EU-Datenschutzgruppe: Empfehlung zu firmeninternen Telefon-Hotlines und Arbeitsschwerpunkte 2006


Die Datenschutzbeauftragten der Mitgliedstaaten der EU (Artikel 29-Gruppe) haben unter Vorsitz des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) Peter Schaar u.a. ein Papier zu Whistleblowing-Systemen verabschiedet.

Ferner haben sie sich auf Schwerpunkte der weiteren Arbeit verständigt.

Firmeninterne Telefonhotlines (sog. Whistleblowing-Systeme): Bei Whistleblowing-Systemen handelt es sich um eine Art Hotline in Unternehmen, bei denen Mitarbeiter andere Mitarbeiter wegen möglichen Fehlverhaltens anzeigen können. An der US-Börse notierte Unternehmen sind gem. Sarbanes-Oxley-Act dazu verpflichtet, entsprechende Verfahren einzuführen, um Fälle von Betrug, Insidergeschäften und Korruption aufzudecken. Von dieser Vorgabe sind auch viele europäische Unternehmen betroffen. Das von der Artikel 29-Gruppe verabschiedete Papier soll es den Unternehmen erleichtern, Whistleblowing-Systeme datenschutzrechtlich korrekt zu gestalten und damit den Vorgaben der EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) zu genügen. Zu beachten sind u.a. folgende Punkte:

  • Der Anwendungsbereich und der Kreis der durch mögliche Anzeigen betroffenen Personen muss in Bezug auf die o.g. Zwecke begrenzt werden.

  • Dem Anzeigenden sollte Vertraulichkeit zugesichert werden. Anonyme Anzeigen sollten nur in Ausnahmefällen akzeptiert werden.

  • Es dürfen nur die Informationen verarbeitet werden, die für die weitere Bearbeitung der Anzeige notwendig sind.

  • Innerhalb von zwei Monaten nach dem Abschluss der Untersuchung sollten die gespeicherten Daten gelöscht werden. Lediglich in Fällen, in denen weitere rechtliche Schritte erforderlich sind, dürfen die Daten auch für einen längeren Zeitraum gespeichert bleiben.

  • Die beschuldigte Person muss über die Anzeige informiert werden, sobald kein Risiko besteht, dass Beweise vernichtet werden. Der Name des Anzeigenden sollte im Regelfall an den Angezeigten nur dann herausgegeben werden, wenn die Anzeige vorsätzlich falsch war.

Arbeitsschwerpunkte 2006: Die Artikel 29-Gruppe wird sich im laufenden Jahr schwerpunktmäßig mit den folgenden Themen befassen:

  • Datenschutz bei medizinischen Daten, insb. bei elektronischen Gesundheitskarten und digitalen Krankenakten;

  • Biometrie und Identitätsmanagement;

  • Funkchips (RFID);

  • Datentransfer in Drittländer (Passagierdaten, verbindliche Unternehmensregeln und Standardvertragsklauseln);

  • Interpretation und Weiterentwicklung der wesentlichen Vorschriften der allgemeinen Datenschutzrichtlinie (95/46/EG);

  • Erfahrungen mit der Kommunikationsdatenschutzrichtlinie (2002/58/EG), insb. im Hinblick auf die Weiterentwicklung der IuK-Technologien.

Das Papier zu Whistleblowing-Systemen ist abrufbar unter: http://europa.eu.int/comm/justice_home/fsj/privacy/index_de.htm und http://www.bfdi.bund.de/.

Quelle: PM des BfDI Nr. 03/06 v. 3.2.2006.


MMR 2006, Heft 3, VI