Nicht erst seit dem Erlass der EU-Richtlinie zum Whistleblowerschutz (RL 2019/1937) ist die Einrichtung eines Hinweisgebersystems wichtiger Baustein einer funktionierenden Unternehmens-Compliance. Zur Realisierung eines Hinweisgebersystems gilt allerdings, eine Vielzahl rechtlicher Erfordernisse zu beachten. Dass auch das Datenschutzrecht bei der Einrichtung eines Hinweisgebersystems nicht ausgeblendet werden darf, hat die italienische Datenschutzbehörde nun mit der Verhängung einer Geldbuße gegen den Flughafen Bologna veranschaulicht.

Der Sachverhalt

Der Flughafen Bologna, eine sog. Società per Azioni (Aktiengesellschaft, kurz: S.p.A.), hatte ein Hinweisgebersystem implementiert, um Meldungen über Rechts- und Regelverstöße entgegenzunehmen. Dazu griff der Flughafen auf eine Cloud-Lösung (SaaS) zurück. Der Anbieter dieser Cloud-Lösung war dabei Auftragsverarbeiter im Sinne von Art. 28 DSGVO, der Flughafen hingegen war der für die Datenverarbeitung Verantwortliche. Das Hinweisgebersystem des Flughafens funktionierte so, dass jeweils Berichte über die Hinweisgebermeldungen erstellt wurden. Diese Berichte konnten allerdings personenbezogene Daten enthalten, die Aufschluss über die Identität des Hinweisgebers zuließen. Die im Hinweisgebersystem gespeicherten Daten wurden außerdem nicht verschlüsselt. Auch wurde eine Datenschutz-Folgenabschätzung (DSFA) nicht durchgeführt.

Die Entscheidung der Datenschutzbehörde

Die italienische Datenschutzbehörde (Garante per la protezione dei dati personali) verhängte in einer Entscheidung vom 10. Juli 2021 ein Bußgeld in Höhe von 40.000 Euro gegen den Flughafen Bologna. Begründet wurde diese Entscheidung mit den unzureichenden technischen und organisatorischen Maßnahmen zur Einrichtung eines datenschutzkonformen Hinweisgebersystems. Der Flughafen musste nach Auffassung der Behörde als für die Datenverarbeitung Verantwortlicher den Grundsatz der Integrität und Vertraulichkeit gemäß Art. 5 Abs. 1 lit. f) DSGVO beachten und war damit verpflichtet, für die Datenverarbeitung Sicherheitsmaßnahmen zum Schutz vor unbefugter oder unrechtmäßiger Verarbeitung zu ergreifen. Ein Zugriff auf die Daten eines Hinweisgebersystems durch Dritte sei hochriskant, weshalb ein unverschlüsseltes System keine ausreichende (Daten-) Sicherheit garantiere. Sowohl die Übermittlung als auch die Speicherung der Daten erfordere demgemäß eine Verschlüsselung. Darüber hinaus stellte die Datenschutzbehörde fest, dass für das eingerichtete Hinweisgebersystem eine Datenschutz-Folgenabschätzung erforderlich war, die der Flughafen ebenfalls nicht durchgeführt hatte.

Die Behörde schlussfolgerte, dass die Datenverarbeitung in dem konkreten Hinweisgebersystem einen Verstoß gegen Art. 5 Abs. 1 lit. f), Art. 25 Abs. 1, Art. 32 sowie Art. 35 DSGVO begründete.

In einer weiteren Entscheidung verhängte die Datenschutzbehörde außerdem ein Bußgeld in Höhe von 20.000 Euro gegen den Anbieter der Hinweisgebersystem-Software, da auch dieser keine angemessenen Sicherheitsmaßnahmen innerhalb der Anwendung getroffen und den Flughafen auch nicht über zwei Unterauftragsverarbeiter informiert hatte.

Bedeutung für die Praxis

Die Entscheidung ist auch für die deutsche Compliance-Praxis von erheblicher Bedeutung. Werden Hinweisgebersysteme nicht datenschutzkonform eingerichtet, droht auch in Deutschland die Verhängung empfindlicher Bußgelder. Mit dem Ablauf der Umsetzungsfrist der Whistleblower-Richtlinie im Dezember dieses Jahres ist außerdem alsbald ein deutsches Hinweisgeberschutzgesetz zu erwarten, wodurch für eine Vielzahl von Unternehmen die Einführung eines Hinweisgebersystems verpflichtend wird. Werden bei der Einführung von Hinweisgebersystemen datenschutzrechtliche Erfordernisse nicht hinreichend genau beachtet, kann das Hinweisgebersystem selbst zu einem Rechtsrisiko werden.

FS-PP Berlin unterstützt bei der Einrichtung eines datenschutzkonformen die Datensicherheit gewährleistenden Hinweisgebersystems. Das Datenschutzrecht gehört aufgrund der langjährigen Erfahrungen neben der Compliance-Beratung zu den Kernkompetenzen von FS-PP Berlin.

Für internetbasierte Hinweisgebersysteme besteht eine Kooperation mit der Business Keeper GmbH, so dass das BKMS® System eine sichere und anonyme Kommunikation mit Hinweispersonen und Datenspeicherung gewährleistet.