Whistleblowing-Software Anbieter im Fokus der Unternehmen

von Mathilda Kronér und Henrik Almström, Morris Law.

Angesichts der massiven DSGVO-Geldbuße, die von der irischen Datenschutzbehörde (nach einer verbindlichen Entscheidung des Europäischen Datenschutzausschusses) am 22. Mai verhängt wurde, sollten Unternehmen ihre DSGVO-Compliance-Protokolle auf den Prüfstand stellen, um ein rechtmäßiges Management, in Bezug auf den Umgang mit personenbezogenen Daten, sicherzustellen. Dies gilt insbesondere für die Übermittlung personenbezogener Daten in Drittländer wie die USA. Die Notwendigkeit, die Einhaltung der Vorschriften und die sichere Übermittlung personenbezogener Daten zu gewährleisten, ist aus wirtschaftlicher Sicht heute wichtiger denn je.

Die gegen den Facebook-Eigentümer Meta verhängte Geldbuße in Höhe von 1,2 Mrd. EUR ist rekordverdächtig und setzt ein deutliches Zeichen für die Folgen des Missbrauchs personenbezogener Daten von Einzelpersonen bei der Übermittlung von Daten aus der EU in die USA.

Sicherheit geht vor – Sicheres Whistleblowing und Schutz personenbezogener Daten gewährleisten

Eine Whistleblowing-Situation gilt von Natur aus als sensibel. Der Prozess umfasst häufig sensible personenbezogene Daten, die entweder unter die in Artikel 9 der Datenschutz-Grundverordnung (DSGVO) genannten Kategorien fallen, oder Daten über Straftaten, die in Artikel 10 der DSGVO aufgeführt sind. In Anbetracht dessen ist es wichtig, Verfahren einzuführen, die sicherstellen, dass die Verarbeitung der Daten korrekt und sicher ist. Bei der Auswahl oder Bereitstellung von Whistleblowing-Diensten sollten Sie daher immer zuerst an die Sicherheit denken.

Whistleblowing-Dienste mit Sitz in den USA – sicher in der EU?

Whistleblowing-Dienste beinhalten in der Regel eine Übermittlung der personenbezogenen Daten, die in der Meldung enthalten sind, an das Unternehmen, das als Dienstleister auftritt. Daher ist es wichtig, dass Sie Ihre Lieferanten und Unterlieferanten sorgfältig auswählen und sicherstellen, dass sie die DSGVO einhalten, insbesondere da die Übermittlung die Verarbeitung sensibler personenbezogener Daten beinhalten kann. Die Übermittlung personenbezogener Daten innerhalb der EU/EES ist durch die DSGVO sicher und umfassend harmonisiert.

Das viel beachtete Urteil in der Rechtssache Schrems II, in dem die Privacy-Shield-Entscheidung der Europäischen Kommission (Privacy Shield) als Sicherheitsmaßnahme bei der Übermittlung von Daten in die USA für ungültig erklärt wurde, hat zu strengen rechtlichen Anforderungen für solche Datenübermittlungen in die USA geführt. Die verbleibende Schutzmaßnahme für Übermittlungen in Drittländer, die Standardvertragsklauseln (SCC), müssen nach Schrems II, durch zusätzliche Sicherheitsmaßnahmen ergänzt werden, um die Rechtmäßigkeit der Übermittlungen zu gewährleisten.

Diese Anforderungen gelten nicht nur für in den USA ansässige Dienstleister oder Server, sondern auch für in der EU ansässige Dienstleister und Server, die den Anforderungen unterliegen können, wenn sie unter der Kontrolle von US-Unternehmen arbeiten. Solche Dienstleister können zum Beispiel in der EU ansässig sein und Hosting-Dienste von US-Anbietern wie Amazon oder Azure nutzen.

Die Hinweisgeber-Kette und Ihre Verantwortung

Da Whistleblowing mit der Verarbeitung sensibler Informationen verbunden ist, sollten Unternehmen dafür sorgen, dass es sicher ist, die Wahrheit zu sagen. Dies gilt sowohl für interne Compliance-Zwecke als auch für den Schutz der Privatsphäre des Whistleblowers.

Bei der Inanspruchnahme eines externen Whistleblowing-Dienstes fungiert der Dienstleister in den meisten Fällen als Datenverarbeiter und das Unternehmen, das den Dienst in Anspruch nimmt, übernimmt die Verantwortung für die Verarbeitung dieser Daten. Die Unternehmen sind somit dafür verantwortlich, dass während der gesamten Verarbeitungskette angemessene Sicherheitsmaßnahmen getroffen werden.

Wie kann man sicheres und gesetzeskonformes Whistleblowing gewährleisten?

Nehmen Sie zunächst die Verantwortung eines für die Datenverarbeitung Verantwortlichen aktiv wahr. Sowohl bei der Beauftragung eines neuen Anbieters als auch bei der Überprüfung eines bestehenden Anbieters ist es immer angebracht, Informationen über die Rechtskonformität des Dienstes anzufordern. Dies spiegelt sich in Artikel 28 Absatz 1 der DSGVO wider, der besagt, dass der für die Verarbeitung Verantwortliche nur Auftragsverarbeiter heranzieht, die ausreichende Garantien bieten“, um eine DSGVO-konforme Verarbeitung sicherzustellen. In einer Welt nach Schrems II, die durch die Meta-Geldbuße noch weiter verschärft wurde, bedeutet dies, dass man beruhigende Informationen über die Konformität der erbrachten Dienstleistung anfordern und erhalten muss. Ein Anbieter, der nicht in der Lage ist, zumindest die folgenden Fragen zu beantworten, kann ein Risiko für die Beauftragung (bzw. die weitere Beauftragung) darstellen.

Um sicherzustellen, dass Ihr Whistleblowing-Dienst mit der Datenschutz-Grundverordnung konform ist, sollten Sie am besten einen europäischen Lieferanten oder Unterlieferanten beauftragen. Wenn es jedoch unvermeidlich ist, einen amerikanischen Dienst zu nutzen, muss Ihr Unternehmen sicherstellen, dass alle amerikanischen Lieferanten und Unterlieferanten Unterlagen vorlegen können, die belegen, dass ihre Verarbeitung personenbezogener Daten mit der DSGVO konform ist.

1. Werden die Daten innerhalb der EU gespeichert?
2. Werden die Daten nur auf Servern gespeichert, die nicht unter der Kontrolle von Unternehmen mit Sitz außerhalb der EU stehen?
3. Falls eine der obigen Fragen mit „Nein“ beantwortet wird, welche Maßnahmen werden ergriffen, um die Einhaltung der DSGVO/Schrems II sicherzustellen, und wie wird überprüft, ob diese Maßnahmen gültig und ausreichend sind?

Während die ersten beiden Fragen einfach zu beantworten sind, kann die zweite Frage eine komplexe Bewertung dessen, was ausreichend ist oder nicht, erfordern. Nach der Datenschutz-Grundverordnung liegt das Risiko solcher Bewertungen bei dem für die Verarbeitung Verantwortlichen, wobei es oft nur begrenzte Möglichkeiten gibt, das Risiko vertraglich auf den Lieferanten/Verarbeiter abzuwälzen.

In Anbetracht der Meta-Bußgelder ist eine allgemeine Überprüfung des Risikos, das sich aus der Inanspruchnahme von Lieferanten ergibt, von Bedeutung, und Whistleblowing-Dienste sollten ganz oben auf der Prioritätenliste stehen.

Sind Sie daran interessiert, mehr über einen Whistleblowing-Dienst und sichere interne Meldewege zu erfahren? Lesen Sie mehr über die EU-Whistleblowing-Richtlinie zur Meldung von Missständen hier und bei EUR-Lex.

Sind Sie auf der Suche nach einem sicheren Hinweisgebersystem für die Meldung von Missständen? Möchten Sie über ein Hinweisgeber-System für Ihr Unternehmen sprechen? Bitte kontaktieren Sie uns oder erbitten Sie eine kostenlose Demo!