Datenschutz und Compliance. Aus Konzernen und großen Unternehmen schon nicht mehr wegzudenken. Aber passen Compliance und Datenschutz überhaupt zusammen? Stehen hier nicht Gegner von Angesicht zu Angesicht? Wann kann es passen und wo gibt es Probleme, ich schaue mal tiefer in diese zwei doch nicht so wirklich unterschiedliche Welten

Compliance Manager mit Datenschutz Erfahrung gesucht

So oder so ähnlich steht es hin und wieder in den Jobbörsen zu lesen. Bei diesem Gedankengang muss ich dann schmunzeln. Datenschutzbeauftragter und Compliance Officer in einer Person, wow, eine spannende Herausforderung. Geht das überhaupt, steht der favorisierte Mitarbeiter sich hier nicht selbst auf den Füßen?

Ich selbst bin auch in beiden Bereichen gerne und mit viel Leidenschaft unterwegs und merke sehr schnell dass ich an meine Grenzen stoße. Für ich spricht der Umstand, dass ich mir am Abend Gedanken zu der einen oder anderen Compliance und Datenschutz Hürde machen kann und dann für mich eine für beide Seiten akzeptable Lösung finden kann. In großen Unternehmen mit einem Heer an Mitarbeitern aus den unterschiedlichsten Bereichen, würde daraus eine wahre Projektwolke entstehen und eine für alle Seiten befriedigende Lösung mit Sicherheit lange auf sich warten lassen.

Was da so alles an Problemen und Diskussionsrunden mit Leben gefüllt werden kann, das möchte ich mir hier nur vorstellen aber nicht wirklich live miterleben. :-). Spaß bei Seite aber am folgenden Beispiel möchte ich mal aufzeigen wie ein derartiger Konflikt entstehen kann und deutlich machen, dass sowohl der Bereich Compliance aber auch der Bereich Datenschutz durchaus eine korrekte Sichtweite vertreten.

Das Whistlblower System aus den Augen des Datenschützers

Wir wir alle wissen sind Unternehmen mit mehr als 50 Beschäftigten sowie juristische Personen des öffentlichen Sektors und Gemeinden ab 10.000 Einwohner zukünftig verpflichtet, ein internes Whistleblowing-System einzurichten. Unternehmen ab 250 Mitarbeiter müssen diese Anforderung bis zum 17. Dezember 2021, Unternehmen zwischen 50 und 249 Mitarbeitern bis zum 17. Dezember 2023 erfüllen. Dies schreibt die im Dezember 2019 in Kraft getretene Whistleblower-Richtlinie (WBRL) der Europäischen Union vor, die vom deutschen Gesetzgeber bis dato noch in nationales Recht umzusetzen ist.

Also, wir verfügen über ein CMS welches dazu dient, die rechtzeitige Entdeckung und Ahndung von Gesetzesverstößen sicherzustellen. Ein Bestandteil eines solchen CMS ist dann wiederum ein sogenanntes Whistleblowing-System, das Mitarbeitern oder Externen ermöglicht, Gesetzesverstöße (anonym) zu melden. Die Betonung lassen wir bei anonym stehen.

Die Implementierung eines Whistleblower Hinweissystems

Jetzt wird es spannend, denn nun machen wir uns Gedanken über den Datenschutz und genau hier liegt schon das entscheidende Problem.

Beispiel Szenario: Ein Mitarbeiter nutzt das anonyme Hinweisgebersystem und macht auf einen Mitarbeiter aufmerksam, welcher sehr oft Krankmeldungen einreicht aber nicht wirklich krank ist, sondern die “freie Zeit” dazu nutzt für ein Mitbewerber Unternehmen gegen Bezahlung seine Arbeitskraft zur Verfügung zu stellen. Klar, hier liegt ein Regelverstoß vor und sogar eine strafbewährte Handlung – Betrug von Lohnfortzahlung”. Aufgrund der Meldung, interner Nachforschungen und belastenden Foto – und Video Aufnahmen wird der gemeldete Mitarbeiter fristlos entlassen.

Nun möchte sich der entlassene Mitarbeiter von einem besonderen Datenschutzrecht Gebrauch machen und zwar möchte die Person Artikel 15 DSGVO aktivieren und somit seinen Anspruch auf Datenauskunft erwirken. Aus Sicht des Compliance Officer jedoch kommt dieses eine Katastrophe gleich, würde dieses doch bedeuten die Quelle der Meldung letztendlich preiszugeben. Die deutschen Datenschutzbehörden sehen die Lösung darin, dem Whistleblower entweder die Option zu gewähren, anonym zu melden oder seine Einwilligung einzuholen, seine Identität offenzulegen. Dieser Vorschlag dürfte nicht nur die Aufklärung von Compliance-Verstößen erschweren, sondern auch regelmäßig dazu führen, dass Meldungen erst gar nicht erfolgen.

Belassen wir es dann einfach aus Compliance Sicht bei der anonymen Form der Meldung und hoffen, dass der Gesetzgeber diese Lücke dann doch geschlossen bekommt. Denn auch die Gerichte teilen die Ansicht dass die Daten offengelegt werden müssen. In einem aktuellen Fall wurde, was diese Entscheidung betrifft zwar Revision eingelegt aber ein finales Urteil durch das Bundesarbeitsgericht steht zu diesem Fall aus, da sich die betroffenen Parteien anderweitig einigen konnten.

Steht der Datenschutz der WBRL nun behindernd im Wege?

Das sagt die DSGVO
Kann eigentlich klar mit Ja beantwortet werden. Denn es bleibt dabei, das Recht auf Auskunft kann nicht ausradiert werden, ebenso wenig die Tatsache, dass in annähernd allen Hinweisen wegen eines potenziellen Fehlverhaltens eines Beschuldigten ein Personenbezug vorhanden sein wird. Werden personenbezogene Daten in Hinweisgebermeldungen ohne Kenntnis des Beschuldigten erhoben, so ist diese Person grundsätzlich nach Art. 14 DSGVO über sämtliche Umstände der Datenverarbeitung zu unterrichten. Außerdem steht dem Beschuldigten der Auskunftsanspruch nach Art. 15 DSGVO hinsichtlich seiner verarbeiteten Daten weiterhin zu.

Das sagt die WBRL
Art. 16 WBRL normiert das ​so genannte „Vertraulichkeitsgebot“: Nach Art. 16 Abs. 1 ist die Identität des Hinweisgebers ohne dessen ausdrückliche Zustimmung keiner anderen Personen als gegenüber den befugten Mitarbeitern offenzulegen. Dies gilt auch für alle anderen Informationen, aus denen sich die Identität des Hinweisgebers ergeben kann. Ausnahmsweise darf nach Art. 16 Abs. 2 die Identität des Hinweisgebers genannt werden, wenn dies nach Unionsrecht oder nationalem Recht eine notwendige und verhältnismäßige Pflicht im Rahmen der Untersuchungen durch nationale Behörden oder von Gerichtsverfahren darstellt.

Wer jetzt immer noch der Meinung ist dass Compliance und Datenschutz perfekt miteinander harmonieren, der kann anhand von diesem Beispiel Szenario sehr schnell erkennen dass es nicht so einfach bestellt ist, mit dieser gewünschten Harmonie.

Wie kann ich Ihnen helfen?

Datenschutz, Compliance, Digitalisierung, das sind die Themen die mich umtreiben. Und was beschäftigt Sie? Welches Bedürfnisse an Unternehmenssicherheit beschäftigen aktuell Sie? Unabhängig was dieses auch sein mag, ich stehe Ihnen jederzeit gerne mit Rat und Tat zur Seite und das mit sehr viel Leidenschaft.

Scheuen Sie nicht Kontakt mit mir aufzunehmen und lassen Sie uns unverbindlich über Ihre Vorhaben und Vorstellungen sprechen.