Zum Inhalt springen

Whistleblowing und Compliance – wie man Meldesysteme nach Hinweisgeberschutzgesetz richtig implementiert – Teil 2

Plausibilitätsprüfung und Reporting

In allen Hinweisfällen werden Daten mit Personenbezug (oder Personenbeziehbarkeit) genutzt, bevor der dergestalt personalisierte Sachverhalt – um weitere Informationen angereichert – einem Plausibilitätscheck unterzogen wird. Dieser Plausibilitätscheck erfordert in der Regel die Beschaffung respektive Heranziehung zur Nutzung weiterer Daten aus dem Unternehmen oder Konzern.

Das Ergebnis kann schon in dieser ersten Phase eine Anhäufung unterschiedlichster datenschutzrechtlicher Gesetze, Nebengesetze, Regelungswerke und sonstiger Vorschriften sein.

Auch Haftungsthemen im Zusammenhang mit grundsätzlich bestehenden Verantwortlichkeiten des Unternehmens für die Handlungen von Hinweisgebern gilt es in den weiteren Verarbeitungsprozess mit einzuplanen. Erweist sich der Anfangsverdacht als plausibel, kommt es zu einer Weiterverarbeitung der Daten durch die abschließende Ermittlung des Sachverhalts und das anschließende Reporting an das Management.

Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage wird hier – außerhalb der sektorspezifischen Sonderverpflichteten (wie z.B. Banken und Versicherungen) – in der Regel die Wahrnehmung berechtigter Interessen im Sinne von Art. 6 Abs. 1 lit. f) DSGVO sein. Mit seinem baldigen Inkrafttreten wird das Hinweisgeberschutzgesetz die (dann gesetzliche) Rechtsgrundlage bilden, sofern das Unternehmen durchschnittlich mehr als 50 Mitarbeiter hat. Wird dieser Wert unterschritten, sind entsprechende Rechtsgrundlagen durch Kollektivvereinbarungen möglich, namentlich wenn es – bei hinreichenden Verdachtsanhaltspunkten – um die Aufdeckung einer Straftat im Beschäftigungsverhältnis geht.

Die Einwilligung stellt – auch hier – nicht den Goldstandard einer Ermächtigungsgrundlage dar, da sie mit dem Risiko der Widerruflichkeit behaftet ist, das sich in der Regel dann realisieren wird, wenn sich Anhaltspunkte gegen eine beschuldigte Person verdichten. Im Falle eines Einwilligungswiderrufs könnten die hierzu im Meldeprozess gesammelten Daten auf dieser Rechtsgrundlage nicht weiterverarbeitet werden.

Im 3. Teil unserer Reihe geht es um die Betroffenenrechte.

Top