Whistleblower sind Personen, die Unregelmäßigkeiten, Missbräuche oder illegale Aktivitäten in öffentlichen Einrichtungen oder privaten Unternehmen aufdecken. Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (im Folgenden: DSGVO) legt bestimmte zentrale Verpflichtungen fest, um einen angemessenen Schutz zu gewährleisten und Whistleblower zu ermutigen, im Interesse aller Organisationen zu handeln.
Zunächst ist festzuhalten, dass die verantwortliche Stelle für die von einem Hinweisgeber übermittelten personenbezogenen Daten diejenige ist, die die jeweilige Meldung erhalten hat. Nach Eingang der Informationen ist die Organisation berechtigt, diese Daten im erforderlichen Umfang zu verarbeiten, um die Meldung entgegenzunehmen und gegebenenfalls notwendige Folgemaßnahmen zu ergreifen. Die Daten werden für einen Zeitraum von fünfzehn Monaten ab Abschluss der Folgemaßnahmen oder der Weiterleitung der Meldung an eine Behörde gespeichert. Sollten die Daten von einem Dritten verarbeitet werden, ist gemäß Artikel 28 DSGVO eine Vereinbarung zur Auftragsverarbeitung erforderlich.
Die wichtigste Verpflichtung der DSGVO besteht darin, ein sicheres und vertrauenswürdiges Arbeitsumfeld für Hinweisgeber zu schaffen. Dies beinhaltet die Gewährleistung geeigneter Verfahren und Sicherheitsmaßnahmen innerhalb der Organisation, die es diesen Personen ermöglichen, Unregelmäßigkeiten sicher zu melden und jegliche Form von Vergeltungsmaßnahmen oder Belästigung durch Kollegen zu verhindern. Daher ist ein angemessener Schutz personenbezogener Daten erforderlich, um die Identifizierung und Identitätsfeststellung des Hinweisgebers durch unbefugte Dritte zu verhindern. Eine solche Offenlegung ist nur in den in der DSGVO festgelegten Fällen zulässig, d. h. mit der ausdrücklichen Einwilligung des Hinweisgebers und wenn sie eine notwendige und verhältnismäßige rechtliche Verpflichtung im Zusammenhang mit Aufklärungs- oder Gerichtsverfahren darstellt. Der Hinweisgeber muss über eine solche Offenlegung informiert werden. Ein weiterer wichtiger Aspekt ist die Pflicht, die Aufsichtsbehörde, d. h. den Präsidenten des Amtes für den Schutz personenbezogener Daten, über eine vom Hinweisgeber aufgedeckte Datenschutzverletzung zu benachrichtigen. Diese Meldung sollte innerhalb von 72 Stunden nach Feststellung erfolgen, damit die Behörde geeignete Maßnahmen ergreifen kann. Darüber hinaus ist eine interne Untersuchung erforderlich, um Unregelmäßigkeiten aufzuklären und gegebenenfalls Korrekturmaßnahmen einzuleiten. Hinweisgeber in jeder Organisation sollten sich auch ihrer Rechte bewusst sein. Deshalb sind Schulungen und Weiterbildungen zum Thema DSGVO unerlässlich.
Dank der DSGVO sind die Handlungen von Hinweisgebern geschützt, was die Aufdeckung von Unregelmäßigkeiten und das Ergreifen wirksamer Abhilfemaßnahmen erleichtert. Daher ist es unerlässlich, dass Organisationen die Bestimmungen der Verordnung einhalten und ein angemessenes Arbeitsumfeld sowie Unterstützung für Hinweisgeber bereitstellen.
Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar.
Rechtsstatus ab dem 14. Februar 2024
Autor:
