Zum 1. Juli 2023 ist das Hinweisgeberschutzgesetz (HinSchG) in Kraft getreten. Bereits im Vorfeld gingen viele Anfragen zu einer datenschutzrechtskonformen Umsetzung des Gesetzes bei ein. Auch im Gesetzgebungsverfahren zum baden-württembergischen Gesetz über die Einrichtung und den Betrieb einer internen Meldestelle durch Gemeinden und Gemeindeverbände und solche Beschäftigungsgeber, die im Eigentum oder unter der Kontrolle von Gemeinden oder Gemeindeverbänden stehen, wurden wir einbezogen. Um zur Klärung der vielfältigen und viel diskutierten datenschutzrechtlichen Rechtsfragen im Zusammenhang mit dem HinSchG und der nach § 12 HinSchG einzurichtenden internen Meldestelle beizutragen, hat die Datenschutzbehörde im Oktober 2023 FAQ zu diesem Thema veröffentlicht.
Hierin geht es um die Anforderungen an eine interne Meldestelle und die in Frage kommenden Ausgestaltungsmöglichkeiten der datenschutzrechtlichen Verantwortlichkeit bei ihrer Einrichtung. Die mit den Aufgaben einer internen Meldestelle beauftragten Personen müssen nach § 15 Abs. 1 HinSchG unabhängig sein. Sie dürfen neben ihrer Tätigkeit für die interne Meldestelle andere Aufgaben und Pflichten wahrnehmen. Es ist dabei sicherzustellen, dass derartige Aufgaben und Pflichten nicht zu Interessenkonflikten führen. Gem. § 15 Abs. 2 HinSchG müssen sie über die zur Erledigung der Aufgabe notwendige Fachkunde verfügen. Im Zusammenhang mit dem Datenschutzrecht wird insbesondere die Frage ob behördliche oder betriebliche Datenschutzbeauftragte mit dem Betrieb der internen Meldestelle beauftragt werden können. diskutiert. Diese Möglichkeit wird von der Gesetzesbegründung zum HinSchG vorgesehen und ist sowohl nach Art. 38 Abs. 6 DSGVO als auch nach § 15 Abs. 1 HinSchG zulässig, wenn Interessenkonflikte ausgeschlossen werden. Interessenkonflikte entstehen, wenn die interne Meldestelle Meldungen von Verstößen gegen die DSGVO nachgeht, da diese in den Bereich der Datenschutzbeauftragten fallen, und wenn sie Datenverarbeitungen kontrollieren müssen, über deren Zweck und Mittel sie als interne Meldestelle selbst unabhängig und weisungsfrei entschieden haben. In beiden Fällen müsste die Person mit der Doppelfunktion als Datenschutzbeauftragte und interne Meldestelle ihr eigenes Verhalten bewerten, was nicht neutral möglich ist. Dementsprechend dürfte ohne ergänzende Maßnahmen eine solche Doppelfunktion einen grundsätzlichen Interessenkonflikt darstellen. Nach der Rechtsprechung des EuGH ist für die Frage eines konkreten Interessenkonfliktes die Organisationsstruktur des Verantwortlichen, einschließlich interner Vorschriften, maßgeblich (vgl. EuGH, Urteil vom 9. Februar 2023, Az C-453/21, Rz. 46). Hierbei ist eine Einzelfallbetrachtung geboten: Zu berücksichtigende Mindestvoraussetzungen für die Vermeidung eines Interessenkonfliktes wären geeignete Vertretungsregelungen auf beiden Seiten, klare Zuständigkeiten und Rollentrennungen (organisatorisch und sachlich, z. B. bei Aktenführung und Archivierung) sowie eine lückenlose Prozessdokumentation.
Die datenschutzrechtliche Verantwortlichkeit für die von der internen Meldestelle vorgenommenen Datenverarbeitungen hängt wesentlich von der Ausgestaltung des Sachverhalts ab. Wird die Meldestelle durch Mitarbeitende des Beschäftigungsgebers betrieben, ist dieser Verantwortlicher und die Meldestelle lediglich Teil der verantwortlichen Stelle. Wird jedoch gem. § 14 Abs. 1 Satz 1 Var. 2 HinSchG ein Dritter, z. B. ein verbundenes Unternehmen oder eine Anwaltskanzlei, mit dem Betrieb der internen Meldestelle beauftragt, wird dieser hierdurch nicht Teil des Beschäftigungsgebers. Vielmehr ist ein sämtliche Aufgaben der internen Meldestelle übernehmender Dritte ein eigener Verantwortlicher nach Art. 4 Nr. 7 DSGVO, zwischen ihm und der internen Meldestelle besteht eine gemeinsame Verantwortlichkeit für die vorgenommenen Datenverarbeitungen nach Art. 26 DSGVO, eine entsprechende Vereinbarung ist abzuschließen. Soll der Dritte der eigentlichen internen Meldestelle lediglich zuarbeiten, z. B. indem er die technischen Voraussetzungen für den Meldekanal bereitstellt oder Meldungen für die interne Meldestelle entgegennimmt, liegt ein Fall der Auftragsverarbeitung nach Art. 4 Nr. 8 DSGVO und Art. 28 und 29 DSGVO vor.
Die von der internen Meldestelle vorgenommenen Datenverarbeitungen können auf Art. 6 Abs. 1 Satz 1 Buchst. c DSGVO i. V. mit §§ 10 und 12 bzw. 16ff. HinSchG gestützt werden. § 12 HinSchG normiert die Pflicht zum Betrieb der internen Meldestelle und § 10 HinSchG regelt die Datenverarbeitungdurch diese zur Erfüllung ihrer Aufgaben. § 10 Satz 2 HinSchG enthält auch eine Rechtsgrundlage zur Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 2 Buchst. g DSGVO. Die Weitergabe der personenbezogenen Daten der hinweisgebenden Person und der in der Meldung genannten Personen richtet sich nach § 18 Nr. 4 und § 9 Abs. 2 bis 4 HinSchG.
Der Schutz der Vertraulichkeit der hinweisgebenden Personen und der in der Meldung genannten Personen nach §§ 8 und 9 HinSchG ist zu beachten und darf auch nicht durch die Pflicht zur Information der betroffenen Personen nach Art. 14 DSGVO und das Auskunftsrecht der betroffenen Personen nach Art. 15 DSGVO umgangen werden. Diese sind insoweit durch § 29 Abs. 1 BDSG und ggf. Art. 15 Abs. 4 DSGVO begrenzt. Schließlich sind bei der Einrichtung der Meldekanäle und internen Meldestellen die allgemeinen Anforderungen der DSGVO, wie die Grundsätze des Art. 5 DSGVO, das Erfordernis technischer und organisatorischer Maßnahmen zum Schutz der Vertraulichkeit der verarbeiteten Daten nach Art. 32 DSGVO, das Erfordernis einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO und die Pflicht zur Einbindung der behördlichen oder betrieblichen Datenschutzbeauftragten nach Art. 38 Abs. 1 DSGVO zu beachten.
Mehr Infos:
FAQ Hinweisgeberschutzgesetz
EuGH, Urteil vom 9. Februar 2023, Az. C-453/21, Rz. 46
Quelle: LfDI BW
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks