Seit dem 17.12.2023 müssen Unternehmen mit mehr als 50 Beschäftigten eine interne Meldestelle für Hinweisgeber einrichten. Ziel des HinSchG ist es, Fehlverhalten aufzudecken und präventiv zu wirken. Bei internen Ermittlungen sind jedoch strenge Datenschutzbestimmungen einzuhalten, um Compliance-Verstöße zu vermeiden.
Unternehmen mit über 50 Beschäftigten müssen seit dem 17.12.2023 eine interne Meldestelle gemäß § 12 Hinweisgeberschutzgesetz (HinSchG) eingerichtet haben. An diese Meldestelle können sich hinweisgebende Personen wenden, die einen Verstoß melden oder offenlegen möchten, ohne Repressalien oder andere Nachteile befürchten zu müssen. Der Schutz der Hinweisgebenden soll der Prävention und der Aufdeckung von Verstößen und Fehlverhalten dienen. Die Unternehmen sind verpflichtet, jede Meldung aufzuklären und eine interne Ermittlung durchzuführen. Dabei muss darauf geachtet werden, dass die geltenden Datenschutzbestimmungen beachtet werden, damit es nicht zu Compliance-Verstößen kommt.
Das Hinweisgeberschutzgesetz (HinSchG) schreibt in § 12 vor, dass Unternehmen mit mehr als 50 Beschäftigten eine interne Meldestelle vorweisen müssen. An diese interne Meldestelle können sich nicht nur Beschäftigte, sondern alle hinweisgebenden Personen wenden, um Verstöße zu melden oder diese offenzulegen, ohne Repressalien oder andere Nachteile befürchten zu müssen.
Hintergrund Das HinSchG sieht die Einrichtung einer internen Meldestelle vor und regelt das Meldeverfahren: Unternehmen müssen Meldekanäle für Meldungen in schriftlicher oder mündlicher Form einrichten. Anonyme Meldekanäle werden empfohlen, sind jedoch keine Pflicht. Was gegeben sein muss, ist die Möglichkeit zur persönlichen Zusammenkunft von Hinweisgebern und zuständigen Personen der internen Meldestelle. Die hinweisgebende Person hat das Recht auf eine Eingangsbestätigung, ein Protokoll zur Meldung und auf einen Bericht über die ergriffenen und geplanten Folgemaßnahmen. Für das Unternehmen besteht eine Dokumentationspflicht. Jede Meldung muss dokumentiert, 3 Jahre lang aufbewahrt und dann gelöscht werden. Wenn es erforderlich und verhältnismäßig ist, darf die Dokumentation auch länger aufbewahrt werden. Die interne Meldestelle kann durch das Unternehmen selbst oder durch einen externen Dritten betrieben werden. Datenschutz- und Compliance-Unternehmen, aber auch Rechtsanwälte und -kanzleien bieten die Einrichtung und Führung einer internen Meldestelle als Dienstleistung an. |
Compliance-Risiken bedenken
Das HinSchG verpflichtet Unternehmen dazu, Folgemaßnahmen zur Aufklärung eines gemeldeten Verstoßes zu ergreifen und eine interne Ermittlung durchzuführen (§ 18 HinSchG). Unabhängig davon ist die Geschäftsführung ohnehin verpflichtet, jedem Hinweis auf Compliance-Probleme nachzugehen, um etwaige Rechtsverstöße schnellstmöglich abzustellen.
Welche konkreten Untersuchungsmaßnahmen bei den internen Ermittlungen ergriffen werden, liegt im Ermessen des einzelnen Unternehmens. Sehr oft werden dabei datenschutzrechtliche Grundprinzipien und das Gebot der Verhältnismäßigkeit außer Acht gelassen. Kommt es während der Ermittlung zu Datenschutzverstößen oder anderen Compliance-Vergehen, sind die Untersuchungsergebnisse rechtlich kaum noch zu verwerten. Bei jeder internen Ermittlung sollte daher sichergestellt sein, dass das Vorgehen datenschutzkonform ist.
Rechtsgrundlage(n) klären
Da es bei einer internen Ermittlung i. d. R. zu einer Verarbeitung personenbezogener Daten kommt, muss es dafür eine rechtliche Grundlage geben, die geklärt sein muss, bevor die Untersuchungsmaßnahmen eingeleitet werden. Dabei zu berücksichtigen sind der Anlass und die Ziele der Ermittlung und auf welchem Weg die verantwortliche Person im Unternehmen von einem möglichen Verstoß erfahren hat (Art. 4 Nr. 7 DSGVO).
Ergeht der Hinweis an die interne Meldestelle, erfolgt die Verarbeitung personenbezogener Daten im Zuge der Aufklärungsmaßnahmen auf der Grundlage von Art. 6 Abs. 1 c DSGVO in Verbindung mit § 10 HinSchG. Bei der internen Untersuchung müssen nach § 22 Abs. 2 BDSG (Bundesdatenschutzgesetz) spezifische und angemessene Maßnahmen eingesetzt werden, die die Interessen der betroffenen Person(en) wahren.
Hat das Unternehmen keine interne Meldestelle, kann das HinSchG nicht als Rechtsgrundlage herangezogen werden. Als weitere Rechtsgrundlage kann dann § 26 Abs. 1 S. 1 BDSG dienen, wenn ein konkreter und plausibler Verdacht vorliegt und der Verstoß so relevant ist, dass er die Bagatellgrenze überschreitet.
Geht es bei der internen Ermittlung um die Aufdeckung möglicher strafbarer Handlungen, müssen auch die Vorgaben von § 26 Abs. 1 S. 2 BDSG berücksichtigt werden. Für den Anfangsverdacht i. S. v. § 152 Abs. 2 StPO (Strafprozessordnung) müssen demnach tatsächliche Anhaltspunkte vorliegen, die den Verdacht begründen, dass die betroffene(n) Person(en) eine Straftat begangen hat/haben. Zusätzlich ist eine Interessenabwägung vorzunehmen und die Verhältnismäßigkeit in Bezug auf die Art und das Ausmaß der Ermittlung zu beachten.
Fallstricke bei Untersuchung der E-Mail-Korrespondenz beachten
Soll bei der internen Ermittlung auch die E-Mail-Korrespondenz der betroffene(n) Person(en) untersucht werden, ist dabei zu berücksichtigen, dass unter Umständen dafür das Fernmeldegeheimnis gilt. Dies ist grundsätzlich der Fall, wenn das Unternehmen die private Nutzung dienstlicher E-Mail-Konten erlaubt oder duldet. Die Freigabe der Privatnutzung macht das Unternehmen nach § 3 TKG (Telekommunikationsgesetz) zu einem Anbieter von Telekommunikationsdiensten, der das Fernmeldegeheimnis beachten muss. Hat das Unternehmen dagegen die Privatnutzung dienstlicher E-Mail-Konten ausdrücklich untersagt, gilt das Fernmeldegeheimnis nicht.
Geregelt ist das Fernmeldegeheimnis in § 3 Abs. 3 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz), Verstöße dagegen werden nach § 206 StGB (Strafgesetzbuch) geahndet. Da bisher noch nicht höchstrichterlich geklärt ist, ob Arbeitgeber bei erlaubter privater Nutzung dienstlicher E-Mail-Konten das Fernmeldegeheimnis tatsächlich zu wahren haben, ist aktuelle Rechtsprechung uneindeutig und die Rechtslage kompliziert: Während einige Gerichte die Auffassung vertreten, dass Unternehmen auch bei erlaubter Privatnutzung nicht als Anbieter von Telekommunikationsdiensten gem. § 3 TKG anzusehen sind, schreiben andere Gerichte und Aufsichtsbehörden Unternehmen in diesen Fällen vor, dass sie das Fernmeldegeheimnis beachten müssen. Letzteres hätte zur Folge, dass bei einer internen Ermittlung keine Kommunikationsinhalte untersucht werden dürfen, die sich auf dem Kommunikationssystem des Unternehmens befinden. Das Fernmeldegeheimnis gilt allerdings nicht, wenn die Übertragung abgeschlossen ist, der Empfänger die Inhalte angeschaut hat und diese im Kommunikationssystem des Unternehmens speichert oder dort belässt. Voraussetzung ist, dass die Kommunikationsinhalte auf unternehmensinternen Kommunikationsservern gespeichert sind. Wird dafür ein externer Dienstleister oder Provider eingesetzt, gilt wiederum das Fernmeldegeheimnis, weil dem Unternehmen die Verfügungsgewalt fehlt.
Klare Regelungen für interne Ermittlungen vorsehen
Die internen Meldestellen, die das HinSchG vorschreibt, und das damit verbundene wachsende Compliance-Bewusstsein werden dazu führen, dass die Zahl der internen Ermittlungen ansteigt. Auch mittelständische Unternehmen müssen sich darauf vorbereiten und den verantwortlichen Personen klare und konkrete Handlungsanweisungen für die Einleitung und Durchführung einer internen Ermittlung geben. Damit die Ermittlungsergebnisse vor Gericht Bestand haben, müssen dabei die Rechtsgrundlagen der Datenverarbeitung und das Fernmeldegeheimnis besonders beachtet werden.
Werden glaubhafte Anhaltspunkte für einen Verstoß gemeldet, ist diesem unverzüglich nachzugehen. Diese Anhaltspunkte und jeder weitere Schritt des Ermittlungsverfahrens müssen nachvollziehbar dokumentiert werden. Vor der Durchführung der Ermittlung muss eine Verhältnismäßigkeitsprüfung erfolgen, auf deren Grundlage die Untersuchungsmaßnahmen und die Untersuchungstiefe so festgelegt werden, dass die Verhältnismäßigkeit im Hinblick auf den Zweck der Ermittlung gewahrt bleibt.