Nicole Biermann-Wehmeyer

Autorin, Juristin, Compliance Officer, Digitalisierungsberaterin

Nicole-biermann-wehmeyer-quadrat

Bildungsinstitut Wirtschaft

Das Onlinemagazin

Bildungsinstitut-Wirtschaft

Lara Wehmeyer

Studentin

Die besten BIW-Blogs, die Ihr Business ankurbeln und Lösungen schaffen

Whistleblowerhotline und Datenschutz Teil 3

Phone-alt Mail-bulk
Nicole-Biermann-Wehmeyer

Whistleblowerhotline und Datenschutz

Autorin & Juristin Nicole Biermann-Wehmeyer - Expertin für Compliance Themen

Compliance Expertin-nicole-biermann-wehmeyer-freigestellt.2.2
Whistleblowerhotline und Datenschutz

Integration der Whistleblower und Datenschutz

Mit der Bearbeitung von Meldungen zu Verstößen geht in der Regel auch die Verarbeitung personenbezogener Daten einher. 
Die Anwendbarkeit der DSGVO und des BDSG ist auch bei der Implementierung der Whistleblowerhotline gegeben.
Es besteht ein erhöhter Compliance-Aufwand, da bei der Einrichtung der Whistleblower-Hotline oder entsprechender Online-Lösungen die datenschutzrechtlichen Anforderungen eingehalten werden müssen. Es handelt sich um die 
Verarbeitung personenbezogener Daten. Somit ist eine Geltung der DSGVO und dem BDSG gegeben.

Wann ist ein Personenbezug der Daten gegeben?

Im Rahmen der Whistleblower-Hotline kann ein Personenbezug in mehreren Konstellationen gegeben sein.
Die Whistleblower-Richtlinie schreibt zum Datenschutz lediglich vor, dass die Verarbeitung personenbezogener Daten im Einklang mit der DSGVO erfolgen soll und fordert die Mitgliedstaaten pauschal auf, den Datenschutz zu gewährleisten.
Im Bereich der Whistleblower-Hotline finden spezielle Anforderungen aus DSGVO und BDSG zum Beschäftigungsverhältnis Anwendung.

Ein Weg für Unternehmen, zusätzliche datenschutzrechtliche Anforderungen zu verhindern, stellt die Anonymisierung von personenbezogenen Daten dar. 

Werden im Rahmen des Meldesystems Daten grundsätzlich nur anonymisiert verarbeitet und liegt insofern gar kein Personenbezug vor, ist auch die DSGVO nicht anwendbar. 

Faktisch werden die Meldungen jedoch zumeist personenbezogene Daten enthalten. Zunächst kann es um die Verarbeitung der Daten des Hinweisgebers selbst gehen, wenn er z.B. seinen Namen bei der Meldung eines Missstandes angibt oder für Rückfragen sogar angeben muss.

Kann der Hinweisgeber jedoch anonym handeln, dann liegt an dieser Stelle kein Personenbezug vor. Hier ist denkbar, dass das Hinweisgebersystem auf einem Formularsystem aufgebaut wird, in das der Hinweisgeber sein Anliegen eintragen kann ohne seinen Namen oder eine E-Mail-Adresse preiszugeben.

So wird sichergestellt, dass nicht über eine E-Mail-Adresse oder Telefonnumer ein Personenbezug hergestellt wird.

 

Personenbezogene Daten in der Sachverhaltsbeschreibung

Die Verarbeitung personenbezogener Daten kann außerdem in Bezug auf den Sachverhalt vorliegen, den der Hinweisgeber aufdecken möchte.
In der Sachverhaltsbeschreibung werden sich sehr häufig auch Namen oder andere personenbezogene Daten von anderen Personen wiederfinden, die mit dem Sachverhalt in Verbindung stehen oder die der Hinweisgeber offenlegen möchte. In diesen Fällen ergeben häufig anonymisierte Angaben keinen Sinn, da der Sachverhalt nicht effektiv aufgeklärt werden kann, wenn genauere Informationen zu weiteren Beteiligten fehlen.
Wie kann die Verarbeitung personenbezogener Daten zulässig werden?
Ist eine anonyme Ausgestaltung des Meldesystems nicht möglich, wird der Anwendungsbereich der DSGVO und BDSG eröffnet sein und die Verarbeitung der personenbezogenen Daten ist nur erlaubt, wenn eine Rechtfertigung dafür vorliegt.

Einwilligung des Hinweisgebers

Der Hinweisgeber kann eine Einwilligung dafür erteilen, dass sein Name, seine E-Mail-Adresse oder andere personenbezogene Daten verarbeitet werden. Es ist in diesem Fall eine freiwillige Einwilligung erforderlich.
Eine echte oder freie Wahl die Einwilligung zu erteilen oder sie zu verweigern muss bestehen.
Diesbezüglich gibt es im Beschäftigungsverhältnis in § 26 BDSG zusätzliche Kriterien, die zu beachten sind.
Eine Verarbeitung auf Grundlage des Arbeitsvertrags des Hinweisgebers oder der Person, deren Identität er preisgibt, ist unzulässig. Im Rahmen des Hinweisgebersystems ist der Arbeitsvertrag nicht direkt betroffen und die Datenverarbeitung ist zur Erfüllung des Arbeitsvertrags nicht notwendig.

Wann wird eine Datenverarbeitung ohne Einwilligung zulässig?

Allerdings kann eine Verarbeitung zulässig werden, wenn diese zur Meldung von Missständen erforderlich ist und durch die berechtigten Interessen des Unternehmens gerechtfertigt ist.
Solche Interessen können z.B. die Verhütung von Betrugsfällen im Unternehmen, die Aufdeckung oder Vermeidung von Korruption oder die Gewährleistung finanzieller Sicherheit des Unternehmens sein.
Diese Interessen müssen allerdings mit den Interessen der betroffenen Personen abgewogen werden, damit die Verarbeitung zulässig wird. Es handelt sich somit um eine Ermessensentscheidung und es ist eine Interessenabwägung vorzunehmen.

Die Interessen des Unternehmens werden insbesondere bei Verhaltensweisen der betroffenen Person überwiegen, die einen Straftatbestand erfüllen oder die gegen Menschenrechte und gewichtige Umweltbelange verstoßen.Bei der Meldung von Verstößen gegen interne Regeln ist jedoch gründlich abzuwägen und im Einzelfall zu entscheiden, wessen Interessen überwiegen. 

Die Interessen des Unternehmens werden vermutlich nur dann ausreichen, wenn die internen Regeln, gegen die laut Hinweisgeber verstoßen wurde, der Vermeidung der “Katalogstraftaten” dienen. 

Verstöße gegen interne Regeln wie das Gebot der Freundlichkeit in der Kundenbetreuung werden die Verarbeitung personenbezogener Daten wohl nicht rechtfertigen.

 

Tipps zu den Maßnahmen im Rahmen der Compliance

Binden Sie bereits in die Onboarding Prozesse Compliance und Datenschutz Schulungen sowie eine Aufklärung zur Whistleblowerhotline mit ein. 

Evaluieren Sie Ihr Compliance Management System durch regelmäßige Risikoanalysen und Anpassungen. Auch an dieser Stelle sollten die Ergebnisse der Whistleblowerhotline integriert werden.

Sorgen Sie für ein Handbuch, welches für jeden Mitarbeitenden zugänglich ist!

Veröffentlichen Sie regelmäßig Compliance Hinweise im Intranet!

Veranstalten Sie regelmäßige Schulungen und E-Learnings!

Ich stehe für Beratungen zur Verfügung.

Viel Erfolg!

Compliance Inhouse Schulung
Ausbildung zum zertifizierten Compliance Officer
Ausbildung Compliance Officer Online
Ausbildung Compliance Officer in Berlin
Ausbildung Compliance Officer in München
Ausbildung Compliance Officer in Frankfurt
Ausbildung Compliance Officer in Düsseldorf

Fazit

Wenn Sie daran interessiert sind, eine Rolle als Compliance Officer zu übernehmen, ist eine qualitativ hochwertige Ausbildung der erste Schritt auf diesem Weg. Wir bieten Ihnen gerne eine praxisnahe Ausbildung zu allen Themen an. Rufen Sie uns gerne unter der Nummer 02871-239507-8 an.

 

Kontaktieren Sie uns!

Kontaktieren Sie uns gerne

Sie interessieren sich für mehr Details? Melden Sie sich gerne bei uns! Wir freuen uns auf Sie!
Picture of Nicole Biermann-Wehmeyer

Nicole Biermann-Wehmeyer

Individuell & kompetent

Wir beraten Sie gerne und stellen auch individuelle und geförderte Beratungs- und Schulungskonzepte für Sie zusammen.

Facebook-f Twitter Youtube

Inhouse Schulungen

Das BIW ist spezialisiert auf Inhouse-Schulungen in Unternehmen, Kammern und Universitäten.
Wir stellen für Sie Seminarpakete und individuelle eintägige Schulungen in vielen Themengebieten zusammen

Mehr erfahren

Letzte Artikel

Recent Posts

Vorträge

Unsere Dozenten halten Vorträge auf Veranstaltungen, Messen und Events

  • Vortrag Social Media & Digitalisierung
  • Vorträge Kommunikation & Konfliktmanagement
  • Vortrag Business Etikette
  • Vortrag Compliance & DS-GVO

Nicole Biermann-Wehmeyer ist häufig Rednerin bei Messen und Events.

Mehr erfahren

Bildungsinstitut Wirtschaft © 2023

Wissen ist Macht! macht Spaß!

Facebook Linkedin

Bildungsinstitut Wirtschaft © 2023

Kontakt

Kontakt

Service

Besonders beliebt

Quicklinks