Beitrag

Datenschutz und IT-Sicherheit in der Sozialwirtschaft Fr 01.11.2013

Datenschutzsiegel für Whistleblowing-System

Das Business Keeper Monitoring System (BKMS® System) der Berliner Business Keeper AG wurde im Oktober mit dem Datenschutzgütesiegel des Unabhängigen Landeszentrums für Datenschutz gemäß Datenschutzauditverordnung (DSAVO) ausgezeichnet. Auditiert wurde das Verfahren durch die Gutachter Dr. Irene Karper und Ralf von Rahden der Prüfstelle datenschutz cert GmbH.

 

BKMS® System wurde bereits im Sommer 2013 mit dem Europäischen Datenschutzgütesiegel EuroPriSe ausgezeichnet. 

Im Rahmen des Wertemanagements, der Compliance oder der Revision werden oftmals sogenannte „Whistleblowing“-Verfahren eingesetzt. Systeme, wie das BKMS® System, ermöglichen dabei in der Regel einen Dialog zwischen einem Hinweisgeber und einem Unternehmen oder einer Behörde, um Missstände, Gefahren oder Risiken melden zu können. 

Da im Rahmen des Whistleblowings oftmals sehr sensible personenbezogene Daten verarbeitet werden, sind die datenschutzrechtlichen und IT-sicherheitstechnischen Hürden sehr hoch. Diesbezüglich ist z.B. das Working Paper No. 117 der Artikel-29-Datenschutzgruppe („Opinion 1/2006 on the application of EU data protection rules to internal whistleblowing schemes in the fields of accounting, internal accounting controls, auditing matters, fight against bribery, banking and financial crime”) zu nennen, sowie die Richtlinien für die Implementierung von Whistleblowing-Systemen der französischen Datenschutzbehörde Commission Nationale de l'Informatique et des Libertés (CNIL) aber auch der Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Beschäftigtendatenschutz“ des Düsseldorfer Kreises zum Thema „Whistleblowing – Hotlines: Firmeninterne Warnsysteme und Beschäftigtendatenschutz“.

Auf der anderen Seite stehen die zu beachtenden Sonderbestimmungen, wie z.B. der Sarbanes-Oxley-Act (SOX), der börsennotierten Unternehmen in den USA – und damit mittelbar auch deren Unternehmensbestandteilen in der Europäischen Union (EU) - interne Kontrollmaßnahmen vorgibt. Daneben gibt es weltweit zahlreiche Bestimmungen zu Meldemöglichkeiten oder -pflichten, wie etwa die OECD Anti-Korruptionskonvention oder § 11 Geldwäschegesetz, § 10 Wertpapier-handelsgesetz, § 16 Abs. 1 Arbeitsschutzgesetz sowie Remonstrationspflichten im Beamtenrecht. Denkbar sind auch individuelle oder kollektive Vereinbarungen über die Meldung von Regelverstößen.

Für die rechtliche Bewertung ist hervorzuheben, dass ausländische bzw. internationale Regelungen, wie der SOX, keine datenschutzrechtlichen Grundlagen der Datenverarbeitung und Datenübermittlung im Sinne der EU-Datenschutz-Richtlinie 95/46/EG bzw. nationaler Datenschutzbestimmungen darstellen.

Hingegen stellt Art. 7 lit. f ii) der Richtlinie 95/46/EG auf EU-Ebene eine Rahmenregelung dar. Hiernach ist eine Verarbeitung personenbezogener Daten zulässig, wenn dies zur Verfolgung eines berechtigten Interesses der verantwortlichen Stelle erfolgt und dabei in einem angemessenen Verhältnis zu den schützenswerten Interessen des Betroffen steht. Nationale Entsprechung des Art. 7 der Richtlinie 95/46/EG für das deutsche Recht ist zunächst § 28 Abs. 1 S. 1. Nr. 2 BDSG als allgemeine Regelung sowie als lex specialis für den Bereich der Beschäftigtendatenverarbeitung § 32 Abs. 1 S. 2 BDSG. Rechtsgrundlage kann zudem eine Einwilligungserklärung der Betroffenen sein, sofern die Voraussetzungen der §§ 4, 4a BDSG erfüllt sind. Dabei ist allerdings hervorzuheben, dass die notwendige Freiwilligkeit von Einwilligungserklärungen in Beschäftigungsverhältnissen aufgrund des hierarchischen Verhältnisses zwischen Arbeitnehmer und Arbeitgeber in der Regel nicht anzuerkennen ist.

Neben den genannten Auslegungshilfen durch die Datenschutzaufsichtsbehörden hat sich auch die Rechtsprechung mit den Grenzen des Whistleblowing beschäftigt. Etwa stellte der Bundesgerichtshof im sog. „Compliance-Officer-Urteil“ (Urteil vom 17.07.2009, Az. 5 StR 394/08, abgedruckt in: BB 2009, 2263ff.) klar, dass das Unternehmen eine Verpflichtung zur Verhinderung von intern begangenen Straftaten trifft. Ferner hat der Europäische Gerichtshof für Menschenrechte festgestellt, dass Hinweissysteme ein „wichtiges Instrument zur Gewährleistung des Rechts auf freie Meinungsäußerung gemäß Art. 10 EMRK“ darstellen (Urteil vom 21.07.2011, Az. 28274/08).

Angesichts der zahlreichen Auslegungshilfen sind demnach bei Whistleblowing-Verfahren vor allem folgende Datenschutz-Aspekte zu berücksichtigen:

  • Die Meldungen dürfen Verstöße in den Bereichen Rechnungslegung, interne Rechnungslegungskontrollen, Fragen der Wirtschaftsprüfung, Korruption, sowie Banken- und Finanzkriminalität oder Verstöße gegen Menschenrechte und Umweltbelange betreffen (sogenannte „Harte Faktoren“); grundsätzlich nicht zulässig sind Meldungen über Verstöße gegen „weiche Faktoren“, wie z.B. Ethik-, oder Verhaltensregelungen; diese können nur gerechtfertigt sein, wenn keine schutzwürdigen Interessen der Betroffenen dem entgegenstehen. Empfehlenswert ist die Umsetzung dieser Anforderung durch fest definierte Themenlisten mit den als relevant eingestuften Arten von Verstößen.
  • Der Umfang der zu erhebenden Daten muss in einem angemessenen Verhältnis zum erzielten Zweck stehen.
  • Die Möglichkeit anonymer Meldungen darf nicht der Regelfall sein, sondern muss - insbesondere gegenüber den Hinweisgebern - als Ausnahme dargestellt werden.
  • Daten sollten innerhalb von 2 Monaten nach Untersuchungsabschluss gelöscht werden. Eine längere Speicherung ist im Rahmen der Klärung rechtlicher Schritte, wie Disziplinarverfahren oder Strafverfahren zulässig. Personenbezogene Daten im Zusammenhang mit Meldungen, die als grundlos erachtet werden, sollten unverzüglich gelöscht werden.
  • Soweit Datenübermittlungen an Stellen außerhalb der EU oder des Europäischen Wirtschaftsraumes erfolgen, muss in den Zielländern ein angemessenes Datenschutzniveau gewährleistet sein.
  • Bei Einschaltung von Auftragsdatenverarbeitern sind diese schriftlich auf die Umsetzung von Datenschutzmaßnahmen zu verpflichten und zu prüfen. 
  • Das Meldesystem muss die Datensicherheit durch angemessene technische und organisatorische Maßnahmen gewährleisten.
  • Unabhängig davon, wer im Verfahren „Betroffener“ ist, sind grundsätzlich alle am Verfahren Beteiligten sowohl über die Existenz, den Zweck und die Funktionsweise des Verfahrens zu unterrichten, als auch über ihre Datenschutzrechte. 

Der Einsatz eines Whistleblowing-Systems unterliegt insofern nicht nur einer Compliance-Prüfung sondern auch der Vorabkontrolle durch den behördlichen oder betrieblichen Datenschutzbeauftragten (vgl. hierzu auch den Beitrag von Olaf Rossow, datenschutz nord GmbH).

Anerkannte Datenschutzgütesiegel, wie das für das BKMS® System vergebene Zertifikat EuroPriSe sowie das Datenschutzgütesiegel des ULD gemäß DSAVO (Pressemitteilung der Business Keeper AG), unterstützen die Bewertung und bieten eine verlässliche Grundlage dafür, dass das Verfahren bereits von einer fachkundigen und unabhängigen Prüfstelle „auf Herz und Nieren“ geprüft wurde.

Von Dr. Irene Karper in der Rubrik cert News