Interne Verfahren zur Meldung von Missständen (Whistleblowing-Hotlines) haben im Lichte verschärfter Kontrollpflichten an Popularität gewonnen. Gegenstand dieser Systeme sind Hinweise über illegale, illegitime und unmoralische Verhaltensweisen bzw. Fehlverhalten in Bezug auf interne Verhaltensrichtlinien. Derartige Systeme beruhen auf der Verarbeitung personenbezogener Daten natürlicher Personen, die im Zuge der Untersuchungen gesammelt, gespeichert, weitergegeben oder auf andere Weise weiterverarbeitet werden. Folglich können Whistleblowing-Systeme die Persönlichkeitsrechte der Betroffenen erheblich berühren und obendrein Nährboden für Denunziation sowie gezielte Schädigungshandlungen sein. Die Vermeidung eines unkontrollierten Datenkreislaufs hat deshalb höchste Priorität. Das BDSG setzt die entsprechenden datenschutzrechtlichen Grenzen, bei deren Überschreitung schwere Strafen drohen können. Vor diesem Hintergrund müssen diejenigen Entscheidungsträger im Unternehmen, welche ein Whistleblowing-System einrichten, betreiben oder auslagern möchten, in der Lage sein datenschutzrechtliche Anforderungen richtig umzusetzen.
Die Autorin problematisiert die Einrichtung und Auslagerung von Whistleblowing-Hotlines im Kontext datenschutzrechtlicher Vorgaben und definiert die Anforderungen an den grenzüberschreitenden Datenverkehr. Ergebnis der Untersuchung ist eine Zusammenfassung jener Eigenschaften, die eine Whistleblowing-Hotline aufweisen muss, damit das System mit dem BDSG konform geht.
Inhaltsverzeichnis
1. Einleitung
1.1 Whistleblowing-Hotlines und Datenschutz
1.2 Abgrenzung der Thematik von bestehender Literatur
1.3 Gang der Untersuchung
2. Abgrenzung: Whistleblowing, Whistleblowing-System und Whistleblowing-Hotline
2.1 Das Whistleblowing
2.1.1 Begriffsdefinition und Charakteristika
2.1.2 Rollen innerhalb des Whistleblowing-Prozesses
2.1.3 Ungesteuertes vs. gesteuertes Whistleblowing
2.2 Das Whistleblowing-System
2.2.1 Begriffsdefinition und Inhalt des Whistleblowing-Systems
2.2.2 Arten von Whistleblowing-Systemen
2.3 Begriffsdefinition und Inhalt der Whistleblowing-Hotline
3. Whistleblowing-Hotlines im Kontext des betrieblichen Compliance-Managements
4. Motivation für die Einrichtung einer Whistleblowing-Hotline
5. Das Bundesdatenschutzgesetz
5.1 Zweck und Anwendungsbereich des Gesetzes
5.2 Wichtige Begriffe und Prinzipien des BDSG
5.2.1 Betroffener
5.2.2 Erhebung, Verarbeitung und Nutzung
5.2.3 Verantwortliche Stelle
5.2.4 Empfänger
5.2.5 Datenexportierende Stelle und datenimportierende Stelle
5.2.6 Verhältnismäßigkeitsgrundsatz, Datenvermeidung und Datensparsamkeit
5.2.7 Grundsätzliches Verbot mit Erlaubnisvorbehalt
5.2.8 Prinzip der Zweckbindung
5.2.9 Auftragsdatenverarbeitung vs. Funktionsübertragung
5.3 Der Beschäftigtendatenschutz § 32 BDSG
6. Empfehlungen zur datenschutzkonformen Ausgestaltung eines Meldeverfahrens
6.1 Empfehlungen der Art-29-Gruppe
6.2 Die Empfehlungen des Düsseldorfer Kreises
6.3 Rechtsprechung zum Thema Whistleblowing-Systeme in Deutschland
6.4 Zwischenfazit - Datenschutzrechtliche Mindestanforderungen an eine Whistleblowing-Hotline
7. Datenschutzrechtliche Prüfung des Verfahrens
7.1 Bestimmung der Erlaubnisnorm
7.1.1 Voraussetzungen der Erlaubnisnorm
7.1.2 Datenschutzrechtliche Verhältnismäßigkeitsprüfung einer Whistleblowing-Hotline
7.2 Datenschutzrechtliche Besonderheiten bei der Beauftragung eines Externen
7.2.1 Der Begriff des Übermittelns
7.2.2 Anforderungen an die Übermittlung ins EU/EWR-Ausland
7.2.3 Zusammenfassendes Prüfschema zur Datenübermittlung
8. Kriterienkatalog
9. Datenschutzrechtliche Bewertung ausgewählter Fälle zur Auslagerung von Whistleblowing-Hotlines
9.1 Ausgangssituation
9.2 Fallkonstellation H
9.3 Fallkonstellation H1
9.4 Fallkonstellation H2
10. Ausblick
Zielsetzung & Themen
Die Arbeit analysiert die datenschutzrechtlichen Anforderungen an die Einrichtung und Auslagerung von Whistleblowing-Hotlines in Wirtschaftsunternehmen mit Sitz in Deutschland. Das primäre Ziel ist es, unter Beachtung des Bundesdatenschutzgesetzes (BDSG) einen kompakten Überblick über die rechtlichen Probleme des grenzüberschreitenden Datentransfers zu geben und rechtskonforme Lösungsmöglichkeiten für Unternehmen aufzuzeigen.
- Datenschutzrechtliche Rahmenbedingungen für Hinweisgebersysteme in Deutschland
- Kontext des betrieblichen Compliance-Managements und Unternehmensorganisation
- Vergleich von internen und externen Whistleblowing-Systemen
- Anforderungen an den internationalen Datentransfer und externe Auftragsverarbeitung
- Kriterienkatalog für die datenschutzkonforme Ausgestaltung von Meldeverfahren
Auszug aus dem Buch
1.1 Whistleblowing-Hotlines und Datenschutz
Whistleblowing-Hotlines (WB-Hs) sind von Unternehmen eingerichtete Verfahren zur Anzeige von Verstößen gegen externe bzw. interne Verhaltensvorschriften durch Angestellte. Ziel ist es, dieses Fehlverhalten zu korrigieren.
Derartige Meldesysteme haben ihren Ursprung in den USA. Dort hatten Anfang des 21. Jahrhunderts spektakuläre Finanzskandale den Kapitalmarkt herbe erschüttert. Die Auswirkungen waren weltweit zu spüren. Seither ist es zu einer zunehmenden Sensibilisierung der Öffentlichkeit gegenüber unethischen und illegalen Geschäftspraktiken gekommen. Infolgedessen initiierte der amerikanische Gesetzgeber das Sarbanes-Oxley Act (SOX). Dieser verpflichtet US-börsengelistete Unternehmen zur Einrichtung von Beschwerdeverfahren damit Unregelmäßigkeiten, insbesondere im Bereich der Buchhaltung und Bilanzierung, direkt bei der Konzernleitung angezeigt werden können. Die Einhaltung der Vorgaben wird durch die Securities and Exchange Commission (SEC) überwacht. Auch deutsche Unternehmen sind unter bestimmten Voraussetzungen dem amerikanischen Bundesgesetz SOX verpflichtet und müssen nach amerikanischem Recht derartige Hotlines installieren. In Deutschland existiert eine vergleichbare Gesetzespflicht jedoch nicht. Dennoch betreiben hierzulande Unternehmen oftmals freiwillig, im Zuge des unternehmensweiten Compliance-Managements, derartige Hinweisgebersysteme. Weil mit einer Anzeige stets die Erhebung und Verarbeitung personenbezogener Daten (pD) einhergehen, sind derartige Systeme datenschutzrechtlich relevant. Entsprechend ist die Rechtmäßigkeit eines Whistleblowing-Systems an strenge datenschutzrechtliche Bedingungen gebunden.
Zusammenfassung der Kapitel
1. Einleitung: Diese Einleitung führt in das Thema Whistleblowing-Hotlines ein, erläutert deren Ursprung und Bedeutung für die Unternehmens-Compliance und stellt den datenschutzrechtlichen Kontext in Deutschland her.
2. Abgrenzung: Whistleblowing, Whistleblowing-System und Whistleblowing-Hotline: In diesem Kapitel werden die begrifflichen Unterschiede sowie die Rollenverteilung innerhalb eines Whistleblowing-Prozesses detailliert analysiert.
3. Whistleblowing-Hotlines im Kontext des betrieblichen Compliance-Managements: Das Kapitel stellt Whistleblowing als integralen Bestandteil eines effektiven Risiko- und Compliance-Managements dar.
4. Motivation für die Einrichtung einer Whistleblowing-Hotline: Es werden die verschiedenen Motive für Unternehmen beleuchtet, Hinweisgebersysteme zu etablieren, insbesondere vor dem Hintergrund gesetzlicher Anforderungen oder freiwilliger Compliance-Initiativen.
5. Das Bundesdatenschutzgesetz: Dieses Kapitel erarbeitet die Grundlagen des deutschen Datenschutzrechts und definiert die zentralen Prinzipien des BDSG für den Kontext von Meldesystemen.
6. Empfehlungen zur datenschutzkonformen Ausgestaltung eines Meldeverfahrens: Hier werden die Vorgaben der Art-29-Gruppe und des Düsseldorfer Kreises zusammengefasst, um Mindestanforderungen an den Betrieb von Whistleblowing-Hotlines zu definieren.
7. Datenschutzrechtliche Prüfung des Verfahrens: Das Kapitel widmet sich der konkreten datenschutzrechtlichen Prüfung sowie den Besonderheiten beim grenzüberschreitenden Datentransfer bei der Einbindung externer Dienstleister.
8. Kriterienkatalog: Der Kriterienkatalog bündelt die wichtigsten Punkte, die Unternehmen bei der Installation oder Auslagerung einer Whistleblowing-Hotline berücksichtigen sollten.
9. Datenschutzrechtliche Bewertung ausgewählter Fälle zur Auslagerung von Whistleblowing-Hotlines: Anhand konkreter Fallbeispiele wird die praktische Anwendung der BDSG-Vorgaben für verschiedene Auslagerungsszenarien juristisch bewertet.
10. Ausblick: Der abschließende Ausblick reflektiert zukünftige Entwicklungen hinsichtlich gesetzlicher Anforderungen und der Anbieterlandschaft für Whistleblowing-Systeme.
Schlüsselwörter
Whistleblowing, Whistleblowing-Hotline, Datenschutz, Compliance, BDSG, Hinweisgebersystem, Personenbezogene Daten, Auftragsdatenverarbeitung, Funktionsübertragung, Interessensabwägung, Verhältnismäßigkeit, Datensicherheit, Sarbanes-Oxley Act, Grenzüberschreitender Datenverkehr, Beschäftigtendatenschutz
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Arbeit untersucht die datenschutzrechtliche Zulässigkeit und Ausgestaltung von Whistleblowing-Hotlines in Unternehmen, insbesondere wenn diese als Hinweisgebersysteme betrieben oder an externe Dienstleister ausgelagert werden.
Was sind die zentralen Themenfelder?
Zentrale Themen sind die Anforderungen des Bundesdatenschutzgesetzes (BDSG), das Compliance-Management, die rechtlichen Voraussetzungen für den grenzüberschreitenden Datentransfer sowie die praktische Implementierung unter Beachtung europäischer Datenschutzstandards.
Was ist das primäre Ziel der Untersuchung?
Das primäre Ziel ist es, Entscheidungsträgern einen kompakten Überblick über die rechtlichen Rahmenbedingungen zu geben und aufzuzeigen, wie Whistleblowing-Hotlines datenschutzkonform gestaltet und betrieben werden können.
Welche wissenschaftliche Methode wird verwendet?
Die Arbeit basiert auf einer rechtlichen Analyse einschlägiger Gesetzesnormen (insb. BDSG, AktG, BetrVG) sowie der Auswertung von Fachliteratur, Empfehlungen der Art-29-Datenschutzgruppe und Stellungnahmen des Düsseldorfer Kreises.
Was wird im Hauptteil behandelt?
Der Hauptteil befasst sich mit der Abgrenzung der Begriffe, der datenschutzrechtlichen Prüfung nach dem BDSG, der Rolle der Betriebsratsbeteiligung sowie der juristischen Bewertung bei der Beauftragung externer Dienstleister, etwa beim Datentransfer in die USA.
Welche Schlüsselwörter charakterisieren die Arbeit?
Wesentliche Begriffe sind Whistleblowing, Datenschutz, Compliance, BDSG, Auftragsdatenverarbeitung, Funktionsübertragung und Verhältnismäßigkeitsprüfung.
Wie bewertet die Autorin die Auslagerung an Drittstaaten wie die USA?
Die Auslagerung in Drittstaaten ohne angemessenes Datenschutzniveau erfordert zusätzliche Garantien. Die Autorin stellt verschiedene Instrumente wie Safe-Harbor-Zertifizierungen (historisch), Standardvertragsklauseln und Binding Corporate Rules vor, um eine datenschutzrechtlich zulässige Datenübermittlung zu erreichen.
Welche Rolle spielt die Einbindung des Betriebsrats?
Die Einbindung des Betriebsrats wird als essenziell erachtet, um durch Betriebsvereinbarungen eine rechtlich belastbare Grundlage für das Whistleblowing-System zu schaffen, die auch arbeitsrechtlichen Anforderungen gerecht wird.
- Arbeit zitieren
- Tanja Hörmann (Autor:in), 2012, Datenschutzkonforme Ausgestaltung von Whistleblowing-Hotlines, München, GRIN Verlag, https://www.hausarbeiten.de/document/287361
