Hinweisgeberschutzgesetz: Bei internen Meldestellen müssen Datenschutz-Folgen geprüft werden
Seit 2023 gibt es das Hinweisgeberschutzgesetz zum Schutz hinweisgebender Personen (Whistleblower). Im Gesetz ist eine Pflicht zur Einrichtung interner Meldestellen für Arbeitgeber*innen mit jeweils in der Regel mindestens 50 Beschäftigten vorgesehen. Wer eine interne Meldestelle braucht, benötigt auch eine*n Datenschutzbeauftragte*n.
Meldestellen im Sinne des Hinweisgeberschutzgesetzes (HinSchG) verarbeiten Daten, deren Bekanntwerden ein besonders hohes Risiko für die Rechte und Freiheiten von Beschäftigten und sonstigen Personen erzeugen würde. Deswegen ist dort der Schutz der Daten bei den Meldestellen besonders wichtig. Diese erhalten von den meldenden Personen Informationen über Regelverstöße. Daraus darf für die meldenden Personen kein Nachteil entstehen, insbesondere wenn sie dort arbeiten, wo gegen die Regeln verstoßen wurde; Repressalien sind vom Gesetz ausdrücklich verboten (§ 36 Abs. 1 HinSchG). Die interne Meldestelle hat die datenschutzrechtlichen Bestimmungen bei der Verarbeitung personenbezogener Daten einzuhalten.
Wer eine interne Meldestelle mit eigenen Beschäftigten einrichtet, bleibt für deren Datenverarbeitung Verantwortlicher. Er muss mit den Beschäftigten, die die Aufgabe der Meldestelle wahrnehmen, konkrete Verfahren zum Umgang mit den anfallenden Daten und zum Schutz dieser Daten treffen. Dabei ist die unabhängige Aufgabenwahrnehmung der Stelle zu achten und zugleich der Schutz der hinweisgebenden Personen – auch gegenüber dem Verantwortlichen selbst – sicherzustellen.
Mit den Aufgaben der internen Meldestelle kann auch ein Dritter betraut werden (§ 14 Abs. 1 HinSchG). Insbesondere die Beauftragung externer Anwält*innen oder sonstiger externer Berater*innen kann in Betracht kommen. Wird ein Dritter mit den Aufgaben betraut, ist dieser Verantwortlicher, da interne Meldestellen selbstständig und unabhängig über den Umgang mit den erhaltenen Informationen einschließlich der dazu gehörenden personenbezogenen Daten entscheiden. Eine gemeinsame Verantwortlichkeit (Art. 26 DSGVO) ist dabei nicht anzunehmen. Die durch Externe wahrgenommene interne Meldestelle ist kein Auftragsverarbeiter. Dritte können aber auch nur mit einzelnen Hilfstätigkeiten zum Betrieb der Meldestelle beauftragt werden, beispielsweise um die dort eingesetzte IT zu betreuen. In diesen Fällen sind die Vorgaben für Auftragsverarbeitungen zu beachten (Art. 28 DSGVO). Auftraggeber sind die Verantwortlichen, die die interne Meldestelle betreiben, weil sie selbst dazu verpflichtet sind oder weil sie die Aufgabe übernommen haben.
Vor der Einrichtung einer internen Meldestelle – und damit vor Eröffnung eines Meldekanals – ist eine Datenschutz-Folgenabschätzung durchzuführen, weil ein besonders hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht (Art. 35 DSGVO). Dies gilt auch bei einer externen Beauftragung. Die Verarbeitung der Daten von Hinweisgebenden ist besonders risikoreich, da teilweise schwerwiegende Vorwürfe mitgeteilt werden, die dazu führen können, dass Hinweisgebende Repressalien oder Sanktionen ausgesetzt werden.
Aus der Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung vor Einrichtung der internen Meldestelle folgt, dass ein*e Datenschutzbeauftragte*r zu benennen ist, unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen (§ 38 Abs. 1 Satz 2 BDSG).
Fazit
Es ist zulässig, einen Dritten mit der Einrichtung und dem Betrieb der Meldestelle zu betrauen. Wird eine interne Meldestelle nach dem HinSchG eingerichtet, so ist zwingend eine Datenschutz-Folgenabschätzung durchzuführen. Wer eine interne Meldestelle braucht, muss auch eine*n Datenschutzbeauftragte*n benennen.
Quelle: LDI NRW
Fragen Sie sich, ob Sie bei der Einrichtung einer Hinweisgeberstelle richtig aufgestellt sind oder möchten Sie die Meldestelle extern betreiben?
Unverbindlich mit einem Experten sprechen.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks