Nachdem an dieser Stelle vor einer Woche die Eckpunkte des Ministerialentwurfs des HinweisgeberInnenschutzgesetzes ("HSchG") zusammen mit Praxistipps für die Einrichtung eines Whistleblowing-Systems dargestellt worden sind, sollen hier nun ein Überblick über die besonders beachtenswerten datenschutzrechtlichen Rahmenbedingungen sowie wichtige Praxistipps folgen.

HSchG und unternehmensinterne Verhaltenskodizes

Der im HSchG implementierte sachliche Anwendungsbereich erstreckt sich insbesondere auf öffentliches Auftragswesen, Finanzdienstleistungen, Verhinderung von Geldwäsche und Terrorismusfinanzierung, Produktsicherheit und -konformität, Umweltschutz, öffentliche Gesundheit, Verbraucherschutz, Datenschutz sowie die §§ 302 bis 309 des Strafgesetzbuchs (Korruption). Er bildet die Rechtsgrundlage für die entsprechende Datenverarbeitung. Was muss ein Unternehmen aber beachten, wenn dieser gesetzliche Anwendungsbereich durch einen unternehmenseigenen Code of Conduct oder interne Guidelines auf weitere Sachverhalte wie etwa sexuelle Belästigung oder Mobbing erweitert wird?

Für diese Hinweise, die nicht vom HSchG umfasst sein sollen, ist die Verarbeitung von Daten dann zulässig, wenn sie im Sinne der Datenschutz-Grundverordnung für die Wahrnehmung der berechtigten Interessen des Unternehmens oder eines Dritten erforderlich sind und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, nicht überwiegen.

Für ein effizientes Whistleblowing-System muss der interne Anwendungsbereich erweitert werden. Dabei müssen Unternehmen jedoch auch datenschutzrechtliche Themen (zum Beispiel Informations- und Aufbewahrungspflichten) beachten. Vor allem im Hinblick auf die Betroffenenrechte, die durch das HSchG stark eingeschränkt werden würden, aber auch bei der Festlegung der Speicherdauer spielt diese Aufsplittung zwischen dem durch das HSchG festgelegten Anwendungsbereich und der internen Erweiterung aufgrund der berechtigten Interessen des Unternehmens eine große Rolle. Insofern ist vor allem die Pflicht zur Dokumentation im Rahmen der Datenverarbeitung zu beachten, insbesondere hinsichtlich der Begründung einer etwaigen Erweiterung des gesetzlich vorgesehenen sachlichen Anwendungsbereichs.

Whistleblowing im Konzern

Auch die Frage nach den Voraussetzungen einer gesetzeskonformen Implementierung von Whistleblowing-Systemen innerhalb eines Konzerns stellt sich weiterhin. Dabei ist zunächst zu hinterfragen, ob eine gemeinsame Stelle bei der Konzernmutter zur Fallbearbeitung eingerichtet werden darf. Nach dem Entwurf des HSchG wäre die Einrichtung einer gemeinsamen Stelle – wie auch die Auslagerung der internen Meldestelle an Dritte – grundsätzlich zulässig. Es lässt sich auch nicht entnehmen, weshalb Konzernunternehmen nicht als ebensolche Dritte im Sinne des HSchG gelten sollten.

Nach der bisherigen Rechtsprechung der österreichischen Datenschutzbehörde ist jedoch die Weitergabe sämtlicher Hinweise an die "Konzernspitze" streng zu hinterfragen. (Axel Thoß, 21.7.2022)