Mittlerweile haben sich bereits viele Organisationen jeder Art auf das Hinweisgeberschutzgesetz eingestellt und sind mit der Umsetzung der neuen Standards zu vertraulichen Meldeverfahren beschäftigt, denn die Umsetzungsfrist zur Einrichtung einer Meldestelle im Sinne des Gesetzes zum besseren Schutz hinweisgebender Personen (Hinweisgeberschutzgesetzes – HinSchG) endet spätestens am 17.12.2023. Aber nicht nur im Rahmen des Hinweisgebeschutzgesetzes werden bekanntermaßen Standards für den Umgang mit empfindlichen Meldungen über meldewürdige Vorgänge gesetzt. Organisationen können sich im Rahmen ihres eigenen Compliance-Regelwerks selbst zum Betrieb einer Meldestelle verpflichten, solange die jeweiligen gesetzlichen Mindestvorgaben nicht unterschritten werden. So haben größere Konzerne regelmäßig schon lange vor dem Inkrafttreten des HinSchG oder der Verabschiedung der EU-Whistleblowing-Richtlinie eigene interne Meldestellen eingerichtet, um eine effektive Aufdeckung und Prävention von Verstößen gewährleisten zu können.
Der Landesbeauftragte für den Datenschutz und die Informationssicherheit Rheinland-Pfalz hat in seinem 31. Tätigkeitsbericht dieses Thema beobachten dürfen.
Zu viel Transparenz!
Er berichtet von wiederholten Fällen, in denen durch Preisgabe von Namen der meldenden Personen gegenüber den Beschuldigten ein evidenter Datenschutzverstoß entstanden ist. In einem exponierten Fall hat eine Mitarbeiterin empfindliche Informationen über eine sexuelle Belästigung am Arbeitsplatz in einem vertraulichen Gespräch mit ihrem Vorgesetzten preisgegeben.
Der Vorgesetzte informierte vermeintlich entsprechend der Dienstvereinbarung kurz darauf auch den Beschuldigten, welcher rechtliche Schritte gegen die meldende Mitarbeiterin einleitete. Die Dienstvereinbarung sah indes aber nicht vor, den Beschuldigten über den Namen der Meldenden aufzuklären. Dies war entsprechend des Regelwerks nur mit Einwilligung der Meldenden möglich.
Nach Auffassung des LfDI Rheinland-Pfalz stellte dies einen Verstoß gegen Art. 5 Abs. 1 lit. c, Art. 6 Abs. 1 lit. a, Art. 9 Abs. 1 lit. a, 88 DSGVO in Verbindung mit der Dienstvereinbarung dar.
Bigger Picture
Es erscheint zunächst nachvollziehbar, dass eine Belehrung von Betroffenen einer Datenverarbeitung – wie hier die Aufnahme eines Sachverhalts, der zu einem Untersuchungsverfahren führen könnte – in Anbetracht des Transparenzgebots gem. Art. 5 Abs. 1 lit. a DSGVO erforderlich wäre.
Der vorliegende Sachverhalt gibt nicht nur einen Referenzrahmen für Dienstvereinbarungen vor, dass solche gegebenenfalls deutlicher auf scheinbare Konflikte in einzelnen Vorgaben eingehen sollten. Auch das Hinweisgeberschutzgesetz lässt in solchen Fällen nämlich klar von einer Belehrung des Beschuldigten absehen. Unter welchen Umständen von der Belehrung eines Beschuldigten abgesehen werden sollte, lesen Sie hier.
Die Vertraulichkeit der Identität meldender Personen gemäß § 8 Abs. 1 Nr. 1 HinSchG ist grundsätzlich zu wahren. In den in § 9 HinSchG definierten Ausnahmefällen kann hiervon abgewichen werden. Einer dieser Fälle ist die genannte explizite Einwilligung der meldenden Person.
Fazit
Bei der Implementation einer Meldestelle nach dem HinSchG müssen einige Maßgaben beachtet werden. Schließlich lässt das Gesetz hier auch noch einen gewissen Gestaltungsspielraum zu, der ggf. auch unter Beteiligung des Betriebsrats definiert werden muss.
Da Fehler bei der Bearbeitung von Meldungen regelmäßig sensible Vorgänge betreffen, welche nicht nur zu Verwerfungen im Kollegium, sondern auch zu arbeitsrechtlichen Vorgängen wie Kündigungen führen können, sollten die Regeln der Meldevorgänge intern und mit Ihrer Ombudsperson gut abgestimmt werden.
Wir unterstützen Sie gerne bei der Einrichtung Ihrer Meldestelle. Weitere Informationen finden Sie auf unserer Website.