Anonymität spielt für Hinweisgeber (Whistleblower) eine wichtige Rolle. Wie hängen Datenschutz und Hinweisgeberschutz zusammen? Und wie können Hinweisgebersysteme die Vertraulichkeit von Whistleblowern schützen? Wir haben die wichtigsten Informationen auf einen Blick.
Unter dem Begriff „Whistleblowing“ versteht man die Veröffentlichung wichtiger interner Informationen, die bislang geheim gehalten wurden. In der Regel geht es dabei um die Bekanntmachung von Missständen in Unternehmen, Behörden, Verwaltungsanstalten oder anderen Bereichen. Die Allgemeinheit wird so über bestehende Fehlverhalten wie Diskriminierung, Datenmissbrauch oder gar Menschenrechtsverletzungen aufgeklärt. Personen, die diese Informationen preisgeben, nennt man auch Whistleblower bzw. Hinweisgeber.
Hinweisgeber leisten in den meisten Fällen einen enorm wichtigen Beitrag für die Gesellschaft und die Organisation, in der sie tätig sind. Durch die Bekanntmachung der Missstände wird nämlich oft verhindert, dass die Beschuldigten ihr Fehlverhalten ungesehen und ohne Konsequenzen weiterführen können. Gelangen diese Informationen an die Öffentlichkeit, wird die Gesellschaft für bestimmte Themen sensibilisiert und der demokratische Gedanke gestärkt. Die Arbeit der Hinweisgeber wird daher von der Allgemeinheit meist hoch anerkannt – nicht zuletzt, weil sie sich mit der Bekanntmachung geheimer Informationen selbst in eine angreifbare Situation bringen. Whistleblower agieren oft anonym, um eventuelle Repressalien oder (strafrechtliche) Folgen zu vermeiden.
Ob Whistleblowing strafbar ist, lässt sich pauschal nicht sagen. Werden die Informationen nur intern, z. B. an die zuständige Compliance-Stelle des Unternehmens, weitergegeben, begehen Hinweisgeber wohl kaum ein Verbrechen. Anders sieht es aus, wenn die Presse oder externe Behörden über Missstände informiert werden. Dann besteht im Zweifel tatsächlich die Möglichkeit einer strafrechtlichen Verfolgung.
Ein erhebliches Problem für die Vertraulichkeit der Hinweisgeber stellt die Datenschutzgrundverordnung (DSGVO) dar. Laut dieser dürfen Unternehmen personenbezogene Daten nicht erheben, ohne die Betroffenen über die Datenverarbeitung und deren Umfang in Kenntnis zu setzen. Das bedeutet unter anderem, dass Unternehmen dazu verpflichtet sind, Beschuldigte über den Eingang von Whistleblowing-Meldungen über sie zu informieren. Das Problem: Bei strikter Einhaltung der DSGVO dürfen Beschuldigte auch den Namen des Hinweisgebers erfahren.
Dementsprechend müssen auch die Hinweisgeber über die Bekanntmachung ihrer Namen im Falle einer Meldung aufgeklärt werden. Die Anonymität der Whistleblower ist also durch die DSGVO nicht mehr geschützt. Die Folge: Hinweisgeber werden abgeschreckt, da sie um die Vertraulichkeit ihrer Daten und Konsequenzen fürchten, eventuelle Missstände werden nicht aufgedeckt.
Um Hinweisgeber trotz DSGVO vor einer Kündigung, Degradierung oder anderen Konsequenzen zu schützen, wurde im Dezember 2019 die Whistleblower-Richtlinie der EU ins Leben gerufen. In dieser Richtlinie werden für alle Mitgliedsstaaten der Europäischen Union gemeinsame Mindeststandards definiert, um das Schutzniveau für Hinweisgeber zu erhöhen. Auch Deutschland wird die Whistleblower-Richtlinie der EU in Form eines Hinweisgeberschutzgesetzes (HinSchG) umsetzen. Die letzte vorgegebene Frist für die Verabschiedung eines solchen Gesetzes hat das Land zwar verstreichen lassen, allerdings wurde es nun in den Koalitionsvertrag der Ampel-Regierung aufgenommen.
Nach der EU-Vorgabe sind Unternehmen ab einer Größe von 50 Mitarbeitern bzw. ab einem Jahresumsatz von 10 Mio. € dazu verpflichtet, interne Meldekanäle einzurichten, die die Anonymität von Whistleblowern sicherstellen. Auch wenn das deutsche Hinweisgeberschutzgesetz noch auf sich warten lässt, können Whistleblower sich im Ernstfall bereits jetzt auf die geltende EU-Richtlinie berufen. Für Unternehmen empfiehlt es sich daher, geeignete Meldekanäle frühzeitig zu integrieren.
Die Konferenz der unabhängigen deutschen Datenschutzbehörden hat daher eine Orientierungshilfe für die Verarbeitung von Whistleblowing-Fällen in Unternehmen entwickelt. Danach sollen Unternehmen für die Integrierung geeigneter Systeme sorgen, mit denen Whistleblower ihre Meldungen anonym und diskret weitergeben können. Hinweisgebersysteme wie das Hinweisgeberportal bieten dafür eine praktikable Lösung.
Das Hinweisgeberportal ist ein Meldesystem für Unternehmen und Organisationen, mit dem Hinweisgeber eventuelle Missstände unkompliziert, anonym und trotzdem DSGVO-konform melden können. Die Compliance des Systems wird von der Beauftragung bis zur Bearbeitung der Meldungen sichergestellt:
Das Hinweisgebersystem erfüllt sämtliche Sicherheits- und Zertifizierungsmerkmale, um die Vertraulichkeit im Meldeprozess bei Missständen jederzeit zu gewährleisten:
Hinweisgeber erfüllen gesellschaftlich sowie unternehmerisch eine wichtige Aufgabe und sollten in ihrer Tätigkeit durch Hindernisse wie die DSGVO nicht aufgehalten oder gar abgeschreckt werden. Mit der Nutzung des Hinweisgeberportals sorgen Sie dafür, dass Meldungen weiterhin anonym und trotzdem gesetzeskonform übertragen und bearbeitet werden können.