D Dr. iur. Rainer Frank Arbeitsgruppe Hinweisgeber Geschäftsstelle D- Tel.: (49) (30) 54 98 98 0 Tel. (dienstl.): (49) (30) 31 86 853 Fax: (49) (30) 54 98 98 22 E-Mail: rfrank@transparency.de www.transparency.de Berlin, den 13.07.2015 Artikel-29-Datenschutzgruppe Zur Anwendung der EU-Datenschutzvorschriften auf interne Verfahren zur Meldung mutmaßlicher Missstände Stellungnahme angenommen am 1. Februar 2006 Link zur deutschen Fassung: ec.europa.eu/justice/policies/privacy/docs/wpdocs/2006/wp117_de.pdf Hinweisgebersysteme sind heute international und auch in Deutschland weit verbreitet. Gesetzliche Regeln fehlen noch. Eines der grundlegenden Dokumente für eine rechtssichere Ausgestaltung eines Hinweisgebersystems ist unverändert die hier erläuterte Stellungnahme der Art. 29 Arbeitsgruppe Datenschutz der EU Kommission aus dem Jahr 2006. I. Einleitung und Ansatz Die Gruppe für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Gruppe 29) wurde durch Artikel 29 Richtlinie 95/46/EG eingesetzt. Sie ist ein unabhängiges EU-Beratungsgremium in Datenschutzfragen. Ihre Aufgaben sind in Artikel 30 Richtlinie 95/46/EG und Artikel 15 Richtlinie 2002/58/EG festgelegt. Die Gruppe hat im Februar 2006 eine Stellungnahme angenommen, in der sie an den EU- Datenschutzvorschriften ausgerichtete Leitlinien zur Umsetzung interner Verfahren zur Meldung von Missständen aufstellt. Die Stellungnahme ist formal auf die Meldung von Missständen in den Bereichen Rechnungslegung, interne Rechnungslegungskontrollen, Fragen der Wirtschafts-prüfung, Bekämpfung von Korruption, Banken- und Finanzkriminalität beschränkt.
2 Dieser beschränkte Ansatz wurde aufgrund einer besonderen Dringlichkeit in den vorgenannten Bereichen gewählt. Denn hier besteht ein Sanktionsrisiko für EU- Unternehmen, die Tochterunternehmen US-amerikanischer Konzerne sind. Als solche sind sie einerseits nach dem 2002 vom US-Kongress verabschiedeten Sarbanes-Oxley Act (SOX) verpflichtet, Verfahren zur Entgegennahme, Speicherung und Bearbeitung von Beschwerden einzuführen. Andererseits müssen sie aber auch die EU-Datenschutzvorschriften einhalten. Bei einem Verstoß gegen das eine oder andere Regelungswerk drohen Sanktionen von US- Behörden oder EU-Datenschutzbehörden. II. Zielrichtung Während vorhandene Regelungen meist darauf ausgelegt seien, den Hinweisgeber zu schützen, nimmt die Gruppe 29 den Schutz des Beschuldigten in den Blick und weist auf eine erhebliche Stigmatisierungs- und Viktimisierungsgefahr hin. Da die Umsetzung von Verfahren zur Meldung von Missständen in den allermeisten Fällen auf einer Verarbeitung seiner personenbezogenen Daten beruht, müssen die Datenschutzvorschriften Anwendung finden. III. Vereinbarkeit der Verfahren zur Meldung von Missständen mit Datenschutzvorschriften Die Gruppe 29 geht davon aus, dass solche Verfahren grundsätzlich mit den Datenschutzvorschriften vereinbar sind. Es müssten allerdings einige Vorgaben beachtet werden. 1. Grundsätzliche Zulässigkeit der Meldesysteme Art. 7 der Richtlinie 95/46/EG regelt die Voraussetzungen für die Verarbeitung personenbezogener Daten. Die Einrichtung eines Meldesystems ist entweder nach Art. 7 c der Richtlinie für die Erfüllung einer rechtlichen Verpflichtung erforderlich (soweit in dem EU-Land eine solche Verpflichtung besteht), oder nach Art. 7 f der Richtlinie zur Verwirklichung eines berechtigten Interesses zulässig.
3 Ein berechtigtes Interesse erblickt die Gruppe 29 in dem Ziel der Gewährleistung finanzieller Sicherheit auf den internationalen Finanzmärkten und insbesondere die Verhütung von Betrug und Fehlverhalten in Bezug auf die von der Stellungnahme behandelten Bereiche. Art. 7 f der Richtlinie erfordere darüber hinaus allerdings zudem ein Gleichgewicht zwischen dem berechtigten Interesse und den Grundrechten und freiheiten der betroffenen Person. Hier müssten, so die Gruppe 29, Fragen der Verhältnismäßigkeit, der Subsidiarität, die Ernsthaftigkeit der Vorwürfe und die Folgen für die betroffene Person berücksichtigt werden. 2. Verhältnismäßigkeit Nach Art. 6 der Richtlinie müssen personenbezogene Daten nach Treu und Glauben auf rechtmäßige Weise verarbeitet werden. Sie dürfen nur für eindeutig festgelegte Zwecke erhoben werden. Zudem muss sichergestellt werden, dass nicht zutreffende oder unvollständige Daten gelöscht oder berichtigt werden. Ausgehend von diesem Grundsatz stellt die Gruppe 29 folgende Überlegungen an: Zunächst fordert die Gruppe 29 Unternehmen auf, sorgfältig zu prüfen, ob es in angemessen wäre, die Zahl der Personen zu begrenzen, die berechtigt sein sollen, Missstände zu melden, oder die Zahl der Personen, die in einem solchen Verfahren beschuldigt werden können. In diesem Punkt wolle die Gruppe aber keine Vorgaben machen. Eine solche Begrenzung könne in einigen Bereichen auch unzweckmäßig sein. Sodann spricht sie die Gruppe dafür aus, dass ausschließlich mit Namen versehene Meldungen durch das Meldesystem übermittelt werden sollten. Anonymität hindere andere oft nicht daran, aus den Umständen doch zu erschließen, von wem die Meldung stammt. Zudem seien anonyme Meldungen schwieriger zu überprüfen und es bestehe die Gefahr einer Kultur anonymer böswilliger Meldungen, die sich negativ auf das soziale Klima in der Organisation auswirken könne. Unter bestimmten Bedingungen etwa wenn der Hinweisgeber nicht die psychische Veranlagung hat, eine Meldung mit Namen zu machen könnten anonyme Meldungen als Ausnahme von der Regel über das System gemacht werden. Auf diese Möglichkeit solle das Unternehmen aber nicht hinweisen. Vielmehr solle dem Hinweisgeber versichert werden, dass seine Identität während des gesamten Verfahrens vertraulich behandelt und Dritten nicht offenbart wird. Hinsichtlich anonymer Meldungen sei zudem erhöhte Vorsicht bei der Prüfung der Zulässigkeit der Meldung und der Angemessenheit ihrer Verbreitung im Rahmen des Systems durch den ersten Empfänger geboten.
4 Das Erfordernis des Art. 6 der Richtlinie, dass personenbezogene Daten nur in Bezug auf einen bestimmten, eindeutig definierten Zweck erhoben werden dürfen, verlange eine Begrenzung der Erhebung auf solche personenbezogenen Daten, die unbedingt erforderlich sind, um die gemachten Anschuldigungen zu überprüfen. Außerdem dürfen die Daten auch nur so lange gespeichert werden, wie es für den Zweck der Erhebung erforderlich ist. Nach dem Abschluss der Untersuchung sind sie unverzüglich und in der Regel innerhalb von zwei Monaten zu löschen. Stellt sich heraus, dass die Meldung grundlos erfolgte, müssen die Daten sofort gelöscht werden. 3. Bereitstellung klarer Information über das System Die Verantwortlichen des Meldesystems seien verpflichtet, klare und vollständige Informationen über das System zur Verfügung zu stellen, was sich insbesondere aus Art. 10 der Richtlinie ergebe. Die Betroffenen müssten von der Existenz, dem Zweck und der Funktionsweise des Systems, den Empfängern der Meldungen und den Zugangs-, Auskunftsund Berichtigungsrechten bezüglich sie betreffender Daten umfassend unterrichtet werden. Zudem solle darüber aufgeklärt werden, dass das Sanktionen drohen können, wenn das System missbraucht wird. 4. Rechte der Beschuldigten Um ein Gleichgewicht der Interessen zu gewährleisten, lege die Datenschutzrichtline besonderen Wert auf den Schutz der Daten des Beschuldigten. Nach Art. 11 der Richtlinie sind die betroffenen Personen zu unterrichten, wenn personenbezogene Daten bei Dritten erhoben werden und nicht unmittelbar bei ihnen selbst. Die beschuldigte Person müsse auch sobald wie möglich über die gegen sie vorgebrachte, konkrete Anschuldigung, die zuständige Erhebungseinheit und ihre Zugangs- und Berichtigungsrechte informiert werden. Nach Art. 14 der Richtlinie hat der Beschuldigte wenn die Erhebung auf Art. 7 f der Richtlinie beruht das Recht, aus zwingenden Gründen Widerspruch gegen die Verarbeitung seiner Daten einzulegen. Diese Informationspflicht kann allerdings aufgeschoben werden, wenn eine wirksame Untersuchung und insbesondere die Sicherung von Beweisen andernfalls gefährdet wären.
5 Art. 12 der Richtlinie gibt dem Betroffenen die Möglichkeit, Zugang zu den ihn betreffenden Daten zu erhalten, ihre Richtigkeit zu überprüfen und gegebenenfalls Berichtigung zu verlangen. Die Ausübung dieses Rechts kann jedoch von Fall zu Fall beschränkt werden, um den Schutz anderer am System beteiligter Personen zu gewährleisten. In keinem Fall dürfe der Beschuldigte Informationen über die Identität des Hinweisgebers erhalten. 5. Sicherheit der Verarbeitung Nach Art. 17 der Richtlinie muss das Unternehmen die geeigneten technischen und organisatorischen Maßnahmen treffen, die für die Gewährleistung der Sicherheit der Daten bei ihrer Erhebung, Verbreitung oder Speicherung erforderlich sind. Im Falle der Einschaltung eines externen Dienstleisters müsse die Einhaltung dieser Standards vertraglich abgesichert werden. Insbesondere die Identität des Hinweisgebers muss zuverlässig geschützt sein. Nur wenn sich herausstellt, dass der Hinweisgeber böswillig eine falsche Angabe gemacht hat, kann eine Mitteilung ihrer Identität an den Beschuldigten erlaubt sein, damit dieser sich gegebenenfalls mit einer Klage zur Wehr setzen kann. 6. Management des Systems Die Gruppe 29 empfiehlt eine sorgsame Prüfung, wie die Meldungen gesammelt und gehandhabt werden sollen. In der Stellungnahme wird eine interne Handhabung des Systems ohne nähere Begründung bevorzugt. Im Falle der Einschaltung eines externen Dienstleisters sei dieser ebenso zu Vertraulichkeit verpflichtet und an die Datenschutzgrundsätze gebunden. Das Unternehmen bleibe verantwortlich und auch durch die Datenschutzrichtlinie verpflichtet, der externe Dienstleister werde nur als Auftragsbearbeiter tätig. Das System solle schließlich nur von besonders ausgebildeten und für diesen Zweck abgestellten Personen gehandhabt werden. Das Meldesystem müsse auch streng von anderen Abteilungen des Unternehmens, etwa der Personalabteilung, getrennt werden.
6 Im Folgenden setzt sich die Stellungnahme mit der internationalen Weiterleitung personenbezogener Daten auseinander, die etwa erforderlich sein könnte, wenn sich die Beschuldigung gegen ein hochrangiges Mitglied oder einen Manager einer multinationalen Gruppe richtet. Grundsätzlich plädiert die Gruppe für eine lokale Handhabung der Berichte. Im Übrigen sollten Art und Schwere des mutmaßlichen Verstoßes unter Berücksichtigung der Verhältnismäßigkeit darüber entscheiden, auf welcher Ebene und in welchem Land der Bericht bewertet werden soll. Art. 25 und 26 der Richtlinie regeln die Voraussetzungen einer Weiterleitung personenbezogener Daten in Drittländer außerhalb der EU. Zuletzt weist die Gruppe 29 darauf hin, dass Unternehmen, die ein Meldesystem einführen, nach Art. 18 bis 20 der Richtlinie gegebenenfalls Meldepflichten bei oder die Vorabkontrolle durch die einzelstaatlichen Datenschutzstellen einhalten müssen. IV. Fazit Die Stellungnahme kommt zu dem Ergebnis, dass Meldesysteme ein sinnvoller Mechanismus sein können. Die Einhaltung der Datenschutzrichtlinie sei dabei zwingend erforderlich, um eine richtige Funktionsweise des Systems und den Schutz der personenbezogenen Daten der betroffenen Personen zu gewährleisten. v. Holtzendorff, Frank