Ein bei einem Whistleblowing-System hinterlassener Hinweis kann personenbezogene Daten enthalten. Wenn Organisationen planen, ein Whistleblowing-System für ihre Arbeitnehmer, Lieferanten oder andere Parteien einzurichten, müssen sie die Datenschutzaspekte berücksichtigen, die dabei ins Spiel kommen. Wie lassen sich Whistleblowing und DSGVO pragmatisch miteinander verbinden?
Artikel 6 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung oder DSGVO) setzt eine „Rechtmäßigkeit der Verarbeitung“ voraus. Das Erteilen der Einwilligung scheint eine gute Lösung zu sein. Dies ist jedoch nicht der Fall. Nicht für Whistleblowing.
Warum nicht?
Eine Einwilligung muss „freiwillig“ erfolgen, zwischen dem Arbeitgeber und dem Arbeitnehmer besteht jedoch eine Abhängigkeitsbeziehung. Wenn ein Vorgesetzter um Einwilligung bittet, sind die meisten Arbeitnehmer dazu bereit. In ihrer Stellungnahme 2/2017 (WP 249) formuliert die Artikel-29-Datenschutzgruppe es so: „Abgesehen von außergewöhnlichen Umständen müssen sich Arbeitgeber auf eine andere Rechtsgrundlage stützen als auf Einwilligung.“
Praktisch gesehen bedeutet dies: Einwilligung ist eine unzuverlässige Grundlage. Sie kann jederzeit widerrufen werden. Was tun Sie, wenn Sie eine ernsthafte Meldung untersuchen und ein Arbeitnehmer plötzlich seine Einwilligung widerruft?
Einmal abgesehen von rechtlichen und praktischen Gesichtspunkten: Denken Sie an Arbeitnehmende, die sexuell belästigt wurden. Ihr Whistleblowing-System verfügt über ein Bestätigungskästchen, das angekreuzt werden muss, bevor eine Meldung eingereicht werden kann. Ein Mitglied Ihrer Belegschaft hat sich endlich durchgerungen, sich anonym zu melden, und Ihre erste Frage lautet: „Stimmen Sie der Verarbeitung Ihrer personenbezogenen Daten zu?“. Dies birgt ein großes Risiko, dass Hinweisgeber abgeschreckt werden und eventuell sogar beschließen, an die Öffentlichkeit zu gehen. Sie möchten ja schließlich, dass sämtliche wichtigen Fälle gemeldet werden!
Einwilligung ist also keine Option. Doch wie können Sie die DSGVO beim Whistleblowing einhalten?
Begründen Sie Ihre Datenverarbeitung mit dem legitimen Interesse, Fehlverhalten aufzudecken, das sonst möglichenfalls nicht frühzeitig erkannt wird. Und vergessen Sie nicht: Datenschutz und das Recht auf Privatsphäre sind zwar wichtig, das Endziel besteht jedoch darin, ein effektives Whistleblowing-System einzurichten. Jeder sollte sich ungehindert melden können, damit Ihre Organisation schwerwiegendes Fehlverhalten wirksam erfassen und adressieren kann.
Sprechen Sie mit unseren Experten
Möchten Sie mehr erfahren, Ideen austauschen oder Meinungen teilen?