DSGVO und Whistleblowing
Ein bei einem Whistleblowing-System hinterlassener Hinweis kann personenbezogene Daten enthalten. Wenn Organisationen planen, ein Whistleblowing-System für ihre Arbeitnehmer, Lieferanten oder andere Parteien einzurichten, müssen sie die Datenschutzaspekte berücksichtigen, die dabei ins Spiel kommen. Zum Beispiel: Wie können Datenhaltungszeiträume beim Whistleblowing in Übereinstimmung mit der DSGVO gehandhabt werden?
Daten dürfen nur für die kürzest mögliche Zeit aufbewahrt werden. Artikel 5 (1) (e) der Verordnung (EU) 2016/679 (der Datenschutz-Grundverordnung bzw. DSGVO) besagt: „Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“.
Sie müssen also überlegen, wie lange und für welchen Zweck personenbezogene Daten gespeichert werden können.
Artikel 29 der Datenschutzgruppe enthält weitere Leitlinien in ihrer Stellungnahme 1/2006: „Personenbezogene Daten, die von einem System zur Meldung von Fehlverhalten verarbeitet werden, sollten gelöscht werden, unverzüglich und in der Regel innerhalb von zwei Monaten nach Abschluss der Untersuchungen der in der Meldung enthaltenen Fakten“.
Im Zusammenhang mit Whistleblowing müssen Sie allerdings einige Schritte zurückgehen, bevor Sie sagen können: „Wir löschen und/oder anonymisieren alles nach zwei Monaten“.
Wie können Sie DSGVO-konforme Datenhaltungsregeln im Hinblick auf Whistleblowing einführen?
Zunächst müssen Sie festlegen, wann eine Untersuchung abgeschlossen werden kann. Dies ist von Fall zu Fall unterschiedlich. ‚Nicht-Fälle‘ können sofort eingestellt werden, während sich Untersuchungen bei schwerwiegendem Fehlverhalten über mehrere Jahre hinziehen können. Einige Untersuchungen führen zu Gerichtsverfahren. Mitunter gibt es Ausnahmen, wie beispielsweise HR-spezifische Verpflichtungen, die eine Speicherung bestimmter Daten über längere Zeiträume erfordert (z. B. bei Disziplinarverfahren).
Dies ist besonders bei der Aufstellung Ihrer Richtlinien zur Behandlung und zum Abschließen von Fällen zu berücksichtigen. Diese Frage kann nicht eindeutig beantwortet werden. Bei jedem neuen Fall ändert sich die angemessene Vorgehensweise. Dies hat Auswirkungen auf den Datenhaltungszeitraum und den Beginn der Datenhaltung.
All diese Datenhaltungsregeln sollen Organisationen anhalten, sich kritisch damit auseinanderzusetzen, wie Daten gespeichert werden und dass alle Betroffenen ordnungsgemäß informiert werden. In Ihren Richtlinien können Sie sich betroffenen Personen gegenüber transparent zeigen und Sachbearbeitern einheitliche Weisungen geben.
Und Sie müssen unbedingt überprüfen, dass Ihre Richtlinien zur Fallabwicklung eingehalten werden.
Möchten Sie mehr erfahren, Ideen austauschen oder Meinungen teilen?