Am 18.11.2020 veranstaltete SKW Schwarz in Zusammenarbeit mit dem Hinweisgebersystem WhistleB ein Webinar zum Thema Hinweisgeber-/Whistleblowingsystem – Die Frist zur Umsetzung läuft.


Was können Unternehmen jetzt schon tun?

Aus datenschutzrechtlicher Sicht bestehen neben der Notwendigkeit einer Rechtsgrundlage für die Verarbeitung personenbezogener Daten auch weitere Anforderungen, wie bspw. die Einhaltung der Datensicherheit, das Erstellen von Informationen über die Datenverarbeitung sowie das Ausarbeiten von Löschkonzepten.

Aus arbeitsrechtlicher Sicht sind insbesondere die Beteiligung des Betriebsrats und die prozessuale Verwertbarkeit zu berücksichtigen. Auch die Sanktionierung von (unbekanntem) Fehlverhalten muss diskutiert werden.

Vor diesem Hintergund ist zu empfehlen, dass sich Unternehmen mit dem Treffen von Grundentscheidungen für die Ausgestaltung des Meldesystems beschäftigen. Dazu gehören u.a.:

  • Wer soll melden können (Arbeitnehmer, Kunden, Lieferanten)?
  • Wer soll über Meldungen informiert werden (Meldekette im Unternehmen, Einschaltung Ombudsmann)?
  • ordnungsgemäße Auswahl des Dienstleisters mit Abschluss Vertrag zur Auftragsverarbeitung mit Berücksichtigung internationaler Datentransfer bei Cloud-Anbietern in Drittländern (z.B. USA)
  • Durchführung Datenschutz-Folgenabschätzung
  • Aufnahme Meldesystem in das Verarbeitungsverzeichnis

Alle Themen sind immer mit dem Betriebsrat und den Arbeitnehmern abzustimmen.

Daneben sollte auch die technische Ausgestaltung des Hinweisgebersystems abgestimmt werden. Dazu gehört vor allem die Klärung folgender Fragen:

  • Externer Anbieter oder interne Lösung?
  • Cloudbasierter Online-Dienst (Software-as-a-Service) oder Video-Konferenz-Software auf eigenen Servern (On-Premises)

FAQs: Häufige Fragen unserer Teilnehmer

Allgemeines zur Whistleblowing-Richtlinie

Sind eingetragene Vereine und Verbände als Unternehmen im Sinne der Richtlinie zu betrachten und fallen in den Anwendungsbereich?

Ja, auch hier greift der Anwendungsbereich der Richtlinie.

Datenschutz

Wie ist die Situation, wenn ich als Auftragsverarbeiter von einem Whistleblower Hinweise bekomme: Welche Informationen = Daten darf/muss ich dem Verantwortlichen mitteilen? Zu welchem Zeitpunkt? Wie abgesichert müssen die Indizien sein?

Wir gehen davon aus, dass sich die Frage auf einen Hinweis bezieht, welcher Verstöße beim Auftraggeber betrifft. Grundsätzlich ist in einem solchen Fall der Auftragsverarbeiter entsprechend der Richtlinie nicht verpflichtet, Whistleblower Hinweisen nachzugehen, da nur eigene Verstöße „verfolgt“ und „aufgeklärt“ werden müssen. Allerdings kann sich aus dem Auftragsverarbeitungsvertrag eine solche Pflicht oder zumindest Obliegenheit ableiten lassen, dass Hinweise zumindest an den Auftraggeber weiterzuleiten. Je nach Ausgestaltung des Hinweisgebersystems des Auftraggebers können Personen, die unter der Aufsicht oder Leitung von Auftragnehmern arbeiten, den Verstoß direkt an den Auftraggeber geben. Da hier aber eine Einzelfallprüfung zu empfehlen ist, sollte in jedem Fall der Datenschutzbeauftragte kontaktiert werden.

Hinweise, welche eigene Verstöße des Auftraggebers betreffen, sind von diesem unabhängig vom Auftragsverarbeitungsverhältnis entsprechend der Richtlinie zu verfolgen.

Wie ist die Vorgehensweise, wenn der Whistleblower anonym bleiben möchte?

Die Meldung über WhistleB erfolgt anonym.

Zum Thema USA: könnte man nicht ggfs. Daten auf der Grundlage von Art. 49 (1) (d) (wichtige Gründe des öffentlichen Interesses) und (e) (Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen) stützen? Derartige Situationen treten ja nicht regelmäßig auf, so dass dies auch nach Auffassung des EDPB zulässig sein sollte.

Dies kann in bestimmten Fällen sicherlich eine mögliche Lösung sein, auf die Rechtsprechung des EuGH (Schrems II) zu reagieren. Da bisher aber nur die Richtlinie existiert und noch kein Umsetzungsgesetzt vorliegt, sollte man auch mit der abschließenden Begründung für eine rechtmäßige Datenübertragung warten.

Was für Teams gilt, gilt doch auch für die azure cloud: Ein Zugriff durch Drittstatten und insbesondere durch die USA kann nicht ausgeschlossen werden?

Der 3rd Level Support wird kaum zu verhindern sein, dann muss allerdings die Verschlüsselung greifen.

Ist es denn in Anbetracht von Schrems II ausreichend, dass für die Azure Cloud die Daten in der EU gespeichert werden?

Die Wahl der Location ist auf jeden Fall hilfreich, aber wie beschrieben bieten alle Cloud Systeme zumindest Support Zugriff aus den USA. Dafür ist wieder die Verschlüsselung und Anonymisierung wichtig.

Aktueller Hinweis zum internationalen Datentransfer / Schrems II:

Arbeitsrecht

Wie ist denn die Empfehlung, wenn es um die Aufarbeitung von Fällen geht, wenn kein BR vorhanden ist. Es muss ja nach innen auch glaubhaft vermittelt werden können, dass man sich wirklich den Themen angenommen hat.

Sofern der Hinweisgeber das eingesetzte Tool (wie z.B. dasjenige von WhistleB) nutzt, dann erhält er zwangsläufig davon Kenntnis, ob seiner Meldung nachgegangen worden ist, da der Arbeitgeber über dieses Tool antworten wird. Zudem schreibt die Richtlinie vor – und wir gehen jetzt einmal davon aus, dass Entsprechendes im Umsetzungsgesetz aufgenommen wird -, dass der Arbeitgeber spätestens drei Monate nach Eingang der Meldung reagieren muss. Reagiert nun niemand auf die Meldung des Hinweisgebers, dann hat er berechtigten Anlass zur Vermutung, dass dem nicht nachgegangen wird – und er kann sich dann berechtigt an noch einzurichtende staatliche Hinweisgeberstellen wenden. Um die generelle Funktionsfähigkeit zu testen, kann vor Live-Schaltung der Plattform eine Testphase gestartet werden, in der unkritische Nachrichten versendet werden können – welche selbstredend vom Unternehmen beantwortet werden sollen, um den Beschäftigten die Funktionsfähigkeit der Plattform zu demonstrieren

Sofern ein Betriebsrat vorhanden ist, sollte ich dann zeitnah die Verhandlungen über eine Betriebsvereinbarung aufnehmen?

Noch besteht keine rechtliche Verpflichtung – zumindest anlässlich der Hinweisgeberrichtlinie -, ein Hinweisgebersystem zu implementieren, weswegen eine gewisse ruhige Herangehensweise gegenüber dem Betriebsrat empfehlenswert ist. Gleichwohl sollte schon die Nachricht an den Betriebsrat und die Belegschaft gehen, dass man sich als Arbeitgeber dem Schutz von Hinweisgebern verschreiben wird und zur Sicherung der Integrität des Unternehmens entsprechende Instrumente mit dem Betriebsrat im Kalenderjahr 2021 vereinbaren wird.

Fragen an WhistleB

Es werden also unmittelbar keine personenbezogenen Daten erhoben. Wie sieht es mit personenbeziehbaren Daten aus (IP, GeoLoc, etc)?

Die Meldung kann absolut anonym erfolgen, sodass auch keine IP Adresse oder ähnliches verarbeitet wird.

Für weitere Fragen stehen Ihnen unsere Expertinnen und Experten gerne zur Verfügung. Kontaktieren Sie uns gerne! Wir freuen uns auf den Austausch mit Ihnen.

Alle Informationen zu WhistleB finden Sie auf der Website des Unternehmens. Bei Rückfragen wenden Sie sich gerne an Jan Tadeusz Stappers, LL.M., PgDip, CIPP/E, [email protected] oder Tim-Bendix Tondar, [email protected].

More from SKW Schwarz