Bis zum 17.12.2021 hätte die Whistleblower-Richtlinie der EU (WB-Richtlinie) ins nationale Recht umgesetzt werden müssen. Nachdem die EU-Kommission im Januar 2022 ein förmliches Vertragsverletzungsverfahren gegen unter anderem Deutschland eingeleitet hat, ist das Gesetzgebungsverfahren in Gang gekommen, gleichwohl der Weg weiterhin holprig bleibt (https://www.bmj.de/SharedDocs/Gesetzgebungsverfahren/DE/Hinweisgeberschutz.html).
Datenschutzbeauftragte in Doppelfunktion als interne Meldestelle
Eine wesentliche Verpflichtung der WB-Richtlinie, und in Zukunft auch des nationalen Hinweisgeberschutzgesetzes (HinSchG), ist die Errichtung von internen Meldestellen, an die sich Mitarbeitende wenden können, um Hinweise zu Verstößen gegen das Unionsrecht zu melden.
Gerade für KMU kann es sinnvoll sein, diese Stelle mit einer Person zu besetzen, die bereits eine andere Funktion im Unternehmen einnimmt. Als geeignete Personen sind u.a. Datenschutzbeauftragte denkbar.
Es ist jedoch fraglich, ob diese Variante den gesetzlichen Anforderungen gerecht wird.
Nach Erwägungsgrund 56 können in kleineren Unternehmen Mitarbeitende in Doppelfunktionen für die interne Meldestelle in Betracht kommen. Neben u.a. Leitenden der Compliance Abteilungen und Integritätsbeauftragten, werden auch Datenschutzbeauftragte genannt. Dieselbe Ansicht wird vom Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) vertreten. Die Ernennung eines betrieblichen Datenschutzbeauftragten als interne Meldestelle sei laut BvD eine gute Möglichkeit für kleine und mittlere Unternehmen (KMU), die gesetzlichen Anforderungen pragmatisch zu erfüllen. Außerdem seien Datenschutzbeauftragte aufgrund folgender Gründe besonders gut für die interne Meldestelle geeignet:
- Vorhandene Qualifikation,
- Unabhängigkeit bei der Ausübung ihrer Tätigkeit,
- Vertrautheit mit den Anforderungen der Vertraulichkeit und Geheimhaltung/Verschwiegenheit.
Trotz Erwägungsgrund 56 bestehen Zweifel, ob die Bestellung eines Datenschutzbeauftragten als interne Meldestelle sinnvoll und überhaupt rechtmäßig ist. Der Grund hierfür ist, dass Erwägungsgründe nur zu Auslegung von gesetzlichen Regelungen herangezogen werden und keine Rechtskraft besitzen. Über den Erwägungsgrund 56 hinaus beinhaltet die WB-Richtlinie jedoch keine diesbezüglichen Ausführungen. Ob ein betrieblicher Datenschutzbeauftragter als interne Meldestelle in Betracht kommt, richtet sich daher nach den Regelungen der DS-GVO.
Nach Art. 39 Abs. 1 DS-GVO obliegen Datenschutzbeauftragten in erster Linie folgende Aufgaben:
- Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedsstaaten.
- die Überwachung der Einhaltung der DS-GVO, anderer Datenschutzvorschriften der Union bzw. der Mitgliedsstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeitenden und der diesbezüglichen Überprüfungen.
- Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gem. Art. 35 DS-GVO.
Nach Art. 38 Abs. 6. S.1 DS-GVO können Datenschutzbeauftragten jedoch weitere Aufgaben übertragen werden. Dasselbe gilt gem. der Richtlinie für die internen Meldestellen. Somit würde einer Doppelfunktion als Datenschutzbeauftragten und internen Meldestelle grundsätzlich nichts entgegenstehen. Voraussetzung für eine parallele Tätigkeit als Datenschutzbeauftragter und interne Meldestelle ist jedoch sowohl nach der Richtlinie als auch nach der DS-GVO, dass kein Interessenkonflikt zwischen den Tätigkeiten entsteht. Auch das BvD wies in seiner Stellungnahme darauf hin, dass die Rahmenbedingungen so gestaltet sein müssen, dass Interessenkonflikte vermieden werden. Maßgebend hierfür ist Erwägungsgrund 97 S.4 DS-GVO. Demnach sollten derartige Datenschutzbeauftragte unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können.
Interessenkonflikte im Sinne der DS-GVO können vorliegen:
- wenn Datenschutzbeauftragte aufgrund der zusätzlichen Tätigkeit der internen Meldestelle in die Rechte und Freiheiten betroffener Personen eingreifen.
- wenn durch die Tätigkeit als Beauftragter für interne Meldestellen, die Festlegung von Zwecken und Mitteln der Datenverarbeitung mit sich bringen und der Datenschutzbeauftragte sich selbst überwachen muss.
Ein Spannungsfeld zwischen den Tätigkeiten könnte sich insbesondere durch den weiten Anwendungsbereich der Richtlinie ergeben, der auch Verstöße gegen die DS-GVO umfasst. So würden Datenschutzbeauftragte Kenntnis von Datenschutzverletzungen erlangen und somit ihren grundsätzlichen Aufgaben (Unterrichtung, Beratung und Überwachung des Verantwortlichen) nicht gerecht werden können. Nach den Bestimmungen der DS-GVO darf der Datenschutzbeauftragte in der Rolle der internen Meldestelle die Datenschutzverletzung nicht untersuchen. Andererseits muss die interne Meldestelle unter Umständen in die Rechte und Freiheiten der betroffenen Personen eingreifen, etwa wenn die interne Meldestelle eine interne Untersuchung einleiten kann oder muss.
Außerdem sind Datenschutzbeauftragte gem. Art. 38 Abs. 5 DS-GVO bei der Erfüllung ihrer Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden. Das gleiche gilt grundsätzlich auch für die interne Meldestelle. Werden mit dem HinSchG jedoch Ausnahmen vorgesehen, wovon auszugehen ist, so würde die interne Meldestelle vom Vertraulichkeitsgebot abweichen müssen und zwangsläufig in einen Konflikt geraten.
Handlungsempfehlung
Angesichts der Tatsache, dass bei einer Doppelfunktion von Datenschutzbeauftragten und Beauftragten der internen Meldestelle durchaus ein Interessenkonflikt möglich ist und die Verantwortlichen daher mit Bußgeldern nach Artikel 83 (4) DS-GVO belegt werden können, empfehlen wir unseren Kunden, sich vor der Entscheidung über die Besetzung der internen Meldestelle über alle damit verbundenen Risiken zu informieren. Um dem Eindruck eines Interessenkonflikts entgegenzuwirken, ist es insbesondere ratsam, die interne Meldestelle nicht allein mit dem Datenschutzbeauftragten zu besetzen, sondern eine Doppelbesetzung mit zwei Personen mit unterschiedlichen Zuständigkeiten zu erwägen. Allerdings ist sicherzustellen, dass die Rollen klar definiert sind, insbesondere in Bezug darauf wer der benannten Beauftragten entsprechend für welche Art von Hinweisen zuständig ist. Darüber hinaus sollten die zugrundeliegenden Prozesse und Handlungsanweisungen gründlich dokumentiert werden.
Bis zum 17.12.2021 hätte die Whistleblower-Richtlinie der EU (WB-Richtlinie) ins nationale Recht umgesetzt werden müssen. Nachdem die EU-Kommission im Januar 2022 ein förmliches Vertragsverletzungsverfahren gegen unter anderem Deutschland eingeleitet hat, ist das Gesetzgebungsverfahren in Gang gekommen, gleichwohl der Weg weiterhin holprig bleibt (https://www.bmj.de/SharedDocs/Gesetzgebungsverfahren/DE/Hinweisgeberschutz.html).