Experten Talk: "Whistleblowing und Datenschutz - geht das?"

  • von

Von der Einführung eines Hinweisgebersystems und den Fragen zum Thema Datenschutz (DSGVO)

Im Dezember 2021 hat innerhalb der EU die jeweilige nationalgesetzliche Umsetzung der Whistleblowing-Richtlinie („EU-Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden.“) zu erfolgen. Hierdurch werden in erster Linie Unternehmen mit mehr als 250 Mitarbeitern und Gemeinden mit mehr als 10.000 Einwohnern zur Einführung eines richtlinienkonformen Hinweisgebersystems verpflichtet. Im Jahr 2023 trifft diese Verpflichtung sodann auch Unternehmen mit mehr als 50 Mitarbeitern.

 

Die Richtlinie gilt dem Schutz von Personen, die Verstöße gegen das Unionsrecht melden und verbietet Nachteile zu Ungunsten der Melder. Zahlreiche Beratungen und Gespräche bei Unternehmen zeigen, dass „Unionsrecht“ als solches keinesfalls fremd, sondern seit Inkrafttreten der DSGVO, unmittelbar sicht- und spürbar geworden ist.

Vor allem das Thema „Datenschutz“ zeigt die Sensibilität in Bezug auf Vorgaben der EU und wird dieses daher als Paradebeispiel des „Unionsrechts“ genannt. Tatsächlich spielt Datenschutz jedoch nicht nur als Vorfalls-Kategorie (festgestelltes Fehlverhalten im Zusammenhang mit Datenschutz) eine Rolle.

Die DSGVO (mitsamt all ihrer mitgeltenden Bestimmungen) gilt auch als erforderliche Begleitnorm bei der Einführung von Hinweisgebersystemen und bei der Verarbeitung von personenbezogenen Daten. Aus diesem Grund führten Herr Mag. Martin Reichetseder und Herr Mag. Robert Reitmann ein spannendes Gespräch zu diesem Thema.

 

Viele Unternehmen waren bei Inkrafttreten der DSGVO überfordert und wussten nicht, ob und wie datenschutzrechtliche Maßnahmen umzusetzen sind. Erleiden Unternehmen im Dezember 2021 bzw. im Jahr 2022 ein Déjà-vu? Wie konkret ist die Whistleblowing-Richtlinie in Bezug auf Maßnahmen und die Ausgestaltung eines Hinweisgebersystems bzw. eines Hinweisgeberkanals?

REICHETSEDER: Angst vor der Whistleblowing-Richtlinie ist völlig unbegründet. Vielmehr sollten Unternehmen dem Thema offen gegenüberstehen und Whistleblowing als Chance verstehen. Das sei einmal vorausgeschickt.

Grundsätzlich bietet die Richtlinie eine gute Anleitung zur Implementierung erforderlicher Maßnahmen und ist meines Erachtens konkret und ausreichend klar formuliert. Die Whistleblowing-Richtlinie führt in Art. 9 explizit aus, wie ein richtlinienkonformes Hinweisgebersystem in seiner Gesamtheit ausgestaltet sein muss, um dem erforderlichen Schutzniveau zu entsprechen.

Tatsächlich spricht die Richtlinie – und das ist meines Erachtens völlig richtig – nicht bloß von der Pflicht zur Einführung eines Meldekanals, sondern definiert neben den technischen Anforderungen an einen solchen auch den einzuhaltenden Prozess. Ein Hinweisgebersystem muss (technisch) eine schriftliche, mündliche und/oder persönliche Meldung ermöglichen (ob eine anonyme Meldung schutzwürdig ist, obliegt den nationalgesetzlichen Umsetzungen) und muss prozesstechnisch eine vertrauliche/vertrauenswürdige Bearbeitung innerhalb vorgegebener Fristen ermöglichen. Innerhalb von 7 Tagen ist der Erhalt der Meldung zu bestätigen und innerhalb von 3 Monaten muss der Hinweisgeber über gesetzte Maßnahmen aufgrund der Meldung informiert werden. Hierzu ist eine verantwortliche Person zu benennen, wobei eine externe Bearbeitung von Fällen laut Richtlinie eingeräumt wird (siehe hierzu auch Art. 8)

Im Ergebnis beschreibt die Whistleblowing-Richtlinie somit einen wesentlichen Teil eines umfangreicheren Whistleblowing-Management-Systems. Die Anforderungen der Richtlinie entsprechen meines Erachtens daher perfekt den Anforderungen der neu veröffentlichten ISO 37002.

 

Danke. Die Anforderungen an ein Hinweisgebersystem erscheinen somit durchaus übersichtlich und klar. Im Zentrum stehen der Schutz des Melders und die vertrauenswürdige Bearbeitung der erstatteten Meldung. In diesem Zusammenhang geht es also oft um die Verarbeitung personenbezogener Daten. Welche grundsätzlichen Anforderungen stellt die DSGVO an die Verarbeitung von personenbezogenen Daten?

REITMANN: Um personenbezogene Daten über natürliche Personen verarbeiten zu können, bedarf es gemäß der DSGVO einer rechtlichen Befugnis der für die Verarbeitung verantwortlichen Stelle. Hierfür kommen in der Praxis der Einwilligung der betroffenen Person, der Verarbeitung von Daten zur Erfüllung vertraglicher oder vorvertraglicher wie auch rechtlicher Pflichten sowie der Verarbeitung von Daten auf Basis von berechtigten Interessen des Verantwortlichen die größte Bedeutung zu. Für die Verarbeitung sensibler und strafrechtlich relevanter Daten (oft auch Inhalt der Beschreibung eines Fehlverhaltens), bedarf es gemäß Art 9 f DSGVO darüber hinaus gehender besonderer Rechtsgründe für die Verarbeitung.

Eine zentrale Verpflichtung die datenschutzrelevanten Prozesse (egal ob automatisiert oder manuell) strukturiert zu dokumentieren, enthält die DSGVO die Pflicht des Verantwortlichen zur Erstellung eines Verarbeitungsverzeichnisses. Ein derartiges Verzeichnis sollte nicht nur Datenschutzbehörden rasch einen Überblick über datenschutzrelevante Vorgänge bei einem Verantwortlichen verschaffen (wie z.B. der Einrichtung eines Whistleblowing-Verfahrens), sondern soll es insbesondere auch dem Verantwortlichen ermöglichen, mit Überblick und Struktur für den Datenschutz ein gezieltes und risikobasiertes Vorgehen für seine jeweilige Organisation zu wählen. Art 30 DSGVO regelt dabei sämtliche Inhalte für ein Verarbeitungsverzeichnis und für die Dokumentation von relevanten Verarbeitungstätigkeiten.

Ein Grundprinzip der DSGVO ist es weiters, die betroffenen Personen jederzeit in die Lage zu versetzen, einerseits über die Verarbeitung ihrer personenbezogenen Daten im Detail Bescheid zu wissen, anderseits aber auch stets über das Schicksal der eigenen personenbezogenen Daten entscheiden zu können. Die DSGVO normiert dafür in den Art 12 ff DSGVO vielseitige Rechte für Betroffene, die genau dieses Ziel zum Inhalt haben. Bei jedem Verarbeitungsvorgang wie insbesondere der Einrichtung und des Betriebs eines Whistleblowing-Verfahrens gilt es daher umfangreiche Aufklärung- und Informationspflichten des Verantwortlichen zugunsten betroffener Personen zu berücksichtigen.

 

Warum steht Datenschutz nicht im Widerspruch zum Melden von Fehlverhalten? Darf ein Unternehmen personenbezogene Daten im Zusammenhang mit der Meldung von Fehlverhalten einfach so verarbeiten?

REITMANN: Die Meldung eines Fehlverhaltens im Rahmen eines Whistleblowing-Verfahrens hat notwendigerweise die Verarbeitung personenbezogener Daten zur Folge. Mindestens davon betroffen sind einerseits der Melder eines Fehlverhaltens andererseits auch die beschuldigte Person. Es gilt daher auch hier den Grundsatz der Rechtmäßigkeit für die Datenverarbeitung einzuhalten.

Für die Verarbeitung von personenbezogenen Daten kommt mit der Whistleblowing-Richtlinie und deren nationalen Umsetzung die Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen für jene Organisationen in Betracht, für die ein Hinweisgeber-Verfahren nunmehr verpflichtend ist.

In allen anderen Fällen ist das Eindämmen von Fehlverhalten und die Aufklärung und Vermeidung bestimmter Missstände innerhalb der eigenen Organisation jedenfalls als ein berechtigtes Interesse im Sinne des Datenschutzes zu werten, welches eine Datenverarbeitung im Sinne der DSGVO ermöglichen sollte. Es ist davon auszugehen, dass bei gegen Organisationen gerichteten Straftaten oder sonstiger Missstände eine Interessensabwägung regelmäßig zugunsten einer zulässigen Verarbeitung ausfallen wird. Zweifel der Datenschutzkonferenz, dass ein Verstoß gegen nur interne Vorschriften (wie z.B. eine Ethikrichtlinie oder ein Code of Conduct) ein derartiges berechtigtes Interesse möglicherweise nicht ergeben würde, sehe ich persönlich als nicht angebracht. Eine Einwilligung des Betroffenen zur Verarbeitung seiner Daten ist daher im Rahmen des Whistleblowings aus meiner Sicht nicht erforderlich und wäre auch auf Grund möglicherweise fehlender Freiwilligkeit im Arbeitsverhältnis kritisch zu sehen. Lediglich wenn sich der Melder eines Fehlverhaltens selbst im Rahmen der Meldung nicht anonym zu erkennen gibt, wäre eine informierte Einwilligung als Rechtsgrundlage zur Verarbeitung der Daten des Hinweisgebers (!) als Rechtsgrundlage heranzuziehen.

 

Wie sieht das mit besonders risikobehafteten Verarbeitungstätigkeiten aus?

REITMANN: Für besonders risikobehaftete Verarbeitungstätigkeiten enthält die DSGVO die Pflicht zur Durchführung einer strukturierten und dokumentierten Risikobeurteilung. Es handelt sich hierbei um die sogenannte Datenschutzfolgenabschätzung. Es ist aus meiner Sicht ratsam, den Whistleblowing-Prozess nicht nur als eigene Verarbeitungstätigkeit im Verarbeitungsverzeichnis sauber zu dokumentieren, sondern auch unter dem Gesichtspunkt des Risikos für betroffene Personen einer Risikobewertung zu unterziehen. Um für eine Datenschutzfolgenabschätzung (DSFA) eine strukturierte Vorgehensweise zu wählen (insbesondere um die Vorfrage zu klären, ob eine DSFA überhaupt notwendig ist), bietet es sich an, ein softwaregestütztes Tool zum Einsatz zu bringen, welches bereits auf vorhandene Informationen aus dem Verarbeitungsverzeichnis zurückgreifen kann.

Gerade aus dem Blickwinkel des zu behandelnden Risikos und der Sensiblität von diversen Daten ist es meiner Meinung nach auch unumgänglich für das Whistleblowing-Verfahren selbst ein in sich stimmiges und abgesichertes technisches Tool zu verwenden, mit dem das Risiko durch standardisierte Maßnahmen einfacher und besser in den Griff zu bringen ist, als dies auf bei einem Whistleblowing-Verfahren auf „händischem“ Weg jemals möglich wäre.

 

Bei der Verarbeitung von personenbezogenen Daten wird neben dem Verarbeitungsverzeichnis und der Datenschutzfolgenabschätzung auch oft von technischen und organisatorischen Maßnahmen gesprochen. Was ist damit gemeint und gibt es Systeme, die Unternehmen bei der Umsetzung unterstützen?

REITMANN: Bei den technischen und organisatorischen Maßnahmen - kurz TOM genannt - handelt es sich um Schutzmaßnahmen zu Gunsten des Datenschutzes. Es können diese sowohl technischer als auch organisatorischer Natur sein z.B. technische Maßnahmen zur Zutrittskontrolle insbesondere Videoüberwachung oder organisatorische Maßnahmen wie z.B. eine IT-Verhaltens-Richtlinien oder Schulungen zum Datenschutz für Mitarbeiter. Zweck derartiger Maßnahmen ist es stets personenbezogene Daten vor Verlust oder Zugriff von unbefugten Personen zu schützen.

Jeder Verantwortliche hat seine technischen und organisatorischen Maßnahmen zu dokumentieren, auf das jeweilige Risiko der eigenen Datenschutzorganisation hin auszurichten und fortlaufend auf Angemessenheit zu prüfen. Sinnvoll ist es daher auch für die Dokumentation der TOMs ein softwaregestütztes System zu verwenden, welches Vorlagen und Beispiele liefert, die auf einfache und strukturierte Weise an die jeweiligen Gegebenheiten des Verantwortlichen (spezifische Verarbeitungstätigkeiten) angepasst und ergänzt werden können. Bei der Durchführung einer Datenschutzfolgenabschätzung sollte auch auf die Liste der „hauseigenen“ TOMs als risikominimierende oder -verhindernde Maßnahmen zugegriffen werden können.

Mit der Softwarelösung Privacy von DataReporter, können alle Teildisziplinen der DSGVO, wie die oben erwähnten VdV, TOMs, DSFA im Handumdrehen auf einer Plattform umgesetzt werden.

 

Art 8 der Whistleblowing-Richtlinie sieht in Bezug auf die Ausgestaltung eines richtlinienkonformen Hinweisgebersystems scheinbar auch technische und organisatorische Maßnahmen vor. Geben sich hier Datenschutz und Hinweisgeberschutz die Hand? Lässt sich das grundsätzliche Prinzip „technischer und organisatorischer Maßnahmen“ somit auch auf die Whistleblowing-Richtlinie und deren Anforderungen an ein Hinweisgebersystem übertragen?

REICHETSEDER: Absolut! Der Titel der Richtlinie lässt keinen Zweifel, dass das erklärte Ziel dieser Norm der Schutz der Melder ist. Die konkrete Formulierung zur Ausgestaltung des gesamten Hinweisgebersystems (Meldekanal zuzüglich Prozess) beschreibt meines Erachtens eindeutig die Vorgabe zur Einrichtung entsprechender technischer und organisatorischer Maßnahmen. Die Whistleblowing-Richtlinie verpflichtet Unternehmen zur Implementierung sowie zum Betrieb vertrauenswürdiger und sicherer Meldekanäle, zu einer vertraulichen und den Schutz des Hinweisgebers wahrenden Bearbeitung von Meldungen und zur Übertragung der Verantwortung auf vertrauenswürdige sowie geschulte Personen.

Technisch gesehen muss das Unternehmen Sorge dafür tragen und (am besten) die richtige technische Lösung einsetzen, um die erforderlichen Meldekanäle (mündlich, telefonisch und persönlich) zur Verfügung zu stellen, um die Identität des Melders zu wahren (anonyme Meldung?), um eine vertrauliche Bearbeitung gewährleisten zu können, um die Kommunikation mit dem Melder zu ermöglichen (ohne das Erfordernis der vertraulichen Bearbeitung der Meldung bzw. Pflicht zur Wahrung der Identität des Melders zu verletzen), um andere – unbefugte – Personen von den Informationen auszuschließen und um zusätzliche (zB datenschutzrechtliche) Anforderungen zu erfüllen.

Organisatorisch gesehen muss das Unternehmen für den Einsatz geschulter und vertrauenswürdiger Personen sorgen, ein sicheres und klares Berechtigungs- und Informationskonzept einführen und eine Organisation implementieren, welche die Fristen wahrt und die Bearbeitung von Meldungen erfolgreich zum Abschluss bringt. Diesbezüglich bedarf es auch einer Organisation bzw. Prozesse, die die Bereitstellung von Informationen sowie Schulungen für Mitarbeiter sicherstellt. Insofern kann man auch bei der Whistleblowing-Richtlinie vom Erfordernis technischer und organisatorischer Maßnahmen sprechen.

 

Der Einsatz  entsprechender Partner und der richtigen technischen Lösung sind offenbar vorteilhaft zur Erfüllung der unterschiedlichen Vorgaben. Privacy von DataReporter unterstützt Unternehmen umfangreich und sicher im Umgang mit datenschutzrechtlichen Bestimmungen. Warum ist .LOUPE die richtige Lösung im Bereich von Compliance und Whistleblowing?

REICHETSEDER: .LOUPE ist mehr als eine technische Lösung - .LOUPE versteht sich als Netzwerk und Plattform von UND für Compliance-Officer; wir ermöglichen Zugang zu unterschiedlichen Experten aus unterschiedlichen Bereichen (Compliance-Beratung, Datenschutz mit technischer Lösung, Datenschutz als Beratung, IT-Security, anwaltliche Beratung, etc.) und stellen unsere Erfahrungen aus der Praxis jederzeit gerne im gemeinsamen Austausch zur Verfügung.

.LOUPE – als technische Komponente im Hinweisgebersystem – basiert auf Erfahrungen und Prozessen, die sich in der Praxis bewährt haben und zudem den Vorgaben der Whistleblowing-Richtlinie sowie der ISO 37002. Meldungen können schriftlich (digital), telefonisch, persönlich (durch Zurverfügungstellen von Terminoptionen) und auf Wunsch anonym erstattet werden. Die Daten werden verschlüsselt, Attachments (in unbeschränkter Größe) werden auf Malware untersucht, Fristen werden durch das System automatisch und einfach erledigt, Kommunikationswege stehen ohne Registrierung zur Verfügung, Handlungen im System können ohne den erforderlichen Berechtigungen nicht gesetzt werden bzw. sorgt ein entsprechendes Eskalationsmodell für eine entsprechende Bearbeitung, Daten werden nach einem festgelegten Löschkonzept gelöscht und höchste Benutzerfreundlichkeit ist ohnehin ein Muss.

Als Softwareunternehmen und Unternehmensberatung mit Fokus „Compliance“ sind wir zur richtlinien- sowie datenschutzkonformen Ausgestaltung unserer Services verpflichtet.

 

Beide Produkte sind sogenannte Software-as-a-Service-Lösungen (SaaS) und verwenden Amazon AWS. Kritische Stimmen behaupten, dass die Verwendung von Amazon AWS – trotz größtmöglicher Sicherheitsstandards und entsprechender ISO 27001-Zertifizierung – weder den Datenschutzbestimmungen noch den Erfordernissen der Vertraulichkeit im Sinne der Whistleblowing-Richtlinie entspricht. Warum steht die Verwendung von Amazon AWS tatsächlich nicht im Widerspruch hierzu und ist – den Zweiflern zum Trotz – datenschutz- und richtlinienkonform?

REITMANN: Beide SaaS-Produkte von .LOUPE und DataReporter haben innerhalb von Amazon AWS einen europäischen Vertragspartner und eine Zusicherung vorliegen, dass die Verarbeitung der Daten in Europa (konkret Frankfurt) erfolgt.

Amazon AWS hält sich bei der Verarbeitung von Daten innerhalb von Europa an den in Zusammenarbeit mit der französischen Datenschutzbehörde (CNIL) entwickelten CISPE Data Protection Code of Conduct (CISPE Code), den ersten europaweiten Verhaltenskodex für den Datenschutz, der sich auf Cloud-Infrastruktur-Services konzentriert. Der CISPE-Code wird auch vom Europäischen Datenschutzausschuss unterstützt und wurde von der CNIL genehmigt.

Weiters möchte ich in diesem Zusammenhang auch auf eine aktuelle französische Rechtsprechung zum Thema Datentransfer mit Verbindung zu US-Dienstleistern hinweisen. Frankreich ist bekanntlich sehr kritisch was datenschutzrechtliche Fragen betrifft. Im Rahmen der Corona-Impfkampagne hat sich der Conseil d’Etat – Frankreichs oberstes Verwaltungsgericht - über Datentransfers zu Dienstleistern in die USA aus meiner Sicht richtungsweisend geäußert. Im konkreten Fall ging es in Frankreich um eine Plattform, über die direkt online Termine für eine COVID-Impfung bei einer Impfstelle vereinbart werden kann. Dazu greift die Plattform auf Hosting-Dienstleistungen der AWS Sarl in Luxemburg zurück.

Gewerkschaften und Berufsverbände behaupteten, dass die Nutzung von AWS Sarl nicht datenschutzkonform sei. Im Falle der AWS Sarl handelt es sich um ein Tochterunternehmen der AWS in den USA und daher bestehe nach Ansicht der Gewerkschaften und Verbände das Risiko eines Datenzugriffs basierend auf US-Recht. Das Gericht bejahte diese grundsätzliche Möglichkeit, da sich auch Daten im Zugriffsbereich von AWS in den USA und ihren Tochtergesellschaften befinden, selbst wenn diese nicht in die USA übermittelt und gehostet würden.

Im Ergebnis kam das oberste Verwaltungsgericht in diesem Gerichtsverfahren jedoch zu dem Schluss, dass das Schutzniveau beim Hosten der Daten durch AWS Sarl datenschutzrechtlich angemessen sei. Hauptargument dafür war die Verschlüsselung der Daten, so dass der US-Dienstleister allenfalls verschlüsselte Daten herausgeben kann, ohne selbst jedoch den Schlüssel zu besitzen.

 

Autorenprofile

 

Mag. Martin Reichetseder

Er ist CEO/Founder der fobi solutions GmbH (.LOUPE – focused on business integrity), Leiter der Rechtsabteilung und Group Compliance Officer eines international agierenden Industrieunternehmens, Mitautor des Praxiskommentars „Whistleblowing & Internal Investigations“ (Verlag Lexisnexis) und Vortragender. fobi solutions GmbH (mit Sitz in Oberösterreich) ist auf die Digitalisierung von Unternehmensprozessen – mit Schwerpunkt Compliance – spezialisiert. Mit dem .LOUPE – Compliance-Workspace wurde ein anwenderfreundliches, sicheres und effektives – virtuelles – Compliance-Office für Unternehmen, Behörden und Gemeinden entwickelt. Aus der Praxis – für die Praxis.

 

Mag. jur. Robert Reitmann

Er ist Chief Legal Officer & CEO bei DataReporter, ehemals Leiter der Rechtsabteilung eines international agierenden Industrieunternehmens und Vortragender. DataReporter setzt sich leidenschaftlich für die Automatisierung von rechtlichen Anforderungen ein. Als innovatives Legal Technology Unternehmen vereint es die Kraft der Technologie mit der juristischen Welt. Mit den leistungsstarken Softwarelösungen von DataReporter, erfüllen Unternehmen die Compliance-Anforderungen der Datenschutz-Grundverordnung (DSGVO) und der ePrivacy Richtlinie (Datenschutzrichtlinie für elektronische Kommunikation) sowie weitere Standards. Das ist aber längst nicht alles.

 

Buchtipp

Whistleblowing & Internal Investigations - Praxiskommentar zur Whistleblowing-Richtlinie

ISBN: 978-3-7007-7863-9
Erscheinungsdatum: 14.09.2021
Autoren: Abd El Malak Abanoub, Feiler Lukas, Neuper Oliver, Reichetseder Martin, Rieken Simone, Romandy Istvan
Herausgeber: Petsche Alexander

Zurück