Art. 29 Arbeitsgruppe Datenschutz EU

Transparency International Deutschland e.V.
Alte Schönhauser Str. 44
D – 10119 Berlin
Dr. iur. Rainer Frank
Arbeitsgruppe Hinweisgeber
Geschäftsstelle
Alte Schönhauser Str. 44
D-10119 Berlin
Tel.: (49) (30) 54 98 98 0
Tel. (dienstl.): (49) (30) 31 86 853
Fax: (49) (30) 54 98 98 22
E-Mail: [email protected]
www.transparency.de
Berlin, den 13.07.2015
Artikel-29-Datenschutzgruppe
Zur Anwendung der EU-Datenschutzvorschriften auf interne Verfahren zur Meldung
mutmaßlicher Missstände
Stellungnahme angenommen am 1. Februar 2006
Link zur deutschen Fassung:
ec.europa.eu/justice/policies/privacy/docs/wpdocs/2006/wp117_de.pdf
Hinweisgebersysteme sind heute international und auch in Deutschland weit verbreitet.
Gesetzliche Regeln fehlen noch. Eines der grundlegenden Dokumente für eine rechtssichere
Ausgestaltung eines Hinweisgebersystems ist unverändert die hier erläuterte Stellungnahme
der Art. 29 Arbeitsgruppe Datenschutz der EU Kommission aus dem Jahr 2006.
I.
Einleitung und Ansatz
Die Gruppe für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener
Daten (Gruppe 29) wurde durch Artikel 29 Richtlinie 95/46/EG eingesetzt. Sie ist ein
unabhängiges EU-Beratungsgremium in Datenschutzfragen. Ihre Aufgaben sind in Artikel 30
Richtlinie 95/46/EG und Artikel 15 Richtlinie 2002/58/EG festgelegt. Die Gruppe hat im
Februar 2006 eine Stellungnahme angenommen, in der sie an den EUDatenschutzvorschriften ausgerichtete Leitlinien zur Umsetzung interner Verfahren zur
Meldung von Missständen aufstellt.
Die Stellungnahme ist formal auf die Meldung von Missständen in den Bereichen
Rechnungslegung, interne Rechnungslegungskontrollen, Fragen der Wirtschafts-prüfung,
Bekämpfung von Korruption, Banken- und Finanzkriminalität beschränkt.
Vorsitzende: Prof. Dr. Edda Müller
Stellv.: Prof. Dr. Dr. Jürgen Marten, Dr. Hedda von Wedel
Geschäftsführerin: Dr. Anna-Maija Mertens
Transparency International Deutschland e.V.
Alte Schönhauser Str. 44
10119 Berlin
GLS Bank
Konto 11 46 00 37 00
BLZ 430 609 67
IBAN: DE07 4306 0967
1146 0037 00
BIC: GENODE M1GLS
–2–
Dieser beschränkte Ansatz wurde aufgrund einer besonderen Dringlichkeit in den
vorgenannten Bereichen gewählt. Denn hier besteht ein Sanktionsrisiko für EUUnternehmen, die Tochterunternehmen US-amerikanischer Konzerne sind. Als solche sind
sie einerseits nach dem 2002 vom US-Kongress verabschiedeten Sarbanes-Oxley Act (SOX)
verpflichtet, Verfahren zur Entgegennahme, Speicherung und Bearbeitung von Beschwerden
einzuführen. Andererseits müssen sie aber auch die EU-Datenschutzvorschriften einhalten.
Bei einem Verstoß gegen das eine oder andere Regelungswerk drohen Sanktionen von USBehörden oder EU-Datenschutzbehörden.
II.
Zielrichtung
Während vorhandene Regelungen meist darauf ausgelegt seien, den Hinweisgeber zu
schützen, nimmt die Gruppe 29 den Schutz des Beschuldigten in den Blick und weist auf eine
erhebliche Stigmatisierungs- und Viktimisierungsgefahr hin.
Da die Umsetzung von Verfahren zur Meldung von Missständen in den allermeisten Fällen
auf einer Verarbeitung seiner personenbezogenen Daten beruht, müssen die
Datenschutzvorschriften Anwendung finden.
III.
Vereinbarkeit
der
Verfahren
zur
Meldung
von
Missständen
mit
Datenschutzvorschriften
Die Gruppe 29 geht davon aus, dass solche Verfahren grundsätzlich mit den
Datenschutzvorschriften vereinbar sind. Es müssten allerdings einige Vorgaben beachtet
werden.
1.
Grundsätzliche Zulässigkeit der Meldesysteme
Art. 7 der Richtlinie 95/46/EG regelt die Voraussetzungen für die Verarbeitung
personenbezogener Daten. Die Einrichtung eines Meldesystems ist entweder nach Art. 7 c
der Richtlinie für die Erfüllung einer rechtlichen Verpflichtung erforderlich (soweit in dem
EU-Land eine solche Verpflichtung besteht), oder nach Art. 7 f der Richtlinie zur
Verwirklichung eines berechtigten Interesses zulässig.
Vorsitzende: Prof. Dr. Edda Müller
Stellv.: Prof. Dr. Dr. Jürgen Marten, Dr. Hedda von Wedel
Geschäftsführerin: Dr. Anna-Maija Mertens
Transparency International Deutschland e.V.
Alte Schönhauser Str. 44
10119 Berlin
GLS Bank
Konto 11 46 00 37 00
BLZ 430 609 67
IBAN: DE07 4306 0967
1146 0037 00
BIC: GENODE M1GLS
–3–
Ein berechtigtes Interesse erblickt die Gruppe 29 in dem Ziel der Gewährleistung finanzieller
Sicherheit auf den internationalen Finanzmärkten und insbesondere die Verhütung von
Betrug und Fehlverhalten in Bezug auf die von der Stellungnahme behandelten Bereiche.
Art. 7 f der Richtlinie erfordere darüber hinaus allerdings zudem ein Gleichgewicht zwischen
dem berechtigten Interesse und den Grundrechten und –freiheiten der betroffenen Person.
Hier müssten, so die Gruppe 29, Fragen der Verhältnismäßigkeit, der Subsidiarität, die
Ernsthaftigkeit der Vorwürfe und die Folgen für die betroffene Person berücksichtigt
werden.
2.
Verhältnismäßigkeit
Nach Art. 6 der Richtlinie müssen personenbezogene Daten nach Treu und Glauben auf
rechtmäßige Weise verarbeitet werden. Sie dürfen nur für eindeutig festgelegte Zwecke
erhoben werden. Zudem muss sichergestellt werden, dass nicht zutreffende oder
unvollständige Daten gelöscht oder berichtigt werden. Ausgehend von diesem Grundsatz
stellt die Gruppe 29 folgende Überlegungen an:
Zunächst fordert die Gruppe 29 Unternehmen auf, sorgfältig zu prüfen, ob es in angemessen
wäre, die Zahl der Personen zu begrenzen, die berechtigt sein sollen, Missstände zu melden,
oder die Zahl der Personen, die in einem solchen Verfahren beschuldigt werden können. In
diesem Punkt wolle die Gruppe aber keine Vorgaben machen. Eine solche Begrenzung könne
in einigen Bereichen auch unzweckmäßig sein.
Sodann spricht sie die Gruppe dafür aus, dass ausschließlich mit Namen versehene
Meldungen durch das Meldesystem übermittelt werden sollten. Anonymität hindere andere
oft nicht daran, aus den Umständen doch zu erschließen, von wem die Meldung stammt.
Zudem seien anonyme Meldungen schwieriger zu überprüfen und es bestehe die Gefahr
einer Kultur anonymer böswilliger Meldungen, die sich negativ auf das soziale Klima in der
Organisation auswirken könne.
Unter bestimmten Bedingungen – etwa wenn der Hinweisgeber nicht die psychische
Veranlagung hat, eine Meldung mit Namen zu machen – könnten anonyme Meldungen als
Ausnahme von der Regel über das System gemacht werden. Auf diese Möglichkeit solle das
Unternehmen aber nicht hinweisen. Vielmehr solle dem Hinweisgeber versichert werden,
dass seine Identität während des gesamten Verfahrens vertraulich behandelt und Dritten
nicht offenbart wird. Hinsichtlich anonymer Meldungen sei zudem erhöhte Vorsicht bei der
Prüfung der Zulässigkeit der Meldung und der Angemessenheit ihrer Verbreitung im Rahmen
des Systems durch den ersten Empfänger geboten.
Vorsitzende: Prof. Dr. Edda Müller
Stellv.: Prof. Dr. Dr. Jürgen Marten, Dr. Hedda von Wedel
Geschäftsführerin: Dr. Anna-Maija Mertens
Transparency International Deutschland e.V.
Alte Schönhauser Str. 44
10119 Berlin
GLS Bank
Konto 11 46 00 37 00
BLZ 430 609 67
IBAN: DE07 4306 0967
1146 0037 00
BIC: GENODE M1GLS
–4–
Das Erfordernis des Art. 6 der Richtlinie, dass personenbezogene Daten nur in Bezug auf
einen bestimmten, eindeutig definierten Zweck erhoben werden dürfen, verlange eine
Begrenzung der Erhebung auf solche personenbezogenen Daten, die unbedingt erforderlich
sind, um die gemachten Anschuldigungen zu überprüfen. Außerdem dürfen die Daten auch
nur so lange gespeichert werden, wie es für den Zweck der Erhebung erforderlich ist. Nach
dem Abschluss der Untersuchung sind sie unverzüglich und in der Regel innerhalb von zwei
Monaten zu löschen. Stellt sich heraus, dass die Meldung grundlos erfolgte, müssen die
Daten sofort gelöscht werden.
3.
Bereitstellung klarer Information über das System
Die Verantwortlichen des Meldesystems seien verpflichtet, klare und vollständige
Informationen über das System zur Verfügung zu stellen, was sich insbesondere aus Art. 10
der Richtlinie ergebe. Die Betroffenen müssten von der Existenz, dem Zweck und der
Funktionsweise des Systems, den Empfängern der Meldungen und den Zugangs-, Auskunftsund Berichtigungsrechten bezüglich sie betreffender Daten umfassend unterrichtet werden.
Zudem solle darüber aufgeklärt werden, dass das Sanktionen drohen können, wenn das
System missbraucht wird.
4.
Rechte der Beschuldigten
Um ein Gleichgewicht der Interessen zu gewährleisten, lege die Datenschutzrichtline
besonderen Wert auf den Schutz der Daten des Beschuldigten.
Nach Art. 11 der Richtlinie sind die betroffenen Personen zu unterrichten, wenn
personenbezogene Daten bei Dritten erhoben werden und nicht unmittelbar bei ihnen
selbst.
Die beschuldigte Person müsse auch sobald wie möglich über die gegen sie vorgebrachte,
konkrete Anschuldigung, die zuständige Erhebungseinheit und ihre Zugangs- und
Berichtigungsrechte informiert werden. Nach Art. 14 der Richtlinie hat der Beschuldigte –
wenn die Erhebung auf Art. 7 f der Richtlinie beruht – das Recht, aus zwingenden Gründen
Widerspruch gegen die Verarbeitung seiner Daten einzulegen. Diese Informationspflicht
kann allerdings aufgeschoben werden, wenn eine wirksame Untersuchung und insbesondere
die Sicherung von Beweisen andernfalls gefährdet wären.
Vorsitzende: Prof. Dr. Edda Müller
Stellv.: Prof. Dr. Dr. Jürgen Marten, Dr. Hedda von Wedel
Geschäftsführerin: Dr. Anna-Maija Mertens
Transparency International Deutschland e.V.
Alte Schönhauser Str. 44
10119 Berlin
GLS Bank
Konto 11 46 00 37 00
BLZ 430 609 67
IBAN: DE07 4306 0967
1146 0037 00
BIC: GENODE M1GLS
–5–
Art. 12 der Richtlinie gibt dem Betroffenen die Möglichkeit, Zugang zu den ihn betreffenden
Daten zu erhalten, ihre Richtigkeit zu überprüfen und gegebenenfalls Berichtigung zu
verlangen. Die Ausübung dieses Rechts kann jedoch von Fall zu Fall beschränkt werden, um
den Schutz anderer am System beteiligter Personen zu gewährleisten. In keinem Fall dürfe
der Beschuldigte Informationen über die Identität des Hinweisgebers erhalten.
5.
Sicherheit der Verarbeitung
Nach Art. 17 der Richtlinie muss das Unternehmen die geeigneten technischen und
organisatorischen Maßnahmen treffen, die für die Gewährleistung der Sicherheit der Daten
bei ihrer Erhebung, Verbreitung oder Speicherung erforderlich sind.
Im Falle der Einschaltung eines externen Dienstleisters müsse die Einhaltung dieser
Standards vertraglich abgesichert werden.
Insbesondere die Identität des Hinweisgebers muss zuverlässig geschützt sein. Nur wenn sich
herausstellt, dass der Hinweisgeber böswillig eine falsche Angabe gemacht hat, kann eine
Mitteilung ihrer Identität an den Beschuldigten erlaubt sein, damit dieser sich
gegebenenfalls mit einer Klage zur Wehr setzen kann.
6.
Management des Systems
Die Gruppe 29 empfiehlt eine sorgsame Prüfung, wie die Meldungen gesammelt und
gehandhabt werden sollen. In der Stellungnahme wird eine interne Handhabung des
Systems ohne nähere Begründung bevorzugt.
Im Falle der Einschaltung eines externen Dienstleisters sei dieser ebenso zu Vertraulichkeit
verpflichtet und an die Datenschutzgrundsätze gebunden. Das Unternehmen bleibe
verantwortlich und auch durch die Datenschutzrichtlinie verpflichtet, der externe
Dienstleister werde nur als Auftragsbearbeiter tätig.
Das System solle schließlich nur von besonders ausgebildeten und für diesen Zweck
abgestellten Personen gehandhabt werden. Das Meldesystem müsse auch streng von
anderen Abteilungen des Unternehmens, etwa der Personalabteilung, getrennt werden.
Vorsitzende: Prof. Dr. Edda Müller
Stellv.: Prof. Dr. Dr. Jürgen Marten, Dr. Hedda von Wedel
Geschäftsführerin: Dr. Anna-Maija Mertens
Transparency International Deutschland e.V.
Alte Schönhauser Str. 44
10119 Berlin
GLS Bank
Konto 11 46 00 37 00
BLZ 430 609 67
IBAN: DE07 4306 0967
1146 0037 00
BIC: GENODE M1GLS
–6–
Im Folgenden setzt sich die Stellungnahme mit der internationalen Weiterleitung
personenbezogener Daten auseinander, die etwa erforderlich sein könnte, wenn sich die
Beschuldigung gegen ein hochrangiges Mitglied oder einen Manager einer multinationalen
Gruppe richtet. Grundsätzlich plädiert die Gruppe für eine lokale Handhabung der Berichte.
Im Übrigen sollten Art und Schwere des mutmaßlichen Verstoßes unter Berücksichtigung der
Verhältnismäßigkeit darüber entscheiden, auf welcher Ebene und in welchem Land der
Bericht bewertet werden soll. Art. 25 und 26 der Richtlinie regeln die Voraussetzungen einer
Weiterleitung personenbezogener Daten in Drittländer außerhalb der EU.
Zuletzt weist die Gruppe 29 darauf hin, dass Unternehmen, die ein Meldesystem einführen,
nach Art. 18 bis 20 der Richtlinie gegebenenfalls Meldepflichten bei oder die Vorabkontrolle
durch die einzelstaatlichen Datenschutzstellen einhalten müssen.
IV. Fazit
Die Stellungnahme kommt zu dem Ergebnis, dass Meldesysteme ein sinnvoller Mechanismus
sein können. Die Einhaltung der Datenschutzrichtlinie sei dabei zwingend erforderlich, um
eine richtige Funktionsweise des Systems und den Schutz der personenbezogenen Daten der
betroffenen Personen zu gewährleisten.
v. Holtzendorff, Frank
Vorsitzende: Prof. Dr. Edda Müller
Stellv.: Prof. Dr. Dr. Jürgen Marten, Dr. Hedda von Wedel
Geschäftsführerin: Dr. Anna-Maija Mertens
Transparency International Deutschland e.V.
Alte Schönhauser Str. 44
10119 Berlin
GLS Bank
Konto 11 46 00 37 00
BLZ 430 609 67
IBAN: DE07 4306 0967
1146 0037 00
BIC: GENODE M1GLS

Download Report