Das neue Hinweisgeberschutzgesetz (HinSchG) ist im Juli 2023 in Kraft getreten. Es sieht vor, dass Unternehmen mit mindestens 50 Beschäftigten ein internes Hinweisgebersystem einzurichten haben. Ziel des Gesetzes, welches zur Umsetzung einer entsprechenden europäischen Richtlinie verabschiedet wurde, ist einerseits eine bessere Durchsetzung rechtlicher Bestimmungen und andererseits zugleich der besondere Schutz meldender, gemeldeter sowie von einer Meldung betroffener Personen. Doch für einige Unternehmen hält das Hinweisgeberschutzgesetz auch eine datenschutzrechtliche Überraschung parat.
Datenschutzrechtliche Anforderungen bei Hinweisgebersystemen
Es dürfte nicht überraschen, dass mit der Einführung eines Hinweisgebersystems und der damit verbundenen Verarbeitung personenbezogener Daten auch die gängigen datenschutzrechtlichen Pflichten gelten. So muss der Verantwortliche die von der Verarbeitung personenbezogener Daten betroffenen Personen hinsichtlich der Datenverarbeitungen i.S.d. Artikel 13 und 14 DS-GVO transparent informieren. Weiterhin obliegt ihm die Pflicht, die Verarbeitungstätigkeit im Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO korrekt und vollständig abzubilden.
Wird für die Einrichtung einer internen Meldestelle auf einen externen Dienstleister zurückgegriffen oder wird ein cloudbasiertes System zur Bearbeitung und Verwaltung etwaiger Hinweise genutzt, wird in der Regel der Abschluss eines Vertrages zur Auftragsverarbeitung erforderlich sein. Ist eine Person des Verantwortlichen mit der Funktion als interne Meldestelle betraut, ist es sinnvoll diese Person entsprechend des § 8 HinSchG speziell für die Wahrnehmung dieser Tätigkeit zur Vertraulichkeit zur verpflichten. So weit, so gut.
Erforderlichkeit zur Durchführung einer Datenschutz-Folgenabschätzung
Gemäß Art. 35 Abs. 1 DS-GVO hat eine Datenschutz-Folgenabschätzung vor Beginn einer jeden Verarbeitung zu erfolgen, die voraussichtlich hohe Risiken für die Rechte und Freiheiten natürlicher Personen aufweist. Liegt im Rahmen der Einführung und des Betriebs eines Hinweisgebersystems ein solches hohes Risiko vor? Folgt man den Kriterien der Veröffentlichung der Artikel-29-Gruppe (Vorgänger des Europäischen Datenschutzausschusses) mit dem prägnanten Namen Leitlinie zur Datenschutz-Folgenabschätzung (DFSA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“ aus dem Jahr 2017, wird man diese Frage bejahen müssen.
Auch die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder sehen die Erforderlichkeit zur Durchführung einer Datenschutz-Folgenabschätzung. So heißt es in der Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines: Firmeninterne Warnsysteme und Beschäftigtendatenschutz aus dem Jahr 2018 ganz kurz: „Ein Verfahren zur Meldung von Missständen unterliegt wegen des besonders hohen Risikos für die Rechte und Freiheiten natürlicher Personen einer Datenschutz-Folgenabschätzung.“ Und auch unter Würdigung der einzelnen Normen des Hinweisgeberschutzgesetzes wird man zu dem Ergebnis kommen, dass bereits der Gesetzgeber im Rahmen des Gesetzgebungsverfahrens ein erhöhtes Risiko erkannt hat (vgl. §§ 8, 37 – 39 HinSchG).
Die Datenschutz-Folgenabschätzung ist vom Verantwortlichen selbst durchzuführen. Dabei ist der Rat des Datenschutzbeauftragten (Art. 35 Abs. 2 DS-GVO) einzuholen, sofern ein solcher benannt ist. Doch das Bundesdatenschutzgesetz (BDSG) setzt da noch einen drauf…
Pflicht zur Benennung eines Datenschutzbeauftragten
Eine besondere Anforderung hält § 38 Abs. 1 Satz 2 BDSG vor: „Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen […] haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.“ Das bedeutet im Umkehrschluss, dass jedes Unternehmen mit mindestens 50 Beschäftigten verpflichtend einen Datenschutzbeauftragten zu benennen hat.
Die Regelung des § 38 Abs. 1 Satz 1 BDSG setzt zwar bereits voraus, dass Verantwortliche oder Auftragsverarbeiter, die in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, verpflichtend einen Datenschutzbeauftragten zu benennen haben. Jedoch kann sich bei Unternehmen mit einer kleinen Verwaltung (z.B. Handwerksbetriebe, Fuhrunternehmen) mit der Pflicht zur Einführung eines Hinweisgebersystems ein neues Kriterium der Benennungspflicht ergeben.
Es wäre auch ein anderer Weg möglich gewesen…
Muss es immer so kompliziert sein? Mit einem Blick in die DS-GVO lautet die Antwort: Eigentlich nicht. Art. 35 Abs. 10 DS-GVO zeigt auf: Sofern ein Verantwortlicher rechtlich zu einer Datenverarbeitung verpflichtet ist, die Verarbeitungsvorgänge durch das jeweilige Recht vorgegeben sind sowie im Rahmen des Gesetzgebungsverfahrens durch den Gesetzgeber bereits eine allgemeine Datenschutz-Folgenabschätzung durchgeführt wurde, können Verantwortliche von der Rechtspflicht zur Durchführung einer eigenen Datenschutz-Folgenabschätzung entbunden werden. Dementsprechend entfiele somit auch das weitere Kriterium zur verpflichtenden Benennung eines Datenschutzbeauftragten.
Kann so etwas funktionieren? Und ob! Ein Blick in das Nachbarland Österreich zeigt, dass bereits im Rahmen eines Gesetzgebungsverfahrens eine Datenschutz-Folgenabschätzung mitgedacht werden kann.
Interne Meldestelle gleich Datenschutzbeauftragter?
Aus der Not eine Tugend machen und der internen Meldestelle die Aufgaben eines Datenschutzbeauftragten überhelfen? Das ist wohl keine gute Idee – auch wenn dies durch Dienstleister angeboten wird! Gemäß Art. 38 Abs. 6 Satz 2 DS-GVO haben Verantwortliche sicherzustellen, dass (weitere) Aufgaben und Pflichten des Datenschutzbeauftragten nicht zu einem Interessenkonflikt führen. Ein solcher ist jedoch stets anzunehmen, wenn ein- und dieselbe Person zum Teil umfangreiche Datenverarbeitungen durchführt und zugleich die datenschutzrechtliche Kontrolle dieser Datenverarbeitung übernehmen muss.
Fazit
Im Rahmen der Einführung eines Hinweisgebersystems sind einige datenschutzrechtliche Anforderungen zu beachten. Den größten Aufwand wird hierbei wohl die Datenschutz-Folgenabschätzung verursachen, die aufgrund des hohen Risikos der Datenverarbeitung durchzuführen ist. Soweit bislang kein Datenschutzbeauftragter benannt wurde, gilt die Pflicht zur Benennung nun auf jeden Fall. Unternehmen mit weniger als 250 Beschäftigten, jedoch mehr als 50 Beschäftigten haben nun noch bis Dezember 2023 Zeit, alle aus dem Hinweisgeberschutzgesetz resultierenden Pflichten umzusetzen.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
