Laut Bundesgerichtshofs besteht der DSGVO-Auskunftsanspruch grundsätzlich uneingeschränkt: § 15 DSGVO sei gerichtet auf alle verfügbaren Informationen über die Herkunft der Daten. Darunter fällt schlussendlich unzweifelhaft auch die Person des Hinweisgebers.
Eine Beschränkung des Anspruchs besteht allerdings bei etwaigen Beeinträchtigungen der Rechte und Freiheiten Dritter. Daher bedarf es einer Abwägung der wechselseitigen Interessen (Art. 6 Abs. 1 lit. f DSGVO), d.h. einerseits des Anspruchstellers an der Herkunftsauskunft und andererseits des Hinweisgebers an der Vertraulichkeit. Das Interesse des Hinweisgebers wird allerdings nur dann berücksichtigt, wenn die durch seinen Hinweis vorhandenen Daten, sofern sie Tatsachenbehauptungen enthalten, nicht sachlich falsch oder nicht erweislich wahr sind. Die Beweislast für diese Richtigkeit trägt der Verantwortliche. Die dem Hinweisgeber vom Verantwortlichen zugesicherte Verantwortlichkeit führt daher nicht zwangsläufig zu einem überwiegenden Interesse des Verantwortlichen an der Nichtoffenlegung der Identität des Hinweisgebers.
Sofern der Hinweisgeber nicht in die Übermittlung seiner Daten an den Antragsteller einwilligt, kommt es als weitere Rechtsgrundlage auf das berechtigte Interesse (Art. 6 Abs. 1 lit. c DSGVO: „die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt“) und die eingangs skizzierte Abwägung an.
Wie aber verläuft diese dreiseitige Abwägung der Interessen von Antragsteller, Hinweisgeber und Verantwortlichem?
§ 29 Abs. 1 Satz 2 BDSG lässt das Recht auf Auskunft entfallen, soweit durch die Auskunft Informationen (wie z.B. auch Personendaten) offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten (wie insb. einem Hinweisgeber), geheim gehalten werden müssen. Die Geheimhaltungspflicht bleibt fortbestehen, wenn die berechtigten Interessen des Dritten überwiegen. Zugunsten des Auskunftsberechtigten streiten Bedeutung, Gewicht und Zwecks des Auskunftsrechts über die Herkunft der Daten. Der Berechtigte wiederum hat ein Interesse daran zu wissen, dass – und welche – Verarbeitungen mit seinen personenbezogenen Daten erfolgen, und ggfls. die Rechtmäßigkeit dieser Verarbeitungen zu überprüfen. Zugunsten des Hinweisgebers ist allerdings zu berücksichtigen, dass natürlich auch dessen Rechte nach Art. 7 (Achtung des Privatlebens) und Art. 8 (Recht auf Schutz personenbezogener Daten) in der UN-Charta verbürgt sind.
Der Bundesgerichtshof stellt in Bezug auf die in diesen Fällen anzulegenden Abwägungsgrundsätze daher fest, dass das Interesse an der Geheimhaltung des Hinweisgebers gegenüber dem Auskunftsinteresse in der Regel (nur) dann zurücktreten muss, wenn der Hinweisgeber wider besseres Wissen leichtfertig unrichtige Angaben zu personenbezogenen Daten der betroffenen Person gemacht hat. Denn nicht selten kommt es zu Mitteilungen rufschädigenden Charakters, die das allgemeine Persönlichkeitsrecht verletzen können und auf deren objektive Richtigkeit es daher ankommt.
Idealerweise werden fragwürdige Eingaben von einer professionell (z.B. mit Ombudspersonen und/ oder Juristen) arbeitenden Meldestelle bereits im Vorfeld der Meldestellenverfahrens herausgefiltert. Das ist allerdings nicht immer der Fall. Dann stehen dem Antragsteller gegenüber dem Hinweisgeber, der ansehensbeeinträchtigende Tatsachen über ihn behauptet, Unterlassungs- und Entschädigungsansprüche zu, wenn sein Schutzinteresse überwiegt. Dies ist bei einer unwahren Tatsachenbehauptung, die anders als in der Regel eine wahre Tatsachenbehauptung nicht hingenommen werden muss, unabhängig vom Verschulden des Hinweisgebers regelmäßig der Fall.
Der Verantwortliche muss die Umstände darlegen und beweisen, die zu einer Verweigerung der Auskunft über die Person des Hinweisgebers eingreifen sollen. Es bedarf der Benennung konkreter Tatsachen, die das überwiegende Interesse des Hinweisgebers in seiner Geheimhaltung begründen.
Eine öffentliche Stelle kann allerdings die Mitteilung des Hinweisgebers verweigern, wenn die Offenlegung der Identität eines Hinweisgebers die ordnungsgemäße Erfüllung der in der Zuständigkeit der verantwortlichen Stellen liegenden Aufgaben, wie etwa die Kriminalitätsbekämpfung, gefährden würde.
Bei der Unwahrheit rufschädigender Behauptungen tritt also der Schutzanspruch des Hinweisgebers auf Nichtpreisgabe seiner Identität zurück. Daraus folgt also, dass Schutzbedürftigkeit bei unwahren Tatsachenbehauptungen ausscheidet. Erweisen sich die strittigen Behauptungen nach Prüfung als unrichtig, kann der die Auskunft beantragenden Person nicht unter bspw. Hinweis auf den Hausfrieden Auskunft über die Herkunft dieser Behauptungen verweigert werden.
Die Gefahr, die von dieser Rechtsauffassung des Bundesgerichtshofs ausgeht, ist offensichtlich: In Grenzfällen wird ein Hinweisgeber im Zweifel auf Hinweise verzichten, wenn er befürchten muss, haftungsrechtlich in Anspruch genommen zu werden. Diese Gefahr wird auch in der Regierungsbegründung zum Hinweisgeberschutzgesetz gesehen.
Allerdings, und hierauf verweist auch der Bundesgerichtshof, soll nach Maßgabe der EU-Richtlinie zum Whistleblowing (und auch laut Regierungsbegründung zum Gesetzentwurf) die Möglichkeit werden, dass auf Missstände auch anonym hingewiesen werden kann.
Eine etwaige gegebene Vertraulichkeitszusicherung des Verantwortlichen gegenüber dem Hinweisgeber kommt demgegenüber keine Relevanz zu. Denn der Anspruch aus Art. 15 DSGVO folgt aus den Rechten und Grundfreiheiten der Grundrechtecharta. Das Interesse des Verantwortlichen an einem funktionierenden Hinweisgeber- und Beschwerdesystem tritt demgegenüber zurück, da dieses ausschließlich private Interesse nicht in den Abwägungsprozess mit eingestellt werden kann. Dies gilt umso mehr, als dem Hinweisgeber die Möglichkeit eines anonymen Hinweises eingeräumt werden kann. Wollte man dies anders sehen, müsste eine Vertraulichkeitszusicherung ohnehin unter den Vorbehalt gestellt werden, dass die mit dem Hinweis aufgestellte Tatsachenbehauptungen sich als sachlich richtig erweisen.
Daraus folgt, dass die Beschäftigungsgeber (als Verantwortliche) Hinweisgebern stets vorab die Möglichkeit einräumen sollten, ihre Hinweise und Beschwerden anonym einzureichen. Denn hierdurch entfällt der oft schwierige Abwägungsprozess zur Offenbarung der Identität des Hinweisgebers.