Skip to content
Auskunftsrechte und -pflichten im Rahmen des Hinweisgebersystems

Auskunftsrechte und -pflichten im Rahmen des Hinweisgebersystems

Blog Post
20 September 2023
Autoren
Glugla Catharina
Catharina Glugla

Senior Associate

Düsseldorf
Pascal Yves Schroeder
Pascal Yves Schroeder

Associate

Düsseldorf

Überschriften in diesem Beitrag

Seit dem 2. Juli 2023 verpflichtet das neue Hinweisgeberschutzgesetz (HinSchG) Unternehmen mit mehr als 50 Beschäftigten, ein internes Hinweisgebersystem einzurichten, wobei Unternehmen mit weniger als 250 Beschäftigten eine Schonfrist bis zum 17. Dezember 2023 gewährt wird. Die Meldestellen können intern von einer hierfür benannten Person oder Abteilung betrieben oder aber extern von einem Dritten bereitgestellt werden (hierzu mehr in unserem Blog-Eintrag vom 12. Mai 2023).

Eingehende Meldungen enthalten personenbezogene Daten, z.B. wenn die hinweisgebende Person Fehlverhalten von Kollegen oder Vorgesetzten meldet und diese namentlich benennt. Die weitere Aufklärung, Speicherung und sonstige Verwendung der Meldung unterliegt daher neben dem HinSchG auch der Datenschutzgrundverordnung (DSGVO), insbesondere in Bezug auf Betroffenenrechte wie z.B. auf Auskunft oder Löschung. Bei der Bearbeitung von Hinweisen in der internen Meldestelle entsteht ein Spannungsverhältnis zwischen den Interessen der hinweisgebenden Person und denjenigen eines betroffenen Mitarbeiters1: Während der Hinweisgeber ein Interesse an der Geheimhaltung seiner Identität hat, hat der betroffene Mitarbeiter ein Interesse daran, von welcher Person die Informationen über ihn stammen. Hinweisgebenden Personen soll es unter Wahrung der Vertraulichkeit ihrer Identität möglich sein, Verstöße zu berichten.

Dieser Beitrag gibt einen Überblick über das Spannungsfeld zwischen dem Vertraulichkeitsgebot nach HinSchG einerseits und dem Auskunftsanspruch aus Artikel 15 DSGVO andererseits und Hinweise für die Handhabung dieses Spannungsverhältnisses in der Praxis.

Der Vertraulichkeitsschutz des Hinweisgebers, § 8 HinSchG

Die Meldestellen haben die Vertraulichkeit der Identität der hinweisgebenden Person zu wahren, sofern die gemeldeten Informationen Verstöße betreffen, die in den Anwendungsbereich des HinSchG fallen, oder die hinweisgebende Person zum Zeitpunkt der Meldung hinreichenden Grund zu der Annahme hatte, dass dies der Fall sei. Das Vertraulichkeitsgebot umfasst dabei nicht nur die Identität der von der Meldung betroffenen Personen, sondern auch alle anderen Informationen, aus denen die Identität der Personen abgeleitet werden kann. Ein Verstoß gegen das Vertraulichkeitsgebot ist bußgeldbewehrt und kann auch einen Schadensersatzanspruch der Betroffenen auslösen.

Allerdings wird auch der Vertraulichkeitsschutz der hinweisgebenden Person nicht absolut gewährt. So wird die Identität des Hinweisgebers etwa dann nicht geschützt, wenn der Hinweisgeber vorsätzlich oder grob fahrlässig unrichtige Informationen über Verstöße meldet. Im Falle einer solchen missbräuchlichen Falschmeldung besteht für Personen, die Gegenstand dieser Meldung sind, gerade ein berechtigtes Interesse daran, Kenntnis über die Identität der meldenden Person zu erlangen, etwa um Schadensersatzansprüche geltend machen zu können. Das bedeutet, dass das Vertraulichkeitsgebot dann nicht gilt, die Identität der hinweisgebenden Person also nicht besonders geschützt ist, wenn die Angaben in der Meldung vorsätzlich oder grob fahrlässig falsch gemacht wurden.

Das HinSchG erläutert nicht weiter, wann eine Fehlinformation vorsätzlich oder grob fahrlässig erfolgt. Der hinweisgebenden Person wird jedenfalls nicht bereits dann der Identitätsschutz entzogen werden können, wenn sich eine Meldung nachträglich als unrichtig herausstellt. Vielmehr ist in der Praxis zu prüfen, ob die hinweisgebende Person zum Zeitpunkt der Meldung wusste oder hätte wissen müssen, dass die Meldung falsch ist. Dies stellt Unternehmen in der Praxis vor erhebliche Schwierigkeiten: Man kann in der Regel nur schwer nachprüfen, welche Informationen der hinweisgebenden Person zum Zeitpunkt der Meldung tatsächlich vorgelegen haben.

Auskunftsrechte der betroffenen Mitarbeiter, Artikel 15 DSGVO

Personen, deren personenbezogene Daten durch die Meldestelle verarbeitet werden, haben bestimmte Datenschutzrechte unter der DSGVO, insbesondere ein Recht auf Auskunft. Der genaue Umfang des Auskunftsanspruchs ist in der Praxis zwar sehr umstritten. Wenn jedoch z.B. die beschuldigte Person einen Auskunftsanspruch geltend macht, muss nach Artikel 15 Abs. 1 DSGVO u.a. die die Quelle der Daten – also die hinweisgebende Person – genannt werden und nach Artikel 15 Abs. 3 DSGVO sind Kopien der Daten – also z.B. die Meldung – zur Verfügung zu stellen.
Artikel 15 DSGVO ist jedoch nicht als Ausnahme zum Vertraulichkeitsgebot des § 8 HinSchG normiert. Liegt keine der normierten Ausnahmen vor, wäre die Einwilligung der hinweisgebenden oder sonstigen in der Meldung genannten Personen für die Erfüllung des Auskunftsanspruchs erforderlich. Genau hier liegt das Spannungsfeld: Nach der DSGVO müsste das Unternehmen die Identität der hinweisgebenden Person und die Meldung teilen, nach dem HinSchG muss die Identität jedoch streng vertraulich behandelt werden und eine Weitergabe ohne Einwilligung wäre verboten. 
Die DSGVO löst diesen Konflikt, indem sie Ausnahmen vom Auskunftsrecht in nationalen Gesetzen zulässt: Nach Artikel 23 DSGVO, § 29 Abs. 1 S. 2 Bundesdatenschutzgesetz (BDSG) besteht das Auskunftsrecht nicht, soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach geheim gehalten werden müssen. 

Aufgrund des nunmehr gesetzlich normierten Vertraulichkeitsgebot aus §§ 8, 9 HinSchG kommt es daher auf die bisher erforderliche Einzelfallabwägung zwischen dem Geheimhaltungsinteresse der hinweisgebenden Person einerseits und dem Auskunftsinteresse des Betroffenen andererseits nicht mehr an. Mit dem Vertraulichkeitsgebot nach §§ 8, 9 HinSchG ist die Identität der hinweisgebenden Person nach einer Rechtsvorschrift geheim zu halten, so dass nach § 29 Abs. 1 S. 2 BDSG der Auskunftsanspruch insoweit nicht besteht. Eine detaillierte Interessenabwägung, wie dies die Rechtsprechung bisher bei Hinweisgeberschutzsystemen forderte, ist daher in der Praxis im Rahmen des Vertraulichkeitsgebots des HinSchG nicht mehr erforderlich.

Etwas anderes gilt jedoch, sollten die vom Hinweisgeber gemachten Angaben vorsätzlich oder grob fahrlässig unrichtig sein. Dann gilt das Vertraulichkeitsgebot des HinSchG und somit auch die Ausnahme vom Auskunftsrecht nicht. Aufgrund der Wertung im HinSchG, dass in einem solchen Fall die Identität der hinweisgebenden Person nicht schützenswert ist, wird auch die Ausnahme, dass die Identität zwar nicht nach einer Rechtsvorschrift (d.h. vom Vertraulichkeitsgebot ausgenommen) aber ihrem Wesen nach geheim zu halten ist, nicht anwendbar sein. Dies hat dann zur Folge, dass ein Auskunftsanspruch des betroffenen Mitarbeiters besteht. Erfüllt der Arbeitgeber in diesem Fall den Auskunftsanspruch bzgl. der Quelle der Daten nicht oder nicht vollständig, droht ein Bußgeld oder Schadensersatzanspruch nach DSGVO.

Auskunftsrechte der hinweisgebenden Person, § 17 HinSchG

Auch die hinweisgebende Person selbst hat nach dem HinSchG Auskunftsrechte betreffend der Meldung. Grundsätzlich muss die interne Meldestelle gemäß § 17 Abs. 2 HinSchG innerhalb von drei Monaten nach der Eingangsbestätigung der Meldung auch eine Rückmeldung an den Hinweisgeber erteilen, die Informationen über geplante sowie bereits ergriffen Folgemaßnahmen enthält. Zudem muss die Meldestelle die Gründe für etwaige Folgemaßnahmen angeben. Die Folgemaßnahmen würden jedoch unter Umständen auch personenbezogene Daten umfassen. Hat der Mitarbeiter z.B. gemeldet, dass Gelder aus der Unternehmenskasse gestohlen wurden, so kann es sein, dass der Arbeitgeber daraufhin (erfolgreich) ermittelt und den betroffenen Arbeitnehmer gekündigt hat. 

Dennoch ist der Arbeitgeber in diesem Fall nicht verpflichtet, der hinweisgebenden Person die personenbezogenen Daten und insbesondere nicht die Identität des ermittelten Diebes mitzuteilen. Denn wenn Rechte Dritter einer Information an den Hinweisgeber entgegenstehen, muss die Rückmeldung unterbleiben. So muss der Arbeitgeber der hinweisgebenden Person lediglich mitteilen, dass und welche Ermittlungen unternommen wurden und dass Maßnahmen gegen den Täter veranlasst wurden. Der Datenschutz des Täters steht jedoch einer Preisgabe seiner Identität gegenüber der hinweisgebenden Person entgegen. Dabei ist in der Praxis zu beachten, dass dies auch indirekt personenbezogene Daten – also Informationen, aus denen die Identität herzuleiten ist – erfasst; auch pseudonymisierte Daten sind nach der DSGVO erfasst. 

Die Mitteilungspflicht an die hinweisgebende Person kann auch dann nicht erfüllt werden, wenn Ermittlungen noch andauern und eine Information an die hinweisgebende Person deren Erfolg ggf. sogar gefährden würde, vgl. § 17 Abs. 2 S. 3 HinSchG. In diesen Fällen genügt die Mitteilung des Arbeitgebers, dass Ermittlungen eingeleitet wurden, jedoch noch andauern.

Fazit

Mit dem HinSchG wird ein weitreichender Schutz für Hinweisgeber geschaffen. Der Schutz der hinweisgebenden Person gerät in der Praxis dabei regelmäßig in Konflikt mit dem datenschutzrechtlichen Auskunftsanspruch der betroffenen Mitarbeiter. Das HinSchG normiert im Vertraulichkeitsgebot selbst, dass die Identität der hinweisgebenden Person geheim zu halten ist. Soweit das Vertraulichkeitsgebot gilt, können sich Arbeitgeber daher auf den Ausnahmetatbestand des § 29 Abs. 1 S. 2 BDSG berufen und die Identität der hinweisgebenden Person nicht beauskunften. Die Auskunft, dass die Quelle „das Hinweisgeberschutzsystem“ bzw. „die Meldestelle“ oder „eine hinweisgebende Person“ ist, reicht zur Erfüllung des Artikel 15 DSGVO aus.

Diese Ausnahme gilt jedoch dann nicht, wenn eine missbräuchliche (also eine vorsätzlich oder grob fahrlässig falsche) Meldung abgeben wurde. Hierbei trägt der Arbeitgeber als Verantwortlicher der Meldestelle die Darlegungs- und Beweislast. Um das Risiko eines Bußgelds nach DSGVO wegen nicht vollständiger Erfüllung des Auskunftsanspruchs oder nach HinSchG wegen Verstoßes gegen das Vertraulichkeitsgebot zu reduzieren, sollten Unternehmen in der Praxis bei Zweifelsfällen genau dokumentieren, warum genau sie von einer vorsätzlichen oder grob fahrlässigen Falschmeldung ausgehen und ihren betrieblichen Datenschutzbeauftragten involvieren.
 
Fußnoten

1Aus Gründen der besseren Lesbarkeit wird durchgehend das generische Maskulinum verwendet; es werden jedoch ausdrücklich alle Geschlechteridentitäten hiervon erfasst.

 

Weitere relevante Expertise

Zugehörige Blog-Themen

Cookies auf unserer Webseite

Wir nutzen Cookies auf unserer Webseite, um Sie bei Ihrem nächsten Besuch wiederzuerkennen, Ihnen Inhalte zu zeigen, die unserer Ansicht nach für Sie von Interesse sind, und Sie bei der Nutzung der Webseite zu unterstützen.

Nähere Informationen entnehmen Sie bitte unserer Cookie-Richtlinie. Klicken Sie auf 'Akzeptieren', um der Verwendung von Cookies über die unbedingt erforderlichen Cookies hinaus zuzustimmen, oder 'Ablehnen', wenn Sie die Zustimmung verweigern.

Sie können Ihre Präferenzen jederzeit auf der Seite unserer Cookie-Richtlinie ändern.

Cookies Akzeptieren
Cookies Ablehnen