DSGVO: Welche Regelungen gibt es für das „Whistleblowing“?
Die DSGVO in der betrieblichen Praxis. Das neue Buch erscheint in Kürze und beantwortet mehr als 120 Fragen zum neuen europäischen Datenschutzrecht, das Mitte 2018 in Kraft tritt. In diesem Blog werden vorab einige Fragen veröffentlicht (Härting, Datenschutz-Grundverordnung, 2016).
Nicht die Einwilligung, sondern "berechtigte Interessen" (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) werden nach der DSGVO zum zentralen Maßstab, wenn es um die Rechtmäßigkeit der Datenverarbeitung geht.
Interesse staatlicher Sicherheit
Bestimmte Interessen haben Vorfahrt und gelten stets als "berechtigt" - beispielsweise die staatlichen Sicherheitsinteressen
- beim Verdacht auf Straftaten und
- bei Gefahren für die öffentliche Sicherheit,
wenn es Hinweise eines "Whistleblowers" gibt.
Grundsätzliches Überwiegen
Nach Erwägungsgrund 50 Satz 9 DSGVO ist der Verantwortliche stets berechtigt, staatlichen Behörden personenbezogene Daten zu übermitteln, wenn es Hinweise auf strafbare Handlungen oder Bedrohungen der öffentlichen Sicherheit gibt:
“Der Hinweis des Verantwortlichen auf mögliche Straftaten oder Bedrohungen der öffentlichen Sicherheit und die Übermittlung der maßgeblichen personenbezogenen Daten in Einzelfällen oder in mehreren Fällen, die im Zusammenhang mit derselben Straftat oder derselben Bedrohung der öffentlichen Sicherheit stehen, an eine zuständige Behörde sollten als berechtigtes Interesse des Verantwortlichen gelten.” (Hervorhebungen hinzugefügt)
Einseitige Befugnis des Verantwortlichen
Dies ist eine Befugnis des Verantwortlichen, von der dieser Gebrauch machen kann, aber nicht muss. Erwägungsgrund 50 Satz 9 DSGVO ist zudem keine Norm, die staatliche Stellen zur Erhebung von Daten ermächtigt.
Aus der Befugnis eines Unternehmens, personenbezogene Daten an eine Behörde zu übermitteln, ergibt sich noch keine Befugnis des Staates, diese Daten zu erheben. Für eine solche Erhebungsbefugnis bedarf es vielmehr einer gesonderten Rechtsgrundlage (vgl. BVerfG v. 24.1.2012 - 1 BvR 1299/05, CR 2012, 245 m. Anm. Schnabel– Bestandsdatenauskunft).
Ausnahme Geheimhaltungspflicht
Erwägungsgrund 50 Satz 10 DS-GVO nimmt Unternehmen, die einer Verschwiegenheitspflicht unterliegen, von der Befugnis zum „Whistleblowing“ aus:
“Eine derartige Übermittlung personenbezogener Daten im berechtigten Interesse des Verantwortlichen oder deren Weiterverarbeitung sollte jedoch unzulässig sein, wenn die Verarbeitung mit einer rechtlichen, beruflichen oder sonstigen verbindlichen Pflicht zur Geheimhaltung unvereinbar ist.” (Hervorhebungen hinzugefügt)
Die nach Erwägungsgrund 50 Satz 10 DSGVO relevanten Geheimhaltungspflichten können sich ergeben aus:
- einem allgemeinen Gesetz, z.B. aus § 203 StGB (Privatgeheimnis) und aus § 17 UWG (Geschäfts- und Betriebsgeheimnis; zu den Änderungen durch die neue Geschäftsgeheimnis-Richtlinie ausführlich Lejeune, CR 5/2016, 330 ff),
- aus Berufsrecht, z.B. aus § 43 a Abs. 2 BRAO und § 2 BORA (Rechtsanwälte) sowie aus § 9 Muster-Berufsordnung (Ärzte),
- oder aus sonstigen bindenden Verpflichtungen, insbesondere aus vertraglichen Geheimhaltungspflichten.
Gegenausnahme: rechtmäßiger Bruch der Geheimhaltungspflicht
Keine der von Erwägungsgrund 50 Satz 10 DSGVO erfassten Verschwiegenheitspflichten gilt ausnahmslos: Erfährt beispielsweise ein Arzt von Mordplänen seines Patienten, darf er die Polizei verständigen, ohne gegen seine Verschwiegenheitspflicht zu verstoßen (vgl. §§ 32 und 34 StGB). An dieser Befugnis ändert Erwägungsgrund 50 Satz 10 DSGVO nichts.
Datenschutzrechtlich ist der Bruch einer Verschwiegenheitspflicht rechtmäßig, wenn das Interesse an einer Aufdeckung das Geheimhaltungsinteresse überwiegt (Art. 6 Abs. 1 Satz 1 lit. f DSGVO). Ob dies der Fall ist, hängt von Wertungen außerhalb des Datenschutzrechts ab (z.B. von den Voraussetzungen der §§ 32 und 34 StGB – Notwehr und Notstand).