Das Hinweisgeberschutzgesetz („HinSchG“) hat in vielen Unternehmen ein stärkeres Bewusstsein für interne Meldesysteme und den Schutz von Hinweisgebern geschaffen. Während die Einführung von Hinweisgebersystemen zur Aufdeckung von Missständen und zur Förderung einer transparenten Unternehmenskultur beiträgt, bringt sie auch komplexe datenschutzrechtliche Herausforderungen mit sich. Wir zeigen, was es zu beachten gilt.
Personen, die mit der Bearbeitung von eingehenden Meldungen beauftragt sind, sog. Meldestellenbeauftragte, müssen sicherstellen, dass die Bearbeitung der Meldungen sowohl den Anforderungen des HinSchG als auch den datenschutzrechtlichen Bestimmungen, insbesondere der Datenschutzgrundverordnung („DSGVO“) und dem Bundesdatenschutzgesetz („BDSG“), entspricht. Dabei steht insbesondere das im HinSchG normierte Vertraulichkeitsgebot in (vermeintlichem) Widerspruch zu den datenschutzrechtlichen Informations-, Auskunfts- und Melde- und Benachrichtigungspflichten.
Das Vertraulichkeitsgebot des HinSchG
Wesentlicher Bestandteil des gesetzlichen Hinweisgeberschutzes ist das in den §§ 8 und 9 HinSchG normierte Vertraulichkeitsgebot. Danach haben die Meldestellen insbesondere die Vertraulichkeit der Identität der hinweisgebenden Person zu wahren – jedenfalls dann, wenn die gemeldeten Informationen Verstöße betreffen, die in den Anwendungsbereich des HinSchG fallen, oder die hinweisgebende Person hiervon ausgehen durfte (vgl. § 8 HinSchG).
Informationen über die Identität der hinweisgebenden Person oder über sonstige Umstände, die Rückschlüsse auf die Identität dieser Person erlauben, dürfen nur in den gesetzlich normierten Ausnahmefällen weitergegeben werden, vgl. § 9 HinSchG. So sieht das Gesetz beispielsweise eine Ausnahme von dem strengen Vertraulichkeitsgebot vor, wenn die hinweisgebende Person vorsätzlich oder grob fahrlässig unrichtige Informationen meldet, die Preisgabe der Identität in Strafverfahren auf Verlangen der Strafverfolgungsbehörden erfolgt oder die Weitergabe für Folgemaßnahmen erforderlich ist. Vergleichbare Grundsätze gelten auch zum Schutz der Identität derjenigen Personen, die Gegenstand der Meldung sind oder sonst in der Meldung genannt werden.
Das hinweisgeberrechtliche Vertraulichkeitsgebot steht – jedenfalls auf den ersten Blick – in einem klaren Widerspruch zu den vielfältigen datenschutzrechtlichen Informations-, Auskunfts-, Melde- und Benachrichtigungspflichten, die den für die Datenverarbeitung Verantwortlichen z. B. bei der Bearbeitung von eingehenden Meldungen über das Hinweisgebersystem und/oder der sich anschließenden Aufklärung des Sachverhalts treffen können. Dieser „Konflikt“ soll im Folgenden aufgelöst werden.
Informationspflichten und Auskunftsanspruch nach der DSGVO
Zu beachten ist zunächst die Informationspflicht aus Art. 14 DSGVO, die besteht, wenn personenbezogene Daten nicht bei der betroffenen Person selbst erhoben werden. Dies können beispielsweise personenbezogene Daten, z. B. der Name, einer Person sein, die Gegenstand der Meldung ist. Gemäß Art. 14 DSGVO ist der datenschutzrechtlich Verantwortliche verpflichtet, die betroffene Person spätestens innerhalb eines Monats nach Erhebung der personenbezogenen Daten darüber die Datenverarbeitung zu informieren. Dabei hat der Verantwortliche unter anderem auch mitzuteilen, aus welcher Quelle die erhobenen Daten stammen (vgl. Art. 14 Abs. 2 lit. f DSGVO).
Die datenschutzrechtliche Pflicht zur Preisgabe der Datenquelle kann sich auch im Rahmen des Auskunftsanspruchs nach Art. 15 DSGVO ergeben. Danach haben betroffene Personen hat das Recht, von dem datenschutzrechtlichen Verantwortlichen Auskunft darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Auch hier schreibt Art. 15 Abs. 1 lit. g DSGVO vor, dass der betroffenen Person alle verfügbaren Informationen über die Herkunft der Daten zu erteilen sind.
Praxishinweis: Wen konkret die Informationspflichten treffen und wer Adressat des Auskunftsanspruchs der betroffenen Person ist, mithin wer als Verantwortlicher im datenschutzrechtlichen Sinne ist, ist noch nicht höchstrichterlich entschieden. Die überwiegende Ansicht der Fachexperten geht davon aus, dass Informationsverpflichteter bzw. Auskunftsschuldner nicht die Meldestelle selbst ist, sondern der für den Betrieb der Meldestelle verantwortliche Beschäftigungsgeber bzw. die betreffende Behörde. Es gibt jedoch auch gegenläufige Stimmen in der einschlägigen Rechtsliteratur, die die Meldestelle stelle selbst als datenschutzrechtlichen Verantwortlichen sehen.
Sofern keine datenschutzrechtlichen Ausnahmetatbestände eingreifen, folgt aus der Pflicht zur Information der betroffenen Person und der Pflicht zur Auskunftserteilung folglich auch die Verpflichtung des Verantwortlichen, die Identität der hinweisgebenden Person preiszugeben. Diese Pflicht steht jedoch in klarem Widerspruch zum Vertraulichkeitsgebot nach dem HinSchG und dem damit verfolgten Hinweisgeberschutz.
Hinweisgeberschutz vor Informations-/Auskunftsrechten der betroffenen Personen
Der Gesetzgeber räumt daher im Anwendungsbereich des HinSchG dem Schutz der Identität der hinweisgebenden Person den Vorrang ein. Soweit die Informationen dem hinweisgeberrechtlichen Vertraulichkeitsgebot unterliegen, sind die datenschutzrechtlichen Informationspflichten und Auskunftsansprüche in Bezug auf die Identität der hinweisgebenden Person ausgeschlossen. Dies folgt aus Art. 23 Abs. 1 Buchst. i DSGVO i.V.m. § 29 Abs. 1 S. 1 und 2 BDSG i.V.m. § 8 Abs. 1 S. 1 Nr. 1 HinSchG. Danach müssen Informationen, die ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen, nicht offenbart werden.
Dies gilt nicht nur für die Information über die Identität der hinweisgebenden Person selbst, sondern auch für die Auskunft über sonstige Umstände, die Rückschlüsse auf die Identität der hinweisgebenden Person zulassen. Auch die Weitergabe solcher über die reine Identität der hinweisgebenden Person hinausgehenden Informationen ist vollumfänglich untersagt, soweit das HinSchG die Weitergabe nicht gem. § 9 Abs. 2 und 3 ausdrücklich gestattet. Folgerichtig dürfen diese Informationen auch nicht zu den Personalakten der von der Datenverarbeitung betroffenen Person genommen werden, da sie sonst dem Einsichtsrecht nach § 83 Abs. 1 BetrVG ausgesetzt wären.
Zu beachten ist allerdings, dass die Identität der hinweisgebenden Person nur dann als „geheimhaltungsbedürftig“ anzusehen ist, wenn die hinweisgebende Person auch tatsächlich unter den Schutz des HinSchG fällt (vgl. zu den einzelnen Voraussetzungen §§ 33 i.V.m. 8 Abs. 1 HinSchG). Dies ist, wie eingangs erwähnt, beispielsweise nicht der Fall, wenn die hinweisgebende Person absichtlich eine Falschmeldung abgibt.
Datenschutzrechtliche Melde- und Benachrichtigungspflichten
Das hinweisgeberrechtliche Vertraulichkeitsgebot ist zudem auch im Rahmen der Meldepflicht nach Art. 33 DSGVO und der Pflicht zur Benachrichtigung der betroffenen Personen gem. Art. 34 DSGVO bei der Verletzung des Schutzes personenbezogener Daten (sog. Datenschutzverletzungen oder „Datenpannen“) zu berücksichtigen. Denn auch Datenschutzverletzungen können unter den sachlichen Anwendungsbereich des HinSchG fallen, vgl. § 2 Nr. 3 lit. p) HinSchG. Im Falle einer Datenschutzverletzung hat der datenschutzrechtlich Verantwortliche nicht nur die Pflicht, binnen 72 Stunden eine Meldung an die zuständige Aufsichtsbehörde abzugeben, sondern auch die betroffene Person unverzüglich über die Datenschutzverletzung zu benachrichtigen, wenn die Datenschutzverletzung voraussichtlich ein hohes Risiko für ihre persönlichen Rechte und Freiheiten zu Folge hat.
Auch im Rahmen der Benachrichtigung der betroffenen Person ordnet das Gesetz (§ 29 Abs. 1 S. 3 BDSG) grundsätzlich den Vorrang des Hinweisgeberschutzes, d.h. die Wahrung der Identität der hinweisgebenden Person, an. Allerdings sieht § 29 Abs. 1 S. 4 BDSG dann eine Rückausnahme vom Vertraulichkeitsgebot vor, wenn die Interessen der von der Datenverarbeitung betroffenen Person, insbesondere unter Berücksichtigung drohender Schäden, gegenüber dem Geheimhaltungsinteresse überwiegen. Dies kann beispielsweise der Fall sein, wenn besonders sensible Daten betroffen sind oder durch die Datenpanne gravierende Schäden für die betroffene Person drohen und die Preisgabe der Identität erforderlich ist, um Maßnahmen zur Verhinderung oder Eindämmung der Schäden zu ergreifen.
Zu beachten ist in diesem Zusammenhang schließlich, dass § 29 BDSG keine Ausnahme für die Pflicht zur Meldung von Datenschutzverletzungen an die zuständige Aufsichtsbehörde vorsieht. In der Regel wird jedoch eine behördliche Meldung von Datenschutzverletzungen oder -pannen auch ohne Preisgabe der Identität der hinweisgebenden Person möglich sein.
Fazit und Handlungsempfehlung
Das Zusammenspiel von Hinweisgeberschutzvorschriften und den vielfältigen datenschutzrechtlichen Informations-, Auskunfts-, Melde- und Benachrichtigungspflichten ist komplex. Wichtig ist, dass die mit der Bearbeitung von Meldungen und Hinweisen betrauten Personen der internen Meldestelle mit der Reichweite des Vertraulichkeitsgebots und den rechtlichen Ausnahmen hinreichend vertraut sind. Für die erforderliche Fachkunde hat der Beschäftigungsgeber Sorge zu tragen (vgl. § 15 Abs. 2 S. 1 HinSchG), zum Beispiel durch regelmäßige Schulung der Meldestellenbeauftragten. Die Risiken, die mit der Verletzung des Hinweisgeberschutzes einhergehen, sollten nicht unterschätzt werden. Schließlich können Verstöße gegen das Vertraulichkeitsgebot eine Ordnungswidrigkeit darstellen und mit einem Bußgeld von bis zu bis zu fünfzigtausend Euro geahndet werden.