Was Sie über Whistleblowing-Verfahren wissen sollten
Whistleblowing-Verfahren bieten sichere Kanäle für Mitarbeiter oder andere Informanten, um Betrug, Korruption oder schweres Fehlverhalten in Organisationen zu melden. Im Verlauf eines solchen Verfahrens wird die Verarbeitung von personenbezogenen Daten (persönliche Daten) notwendig; zum Beispiel in Bezug auf Daten betreffend Personen, die des Fehlverhaltens verdächtigt werden, sowie betreffend Informanten und/oder Dritte, wie Zeugen. Die Organe und Einrichtungen der EU sind verpflichtet, über klare Whistleblowing-Verfahren zu verfügen. Die Verpflichtung wird ihnen vom EU-Statut auferlegt; darin heißt es, dass Beamte, denen eine mögliche rechtswidrige Handlung bekannt wird, diese unverzüglich melden.
Die wichtigsten Datenschutzaspekte
Vertraulichkeit - Informationen über den Hinweisgeber und den Beschuldigten sind höchst vertraulich zu behandeln. Das ist auch wichtig, um Mitarbeiter dazu zu ermutigen, Fehlverhalten zu melden.
Qualität der Daten - Es ist wichtig, nicht mehr personenbezogene Daten zu verarbeiten als notwendig. Wie? Indem von vornherein nur relevante Informationen - und nicht mehr als nötig - erhoben werden. In der Praxis bedeutet dies eine erste Kontrolle der gemeldeten Informationen und Aufbewahrung nur der für den Fall relevanten Daten.
Recht auf Information - Ein allgemeiner Datenschutzhinweis auf der Website einer Organisation ist nicht ausreichend. Die beteiligten Personen sollten sobald als möglich darüber informiert werden, wie ihre personenbezogenen Daten verarbeitet werden. Die personenbezogenen Daten in einem Whistleblowing-Bericht können den Hinweisgeber, die Person, gegen die ermittelt wird, Zeugen oder andere natürliche Personen, die genannt werden, betreffen. Es ist allerdings möglich, dass die Unterrichtung des Beschuldigten zu einem frühen Zeitpunkt die Untersuchung gefährden kann. In diesen Fällen könnte der Austausch von spezifischen Informationen mit dem Beschuldigten aufgeschoben werden müssen. Der Aufschub der Unterrichtung sollte von Fall zu Fall entschieden werden und die Gründe für jede Beschränkung sollten dokumentiert werden.
Auskunftsrecht - Es ist erforderlich, alle in einem solchen Antrag involvierten Interessen, einschließlich der des Hinweisgebers und der beschuldigten Person(en), gleichermaßen zu berücksichtigen.
Vorratsdatenspeicherung - Meldungen, die zu keiner Untersuchung führen, sollten nicht so lange aufbewahrt werden als Meldungen, bei denen eine Untersuchung eingeleitet wurde.
Datensicherheit - In Anbetracht der Tatsache, dass die verarbeiteten Daten sensibel sind und dass Indiskretionen oder eine unbefugte Weitergabe nachteilige Konsequenzen sowohl für den Hinweisgeber als auch für die Beschuldigten haben können, muss besondere Sorgfalt auf die technischen und organisatorischen Maßnahmen verwendet werden, die notwendig sind, um die Risiken zu minimieren und die Datensicherheit zu gewährleisten.
Weitere Informationen
Die folgende nicht erschöpfende Liste ist eine Dokumentenauswahl an weiterführender Literatur:
https://edps.europa.eu/data-protection/our-work/subjects/whistleblowing_en