Datenschutz

1. Was bedeutet Datenschutz

Datenschutz bezeichnet im Wesentlichen den Schutz personenbezogener Daten. Der stetig steigende Datenaustausch erhöht damit auch die Relevanz des Datenschutzes. Maßgebliche Rechtsquellen sind die DSGVO und das Bundesdatenschutzgesetz.

2. Datenschutz und Compliance

Unternehmen haben umfangreiche Vorgaben zu beachten. Sie müssen etwa ein Verzeichnis über Verarbeitungstätigkeiten führen, Rechenschafts-, Melde-, und Informationspflichten erfüllen sowie einen internen Datenschutzbeauftragen ernennen, sofern das Unternehmen häufig mit personenbezogenen Daten in Berührung kommt. Unternehmen haben bei Verstößen gegen die Datenschutzgrundverordnung hohe Bußgelder zu befürchten, die bis zu EUR 20 Mio. oder im Fall eines Unternehmens bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen können.
Ein Compliance-Management-System kann dabei helfen die rechtlichen Datenschutzvorgaben zu kennen und deren Entwicklung zu verfolgen sowie durch interne Kontrollmaßnahmen Verstöße gegen das Datenschutzrecht zu vermeiden – Details zu Compliance Management Systemen.

3. Datenschutz und Whistleblowing

Ein gewisses Spannungsfeld ergibt sich zwischen Datenschutzrecht und der EU- Whistleblower Richtlinie:
Bei dem Betrieb eines Hinweisgebersystems werden in der Regel personenbezogene Daten der Beteiligten verarbeitet, so dass auch datenschutzrechtliche Aspekte zu berücksichtigen sind. Bei den personenbezogenen Daten ist einmal an die (Auftrags-)Datenverarbeitung an sich sowie an den Hinweisgeber selbst zu denken. Zudem sind etwaige Zeugen oder gar Beschuldigte zu berücksichtigen. Die EU-Whistleblower Richtlinie statuiert ausdrücklich, dass die Verarbeitung nur im Einklang mit der Datenschutzgrundverordnung vorgenommen werden darf.
Kein Problem besteht in den Fällen, in denen aufgrund der Whistleblower-Richtlinie eine Pflicht zur Einrichtung eines Hinweisgebersystems besteht, da sowohl die Datenschutzgrundverordnung als auch die Richtlinie eine Rechtsgrundlage für die Verarbeitung und Speicherung bereithält.
Unklar im Hinblick auf die Rechtsgrundlage sind bislang jedoch die Fälle, die nicht der Richtlinie unterfallen, also juristische Personen mit weniger als 50 Angestellten oder Gemeinden mit weniger als 10.000 Einwohnern, die aus eigenem Antrieb eine Hinweisgeberstelle einrichten.
Grundsätzlich bestehen nach der Datenschutzgrundverordnung auch Informationspflichten gegenüber der Person, die von der Meldung des Hinweisgebers betroffen ist. Die Informationspflicht erfährt dabei insoweit eine Einschränkung, als dass durch die Information gegenüber der betroffenen Person der Sinn und Zweck des Hinweisgebersystems unterlaufen würde: Hier droht die Gefahr einer Verdeckung möglicher Straftaten oder Repressalien durch die von der Meldung betroffene Person. Unklar ist bislang nur, ob diese Ausnahme von der Informationspflicht nur zeitlich begrenzt oder uneingeschränkt besteht. Die konkrete Ausgestaltung des Umsetzungsgesetzes zur EU-Whistleblower Richtlinie bleibt hier abzuwarten.
Dies gilt auch für den aus der Datenschutzgrundverordnung resultierenden Auskunftsanspruch der betroffenen Person im Hinblick auf die Identität des Hinweisgebers. Abzuwägen ist, ob dem Betroffenen im Fall des Hinweisgebersystems ein solcher Auskunftsanspruch zusteht oder das Interesse des Hinweisgebers an seiner Anonymität vorrangig ist. Entscheidend ist wie der Gesetzgeber die EU-Whistleblower Richtlinie letztlich umsetzt und ein Unterlaufen des Hinweisgebersystems durch die Auskunftsrechte verhindert.