur um Anna handeln kann. Damit ist die Hinweisgeberin identifizierbar.

Besondere Kategorien personenbezogener Daten

Wird mit einem Hinweis ein konkret begründeter Verdacht gegen eine bestimmte Person gemeldet, ist nach hA Art 10 DSGVO über strafrechtlich relevante Daten zu beachten.11Vgl Feiler/Forgó, EU-DSGVO und DSG2 Art 10 Rz 1 (2022). Diese Daten dürfen nur unter behördlicher Aufsicht oder aufgrund eines gesetzlichen Erlaubnistatbestandes verarbeitet werden.

Außerdem kann ein Hinweis uU auch folgende Daten über Betroffene enthalten:

  • ethnische Herkunft,
  • politische Meinungen,
  • religiöse oder weltanschauliche Überzeugungen,
  • Gewerkschaftszugehörigkeit,
  • genetische oder biometrische Daten,
  • Gesundheitsdaten oder
  • Daten zum Sexualleben oder der sexuellen Orientierung.

Dabei handelt es sich um besondere Kategorien personenbezogener Daten, deren Verarbeitung den strengen Voraussetzungen des Art 9 DSGVO unterliegt.

Betroffene Personen

Von einer Verarbeitung im Rahmen der Hinweisgebung sind idR insb personenbezogene Daten von folgenden Personen betroffen:

  • Hinweisgeber:in,
  • von der Hinweisgebung betroffene Personen (Verdächtige),
  • weitere im Hinweis genannte Personen (zB Zeugen),
  • von Folgemaßnahmen betroffene Personen.

Rechtmäßigkeit der Datenverarbeitung

Die Datenverarbeitung im Rahmen eines Hinweisgebersystems im Sinne des HSchG ist gerechtfertigt, weil sie zur Wahrnehmung einer Aufgabe im öffentlichen Interesse, nämlich der Verhinderung und Ahndung von Rechtsverletzungen, erforderlich ist (Art 6 Abs 1 lit e , Art 9 Abs 2 lit f und g und Art 10 DSGVO ).22So ausdrücklich die DS-FA des HSchG , AB 1921 BlgNR XXVII. GP  25. Auch der Rechtfertigungsgrund des Art 6 Abs 1 lit c DSGVO (Erfüllung einer rechtlichen Verpflichtung) wird in der Lehre vertreten.33Statt vieler Pollirer, Checkliste Whistleblowing gemäß HSchG, DaKo 2023, 38 (39); Feiler/Rieken/Romandy, Kapitel 3: Datenschutzkonforme Gestaltung von Hinweisgebersystemen, in Petsche (Hrsg), Whistleblowing & Internal Investigations – Praxiskommentar zur Whistleblowing-Richtlinie (2021) 188 (196 f).

Die rechtliche Grundlage findet sich in § 8 Abs 3 HSchG.

Ermöglicht eine Meldestelle über das HSchG hinausgehende Hinweise (etwa indem weitere Rechtsbereiche erfasst werden), kann sich das Unternehmen uU auf berechtigte Interessen (Art 6 Abs 1 lit f DSGVO ), nämlich das Interesse an der Verhinderung von Fehlverhalten, stützen. In diesem Fall ist aber eine Interessenabwägung notwendig.44Auf diesem Rechtfertigungsgrund basierte auch die Spruchpraxis der Datenschutzbehörde vor Inkrafttreten des HSchG. Vgl ua Feiler/Rieken/Romandy in Petsche, Whistleblowing & Internal Investigations 188 (197 f); Feiler/Forstner, Schutz für Whistleblower mit Fallstricken, Die Presse, 12. 2. 2023; Pollirer, DaKo 2023, 38 (39). Zur Interessenabwägung s auch Datenschutzkonferenz, Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines (2018) 5 .

Umfang der Datenverarbeitung

Es dürfen nur personenbezogene Daten verarbeitet werden, die zur Feststellung und Ahndung einer Rechtsverletzung benötigt werden. Andernfalls dürfen sie nicht erhoben werden bzw sind sofort zu löschen.

Verarbeitende Person bzw Stelle

Umfang

Hinweisgeber:in

Daten, die für den Hinweis benötigt werden

Interne und externe Stellen

Daten, die ihnen von Hinweisgeber:innen übermittelt wurden

Behörden

Daten, die infolge eines Hinweises an sie übermittelt wurden, sofern diese für weitere Ermittlungen oder Verfahren benötigt werden

Praxistipp

Interne Meldestellen sollten Hinweisgeber:innen vor Erstattung einer Meldung darauf hinweisen, dass nur für den Hinweis benötigte personenbezogene Daten übermittelt werden dürfen.

Besondere Kategorien personenbezogener Daten iSd Art 9 DSGVO unterliegen strengeren Vorschriften. Sie dürfen im Rahmen einer Hinweisgebung nur verarbeitet werden, wenn

  • dies zur Erreichung der Zwecke des HSchG unbedingt erforderlich ist,
  • ein erhebliches öffentliche Interesse an der Verarbeitung besteht und
  • wirksame Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Personen getroffen werden.

Datenschutzkonforme Errichtung der Meldestellen

Datenschutz-Folgenabschätzung

Kommt es im Rahmen einer Meldestelle zu einer umfangreichen Verarbeitung strafrechtlich relevanter Daten und/oder besonderer Kategorien personenbezogener Daten, ist grds vor Errichtung des Meldekanals eine Datenschutz-Folgenabschätzung (DS-FA) durchzuführen.

Während des Gesetzgebungsverfahrens erfolgte bereits eine abstrakte DS-FA,55AB 1921 BlgNR XXVII. GP  23 ff. weshalb eine konkrete DS-FA für einzelne Verarbeitungstätigkeiten entfallen kann (§ 8 Abs 13 HSchG; Art 35 Abs 10 DSGVO ). Dies reduziert den bürokratischen Aufwand bei der Errichtung der internen Meldestellen.

Ausnahme: Eine DS-FA kann jedoch erforderlich sein, wenn die Datenverarbeitung über das gesetzlich geforderte Maß hinausgeht, etwa, wenn Rechtsverletzungen in Bereichen gemeldet werden können, die nicht im HSchG erfasst sind. 66Škorjanc, Wann ist eine Datenschutz-Folgenabschätzung durchzuführen? jusIT 2018, 143 (144); Feiler/Forstner, Die Presse, 12. 2. 2023.

Um festzustellen, ob eine DS-FA zu erstellen ist, kann zuvor eine sog Schwellenwertanalyse durchgeführt werden. Dabei wird das Ausmaß geprüft, in dem die Rechte und Freiheiten der Betroffenen gefährdet sind.77Škorjanc, jusIT 2018, 143 (144).

Praxistipp

Eine Schwellenwertanalyse kann sinnvoll sein, wenn Meldekanäle bereits vor Inkrafttreten des HSchG errichtet wurden.

Verzeichnis von Verarbeitungstätigkeiten

Die Datenverarbeitung ist grds im schriftlich zu führenden Verzeichnis der Verarbeitungstätigkeiten anzugeben (Art 30 DSGVO ). Dabei empfiehlt es sich, auch die Rechtsgrundlage anzugeben, aufgrund derer die Datenverarbeitung gerechtfertigt ist.88Feiler/Rieken/Romandy in Petsche, Whistleblowing & Internal Investigations 188 (192). 

Hinweis

Erfolgt im Rahmen des Meldesystems eine Verarbeitung strafrechtlich relevanter personenbezogener Daten, greift die Ausnahme für Unternehmen mit weniger als 250 Mitarbeitern nicht (Art 30 Abs 5 DSGVO ).

Auftragsverarbeitervereinbarung

Wird ein externer IT-Dienstleister für den Betrieb des Meldekanals herangezogen, kommt diesem idR die Rolle eines Auftragsverarbeiters zu.99Zur Abgrenzung, ob ein beauftragtes Unternehmen als Auftragsverarbeiter oder als Verantwortlicher auftritt, s etwa Rüdiger/Adelberg, Datenschutzrechtliche Herausforderungen des neuen Hinweisgeberschutzgesetzes, KuR 2023, 172 (173 ff). In diesem Fall ist der Abschluss eines schriftlichen Auftragsverarbeitungsvertrags erforderlich (Art 28 DSGVO ).

Wird ein Dritter mit der Führung des Meldesystems beauftragt und trifft dieser eigenständig Entscheidungen über Zwecke und Mittel der Datenverarbeitung, so ist dieser datenschutzrechtlich Verantwortlicher und es bedarf einer gesonderten Rechtsgrundlage für die Datenübermittlung.

Vereinbarung über gemeinsame Verantwortlichkeit

Soweit Verantwortliche zusammen ein Hinweisgebersystem betreiben (zB ein Konzernmeldesystem), sind sie gemeinsam Verantwortliche und müssen eine Vereinbarung gem Art 26 DSGVO abschließen.

Datentransfer in Drittländer

Insb im Rahmen von Konzernmeldesystemen kann es zu einer Übermittlung personenbezogener Daten in Drittländer (dh außerhalb der EU) kommen. In diesem Fall sind die Bestimmungen des Kapitels V der DSGVO über den internationalen Datentransfer zu beachten.

Datenschutzkonforme Gestaltung des Meldesystems

Um den Schutz personenbezogener Daten in der Praxis zu gewährleisten, müssen Unternehmen und juristische Personen des öffentlichen Sektors, die einen Meldekanal einrichten, als Verantwortliche (Art 4 Z 7 DSGVO ) grundlegende Prinzipien einhalten und gewisse Maßnahmen ergreifen, die sich aus der DSGVO und dem HSchG ergeben:1010Vgl ua Feiler/Rieken/Romandy in Petsche, Whistleblowing & Internal Investigations 188 (210 f) mwN.

  • TOMs: Es sind geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu treffen (zB Verschlüsselung; Passwortregeln). Die Einrichtung des Hinweisgebersystems (Soft- und Hardware) muss dem aktuellen Stand der Technik entsprechen. Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sind (auch bei technischen Zwischenfällen) dauerhaft sicherzustellen.
  • Datenschutzfreundliche Voreinstellungen: Das System ist standardmäßig so zu konfigurieren, dass der Schutz personenbezogener Daten bei der Nutzung gewährleistet ist.
  • Zugriff: Der Zugriff muss auf Mitarbeiter:innen beschränkt sein, die für die Bearbeitung des Hinweises zuständig sind. Dafür bedarf es eines effektiven Berechtigungskonzepts.
  • Datenminimierung:  Es ist sicherzustellen, dass nur personenbezogene Daten verarbeitet werden, die für den Verarbeitungszweck notwendig sind. Offensichtlich nicht benötigte personenbezogene Daten sind sofort zu löschen.
  • Protokollierung: Der Zugang zum System ist lückenlos zu protokollieren, um eine umfassende Nachvollziehbarkeit und Transparenz zu gewährleisten.
  • Kontrolle: Die Wirksamkeit der getroffenen Maßnahmen ist regelmäßig zu überprüfen.

Datenschutzkonformer Umgang mit Meldungen

Zugriffsrechte

Der Zugriff auf gemeldete Hinweise erfolgt nach dem Need-to-know-Prinzip. Dh, dass der Zugang zum System so zu beschränken ist, dass die gespeicherten Daten nur den Mitarbeiter:innen zugänglich sind, die diese zur Bearbeitung des Hinweises benötigen.

Änderungen, Abfragen und Übermittlungen sind zu protokollieren. Nur so kann im Nachhinein nachvollzogen werden, wer auf welche Daten zugegriffen hat und zu welchem Zweck.

Aufbewahrungs- und Löschpflichten

Die Aufbewahrungsfrist nach dem HSchG (insb von Hinweisen) beträgt fünf Jahre ab der letzten Verarbeitung oder Übermittlung.

Darüber hinaus sind personenbezogene Daten so lange aufzubewahren, als es zur Durchführung bereits eingeleiteter verwaltungsbehördlicher oder gerichtlicher Verfahren oder eines Ermittlungsverfahrens nach der StPO erforderlich ist. Danach sind sie zu löschen.

Protokolldaten: Diese sind weitere drei Jahre nach Entfall der Aufbewahrungsfrist aufzubewahren.

Personenbezogene Daten, die für die Bearbeitung eines Hinweises nicht benötigt werden, sind unverzüglich zu löschen.

Praxistipp

Anstelle einer Löschung können die Daten anonymisiert werden. In diesem Fall greift die DSGVO nicht mehr.

Betroffenenrechte

Grundsätzlich haben Betroffene gem Art 12–21 DSGVO folgende Rechte:

  • Informationsrecht
  • Auskunftsrecht
  • Recht auf Berichtigung
  • Recht auf Löschung
  • Recht auf Einschränkung der Verarbeitung
  • Recht auf Datenübertragbarkeit
  • Widerspruchsrecht
  • Recht auf Benachrichtigung nach einem Data Breach
Einschränkung der Betroffenenrechte

Die datenschutzrechtlichen Ansprüche der von einem Hinweis betroffenen Person (dh der oder die Beschuldigte) sind zum Zweck der Ermittlungen und des Hinweisgeberschutzes jedoch eingeschränkt: Soweit und solange es für den Hinweisgeberschutz und für das Erreichen der Zwecke des HSchG  erforderlich ist, sind die Betroffenenrechte (insb die Informations- und Auskunftsrechte) ausgesetzt (§ 8 Abs 9 HSchG). Damit sollen Versuche der Verhinderung, Unterlaufung oder Verschleppung von Hinweisen oder von Folgemaßnahmen unterbunden werden.1111S zur Thematik ua Brunner/Nagel, Whistleblowing – Sicherstellung des Hinweisgeberschutzes im Lichte der DSGVO, Dako 2020, 32; Paal/Nikol, Zur Identifizierung von Hinweisgebern im Spannungsverhältnis von Hinweisgeberschutzgesetz, Whistleblowing-Richtlinie und Datenschutz-Grundverordnung, CB 2022, 466.  

Die Einschränkung soll insb für die Dauer der Durchführung eines verwaltungsbehördlichen oder gerichtlichen Verfahrens oder eines Ermittlungsverfahrens nach der StPO gelten.

Beispiel

Lisa arbeitet bei der Qualitätsproduktion GmbH und hat den Verdacht, dass sich ihr Vorgesetzter Max bestechen lässt. Sie meldet dies der internen Meldestelle. Diese veranlasst eine Untersuchung. Max erfährt von der Meldung und bittet Lukas, den Mitarbeiter der internen Meldestelle, um Auskunft über den Inhalt der Meldung und die Identität des Hinweisgebers. Wenn die Informationen weitergegeben würden, könnten Folgemaßnahmen gegen Max vereitelt werden. Um dies zu verhindern und die Hinweisgeberin zu schützen, darf Lukas keine Informationen weitergeben.

 

 

 

 



Stichworte