Steht der Datenschutz dem Whistleblowing im Wege?

Auf dieses Thema hat mich die jüngste Regierungskrise in Österreich gebracht. Deren Auslöser war ein heimlich auf Ibiza aufgenommenes Video des bisherigen Vizekanzlers HC Strache, in dem er 2017 einer angeblichen russischen Oligarchin Staatsaufträge im Gegenzug für Wahlkampfhilfe angeboten haben soll. Das Video wurde von „Süddeutscher Zeitung“ und „Spiegel“ veröffentlicht. Größere Aufmerksamkeit wurde natürlich den politischen Folgen des Videos zuteil, es meldeten sich aber auch Datenschützer zu Wort: So bezeichnete der baden-württembergische Landesdatenschutzbeauftragte Stefan Brink die Veröffentlichung des Materials gar äußerst kritisch als „kriminelles Unrecht“, da das Hintergehen politischer Gegner und das Verletzen ihrer Privatsphäre ein immenser Schaden für unsere politische Kultur und damit für uns alle darstelle. Internet-Aktivist Sascha Lobo kritisierte Brink hingegen: „Rechtsextreme in Schutz nehmen für den Datenschutz, gegen den bösen, investigativen Journalismus. Das tut hier der Landesdatenschützer von Baden-Württemberg. Das sagt leider sehr viel über Deutschland.“ Der Kommunikationswissenschafter Fritz Hausjell ist auch der Auffassung, dass das Interesse der Öffentlichkeit im genannten Fall mehr wiegt als der Umstand, dass das Material mit illegalen Mitteln beschafft worden sein könnte.

Aus diesem aktuellen Anlass soll es deshalb um den Widerspruch zwischen Datenschutz und moralischem Handeln gehen, konkret ums sogenannte Whistleblowing. Dieser Begriff beschreibt nicht nur das „Leaken“ brisanter Informationen durch Plattformen, wie z.B. Wikileaks, sondern auch ein wirkungsvolles Meldesystem, das Unternehmen bei der Bekämpfung von Verstößen gegen Menschenrechte oder Korruption unterstützt. Die Umsetzung gilt jedoch – insbesondere in Deutschland – als äußerst anspruchsvoll, da im Hinblick auf den Datenschutz mehrere Stolpersteine existieren. Die rechtssichere Einführung einer Whistleblowing-Plattform bedarf daher einer gründlichen Vorbereitung. Hier gibt es eine Orientierungshilfe für Whistleblowing-Hotlines in Unternehmen der deutschen Datenschutzkonferenz aus dem Jahr 2018. Weitere Hinweise bezüglich der DSGVO-Regelungen finden Sie hier.

Bei der Meldung von Verstößen gegen Verhaltensregeln werden zwangsläufig personenbezogene Daten erhoben und verarbeitet, die den Beschuldigten (siehe HC Strache) großen Schaden zufügen können. Deshalb müssen u.a. alle Mitarbeiter darüber informiert werden, dass eine Whistleblowing-Hotline existiert und dass ihr Fehlverhalten dort inklusive persönlicher Daten möglicherweise gemeldet wird. Im März 2019 wurde ein EU-weit einheitlicher Schutz für Whistleblower beschlossen, dieser muss aber noch in den einzelnen Staaten in nationales Recht umgesetzt werden. Ein wichtiger Grundsatz der EU ist, dass Whistleblowing grundsätzlich nur subsidiär eingesetzt werden sollte, da es keinen vollkommenen Ersatz für ein optimiertes inneres Management sowie für reguläre Informationskanäle darstellen kann. Für alle Firmen, die an US-Börsen notiert sind, ist die Einrichtung einer Whistleblower-Hotline übrigens gemäß US-Recht schon seit 2002 verpflichtend.

Auch große Medienhäuser haben anonyme Briefkästen eingerichtet (z.B. hier DIE ZEIT), bei denen jeder anonym ein nicht regelkonformes Verhalten anderer Beschäftigter oder Vorgesetzter melden kann, damit Investigativ-Journalisten die Vorwürfe weiter recherchieren  und verifizieren können. Problem: Eigentlich sind Arbeitnehmer arbeitsvertraglich zur Verschwiegenheit über arbeitsbezogene Daten und Vorgänge verpflichtet. Der Whistleblower verletzt also ggf. seine arbeitsvertragliche Treu- und Verschwiegenheitspflicht, wenn er Personen außerhalb des Unternehmens (Öffentlichkeit, Strafverfolgungsbehörden) einen angeblichen Verstoß des Arbeitgebers gegen Verhaltensregeln anzeigt.

Strittig ist daher, ob der Hinweisgeber seine Identität preisgeben muss und ob diese dem Beschuldigten mitgeteilt werden muss. Anonymes Whistleblowing ist rechtlich problematisch, da Nachfragen dann kaum möglich sind. Außerdem kann bei anonymer Vorgehensweise das Transparenzgebot nicht eingehalten werden und der Verdacht auf einen Missbrauch des Whistleblowings zum Diffamieren ungeliebter Kollegen oder Vorgesetzter liegt nahe. Hier entscheidet im Zweifel der Einzelfall. Auch im Fall Strache wissen wir heute (Stand: 21. Mai 2019) noch nicht, wer die Aufnahmen gemacht hat und wer hinter der angeblichen russischen Oligarchin steckt (das ZDF hat eine Beteiligung Jan Böhmermanns dementiert).

Vielen Unternehmen ist nicht bekannt, dass die Einführung einer Whistleblowing-Plattform eine Vorabkontrolle durch den Datenschutzbeauftragten erfordert. Im Allgemeinen empfiehlt es sich, den Datenschutzbeauftragten von Beginn an in den Planungsprozess einzubeziehen, damit auf diesem Weg ein System entsteht, dass eine angemessene Rechtssicherheit verspricht. Eine spätere Einbindung ist selbstverständlich ebenfalls möglich, jedoch ist es dann unter Umständen erforderlich, erhebliche Anpassungen vorzunehmen.

Grundsätzlich gilt: Leaking und Whistleblowing ist immer ein Abwägungsprozess, eine Einzelfallentscheidung. Mit der Veröffentlichung von Dokumenten geht die Verantwortung einher, einzuschätzen, welche Konsequenzen ein Leak haben kann, ob damit unschuldige Menschen in Gefahr gebracht werden und ob im Zweifel das öffentliche Interesse an den Informationen überwiegt. Diese Verantwortung muss sowohl die Quelle selbst tragen als auch derjenige, der das Material publiziert. Natürlich kann auch ein Datenschutzbeauftragter ein guter Ansprechpartner sein.