I. WHISTLEBLOWING SYSTEM: DEFINITION UND PFLICHT
Mit einem Whistleblowing System (auch Whistleblowing Plattform oder Hinweisgebersystem) wird in einem Unternehmen Mitarbeitern und Aussenstehenden die Möglichkeit eingeräumt, (anonym) Verstösse zu melden, die von Kollegen, Vorgesetzten, Lieferanten etc. begangen wurden. Konkret geht es um Straftatbestände im Zusammenhang mit der jeweiligen Organisation (z.B. Korruption, Exportkontrolle, Insidergeschäfte, Betrug), Verstösse gegen Menschenrechte (z.B. Kinderarbeit, Konfliktmaterialien) sowie andere Verstösse, die mit Kultur oder Philosophie der Organisation nicht zu vereinbaren sind (z.B. ESG und CSR Kriterien, Umweltschutz, Gleichbehandlung). Sinn und Zweck einer solchen Plattform besteht darin, ein Eingangstor für Meldungen bereitzustellen, den gemeldeten Verstössen gewissenhaft nachzugehen und diese anschliessend zu unterbinden. In zahlreichen Unternehmen haben sich Whistleblowing Plattformen als wirksames Mittel erwiesen, um Benachteiligung, Bestechung, Vetternwirtschaft etc. zu unterbinden.
In der Schweiz gibt es keine Pflicht, eine Whistleblowing Plattform einzuführen. Im Rahmen unternehmensinterner Compliance-Bestrebungen, ist die praktische Bedeutung jedoch stark gestiegen, insbesondere im Zusammenhang mit dem Geldwäschereigesetz, der Korruptionsbekämpfung, den Exportkontrollvorschriften und der Kontrolle von Lieferketten und von ESG Kriterien. Whistleblowing Plattformen gelten in grossen Unternehmen mittlerweile als best practice.
Für EU-Tochtergesellschaften ist zu prüfen, ob auf sie die Whistleblowing Richtlinie (EU-Richtlinie 2019/1937; Inkrafttreten am 17. Dezember 2021) anwendbar ist. Unternehmen sind dazu verpflichtet, Meldekanäle zur systematischen und anonymen Compliance-Meldung einzurichten. Dies betrifft Firmen mit über 250 Mitarbeitenden, beziehungsweise 10 Millionen Euro Umsatz pro Jahr. Ab 2023 soll die Grenze auf 50 Mitarbeitende gesenkt werden.
Unternehmen, die an US-Börsen gelistet sind, haben ähnliche Pflichten aufgrund des Sarbanes-Oxley Act.
II. WHISTLEBLOWING UND DATENSCHUTZ
Whistleblowing ist datenschutzrechtlich heikel. Auf der Plattform werden sensitive Personendaten (Personendaten von beschuldigten Personen; allenfalls Personendaten des Anzeigers) bearbeitet, die den Beteiligten grossen Schaden zufügen können.
1. DATENSTRÖME BEIM WHISTLEBLOWING
Bei der Meldung von Verstössen gegen Verhaltensregeln werden personenbezogene Daten verarbeitet. Die Datenerhebung umfasst Angaben über die beschuldigte Person, die (angeblichen) Verhaltensverstöße sowie die entsprechenden Sachverhalte. Sofern ein Meldeverfahren regelt, dass Hinweise anonym erfolgen können, werden, falls Hinweisgeberinnen und Hinweisgeber sich nicht selbst anders äußern, keine personenbezogenen Daten über sie erhoben. Andernfalls kommen personenbezogene Angaben wie Name der meldenden Person, ihre Position im Unternehmen und gegebenenfalls auch die Umstände ihrer Beobachtung in Betracht. Je nach Ausgestaltung des Meldeverfahrens besteht die Möglichkeit der weiteren internen Verarbeitung durch die dafür vorgesehene Abteilung (beispielsweise Revision, Compliance, Rechtsdienst). Bei verbundenen Unternehmen ist eine Übermittlung der personenbezogenen Daten an die Konzernmutter oder andere zum Konzern gehörende Unternehmen und auch ins Ausland denkbar.
2. DATENSCHUTZRECHTLICHE ZULÄSSIGKEIT
In der Schweiz ist die Bearbeitung zulässig, aber es müssen die gesetzlichen Grundsätze eingehalten werden (Rechtmässigkeit, Treu und Glauben, Verhältnismässigkeit, Zweckbindung, Erkennbarkeit; Art. 4 DSG; Richtigkeit der Daten, Art. 5 DSG; Datensicherheit, Art. 6 DSG).
In der EU bedarf die Verarbeitung von personenbezogenen Daten einer Rechtgrundlage (Verbot mit Erlaubnisvorbehalt). Für Deutschland kommt die Datenschutzkonferenz des Bundes und der Länder in der «Orientierungshilfe der Datenschutzbehörden zu Whistleblown-Hotlines: Firmeninterne Warnsysteme und Beschäftigtendatenschutz» zum Schluss, dass für die Weitergabe von Personendaten des Hinweisgebers eine Einwilligung notwendig ist.
3. ANONYMITÄT ODER PERSONENBEZOGENE MELDUNG
Falls der Hinweisgeber seine Meldung anonym erstatten kann, muss die Meldungen anonym bleiben. Dies muss im System entsprechend aufgesetzt werden (Anonymity by design), wie z.B. durch Verschlüsselung, verschlüsselte Kanäle, gesichert IT-Umgebung. Wird die Anonymität verletzt und entsteht dem Anzeiger ein Schaden, kann das Haftungsfolgen für das Unternehmen nach sich ziehen.
Soweit eine Person eine Meldung mit Hilfe eines solchen Verfahrens unter bewusster oder gewollter Darlegung ihrer Identität machen möchte, sollte sie bei der ersten Kontaktaufnahme mit dem System vorher darauf hingewiesen werden (Disclaimer), dass ihre Identität während aller internen oder aussergerichtlichen Schritte des Verfahrens vertraulich behandelt wird, aber aus Transparenzgründen (Art. 4 Abs. 3 und 4 DSG), die beschuldigte Person informiert werden muss. In der EU muss die beschuldigte Person über die Identität der Hinweisgeberin oder des Hinweisgebers grundsätzlich spätestens einen Monat nach der Meldung informiert werden (Art. 14 Abs. 3 lit. a DSGVO).
Wenn die Hinweisgeberin oder der Hinweisgeber trotz dieser Hinweise ihre Identität bewusst und gewollt preisgeben möchte und die Angaben verarbeitet werden sollen, kommt nach EU-Recht eine Einwilligung dieser Person in Frage. Die betroffene Person muss vor der Einwilligung in Kenntnis gesetzt werden, dass sie die Einwilligung widerrufen kann, dies jedoch nur bis zu einem Monat nach erfolgter Meldung wirksam möglich ist. Die Einwilligung der betroffenen Person in die Preisgabe ihrer Identität ist nach Art. 7 Abs. 1 DSVO vom Arbeitgeber oder der externen Stelle nachzuweisen.
In der EU dürfen sensible Daten nicht ohne detaillierte Berücksichtigung und Sicherstellung einer ausreichenden Rechtsgrundlage berücksichtigt werden. Im Rahmen der Entwicklung des Systems sind zahlreiche Vorschriften zu beachten. Ergänzend können Konstellationen auftreten, die die Gewährleistung des Datenschutzes zusätzlich erschweren.
4. KONZERNDATENSCHUTZ
Ein weiteres Thema ist der Datenschutz im Konzern, sobald der Austausch von Whistleblowing Daten über die Grenzen einzelner Konzernunternehmen hinweg erfolgt. Je nach Unternehmen ist zu beachten, dass der Datentransfer über Landesgrenzen hinweg erfolgt – womöglich sogar in Drittländer mit ungenügendem Datenschutz. Gerade in solchen Umfeldern sind komplexe rechtliche Zusammenhänge in den konzerninternen Datentransferverträgen zu berücksichtigen, damit keine Datenschutzverletzungen und somit weder Bussen noch andere Konsequenzen drohen.
5. BERICHTIGUNG, SPERRUNG UND LÖSCHUNG
Nach Art. 5 DSG i.V.m. 15 Abs. 2 DSG und Art. 5 Abs. 1 lit. d DSGVO müssen personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Es sind alle angemessenen Massnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke der Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden. Art. 18 DSGVO gibt der betroffenen Person unter bestimmten Voraussetzungen zudem das Recht, die Einschränkung der Verarbeitung zu verlangen. Grundsätzlich sollten Daten innerhalb von zwei Monaten nach Abschluss der Untersuchung gelöscht werden. Eine darüber hinausgehende Speicherung ist nur für die Dauer der Klärung erforderlicher weiterer rechtlicher Schritte wie Disziplinarverfahren oder Einleitung von Strafverfahren zulässig. Personenbezogene Daten im Zusammenhang mit Meldungen, die von der Organisationseinheit, die für die Bearbeitung der Meldung zuständig ist, als grundlos erachtet werden, sollten unverzüglich gelöscht werden.
III. PRAKTISCHE HINWEISE FÜR DIE UMSETZUNG
1. EINSCHRÄNKUNG PERSONENKREIS
Nach dem Grundsatz der Verhältnismässigkeit (Art. 4 Abs. 2 DSG) und der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) hat der Verantwortliche zu prüfen, inwieweit der für eine Meldung in Betracht kommende Personenkreis bei einer Whistleblowing-Hotline möglichst eingegrenzt und konkret bestimmt werden kann. Das Unternehmen, das ein Verfahren zur Meldung von Missständen einführt, sollte ebenfalls sorgfältig prüfen, ob es angebracht wäre, die Zahl der Personen zu begrenzen, die über das Verfahren gemeldet werden können, insbesondere in Anbetracht der Schwere der gemeldeten mutmasslichen Verstöße. Entscheidend kommt es dabei jedoch auf die Umstände im Einzelfall an.
2. TECHNISCHE ANONYMITÄT
Implementieren Sie ein digitales Hinweisgebersystem. Auf diese Weise können Sie die Anonymität eines Hinweisgebers zu 100 % nachvollziehbar gewährleisten und verfügen dennoch über die Möglichkeit eines weiterhin anonymen Dialogs (Zwei-Wege-Kommunikation).
Wenn Sie bereits ein digitales Whistleblowing System eingeführt haben, sollten sie den Meldeprozess mit einem Disclaimer ergänzen. In diesem muss deutlich auf die Pflicht zur Weitergabe der Identität des Hinweisgebers an den Beschuldigten aufmerksam gemacht werden, falls sich der Hinweisgeber für eine nicht-anonyme Meldung entscheidet. Für diesen Fall ist die Einwilligung zur Verarbeitung der personenbezogenen Daten explizit einzuholen. Zudem sollte der Hinweisgeber darauf hingewiesen werden, dass diese Einwilligung innerhalb von 30 Tagen wirksam widerrufen werden kann. Um die 30-Tage-Frist zur Information des Beschuldigten nicht zu verpassen, ist es außerdem empfehlenswert, automatische Erinnerungen an die bearbeitenden Personen einzurichten.
3. TOM
Eine Whistleblowing Plattform muss technisch und organisatorisch so aufgesetzt sein, dass der Persönlichkeitsschutz der Anzeiger gewährleistet ist. Wir empfehlen, diese technischen und organisatorischen Massnahmen zu dokumentieren (sog. TOM). Um die Sicherheit der Verarbeitung (Art. 7 DSG; Art. 32 DSGVO) zu erfüllen, sind geeignete technische und organisatorische Maßnahmen zu treffen. Dies gilt insbesondere wegen der zugesicherten Vertraulichkeit und für die Löschungsverpflichtung. Bei interner Datenverarbeitung ist zu empfehlen, dass die Whistleblowing-Hotline nicht innerhalb der HR-Abteilung organisiert und betrieben wird. Dabei sollte der Meldeprozesses strategisch geplant werden und die Prozessvorgaben müssten intern kommuniziert werden. Um zu gewährleisten, dass Unbefugte Datenverarbeitungssysteme nicht nutzen können, bieten sich neben einem Berechtigungskonzept und einer Passwortrichtlinie auch Verschlüsselungsverfahren im Hinblick auf die Sensibilität der Daten an. Zu den Massnahmen gehören auch Protokollierung von Dateneingaben und Löschroutinen.
4. EXTERNE PROVIDER
Viele Unternehmen verlassen sich auf externe Provider, die entsprechende Tools bzw. Plattformen zur Verfügung stellen – on premise oder in der Cloud (SaaS). Diese Provider sollten sorgfältig ausgewählt werden und ihrerseits TOMs und Zertifizierungen (z.B. ISO 270001) vorweisen können.
Mit den externen Providern ist eine Auftragsdatenbearbeitungsvereinbarung gemäss Art. 10a DSG (geltendes schweizerisches Recht) oder Art. 28 DSGVO abzuschliessen.
5. DATENSCHUTZ-FOLGEABSCHÄTZUNG
In der EU bedarf die Einführung einer Whistleblowing Plattform einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) mit einer Vorabkontrolle durch den Datenschutzbeauftragten. Im Allgemeinen empfiehlt es sich, den Datenschutzbeauftragten von Beginn an in den Planungsprozess einzubeziehen, damit auf diesem Weg ein System entsteht, dass eine angemessene Rechtssicherheit verspricht. Eine spätere Einbindung ist selbstverständlich ebenfalls möglich, jedoch ist es dann unter Umständen erforderlich, erhebliche Anpassungen mit den entsprechenden Kosten vorzunehmen.
6. EXTERNER DATENSCHUTZBEAUFTRAGTER
Die Bearbeitung von Whistleblowing Fällen ist mit heiklen datenschutzrechtlichen Ermessensentscheiden verbunden (z.B. bei Auskunftsanfragen, Löschung, Weitergabe an Dritte). Sollte sich das erforderliche Knowhow nicht im eigenen Haus befinden, besteht die Möglichkeit, einen externen Datenschutzbeauftragten zu beauftragen oder alternativ einen erfahrenen Berater zu engagieren, der das Unternehmen mit seinem Fachwissen gezielt unterstützt.
