Whistleblowing Hotlines: Firmeninterne Warnsysteme und Beschäftigtendatenschutz

Transkript

1 Whistleblowing Hotlines: Firmeninterne Warnsysteme und Beschäftigtendatenschutz Arbeitsbericht der Ad-hoc-Arbeitsgruppe Beschäftigtendatenschutz des Düsseldorfer Kreises A. Einführung Whistleblowing-Hotlines sind Angebote von Unternehmen an ihre Mitarbeiterinnen und Mitarbeiter, ein nicht regelkonformes Verhalten anderer Mitarbeiterinnen und Mitarbeiter dem Unternehmen zu melden. Mit der Meldung von Verstößen gegen Verhaltenspflichten gehen die Erhebung, Übermittlung und Speicherung von personenbezogenen Daten einher. Wenn diese Daten automatisiert oder in nicht automatisierten Dateien verarbeitet werden, müssen die Vorschriften des Datenschutzrechts eingehalten werden. Betroffene Personengruppen sind vor allem die Hinweisgeberinnen und Hinweisgeber sowie die beschuldigten Personen. Die Artikel 29-Datenschutzgruppe (Datenschutzbeauftragte der Mitgliedstaaten der EU) hat die sich aus der EG-Datenschutzrichtlinie ergebenden datenschutzrechtlichen Ziele und Vorgaben in einer am verabschiedeten Stellungnahme zu Whistleblowing-Systemen zusammengefasst (im Folgenden: Stellungnahme WP 117). 1 Der Bericht der Arbeitsgruppe Beschäftigtendatenschutz des Düsseldorfer Kreises beschränkt sich auf die Beurteilung der datenschutzrechtlichen Zulässigkeit der automatisierten personenbezogenen Datenerhebung, -verarbeitung und -nutzung bei Meldeverfahren unter Einsatz von Whistleblowing-Hotlines nach den Vorschriften des Bundesdatenschutzgesetzes (BDSG). Die Übermittlung von personenbezogenen Daten in Drittstaaten - beispielsweise aufgrund des Sarbanes-Oxley Act (SOX) - ist nicht Gegenstand der datenschutzrechtlichen Beurteilung des vorliegenden Arbeitsberichts. B. Verstöße gegen unternehmensinterne Verhaltensregeln Interne Verfahren zur Meldung von Missständen werden in der Regel aus dem Bedürfnis eingerichtet, zuverlässige Grundsätze der Unternehmensführung in den täglichen Betrieb der Unternehmen einzuführen. Verfahren zur Meldung von Missständen sind als zusätzlicher Mechanismus für die Beschäftigten gedacht, um Missstände intern über einen bestimmten Kanal zu melden. Sie ergänzen die regulären Informations- und Meldekanäle der Einrichtung, wie beispielsweise Arbeitnehmervertretungen, Linienmanagement, Qualitätskontrollpersonal oder interne Auditoren, die eigens dafür eingestellt sind, solche Missstände zu melden. Die Meldung von Missständen ist als Ergänzung zum internen Management zu sehen und nicht als Ersatz dafür. 2 Bei der Einführung von Verhaltensregeln sind arbeitsrechtliche Erfordernisse zu berücksichtigen und Mitbestimmungsrechte des Betriebsrats zu wahren. Verstöße gegen Verhaltensgrundsätze können sein: 1 Stellungnahme 1/2006 der Article 29 Data Protection Working Party, abrufbar im Internet unter: 2 Stellungnahme WP 117, III. -S /7

2 1. Verhaltensweisen, die einen sich gegen das Unternehmensinteresse richtenden Straftatbestand erfüllen (insbesondere Betrug und Fehlverhalten in Bezug auf die Rechnungslegung sowie interne Rechnungslegungskontrollen, Wirtschaftsprüfungsdelikte, Korruption, Banken- und Finanzkriminalität, verbotene Insidergeschäfte), 3 2. Verhaltensweisen, die gegen Menschenrechte (z.b. Ausnutzung günstiger Produktionsbedingungen im Ausland durch in Kauf genommene Kinderarbeit) oder Umweltschutzbelange verstoßen, 3. Verhaltensweisen, die unternehmensinterne Ethikregeln beeinträchtigen (vgl. Wal-Mart- Fall). 4 C. Datenströme beim Whistleblowing Bei der Meldung von Verstößen gegen Verhaltensregeln werden personenbezogene Daten über Personen erhoben, verarbeitet und genutzt. Die Datenerhebung umfasst Angaben über die beschuldigte Person, die (angeblichen) Verhaltensverstöße sowie die entsprechenden Sachverhalte. Sofern ein Meldeverfahren regelt, dass Hinweise anonym erfolgen können, werden, falls Hinweisgeberinnen und Hinweisgeber sich nicht selbst anders äußern, keine personenbezogene Daten über sie erhoben. Andernfalls kommen personenbezogene Angaben wie Name der meldenden Person, ihre Position im Unternehmen und gegebenenfalls auch die Umstände ihrer Beobachtung in Betracht. Je nach Ausgestaltung des Meldeverfahrens besteht die Möglichkeit der internen Nutzung durch die dafür vorgesehene Abteilung (beispielsweise Revision, Compliance), bei verbundenen Unternehmen ist eine Übermittlung der personenbezogenen Daten an die Konzernmutter oder andere zum Konzern gehörende Unternehmen denkbar. D. Rechtsgrundlagen Sofern die personenbezogenen Daten automatisiert oder in nicht automatisierten Dateien verarbeitet werden, ist die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten nur zulässig, wenn das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder die Betroffenen eingewilligt haben ( 4 Abs. 1 BDSG). 1. Vertragsverhältnis gemäß 28 Abs. 1 Satz 1 Nr. 1 BDSG Nach ganz überwiegender Auffassung findet 28 Abs. 1 Satz 1 Nr. 1 BDSG keine Anwendung, weil das Arbeitsvertragsverhältnis bei der von der Unternehmensleitung veranlassten bzw. ihr zuzurechnenden Datenerhebung nicht unmittelbar betroffen ist. Beurteilungsgrundlage ist vielmehr 28 Abs. 1 Satz 1 Nr. 2 BDSG. 2. Abwägung nach 28 Abs. 1 Satz 1 Nr. 2 BDSG 2.1 Erforderlichkeit zur Wahrung berechtigter Interessen des Unternehmens Die Einrichtung von Verfahren zur Meldung von Missständen kann zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, für erforderlich gehalten werden. Das Ziel der Gewährleistung der finanziellen Sicherheit auf den internationalen Finanzmärkten und insbesondere die Verhütung von Betrug und Fehlverhalten in Bezug auf die Rechnungslegung, interne 3 Stellungnahme WP 117, IV. Nr.1 ii) -S Beschluss des LAG Düsseldorf vom TaBV 46/05 (Wal Mart); vgl. auch die Benachteiligungsverbote des Allgemeinen Gleichbehandlungsgesetzes vom (BGBl. I S. 1897). 2/7

3 Rechnungslegungskontrollen, Fragen der Wirtschaftsprüfung sowie die Bekämpfung von Korruption, Banken- und Finanzkriminalität oder Insider-Geschäften kann ein berechtigtes Interesse des Arbeitgebers darstellen, das die Verarbeitung personenbezogener Daten mittels Verfahren zur Meldung von Missständen in diesen Bereichen rechtfertigt. 5 Eine Datenverarbeitung zur Wahrung dieses Interesses wäre jedoch nur zulässig, wenn die schutzwürdigen Interessen der Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung nicht überwiegen. 2.2 Schutzwürdige Interesse Betroffener Bei einem Verfahren zur Meldung von Missständen besteht die Gefahr der Viktimisierung und Stigmatisierung der belasteten Person. 6 Eine Prüfung schutzwürdiger Interessen dieser Person wird bei konkreten, auf relevante Verfehlungen hinweisenden Verdachtsmomenten besonders sorgfältig vorzunehmen sein. Die Verarbeitung von personenbezogenen Daten, die mit der Aufdeckung von Verstößen der im Kapitel B 1 und B 2 beschriebenen Kategorien (sog. harte Faktoren ) in Zusammenhang stehen, kann als zulässig angesehen werden. In der Regel wird die Interessenabwägung zugunsten des berechtigten Interesses des Unternehmens ausfallen, da die Meldung solcher Verstöße rechtliche Konsequenzen durch z.b. Strafverfolgung, Schadensersatzforderungen und Imageschaden vermeiden hilft, wenn das Verfahren im Übrigen datenschutzgerecht ausgestaltet ist (Kapitel E). Bei Verhaltensweisen entsprechend der Kategorie B 3 (sog. weiche Faktoren ) ist die Zulässigkeit ebenso nur im Einzelfall zu beurteilen. Hierbei ist zu berücksichtigen, dass bestimmte Verhaltensweisen von vornherein nicht in eine Beurteilung bzw. Interessenabwägung einbezogen werden dürfen. 7 Grundsätzlich ist bei dieser Fallgruppe anzunehmen, dass die schutzwürdigen Interessen der Betroffenen überwiegen. Dabei sind auch arbeitsrechtliche Grundsätze zu beachten.für die weichen Faktoren der internen Verhaltensregeln (z.b. Freundlichkeit bei der Kundenbetreuung ) fehlt es zumeist schon an einer klar umrissenen Definition, um einen Verstoß einwandfrei identifizieren zu können. Außerdem ist ein Zusammenhang zwischen dem Verstoß und einem erheblichen Schaden für das Unternehmen (vergleichbar der im Kapitel B 1 und B 2 beschriebenen Kategorien) nicht erkennbar, so dass schon Zweifel an einem berechtigten Interesse der verantwortlichen Stelle bestehen. Daher dürfte in diesen Fällen im Grundsatz davon auszugehen sein, dass ein überwiegendes schutzwürdiges Interesse der Betroffenen besteht und eine Verarbeitung oder Nutzung personenbezogener Daten insoweit unzulässig ist. 3. Besondere Rechtsvorschrift gemäß 4 Abs. 1 BDSG Eine Betriebsvereinbarung, die Verhaltensregeln beinhaltet, kann nur dann als besondere Rechtsvorschrift angesehen werden, wenn die Datenerhebung, -verarbeitung und -nutzung ausreichend und präzise - innerhalb des Erlaubnisumfangs des BDSG - geregelt ist und sie das durch das Bundesdatenschutzgesetz selbst gesetzte Schutzniveau nicht unterschreitet. 8 Die bloße Beschreibung einer Aufgabe reicht nicht aus, auch wenn zu deren Erledigung personenbezogene Daten verarbeitet werden müssen. Sie kann in solchen Fällen je- 5 Stellungnahme WP 117, IV, Nr. I ii) -S Stellungnahme WP 117, III. -S s. LAG Düsseldorf, Beschluss vom , NZA 2006,63. Nach Ansicht des Gerichts ist der Regelungskomplex Private Beziehungen/ Liebesbeziehungen wegen Verstoßes gegen Art. 1 und 2 GG grundgesetzwidrig und damit unwirksam. 8 Bergmann/Möhrle/Herb, 4, Rn. 24; Simitis, Bundesdatenschutzgesetz, Kommentar, 6. Aufl., 4, Rnrn. 16,17. 3/7

4 doch herangezogen werden, um eine Abwägung zwischen den berechtigten Interessen der verantwortlichen Stelle und dem schutzwürdigen Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung vorzunehmen. 4. Einwilligung der Betroffenen gemäß 4a BDSG Die Wirksamkeit einer Einwilligung zur Einführung eines solchen Verfahrens müsste u.a. an die Kriterien Freiwilligkeit und Unterrichtung über die Datenerhebung, -verarbeitung und -nutzung anknüpfen. Es ist fraglich, ob im Arbeitsverhältnis eine Einwilligung freiwillig erklärt werden kann. In einem Beschäftigungsverhältnis kann man regelmäßig nicht davon ausgehen, dass eine Einwilligung ohne Zwang abgegeben wurde, da zwischen dem Unternehmen und seiner Arbeitnehmerin oder seinem Arbeitnehmer ein hierarchisches Verhältnis besteht 9. E. Datenschutzgerechte Gestaltung eines Meldeverfahrens mittels Hotlines 1. Grundsätze Personenbezogene Daten müssen für festgelegte eindeutige Zwecke erhoben und dürfen nicht in einer damit nicht zu vereinbarenden Weise weiterverarbeitet oder genutzt werden ( 28 Abs. 1 Satz 2 BDSG). Darüber hinaus müssen die verarbeiteten Daten den Zwecken entsprechen, für die sie erhoben und/oder weiterverarbeitet werden, dafür erforderlich sein und nicht darüber hinausgehen. Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere ist von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht ( 3a BDSG). Die verantwortliche Stelle muss Maßnahmen treffen, die sicherstellen, dass nicht zutreffende oder unvollständige Daten gelöscht oder berichtigt werden. Es sollten klare, unmissverständliche Informationen zu dem mit einer Whistleblowing-Hotline verfolgten Zweck gegeben werden. Missverständnisse, jede auch nur geringfügige oder lediglich vermutete Unregelmäßigkeit sei zu melden, sollten vermeiden werden. Klar sein muss, dass kein Interesse an unkonkretisierten Beschuldigungen besteht. 2. Betroffener Personenkreis Nach den Grundsätzen der Datensparsamkeit und der Datenvermeidung sollte die verantwortliche Stelle prüfen, inwieweit der für eine Meldung in Betracht kommende Personenkreis bei einer Whistleblowing-Hotline möglichst eingegrenzt und konkret bestimmt werden kann. Das Unternehmen, das ein Verfahren zur Meldung von Missständen einführt, sollte ebenfalls sorgfältig prüfen, ob es angebracht wäre, die Zahl der Personen zu begrenzen, die über das Verfahren gemeldet werden können, insbesondere in Anbetracht der Schwere der gemeldeten mutmaßlichen Verstöße. 10 Entscheidend kommt es dabei jedoch auf die Umstände im Einzelfall an. 3. Anonymer oder personenbezogener Hinweis Die Artikel-29-Datenschutzgruppe empfiehlt, anonyme Anzeigen (d.h. auch Hinweise) nur in Ausnahmefällen zu akzeptieren. Anonymität läuft dem Transparenzprinzip zuwider, begünstigt gegenüber der namentlichen Nennung von Roß und Reiter eher Missbrauch und Denunziantentum. Einer durch anonymen Hinweis gemeldeten Person bleibt keine 9 Stellungnahme WP 114, Kap S Stellungnahme WP 117, IV. Nr. 2i) -S /7

5 Möglichkeit, sich gegen eine etwaige Verleumdung in einem rechtsstaatlichen Verfahren zur Wehr zu setzen. Ein von vornherein auf die Erhebung personenbezogener Daten abstellendes Verfahren hat andererseits den Nachteil, dass auch bei gewünschten Hinweisen ein Abschreckungseffekt möglich ist. Dies sollte jedoch gegenüber anonymen Hinweisen in Kauf genommen werden, zumal diese auch ohne eine Whistleblowing-Hotline jederzeit möglich sind. Besonders hingewiesen werden sollte auf angemessene Garantien für den Schutz der Hinweisgeberin oder des Hinweisgebers vor diskriminierenden oder disziplinarischen Maßnahmen. 11 In Abwägung der genannten Interessen ist das folgende Vorgehen zu empfehlen: Verfahren zur Meldung von Missständen stellen sicher, dass die Identität der Hinweisgeberin oder des Hinweisgebers vertraulich behandelt wird. Eine Person, die eine Meldung mit Hilfe eines solchen Verfahrens machen möchte, sollte wissen, dass sie deswegen nicht benachteiligt werden wird. Aus diesem Grund sollte die Hinweisgeberin oder der Hinweisgeber bei der ersten Kontaktaufnahme mit dem System darauf hingewiesen werden, dass ihre oder seine Identität während aller Schritte des Verfahrens vertraulich behandelt wird. 4. Unterrichtungs- und Auskunftspflichten Die verantwortliche Stelle muss, wenn personenbezogene Daten bei Betroffenen erhoben werden, über die Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unterrichten, sofern diese nicht auf andere Weise Kenntnis erlangt haben ( 4 Abs. 3 BDSG). Sofern Betriebsvereinbarungen über das Meldeverfahren mit Regelungen zur personenbezogenen Datenverarbeitung abgeschlossen wurden, hat sie das Unternehmen so auszulegen, dass sämtliche Arbeitnehmerinnen und Arbeitnehmer, auch die neu eingestellten, in der Lage sind, sich ohne besondere Umstände mit dem Inhalt vertraut zu machen ( 77 Abs. 2 BetrVG) Information der beschuldigten Person ( 33 BDSG) Werden erstmals personenbezogene Daten für eigene Zwecke ohne Kenntnis der betroffenen Person gespeichert, ist diese von der Speicherung, der Art der Daten, der Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung und der Identität der verantwortlichen Stelle zu benachrichtigen ( 33 Abs. 1 BDSG). Eine Pflicht zur Benachrichtigung besteht nicht, wenn die Daten nach einer Rechtsvorschrift oder ihrem Wesen nach, namentlich wegen des überwiegenden rechtlichen Interesses einer dritten Person, geheim gehalten werden müssen ( 33 Abs. 2 Satz 1 Nr. 3 BDSG). 13 Wenn das Risiko, dass eine solche Unterrichtung die Fähigkeit des Unternehmens zur wirksamen Untersuchung des Vorwurfs oder zur Sammlung der erforderlichen Beweise gefährden würde, erheblich wäre, kann die Information der beschuldigten Person so lange aufgeschoben werden, wie diese Gefahr besteht. 14 Eine dauerhafte Geheimhaltung dürfte angesichts einer möglichen Beeinträchtigung der Persönlichkeitsrechte der beschuldigten Person und seiner Verteidigungsrechte nicht angenommen werden. 11 Stellungnahme WP 117, IV. Nr. 1 ii) -S. 9- ; grundlegend: BVerfG, Beschluss vom BvR 2049/00 ( siehe im übrigen: Müller, Whistleblowing - ein Kündigungsgrund? NZA 2002, 424; Breinlinger, Krader, Chancen und Risiken bei der Umsetzung von anonym nutzbaren Hinweisgebersystemen im Rahmen des Compliance - Managements von Unternehmen, RDV 2006, 60; Sauer, Whistleblowing - notwendiger Bestandteil moderner Personalpolitik, DÖD 2005, Fitting, Anm. 25 zu 77 BetrVG. 13 Schaffland/Wiltfang Anm. 63 ff, Bergmann/Möhrle/Herb Anm. 89 ff. zu 33 BDSG. 14 Stellungnahme WP 117, IV. Nr. 4 i) -S /7

6 4.2 Auskunft ( 34 BDSG) Nach 34 Abs. 1 BDSG hat die betroffene Person, sowohl die Hinweisgeberin oder der Hinweisgeber als auch die beschuldigte Person, Anspruch auf Auskunft der zu ihrer Person gespeicherten Daten, auch soweit sie sich auf Herkunft und Empfänger beziehen. Der Auskunftsanspruch der beschuldigten Person kollidiert grundsätzlich mit einer für das Meldeverfahren vorgesehenen anonymen Meldung (s. dazu Abschnitt E 3). Allerdings besteht nach 34 Abs. 4 BDSG in den Fällen des 33 Abs. 2 Satz 1 Nr. 3 BDSG keine Auskunftsverpflichtung. Damit wären die für die Funktion einer Whistleblowing-Hotline unerlässliche Vertraulichkeit der Meldungen und damit die Identität des Hinweisgebers zunächst gewährleistet. Die verantwortliche Stelle muss allerdings im Einzelfall prüfen und entscheiden, unter welchen Voraussetzung die Hinweisgeberin oder der Hinweisgeber gegenüber der beschuldigten Person offen gelegt wird. 5. Weitergabe an Dritte Grundsätzlich ist eine Weitergabe der personenbezogenen Daten sowohl der Hinweisgeberin oder des Hinweisgebers als auch der beschuldigten Person an Dritte nicht zulässig. Es ist jedoch erforderlich, Hinweisgeberinnen und Hinweisgebern zu verdeutlichen, dass ihre Identität den Personen, die an weiteren Überprüfungen oder anschließenden, im Zuge der Nachforschungen eingeleiteten Gerichtsverfahren beteiligt sind, enthüllt werden kann. 15 Akteneinsichtsrechte in einem etwaigen Strafverfahren bleiben unberührt. Personenbezogene Daten der beschuldigten Person können nach 28 Abs. 3 Satz 1 Nr. 2 BDSG zur Verfolgung von Straftaten übermittelt werden. 6. Sperrung und Berichtigung ( 35 BDSG) Nach 35 Abs. 4 BDSG sind personenbezogene Daten zu sperren, soweit ihre Richtigkeit von der betroffenen Person bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt. Personenbezogene Daten dürfen nicht für eine automatisierte Verarbeitung oder Verarbeitung in nicht automatisierten Dateien erhoben, verarbeitet oder genutzt werden, soweit die betroffene Person dieser bei der verantwortlichen Stelle widerspricht und eine Prüfung ergibt, dass das schutzwürdige Interesse der betroffenen Person wegen ihrer besonderen persönlichen Situation das Interesse der verantwortlichen Stelle an dieser Erhebung, Verarbeitung oder Nutzung überwiegt. Dies gilt nicht, wenn eine Rechtsvorschrift zur Erhebung, Verarbeitung oder Nutzung verpflichtet ( 35 Abs. 5 BDSG). Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind ( 35 Abs. 1 BDSG). 7. Löschung ( 35 BDSG) Werden personenbezogene Daten für eigene Zwecke verarbeitet, sind sie zu löschen, sobald ihre Kenntnis für die Erfüllung des Zweckes der Speicherung nicht mehr erforderlich ist ( 35 Abs. 2 Nr. 3 BDSG). Grundsätzlich sollten Daten innerhalb von 2 Monaten nach Abschluss der Untersuchung gelöscht werden. Eine darüber hinausgehende Speicherung ist nur für die Dauer der Klärung erforderlicher weiterer rechtlicher Schritte wie Disziplinarverfahren oder Einleitung von Strafverfahren zulässig. Personenbezogene Daten im Zusammenhang mit Meldungen, die von der Einheit, die für die Bearbeitung der Meldung zuständig ist, als grundlos erachtet werden, sollten unverzüglich gelöscht werden Stellungnahme WP 117, IV. Nr. 2 iii) -S Stellungnahme WP 117, IV. Nr. 2 v) -S. 13/14-. 6/7

7 8. Beteiligung der betrieblichen Datenschutzbeauftragten Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie nach 4d Abs. 5 BDSG der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Da außer im Fall einer gesetzlichen Verpflichtung keine Ausnahme von der Vorabkontrolle zutrifft, ist ein automatisiertes Meldeverfahren vorab durch die oder den betrieblichen Datenschutzbeauftragten zu prüfen. 9. Beauftragung externer Stellen ( 11 BDSG) Die Konstellation einer Auftragsdatenverarbeitung nach 11 BDSG ist nur denkbar, wenn der Auftragnehmer aufgrund von präzisen Weisungen des Auftraggebers lediglich den technischen Prozess der Verarbeitung personenbezogener Daten durchführt. Andernfalls liegt bei der Beauftragung externer Stellen eine Übermittlung vor, deren Zulässigkeit nach 28 Abs. 1 Nr. 2 BDSG zu beurteilen ist. Je nach Ausgestaltung des Meldeverfahrens ist zwischen dem berechtigten Interesse der verantwortlichen Stelle und dem schutzwürdigen Interesse des Betroffenen abzuwägen. Die Zulässigkeit der Übermittlung an externe Stellen ist Gegenstand der Vorabkontrolle. In der Regel ist nicht von einer Auftragsdatenverarbeitung auszugehen, wenn die externe Stelle Teile der erforderlichen Untersuchung durchführen soll. Die Beauftragung einer externen Stelle außerhalb der Unternehmensorganisation (Konzernverbund) kann sich (bei Beachtung der datenschutzrechtlichen Vorschriften im Übrigen) als vorteilhaft erweisen, weil möglicherweise eine gewisse, das Missbrauchsrisiko verringernde Hemmschwelle entsteht. 10. Technisch-organisatorische Maßnahmen ( 9 BDSG) Um die Vorgaben der Anlage zu 9 BDSG zu erfüllen, sind geeignete technische und organisatorische Maßnahmen zu treffen. Dies gilt insbesondere wegen der zugesicherten Vertraulichkeit und für die Löschungsverpflichtung. Bei interner Datenverarbeitung ist zu empfehlen, dass die Whistleblowing-Hotline nicht innerhalb der Personalverwaltung organisiert und betrieben wird. 17 Um zu gewährleisten, dass Unbefugte Datenverarbeitungssysteme nicht nutzen können, bieten sich neben einem Berechtigungskonzept und einer Passwortrichtlinie auch Verschlüsselungsverfahren im Hinblick auf die Sensibilität der Daten an. 18 Zu den Maßnahmen gehören auch Protokollierung von Dateneingaben und Löschroutinen. F. Ergebnis Das Meldeverfahren mittels Whistleblowing-Hotlines lässt sich unter besonderer Berücksichtigung des von dem Unternehmen verfolgten Zwecks und der Einrichtungsmodalitäten datenschutzgerecht gestalten und betreiben. Für Unternehmen, die solche Warnsysteme beabsichtigen einzurichten, empfiehlt sich eine rechtzeitige Abstimmung mit allen zu Beteiligenden [z.b. Innenrevision, Beauftragte der Geschäftsleitung, Beauftragte(r) für den Datenschutz, Betriebsvertretung]. Zur Klärung von Zweifelsfragen stehen auch die Aufsichtsbehörden für den Datenschutz zur Verfügung. 17 Stellungnahme WP 117, IV. Nr. 6 i) -S BSI-IT-Grundschutzhandbuch. 7/7