GSB 7.1 Standardlösung

Navigation und Service

Bonn, den 3. Februar 2006

Pressemitteilung 03/2006

EU-Datenschutzgruppe beschließt Empfehlung zu firmeninternen Telefonhotlines und legt weitere Arbeitsschwerpunkte fest

Die Datenschutzbeauftragten der Mitgliedstaaten der EU (Artikel 29-Gruppe) haben unter Vorsitz des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Peter Schaar am 31. Januar und 1. Februar 2006 in Brüssel getagt und u.a. ein Papier zu Whistleblowing Systemen verabschiedet.

Ferner haben sie sich auf Schwerpunkte der weiteren Arbeit verständigt.

1. Firmeninterne Telefonhotlines (sog. Whistleblowing Systeme) datenschutzgerecht gestalten

Bei Whistleblowing Systemen handelt es sich um eine Art Hotline in Unternehmen, bei denen Mitarbeiter andere Mitarbeiter wegen möglichen Fehlverhaltens anzeigen können. An der US-Börse notierte Unternehmen sind gemäß Sarbanes-Oxley Act dazu verpflichtet, entsprechende Verfahren einzuführen, um Fälle von Betrug, Insidergeschäften und Korruption aufzudecken. Von dieser Vorgabe sind auch viele europäische Unternehmen betroffen. Das von der Artikel 29-Gruppe verabschiedete Papier soll es den Unternehmen erleichtern, Whistleblowing Systeme datenschutzrechtlich korrekt zu gestalten und damit den Vorgaben der Europäischen Datenschutzrichtlinie (Richtlinie 95/46/EG) zu genügen. Zu beachten sind u.a. folgende Punkte:

  • Der Anwendungsbereich und der Kreis der durch mögliche Anzeigen betroffenen Personen muss in Bezug auf die oben genannten Zwecke begrenzt werden.
  • Dem Anzeigenden sollte Vertraulichkeit zugesichert werden. Anonyme Anzeigen sollten nur in Ausnahmefällen akzeptiert werden.
  • Es dürfen nur die Informationen verarbeitet werden, die für die weitere Bearbeitung der Anzeige notwendig sind.
  • Innerhalb von zwei Monaten nach dem Abschluss der Untersuchung sollten die gespeicherten Daten gelöscht werden. Lediglich in Fällen, in denen weitere rechtliche Schritte erforderlich sind, dürfen die Daten auch für einen längeren Zeitraum gespeichert bleiben.
  • Die beschuldigte Person muss über die Anzeige informiert werden, sobald kein Risiko besteht, dass Beweise vernichtet werden. Der Name des Anzeigenden sollte im Regelfall an den Angezeigten nur dann herausgegeben werden, wenn die Anzeige vorsätzlich falsch war.

2. Arbeitsschwerpunkte 2006

Die Artikel 29-Gruppe wird sich im laufenden Jahr schwerpunktmäßig mit den folgenden Themen befassen:

  • Datenschutz bei medizinischen Daten, insbesondere bei elektronischen Gesundheitskarten und digitalen Krankenakten;
  • Biometrie und Identitätsmanagement;
  • Funkchips (RFID);
  • Datentransfer in Drittländer (Passagierdaten, verbindliche Unternehmensregeln und Standardvertragsklauseln);
  • Interpretation und Weiterentwicklung der wesentlichen Vorschriften der allgemeinen Datenschutzrichtlinie (95/46/EG);
  • Erfahrungen mit der Kommunikationsdatenschutzrichtlinie (2002/58/EG), insbesondere im Hinblick auf die Weiterentwicklung der Informations- und Kommunikationstechnologien.

3. Weitere Themen

Die Datenschutzbeauftragten diskutierten ferner die Frage der Übermittlung von Passagierdaten in die USA, Kanada und Australien. Außerdem wurde eine Stellungnahme der Artikel 29-Gruppe zum Filtern von E-Mails in Zusammenhang mit Viren und Spam vorbereitet. Weitere Themen waren elektronische Krankenakten, Fragen des eGovernment, das europaweite Visa-Informationssystem (VIS) und die sog. „Anti-Terror-Listen“ der UN.

Das angenommene Papier zu Whistleblowing Systemen wird in Kürze veröffentlicht unter http://www.bfdi.bund.de.