Orientierungshilfe zu Whistleblowing-Hotlines

113

Firmeninterne Whistleblowing-Hotlines sind Angebote von Unternehmen an ihre Beschäftigten, ein nicht regelkonformes Verhalten anderer Beschäftigter dem Unternehmen zu melden.

Mit der Meldung von Verstößen gegen Verhaltenspflichten geht die Verarbeitung von personenbezogenen Daten einher. Für jegliche automatisierte und nichtautomatisierte Verarbeitung von Beschäftigtendaten sind die Datenschutz-Grundverordnung (DS-GVO)1
und § 26 Bundesdatenschutzgesetz (BDSG)2 in Verbindung mit Art. 88 DS-GVO anzuwenden. Betroffene Personengruppen sind vor allem die Hinweisgeberinnen und Hinweisgeber sowie die beschuldigten Personen.

Die Aufsichtsbehörden beschränken sich auf die Beurteilung der datenschutzrechtlichen Zulässigkeit der personenbezogenen Datenverarbeitung bei Meldeverfahren unter Einsatz von firmeninternen Whistleblowing-Hotlines nach den Vorschriften der DS-GVO. Die Übermittlung von personenbezogenen Daten in Drittstaaten – beispielsweise aufgrund des USamerikanischen Sarbanes-Oxley Act (SOX) – ist nicht Gegenstand der datenschutzrechtlichen Beurteilung der vorliegenden Orientierungshilfe.

Die Orientierungshilfe der Deutschen Datenschutzkonferenz (DSK) zeigt den datenschutzrechtlichen Rahmen und Regelungsmöglichkeiten zu Whistleblowing-Hotlines auf. Sie soll es den Arbeitgebern und den Interessenvertretungen der Beschäftigten erleichtern, im Unternehmen klare Regelungen zum Umgang mit Whistleblowing-Hotlines zu erreichen.