DA+

Aufsatz : Petzen ist doof : aus der RDV 3/2018, Seite 133 bis 145

– Zu den datenschutzrechtlichen Grenzen des Whistleblowings –

Schon der Ursprung des Wortes Whistleblowing gibt einen Hinweis auf seine ursprünglich negative Konnotation. Denn „to blow the whistle“ bedeutet nichts anderes, als jemanden zu verpfeifen. Der Whistleblower – ein Verräter? Das niedrige Ansehen von Verrätern hat auch durchaus Tradition, das „Verpetzen“ eines anderen wird als anstößig empfunden. In Dantes göttlicher Komödie sind die Verräter im neunten und damit innersten Kreis der Hölle versammelt, wo sie zur Strafe für ihren Verrat bis zum Hals in Eisblöcken festgefroren sind. „Der größte Lump im ganzen Land, das ist und bleibt der Denunziant“, ist ein Zitat, das Hoffmann von Fallersleben zugeschrieben wird. Als Kind haben wir es vielleicht anders formuliert: „Petzen ist doof“.

In jüngerer Zeit verliert das Whistleblowing jedoch mehr und mehr das ihm ursprünglich vielleicht anhaftende „Schmuddelimage“. Es setzt sich zunehmend die Erkenntnis durch, dass ein erhebliches öffentliches Informationsinteresse an den Hinweisen von Whistleblowern besteht. Dazu tragen die verschiedenen Skandale bei, die sich in der letzten Zeit in großen deutschen Unternehmen ereignet haben: Abgas-Skandal im VW-Konzern, die Manipulation des Liborund Euribor-Zinssatzes durch Mitarbeiter der Deutschen Bank und die Preisabsprachen unter den Lkw-Herstellern. Allerdings belegen die genannten Beispiele auch, dass ein Hinweisgebersystem alleine nicht genügt, um Rechtsbrüche innerhalb von Unternehmen zu verhindern. Die an den genannten Skandalen beteiligten Unternehmen verfügen jeweils über interne Hinweisgebersysteme; die Rechtsverstöße durch Mitarbeiter der Unternehmen wurden hierdurch allerdings nicht verhindert, zu einer Verhinderung größeren Schadens durch ein frühzeitiges Erkennen der Rechtsverstöße kam es nicht.

I. Von der Notwendigkeit einer Balance

Maßnahmen zu der erforderlichen Trennung des nicht schutzwürdigen Denunziantentums von dem schutzwürdigen und im Sinne öffentlicher Belange erwünschten Whistleblowing werden in der Rechtspolitik, Rechtswissenschaft und Unternehmenspraxis ausführlich diskutiert. Gerade dort, wo die Aufdeckung eines Rechtsverstoßes ohne einen Whistleblower nicht oder nur unter größten Schwierigkeiten möglich ist, wird das Whisleblowing nunmehr als effektives Mittel erkannt, um rechtmäßige Zustände schaffen zu können. Beispielhaft für die Entwicklung ist der als Reaktion auf Bilanzskandale von Unternehmen wie Enron oder Worldcom in den USA erlassene Sarbanes-Oxley-Act (SOX). Dieser enthält unter anderem Regelungen zur Einrichtung von Hinweisgebersystemen (s. 302 (4) (A) SOX) in solchen Gesellschaften, deren Wertpapiere (Aktien, Anleihen etc.) an einem US-amerikanischen regulierten Finanzmarkt notieren, sowie zum Whistleblower-Schutz (s. 806 SOX). Der Anwendungsbereich des Sarbanes-Oxley-Act erstreckt sich auch auf Unternehmen, die ihren Sitz in einem der Mitgliedsstaaten der EU haben, sofern diese konsolidierte Tochterunternehmen von US-Unternehmen (s. 302 (4) (B) SOX) oder an USBörsen notiert sind.[1] 

Trotz aller Unsicherheit, die sich hinsichtlich der Anwendung der Vorschriften über den Schutz von Hinweisgebern auf Unternehmen mit Sitz in einem der Mitgliedsstaaten der EU ergibt, sah die Art. 29 Arbeitsgruppe sich veranlasst, mit Blick auf den Sarbanes-Oxley-Act eine Stellungnahme zu Leitlinien zur Umsetzung interner Verfahren zur Meldung von Missständen nach den EU-Datenschutzvorschriften zu veröffentlichen.[2] Diese Stellungnahme zeigt zugleich sehr deutlich, dass ein Spannungsfeld zwischen der Förderung des Whistleblowing im öffentlichen Interesse und dem Schutz von Whistleblowern auf der einen Seite und dem Schutz personenbezogener Daten der Arbeitnehmer auf der anderen Seite besteht. Die Gruppe kommt in ihrer Stellungnahme zu dem Ergebnis, dass ein Verfahren zur Meldung von Missständen rechtmäßig ist, wenn die Verarbeitung der personenbezogenen Daten im Rahmen dieses Verfahrens eine der in Art. 7 der RL 95/46/EG genannten Voraussetzungen erfüllt.

Nicht nur auf europäischer Ebene, sondern auch in Deutschland ist die Vereinbarkeit der Einrichtung interner Verfahren zur Anzeige von Missständen bereits seit einiger Zeit Gegenstand des rechtlichen Diskurses. So setzt sich die Ad-hoc-Arbeitsgruppe „Datenschutz“ des Düsseldorfer Kreises in ihrem Arbeitsbericht mit der Vereinbarkeit von Whistleblowing-Hotlines mit den Vorschriften des BDSG auseinander.[3] Das Fazit der Arbeitsgruppe lautet, dass sich das Meldeverfahren mittels Whistleblowing-Hotlines unter besonderer Berücksichtigung des von dem Unternehmen verfolgten Zwecks und der Einrichtungsmodalitäten datenschutzgerecht gestalten und betreiben lässt.

Auch gab es in Deutschland bereits eine Gesetzesinitiative zur Schaffung von Regelungen, mit denen ein besserer Schutz von Whistleblowern erreicht werden sollte, die dann versandete. In Gesetzesform ist das Whistleblowing in Deutschland bislang also zwar noch nicht gegossen worden, doch hat es seinen Weg nunmehr in den Deutschen Corporate Governance Kodex (DCGK) gefunden. In Ziff. 4.1.3 Satz 3 ist dort nun geregelt:

„Beschäftigten soll auf geeignete Weise die Möglichkeit eingeräumt werden, geschützt Hinweise auf Rechtsverstöße im Unternehmen zu geben; auch Dritten sollte diese Möglichkeit eingeräumt werden.“

Die Regelung des DCGK nimmt das Whistleblowing nicht von dem Standpunkt des Arbeitnehmers aus in den Blick, sondern formuliert es als Aufgabe des Vorstandes, ein Hinweisgebersystem im Unternehmen zu implementieren. Aufgrund des „comply or explain“-Mechanismus des § 161 AktG für börsennotierte Gesellschaften müssen diese sich daher nunmehr zwingend mit den Rechtsfragen auseinandersetzen, die sich im Zusammenhang mit der Implementierung eines Hinweisgebersystems im Unternehmen stellen.

Auch die BaFin hat den möglichen Nutzen eines Hinweisgebersystems bereits erkannt und bewertet ein solches in ihren Auslegungs- und Anwendungshinweisen zu § 25c KWG als zumindest „hilfreich“.[4] Mit dieser vorsichtigen Formulierung gibt die BaFin zu erkennen, dass sie nicht davon ausgeht, dass die Finanzinstitute generell verpflichtet sind, ein Hinweisgebersystem einzurichten, macht aber zugleich deutlich, dass sie solchen Systemen aufgeschlossen gegenübersteht und sie als Instrument der Compliance positiv bewertet.

II. Ein Blick auf die Unternehmenspraxis der DAX-30-Unternehmen

Während die Diskussion über die rechtlichen Fragen im Zusammenhang mit der Einrichtung eines Hinweisgebersystems in Rechtspolitik und Rechtswissenschaft noch nicht abgeschlossen ist, hat die Unternehmenspraxis bereits auf die laufenden Entwicklungen reagiert. Die 30 im DAX notierten Unternehmen haben allesamt ein Hinweisgebersystem eingerichtet und interne Richtlinien zur Ausgestaltung desselben formuliert. In der konkreten Ausgestaltung dieser Richtlinien werden jedoch die Unterschiede der einzelnen Ausgestaltungen sichtbar, die regelmäßig genau an den Stellen verlaufen, an denen noch offene Fragen bestehen, die Gegenstand der gegenwärtigen Diskussion sind.

Im Einzelnen: Die Regelungen der Unternehmen unterscheiden sich vor allem im Hinblick auf den Kreis der Meldeberechtigten. Während einige Unternehmen diesen nur auf Mitarbeiter beschränken (z.B. adidas[5] , Deutsche Bank[6] , Deutsche Post[7] , E.ON[8]), bzw. ihn auf Geschäftspartner erweitern (so Deutsche Börse[9] , Infineon[10] und Linde[11]), steht bei anderen Unternehmen auch externen Dritten die Möglichkeit einer Meldung offen (z.B. Allianz[12], Commerzbank[13], Daimler[14], VW[15]). Gemeldet werden können Verstöße gegen gesetzliche Regelungen, wobei diese teilweise eingeschränkt werden auf compliance-relevante Vorschriften wie Betrug, Untreue oder Verstöße gegen Wettbewerbs- und Kartellrecht (z.B. Lufthansa[16]). Zudem wird den Hinweisgebern auch ermöglicht, Verstöße gegen interne Richtlinien oder den Verhaltenskodex zu melden.

Lediglich vier Unternehmen (adidas, Deutsche Börse, Fresenius[17], Fresenius MedicalCare[18] und Bayer[19] haben in ihrem Verhaltenskodex die Pflicht aufgeführt, Verstöße zu melden. Dagegen ist dies in den anderen Unternehmen als Option ausgestaltet, wenngleich teilweise zur Meldung ausdrücklich aufgefordert wird (z.B. bei der Deutschen Bank oder der Deutschen Post) oder jedenfalls erwartet wird, dass die Mitarbeiter bei den Untersuchungen umfassend kooperieren (so SAP[20]).

Grundsätzlich ist bei fast allen Unternehmen die Wahrung der Anonymität bei der Meldung möglich, was auf unterschiedliche Weise umgesetzt wird. Teilweise kann über ein Kontaktformular eine anonyme Meldung abgegeben werden. Oft wird eine externe Anwaltskanzlei als Mittler (sog. Ombudsmann) zwischengeschaltet, die zunächst die Informationen auf Plausibilität prüft, und dann den Kontakt zwischen Hinweisgeber und Unternehmen herstellt, indem sie die Daten ggf. anonymisiert an das Unternehmen weiterleitet (z.B. bei Allianz, E.ON, Lufthansa, VW, Vonovia[21]). Dies hat gegenüber einer bloßen Meldung den Vorteil, dass bei Unklarheiten nochmals kommuniziert werden kann. Wird auf die Zwischenschaltung eines „Vertrauensanwalts“ verzichtet, ermöglichen manche Systeme, eine Art Postfach anzulegen, sodass trotz Anonymität eine Kommunikation stattfinden kann (so bei dem elektronischen Whistleblowing-Portal der Münchener Rückversicherungs-Gesellschaft[22] und bei HeidelbergCement[23]). Teilweise wird der Hinweisgeber explizit ermutigt, seine Identität zur Ermöglichung eines offenen Austauschs preiszugeben (Deutsche Post, RWE[24]). Die Deutsche Post weist in diesem Zusammenhang zudem darauf hin, dass Informationen über die Identität des Hinweisgebers unter Umständen gegenüber den an den Ermittlungen beteiligten Personen oder Behörden oder im Rahmen eines Gerichtsverfahrens offengelegt werden müssen, sofern das anwendbare Recht dies erfordert. Daimler führt aus, dass länderspezifisch unterschiedliche Anforderungen bestehen können, sodass die Anonymität nur gewahrt werden kann, wenn die lokalen Anforderungen dies zulassen.

Dem Hinweisgeber wird insofern Schutz eingeräumt, als dass in vielen Unternehmen auch Falschmeldungen gemäß dem Verhaltenskodex nicht sanktioniert werden, sofern diese „gutgläubig“ (Bayer), „in guter Absicht“ (BASF[25]), „in gutem Glauben“ (Deutsche Post, Pro7Sat.1 Media[26]) oder „nach bestem Wissen“ (Siemens[27]) erfolgen. Teilweise wird nicht explizit auf die Gutgläubigkeit abgestellt, aber statuiert, dass „höchste Vertraulichkeit und Fairness im Umgang mit dem Hinweisgeber sichergestellt“ wird (Allianz) oder jedenfalls eine „Berücksichtigung der schutzwürdigen Interessen aller Beteiligten“ (Commerzbank) stattfindet.

Auf die Frage, ob der Hinweisgeber über das Ergebnis der Meldung informiert wird, geht lediglich RWE ein; hier erfolgt eine Mitteilung nur, wenn der Hinweisgeber ausdrücklich darum bittet.

III. Datenschutzrechtlicher Schutz vor dem Whistleblowing für „verpfiffene“ Mitarbeiter

Aber: Bei der Einrichtung eines Hinweisgebersystems sind die Grenzen zu beachten, die durch das Datenschutzrecht gezogen werden. Bei den Daten, die von einem Hinweisgeber weitergegeben werden, handelt es sich im Regelfall um personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO.[28] Die Speicherung und die im Anschluss daran erfolgende Verwendung dieser Daten durch das Unternehmen sind eine „Verarbeitung“ im Sinne des Art. 4 Nr. 2 DS-GVO. Zwar sind auch Whistleblowingsysteme denkbar, bei denen nur Hinweise aufgenommen werden, die keinen Personenbezug erkennen lassen, doch sind diese Systeme weniger effektiv als solche Systeme, bei denen auch personenbezogene Daten verwendet werden und daher in der Praxis wenig verbreitet.[29] Die durch ein Whistleblowingsystem erhobenen personenbezogenen Daten sind dabei zu einem Teil solche, die dem Anzeigenden zuzuordnen sind, zum anderen Teil und vor allem aber solche, die dem Angezeigten zuzuordnen sind.[30] Recht unproblematisch ist dabei noch die Zulässigkeit der Nutzung der personenbezogenen Daten des Anzeigenden. Dieser kommt mit der Anzeige in vielen Fällen einer arbeitsvertraglichen Nebenpflicht nach, sodass die Daten für die Durchführung des Beschäftigungsverhältnisses erforderlich sind, § 26 Abs. 1 S. 1 BDSG nF (entspricht § 32 Abs. 1 S. 1 BDSG aF).[31] Sinnvoll ist es für den Arbeitgeber jedoch, auch die Einwilligung des Hinweisgebers in die Erhebung, Verwendung und Speicherung seiner personenbezogenen, für das Whistleblowing relevanten Daten nach den Vorgaben des Art. 7 DS-GVO einzuholen.[32]

Damit der Arbeitgeber auch die personenbezogenen Daten des angezeigten Beschäftigten im Sinne des Art. 4 Nr. 2 DS-GVO verarbeiten darf, bedarf es der Erfüllung der Voraussetzungen eines der in Art. 6 Abs. 1 BDSG genannten Erlaubnistatbestände oder eines von in Übereinstimmung mit den Vorgaben der DS-GVO im BDSG nF geschaffenen Erlaubnistatbestandes. Die Literatur bewertete Whistleblowing-Systeme bislang auf Grundlage des § 32 BDSG aF, künftig wohl also anhand des § 26 BDSG nF. Dessen Tatbestand ist sehr allgemein gehalten und setzt jeweils eine Interessenabwägung im Einzelfall voraus (abzuleiten aus der Anforderung, dass die Verarbeitung der Daten „erforderlich“ sein muss), was bei der Etablierung eines Hinweisgebers zu Unsicherheiten führt, da es an klaren, einfach umzusetzen den Vorgaben fehlt. Der Rechtssicherheit wäre sehr gedient, wenn ein Gesetz bestimmen würde, dass die Verarbeitung personenbezogener Daten für Zwecke eines WhistleblowingSystems zulässig ist, sofern das System bestimmten Anforderungen genügt, die das Gesetz für Whistleblowing-Systeme aufstellt. Eine solche Regelung würde durch die Beantwortung der gegenwärtig diskutierten „materiellen“ Fragen des Whistleblowing Klarheit schaffen und für die Unternehmenspraxis eine erhebliche Erleichterung bedeuten.

Nach einhelliger Auffassung war die Errichtung eines Hinweisgebersystems gemäß § 32 Abs. 1 S. 1 BDSG aF zulässig. Nichts anderes kann dann unter Anwendung der entsprechenden Vorschrift in § 26 Abs. 1 S. 1 BDSG nF gelten. Die mit einem Hinweis verbundene Datennutzung dient der Durchführung des Beschäftigungsverhältnisses des Angezeigten, denn durch sie sollen Straftaten oder sonstige Rechtsverstöße verhindert werden, die im Zusammenhang mit dem Beschäftigungsverhältnis stehen.[33]

1. Die Berücksichtigung anonymer Hinweise in einem Hinweisgebersystem

Eine wichtige Frage, die sich im Zusammenhang mit den Hinweisgebersystemen in Unternehmen stellt, ist der Umgang mit anonymen Hinweisen.[34] An ihr zeigt sich beispielhaft, dass die aktuelle Gesetzeslage keine ausreichende Klarheit und Rechtssicherheit bietet. So erklärt die Ad-hocArbeitsgruppe „Beschäftigtendatenschutz“ des Düsseldorfer Kreises:

„Anonymität läuft dem Transparenzprinzip zuwider, begünstigt gegenüber der namentlichen Nennung von ‚Roß und Reiter’ eher Missbrauch und Denunziantentum. Einer durch anonymen Hinweis gemeldeten Person bleibt keine Möglichkeit, sich gegen eine etwaige Verleumdung in einem rechtsstaatlichen Verfahren zur Wehr zu setzen. Ein von vornherein auf die Erhebung personenbezogener Daten abstellendes Verfahren hat andererseits den Nachteil, dass auch bei gewünschten Hinweisen ein Abschreckungseffekt möglich ist. Dies sollte jedoch gegenüber anonymen Hinweisen in Kauf genommen werden, zumal diese auch ohne eine Whistleblowing-Hotline jederzeit möglich sind. Besonders hingewiesen werden sollte auf angemessene Garantien für den Schutz der Hinweisgeberin oder des Hinweisgebers vor diskriminierenden oder disziplinarischen Maßnahmen.“

Die Arbeitsgruppe knüpft damit an die Stellungnahme 1/2006 der Artikel-29-Datenschutzgruppe an, die ebenfalls einen skeptischen Standpunkt im Hinblick auf die Zulassung anonymer Meldungen im Rahmen eines Hinweisgebersystems einnimmt. Gegen die Zulassung anonymer Meldungen sprechen laut der Datenschutzgruppe einige gewichtige Argumente. Die Anonymität hindere andere nicht mit Erfolg daran zu erraten, von wem die Meldung stamme. Auch sei eine Beschwerde schwerer zu überprüfen, wenn keine Rückfragen gestellt werden könnten. Der Schutz des Hinweisgebers vor Vergeltungsmaßnahmen sei ebenfalls leichter zu organisieren, wenn dieser bekannt sei. Vor allem führe eine anonyme Anzeige womöglich dazu, dass der Hinweisgeber stärker in den Mittelpunkt rücke, weil er verdächtigt werden könnte, nur aus Bosheit gehandelt zu haben. Schließlich könne die Möglichkeit, auch anonym Hinweise zu geben, dazu führen, dass ein schlechtes soziales Klima in dem Unternehmen bis hin zu einer Kultur anonymer böswilliger Meldungen entstehe. Auf der anderen Seite ist sich die Artikel-29-Datenschutzgruppe jedoch auch über die praktische Relevanz anonymer Meldungen im Klaren:

„Der Gruppe ist jedoch bewusst, dass manche Hinweisgeber vielleicht nicht immer in der Lage sind oder nicht immer die psychische Veranlagung haben, mit Namen versehene Meldungen zu machen. Sie ist sich ferner der Tatsache bewusst, dass anonyme Beschwerden innerhalb von Unternehmen Wirklichkeit sind, auch und vor allem, wenn es keine organisierten vertraulichen Verfahren zur Meldung von Missständen gibt, und dass diese Wirklichkeit nicht übersehen werden darf. Die Gruppe ist daher der Auffassung, dass Verfahren zur Meldung von Missständen dazu führen können, dass über das System anonyme Meldungen gemacht werden und daraufhin gehandelt wird, aber als Ausnahme von der Regel […].“

Es fällt auf: All das sind im Kern keine datenschutzrechtliche Argumente. In ihren Verhaltenskodizes lassen die meisten der DAX-30-Unternehmen vielleicht deswegen anonyme Meldungen ausdrücklich zu. Teilweise werden dann aber bestimmte zusätzliche Anforderungen gestellt. So fordert die Allianz bei einer anonymen Anzeige von Missständen, dass besonders viele Details genannt werden. Die Deutsche Post und Daimler stellen die Möglichkeit einer anonymen Anzeige unter den Vorbehalt, dass diese nach dem jeweils anwendbaren Recht zulässig ist.

Dies alles führt zu der Frage, wie de lege lata nach den Vorgaben der DS-GVO bzw. des BDSG mit anonymen Hinweisen umzugehen ist. Da es an einer Regelung fehlt, die sich ausdrücklich mit dem Umgang mit anonymen Hinweisen auseinandersetzt, muss die Lösung aus den allgemeinen Vorgaben des § 26 Abs. 1 S. 1 BDSG nF (bzw. § 32 Abs. 1 BDSG aF) hergeleitet werden. Es bedarf daher gemäß § 26 Abs. 1 S. 1 BDSG nF der Erforderlichkeit der Daten zur Durchführung des Arbeitsverhältnisses. Die Erforderlichkeit hängt aber gerade nicht davon ab, ob ein Hinweis anonym oder offen erfolgt ist. In beiden Fällen sind die Daten relevant für das Arbeitsverhältnis und damit erforderlich im Sinne der Vorschrift.[35] Zudem ist nach dem herrschenden Verständnis auch eine Verhältnismäßigkeitsprüfung im engeren Sinne durchzuführen.[36] Auch wenn man bei einem Hinweisgebersystem die Anforderungen des § 26 Abs. 1 S. 2 BDSG nF – dort ist die Verhältnismäßigkeitsprüfung expressis verbis vorgegeben – anlegen wollte, weil dieses gerade auch der Aufdeckung von Straftaten durch die Beschäftigten dient, ergibt sich daher nichts anderes. Maßgeblich ist hierbei, dass das schutzwürdige Interesse des Angezeigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt und dabei insbesondere Art und Ausmaß der Datenerhebung, -verarbeitung oder -nutzung im Hinblick auf den Anlass nicht unverhältnismäßig sind. Das schutzwürdige Interesse des Angezeigten hängt jedoch nicht damit zusammen, ob ein Hinweis offen oder anonym erfolgt ist. Die Argumente, die gegen eine Zulassung anonymer Hinweise sprechen, stammen vielmehr alleine aus dem Interessenbereich des Unternehmens bzw. aus dem Interessenbereich des Anzeigenden selbst. So liegt es in erster Linie im Interessenbereich des Unternehmens, dass Rückfragen an den Anzeigenden möglich sind und dass die Betriebsatmosphäre nicht gestört wird. Der Anzeigende hat ein Interesse daran, dass er vor Vergeltungsmaßnahmen geschützt wird. Für den Angezeigten macht es hier jeweils keinen entscheidenden Unterschied, ob der Hinweis offen oder anonym erfolgt ist.

Eine Entgegennahme und Verwendung anonymer Hinweise im Rahmen eines Hinweisgebersystems ist auch nicht generell unverhältnismäßig. Genau wie bei offenen Hinweisen kommt es für die den Hinweis entgegennehmende Stelle darauf an, ob genügend Anhaltspunkte für ein Fehlverhalten vorliegen, sodass dem Hinweis nachzugehen ist. Zunächst wird bei der Verwendung eines anonymen Hinweises auf Missstände im Unternehmen das legitime Ziel verfolgt, diese Missstände aufzuklären und zu beseitigen sowie die verantwortlichen Personen zur Rechenschaft ziehen zu können. Zur Erreichung dieses Ziels kann anonymen Hinweisen nicht generell die Eignung abgesprochen werden. Ein zutreffender anonymer Hinweis ist ebenso geeignet, eine Aufklärung zu fördern, wie ein offen erfolgter Hinweis. Schließlich kann es auch erforderlich sein, anonyme Hinweise zuzulassen. Wenn es nicht möglich ist, auf anderem Wege an die Informationen zu gelangen, die erforderlich sind, um Missstände aufdecken zu können, können anonyme Hinweise das einzige geeignete Mittel sein. Berücksichtigung kann die Anonymität eines Hinweises daher nur bei dem Umgang mit dem Hinweis selbst erfahren. Sie kann eine strengere Prüfung der Anhaltspunkte erforderlich machen, als sie bei einem offenen Hinweis vorgenommen werden muss. Auf Hinweise, die jemand offen und unter Bekanntgabe seiner Identität abgibt, darf die Stelle mehr vertrauen als auf solche Hinweise, bei denen sich der Hinweisgeber nicht zu erkennen gibt.[37]

In dem geltenden deutschen Datenschutzrecht findet die nur eingeschränkte Zulassung anonymer Hinweise in einem Hinweisgebersystem, wie sie die Artikel-29-Datenschutzgruppe und die Ad-hoc-Arbeitsgruppe „Beschäftigtendatenschutz“ befürworten, damit keine gesetzliche Stütze. Die weite Verbreitung der Zulassung anonymer Hinweise in den Verhaltenskodizes der Dax-30-Unternehmen zeigt jedoch, dass die Praxis hier bereits das praktische Bedürfnis nach der Zulassung von anonymen Hinweisen erkannt hat und diese deswegen im Rahmen ihrer Hinweisgebersysteme zulässt.

2. Unterrichtungs- und Auskunftspflichten gegenüber dem Angezeigten

Eine weitere Frage, die sich im Rahmen des geltenden Datenschutzrechtes stellt, ist die nach den Unterrichtungsund Auskunftspflichten, die gegenüber einem angezeigten Beschäftigten bestehen, wenn ein Hinweis auf ein von diesem begangenes Fehlverhalten erfolgt ist. Solche Pflichten bestehen gemäß Artt. 13, 14 DS-GVO bei der Erhebung von personenbezogenen Daten. Allerdings kann die Benachrichtigung des Angezeigten über den Hinweis dazu führen, dass dieser Beweise vernichtet und sein Fehlverhalten verschleiert. Um dies zu vermeiden, bedarf es einer Ausnahme von der Benachrichtigungspflicht. Unter Geltung des BDSG aF wurde in der Literatur hierfür § 33 Abs. 2 Nr. 7 lit. b) BDSG aF herangezogen, der die Benachrichtigungspflicht ausschloss, wenn die Daten für eigene Zwecke gespeichert waren und die Benachrichtigung die Geschäftszwecke der verantwortlichen Stelle erheblich gefährden würde, es sei denn, dass das Interesse an der Benachrichtigung die Gefährdung überwog.[38] Dieser Tatbestand wurde so ausgelegt, dass keine Informationspflicht des Verantwortlichen bestehe, sofern der Angezeigte Beweismittel zu vernichten drohe und der Missstand hinreichend schwer wiege. Die Information des Angezeigten sei aber unverzüglich nachzuholen, wenn es der Geschäftszweck nicht mehr erfordere. Im BDSG nF finden sich in §§ 32 Abs. 1 Nr. 4, 33 Abs. 1 Nr. 2 a) nunmehr Regelungen, die eine Ausnahme von der Benachrichtigungspflicht vorsehen, wenn eine Benachrichtigung die Geltendmachung, Ausübung oder Verteidigung (zivil)rechtlicher Ansprüche beeinträchtigen würde und die Interessen des Verantwortlichen an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen (§ 32 Abs. 1 Nr. 4 BDSG nF) bzw. das Interesse des Betroffenen an der Benachrichtigung nicht überwiegt (§ 33 Abs. 1 Nr. 2 a) BDSG nF). Auch nach der neuen Rechtslage vermag danach die Gefahr der Vernichtung von Beweismitteln und der Verschleierung des Fehlverhaltens durch die betroffene Person, falls diese über die dem Arbeitgeber bekannt gewordenen Vorwürfe benachrichtigt wird, eine Ausnahme von den Benachrichtigungspflichten des DS-GVO zu rechtfertigen, um eine Beeinträchtigung der Geltendmachung von Ansprüchen des Arbeitgebers gegen den Beschäftigten zu verhindern.

Auch hier bieten die DS-GVO und das BDSG mit dem Erfordernis einer Interessenabwägung jedoch nicht die Rechtssicherheit, die im Sinne der Praxis wünschenswert ist.

Die zur Entgegennahme der Hinweise zuständige Stelle wird zudem mit der Aufgabe belastet, die geforderte Interessenabwägung vorzunehmen. Dem Schutz der Beteiligten wäre besser gedient, wenn eine Benachrichtigungspflicht generell erst nach dem Abschluss der Ermittlungen infolge des Hinweises bestünde und diese sich zudem nur auf solche Informationen erstreckte, die keinen Rückschluss auf den Hinweisgeber zulassen.[39]

IV. Für den eiligen Leser

Unübersehbar bestehen rund um das Thema Whistleblowing noch zahlreiche offene Rechtsfragen. Weniges scheint schon in Stein gemeißelt, vieles ist noch im Fluss. Dabei besteht in diesem Bereich zugleich ein erhebliches praktisches Bedürfnis nach Rechtssicherheit durch klare Antworten. Der status quo lässt sich mit den folgenden Aussagen zusammenfassen:

  • Die Einrichtung eines Hinweisgebersystems ist datenschutzrechtlich zulässig, da die Hinweise auf Fehlverhalten im Unternehmen letztlich der Durchführung des Arbeitsverhältnisses des angezeigten Mitarbeiters dienen und damit dem Erlaubnistatbestand des § 26Abs. 1 S. 1 BDSG nF unterfallen. Es ist von dem Arbeitgeber allerdings stets darauf zu achten, dass bei der Datenerhebung und -nutzung die Grenze der Verhältnismäßigkeit eingehalten wird.
  • Es besteht keine generelle Pflicht von Arbeitnehmern, Missstände im Unternehmen gegenüber dem Arbeitgeber anzuzeigen. Etwas anderes gilt nur für leitende Angestellte und Mitarbeiter, die mit Compliance-Aufgaben betraut sind. Der Arbeitgeber kann jedoch unter Beachtung der Grenze des billigen Ermessens kraft des arbeits vertraglichen Weisungsrechts bestimmen, dass die Arbeitnehmer zum Whistleblowing verpflichtet sind. Eine entsprechende Pflicht kann auch in einer Betriebsvereinbarung festgelegt werden.

Prof. Dr. Gregor Thüsing ist Direktor des Instituts für Arbeitsrecht und Recht der sozialen Sicherheit der Universität Bonn und Vorstandsmitglied der Gesellschaft für Datenschutz und Datensicherheit e.V., Bonn.

Dr. Johannes Fütterer ehemaliger Mitarbeiter des Instituts für Arbeitsrecht und Recht der sozialen Sicherheit an der Universität Bonn.

Melanie Jänsch ist Mitarbeiterin am Lehrstuhl Thüsing für Arbeitsrecht an der Universität Bonn.

[1] Ausführlich aus dem US-Schrifttum: Jennifer K. Coalson, The Sarbanes-Oxley Act of 2002: Are stricter internal controls constricting international companies? GA Journal of International Law & Comparative Law (2008), Vol. 36, 648-676; Paul Lanois, Between a rock and a hard place: The Sarbanes-Oxley Act and its global impact, University of Pennsylvania Journal of International Law (2007), Vol. V, No. 4, 1-19; Marisa Anne Pagnattaro and Ellen R. Peirce, Between a Rock and a Hard Place: The Conflict between U.S. Corporate Codes of Conduct and European Privacy and Work Laws, Berkeley Journal of Employment & Labor Law (2007), Vol. 28, 375–428. https://www.bfdi.bund.de/SharedDocs/Publikationen/DokumenteArt29Gruppe_EDSA/Stellungnahmen/WP117_Opinion12006InternationalWhistelblowing.html.

[2] Stellungnahme 1/2006 zur Anwendung der EU-Datenschutzvorschriften auf interne Verfahren zur Meldung mutmaßlicher Missstände in den Bereichen Rechnungslegung, interne Rechnungslegungskontrollen, Fragen der Wirtschaftsprüfung, Bekämpfung von Korruption, Banken- und Finanzkriminalität, vom 01.02.2006, abrufbar unter: https://www.datenschutz-hamburg.de/uploads/media/Handreichung_Whistleblowing-Hotlines.pdf

[3] Whistleblowing-Hotlines: Firmeninterne Warnsysteme und Beschäftigtendatenschutz, abrufbar unter: https://www.datenschutz.hessen.de/download.php?download_ID=246.

[4] Auslegungs- und Anwendungshinweise zu § 25c KWG („sonstige strafbare Handlungen“), Stand: 01.06.2011: „Abhängig von der Größe und Organisationsstruktur des Instituts kann die Schaffung eines internen oder externen niedrigschwelligen Informationsweges, der die Anonymität von Mitarbeitern sicherstellt (z.B. Hinweisgebersystem bzw. „Whistleblowing“), bei der Aufdeckung strafbarer Handlungen hilfreich sein.“

[5] Abrufbar unter: http://sustainabilityreport.adidas-group.com/de/SER2010/employees/rights-and-rules/Default.aspx, S. 5 f.

[6] Abrufbar unter: https://www.db.com/cr/de/nachhaltiges-bankgeschaeft/compliance__.htm.

[7] Abrufbar unter: http://www.dpdhl.com/de/ueber_uns/code_of_conduct.html

[8] Abrufbar unter: https://www.eon.com/content/dam/eon/eon-com/images/About_EON/nachhaltigkeit/sdg/Verhaltenskodex_DE.pdf, S. 7 f.

[9] Abrufbar unter: https://cr-bericht2011.deutsche-boerse.com/corporate-responsibility-bericht-2011/cr-themen/compliance/.

[10]  https://www.infineon.com/cms/de/about-infineon/investor/corporate-governance/compliance/compliance-management-system/.

[11] Abrufbar unter: http://www.the-linde-group.com/de/corporate_responsibility/business_and_governance/compliance/index.html.

[12] Abrufbar unter: https://www.allianz.de/compliance/

[13] Abrufbar unter: https://www.commerzbank.de/de/nachhaltigkeit/governance/compliance_1/schutz_vor_wirtschaftskriminalit_t_1/Hinweisgebersystem.html.

[14] Abrufbar unter: https://www.daimler.com/konzern/corporate-governance/compliance/bpo.html.

[15] Abrufbar unter: https://www.volkswagenag.com/de/group/compliance-and-risk-management/whistleblowersystem.html.

[16] Abrufbar unter: https://investor-relations.lufthansagroup.com/corporate-governance/compliance/ombudssystem.html.

[17] Abrufbar unter: https://www.fresenius.de/media/Fresenius_EZU_Verguetung_2016_deutsch.pdf.

[18] Abrufbar unter: http://deutsche-boerse.com/blob/2533426/dcdf87-ac48b27428aae4266fb0898c45/data/verhaltenskodex_de.pdf, S. 7.

[19] Abrufbar unter: https://www.freseniusmedicalcare.com/de/investoren/corporate-governance/erklaerung-zur-unternehmensfuehrung/.

[20] Abrufbar unter: https://www.sap.com/docs/download/investors/2017/sap-code-of-business-conduct-for-employees-de.pdf, S. 19.

[21] Abrufbar unter: http://investoren.vonovia.de/websites/vonovia/german/7030/compliance.html.

[22] Abrufbar unter: https://www.munichre.com/de/group/company/corporate-governance/compliance/index.html.

[23] Abrufbar unter: http://www.heidelbergcement.com/de/erklaerungzur-unternehmensfuehrung.

[24] Abrufbar unter: http://www.rwe.com/web/cms/de/2700146/rwe/ueber-rwe/compliance/externer-ansprechpartner/.

[25] Abrufbar unter: https://www.basf.com/de/company/about-us/management/code-of-conduct.html.

[26] Abrufbar unter: https://www.prosiebensat1.de/uploads/2016/12/07/Verhaltenskodex_P7S12016.pdf.

[27] Abrufbar unter: https://www.siemens.com/global/de/home/unternehmen/nachhaltigkeit/compliance/meldewege.html.

[28] Vgl. noch zu der entsprechenden Regelung in § 3 BDSG Gola/Schomerus/Gola/Klug/Körffer, BDSG, 12. Aufl. 2015, § 3 Rn. 2 ff.; Wisskirchen/Körber/Bissels, BB 2006, 1567, 1568.

[29] ErfK/Franzen, 17. Aufl. 2017, § 32 BDSG Rn. 22.

[30] Zu den Datenströmen bei einem Whistleblowingsystem siehe auch „Whistleblowing-Hotlines: Firmeninterne Warnsysteme und Beschäftigtendatenschutz“, S. 2, abrufbar unter: https://www.datenschutz.bremen.de/sixcms/media.php/13/Orientierungshilfe-WhistleblowingHotlines.pdf.

[31] Hierzu ausführlich unter V.1.

[32] Schemmel/Rumannseder/Witzigmann, Hinweisgebersysteme: Implementierung im Unternehmen, 2012, S. 241 ff.

[33] So schon der Gesetzentwurf, BT-Drucks. 16/13657, S. 21.

[34] So schon der Gesetzentwurf, BT-Drucks. 16/13657, S. 21.

[35] Es ist ein weites Verständnis bei dem Begriff der Erforderlichkeit anzulegen, vgl. ErfK/Franzen, 17. Aufl. 2017, § 32 BDSG Rn. 6.

[36] ErfK/Franzen, 17. Aufl. 2017, § 32 BDSG Rn. 6; zu der Prüfung im Einzelnen BAG v. 20.06.2013 – 2 AZR 546/12, NZA 2014, 143; Wybitul, BB 2010, 1086 ff.

[37] Auch Reichold, in: Münchener Handbuch zum Arbeitsrecht, 3. Aufl. 2009, § 49 Rn. 11 erkennt an, dass der Arbeitgeber auch anonymen Hinweisen nachgehen kann, lehnt es aber ab, dass die Arbeitnehmer durch eine Whistleblowing-Klausel auch zu anonymen Hinweisen aufgefordert werden dürfen. Vgl. dazu auch Mahnhold, NZA 2008, 737, 740

[38] In diesem Sinn Gola/Schomerus/Gola/Klug/Körffer, BDSG, 12. Aufl. 2015, § 33 Rn. 34; Breinlinger/Krader, RDV 2006, 60, 67 f.; Grau, KSzW 2012, 66, 72; von Zimmermann, RDV 2006, 242, 246 f.

[39] So auch schon Thüsing/Forst, Beschäftigtendatenschutz und Compliance, 2. Aufl. 2014, § 6 Rn. 80.