Das neue Hinweisgeberschutzgesetz (HinSchG) ist im Juli 2023 in Kraft getreten. Es sieht vor, dass Unternehmen mit mindestens 50 Beschäftigten ein internes Hinweisgebersystem einzurichten haben. Ziel des Gesetzes, welches zur Umsetzung einer entsprechenden europäischen Richtlinie verabschiedet wurde, ist einerseits eine bessere Durchsetzung rechtlicher Bestimmungen und andererseits zugleich der besondere Schutz meldender, gemeldeter sowie von einer Meldung betroffener Personen. Doch für einige Unternehmen hält das Hinweisgeberschutzgesetz auch eine datenschutzrechtliche Überraschung parat.

Datenschutzrechtliche Anforderungen bei Hinweisgebersystemen

Es dürfte nicht überraschen, dass mit der Einführung eines Hinweisgebersystems und der damit verbundenen Verarbeitung personenbezogener Daten auch die gängigen datenschutzrechtlichen Pflichten gelten. So muss der Verantwortliche die von der Verarbeitung personenbezogener Daten betroffenen Personen hinsichtlich der Datenverarbeitungen i.S.d. Artikel 13 und 14 DS-GVO transparent informieren. Weiterhin obliegt ihm die Pflicht, die Verarbeitungstätigkeit im Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO korrekt und vollständig abzubilden.

Wird für die Einrichtung einer internen Meldestelle auf einen externen Dienstleister zurückgegriffen oder wird ein cloudbasiertes System zur Bearbeitung und Verwaltung etwaiger Hinweise genutzt, wird in der Regel der Abschluss eines Vertrages zur Auftragsverarbeitung erforderlich sein. Ist eine Person des Verantwortlichen mit der Funktion als interne Meldestelle betraut, ist es sinnvoll diese Person entsprechend des § 8 HinSchG speziell für die Wahrnehmung dieser Tätigkeit zur Vertraulichkeit zur verpflichten. So weit, so gut.

Erforderlichkeit zur Durchführung einer Datenschutz-Folgenabschätzung

Gemäß Art. 35 Abs. 1 DS-GVO hat eine Datenschutz-Folgenabschätzung vor Beginn einer jeden Verarbeitung zu erfolgen, die voraussichtlich hohe Risiken für die Rechte und Freiheiten natürlicher Personen aufweist. Liegt im Rahmen der Einführung und des Betriebs eines Hinweisgebersystems ein solches hohes Risiko vor? Folgt man den Kriterien der Veröffentlichung der Artikel-29-Gruppe (Vorgänger des Europäischen Datenschutzausschusses) mit dem prägnanten Namen Leitlinie zur Datenschutz-Folgenabschätzung (DFSA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“ aus dem Jahr 2017, wird man diese Frage bejahen müssen.

Auch die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder sehen die Erforderlichkeit zur Durchführung einer Datenschutz-Folgenabschätzung. So heißt es in der Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines: Firmeninterne Warnsysteme und Beschäftigtendatenschutz aus dem Jahr 2018 ganz kurz: „Ein Verfahren zur Meldung von Missständen unterliegt wegen des besonders hohen Risikos für die Rechte und Freiheiten natürlicher Personen einer Datenschutz-Folgenabschätzung.“ Und auch unter Würdigung der einzelnen Normen des Hinweisgeberschutzgesetzes wird man zu dem Ergebnis kommen, dass bereits der Gesetzgeber im Rahmen des Gesetzgebungsverfahrens ein erhöhtes Risiko erkannt hat (vgl. §§ 8, 37 – 39 HinSchG).

Die Datenschutz-Folgenabschätzung ist vom Verantwortlichen selbst durchzuführen. Dabei ist der Rat des Datenschutzbeauftragten (Art. 35 Abs. 2 DS-GVO) einzuholen, sofern ein solcher benannt ist. Doch das Bundesdatenschutzgesetz (BDSG) setzt da noch einen drauf…

Pflicht zur Benennung eines Datenschutzbeauftragten

Eine besondere Anforderung hält § 38 Abs. 1 Satz 2 BDSG vor: „Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen […] haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.“ Das bedeutet im Umkehrschluss, dass jedes Unternehmen mit mindestens 50 Beschäftigten verpflichtend einen Datenschutzbeauftragten zu benennen hat.

Die Regelung des § 38 Abs. 1 Satz 1 BDSG setzt zwar bereits voraus, dass Verantwortliche oder Auftragsverarbeiter, die in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, verpflichtend einen Datenschutzbeauftragten zu benennen haben. Jedoch kann sich bei Unternehmen mit einer kleinen Verwaltung (z.B. Handwerksbetriebe, Fuhrunternehmen) mit der Pflicht zur Einführung eines Hinweisgebersystems ein neues Kriterium der Benennungspflicht ergeben.

Es wäre auch ein anderer Weg möglich gewesen…

Muss es immer so kompliziert sein? Mit einem Blick in die DS-GVO lautet die Antwort: Eigentlich nicht. Art. 35 Abs. 10 DS-GVO zeigt auf: Sofern ein Verantwortlicher rechtlich zu einer Datenverarbeitung verpflichtet ist, die Verarbeitungsvorgänge durch das jeweilige Recht vorgegeben sind sowie im Rahmen des Gesetzgebungsverfahrens durch den Gesetzgeber bereits eine allgemeine Datenschutz-Folgenabschätzung durchgeführt wurde, können Verantwortliche von der Rechtspflicht zur Durchführung einer eigenen Datenschutz-Folgenabschätzung entbunden werden. Dementsprechend entfiele somit auch das weitere Kriterium zur verpflichtenden Benennung eines Datenschutzbeauftragten.

Kann so etwas funktionieren? Und ob! Ein Blick in das Nachbarland Österreich zeigt, dass bereits im Rahmen eines Gesetzgebungsverfahrens eine Datenschutz-Folgenabschätzung mitgedacht werden kann.

Interne Meldestelle gleich Datenschutzbeauftragter?

Aus der Not eine Tugend machen und der internen Meldestelle die Aufgaben eines Datenschutzbeauftragten überhelfen? Das ist wohl keine gute Idee – auch wenn dies durch Dienstleister angeboten wird! Gemäß Art. 38 Abs. 6 Satz 2 DS-GVO haben Verantwortliche sicherzustellen, dass (weitere) Aufgaben und Pflichten des Datenschutzbeauftragten nicht zu einem Interessenkonflikt führen. Ein solcher ist jedoch stets anzunehmen, wenn ein- und dieselbe Person zum Teil umfangreiche Datenverarbeitungen durchführt und zugleich die datenschutzrechtliche Kontrolle dieser Datenverarbeitung übernehmen muss.

Fazit

Im Rahmen der Einführung eines Hinweisgebersystems sind einige datenschutzrechtliche Anforderungen zu beachten. Den größten Aufwand wird hierbei wohl die Datenschutz-Folgenabschätzung verursachen, die aufgrund des hohen Risikos der Datenverarbeitung durchzuführen ist. Soweit bislang kein Datenschutzbeauftragter benannt wurde, gilt die Pflicht zur Benennung nun auf jeden Fall. Unternehmen mit weniger als 250 Beschäftigten, jedoch mehr als 50 Beschäftigten haben nun noch bis Dezember 2023 Zeit, alle aus dem Hinweisgeberschutzgesetz resultierenden Pflichten umzusetzen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Rechtsverstöße, Mobbing und sonstige Missstände in Unternehmen werden häufig nur von den Beschäftigten wahrgenommen, nicht jedoch von der Geschäftsführung. Dies kann verschiedenste Gründe haben: Oftmals hat die Geschäftsleitung einen gewissen Abstand zum Personal und somit keinen detaillierten Einblick in die Geschehnisse der einzelnen Abteilungen. Aus Angst, benachteiligt oder sogar gekündigt zu werden, weisen Beschäftigte die Geschäftsleitung lieber nicht auf derartige Gegebenheiten hin. Obwohl die Geschäftsführung in der Regel großes Interesse haben dürfte, Missstände aller Art aufzudecken und zu beheben. Hierdurch kommt es in Unternehmen zur Häufung verschiedener Umstände, die zu Unzufriedenheit in der Belegschaft und gegebenenfalls sogar zur Verletzung verschiedener Gesetze führt.

Mit dem Hinweisgeberschutzgesetz soll nun die überfällige Umsetzung der europäischen Whistleblowing-Richtlinie (EU) 2018/1937 erfolgen. Ziel dieses Gesetzes ist die nachhaltige Verbesserung des bislang lückenhaften Schutzes von Hinweisgebern, um jegliche Benachteiligung auszuschließen. Weiterhin sollen Hinweisgeber durch das Gesetz Rechtssicherheit erlangen. Nach der Whistleblower-Richtlinie sind Unternehmen ab einer Größe von 50 Beschäftigten verpflichtet, ein Whistleblowing-System einzurichten. Bei der Einrichtung müssen jedoch verschiedene Aspekte berücksichtigt werden, unter anderem selbstverständlich der Datenschutz.

Datenschutzrecht im Kontrast zur Whistleblower-Richtlinie

Es liegt auf der Hand, dass im Wege eines Whistleblowing-Systems nicht ausschließlich Probleme gemeldet werden, die beispielweise organisatorischer Natur sind. Es werden zwangsläufig auch, unter namentlicher Erwähnung, Entscheidungen oder Verhaltensweisen bestimmter Personen gemeldet. Zudem dürfte es äußerst schwierig sein, die Anonymität der meldenden Person gegenüber das jeweilige Meldesystem zu gewährleisten: Wird die Meldung nämlich per Anruf getätigt, könnte die Telefonnummer zurückverfolgt werden. Bei einer Meldung über ein spezielles IT-System kann es zur Preisgabe der IP-Adresse kommen. Aus diesem Grund dürfte der Anwendungsbereich der DS-GVO regelmäßig eröffnet sein. Es kommt also zwangsläufig zur Erhebung und Verarbeitung personenbezogener Daten.

Hinzu kommt, dass durch die Inanspruchnahme des Meldesystems gegebenenfalls personenbezogene Daten ohne Kenntnis der betroffenen Personen erhoben und verarbeitet werden, weshalb die betroffene Person gemäß Art. 14 DS-GVO eigentlich über die Datenverarbeitung informiert werden müsste. Dies läuft jedoch dem Sinn des Whistleblowings zuwider, da die Geschäftsleitung großes Interesse daran haben dürfte, Meldungen zunächst über interne Ermittlungsverfahren näher zu untersuchen. Wenn beschuldigte Personen eine sie betreffende Meldung mitbekommen, könnte die interne Ermittlung verfälscht werden. Problematisch könnten in der Praxis auch die Betroffenenrechte nach Art. 15 DS-GVO sein. Demnach müssten dem Beschuldigten gegebenenfalls sämtliche verfügbaren Informationen über die Herkunft der Daten gegeben werden. Eine IP-Adresse oder die Kombination aus mehreren an sich nicht personenbezogenen Daten eröffnen die Möglichkeit, den Personenkreis des Meldenden stark einzugrenzen.

Datenschutzkonforme Umsetzung in der Praxis

Da das Hinweisgeberschutzgesetz voraussichtlich schrittweise Anfang des neuen Jahres in Kraft treten wird, sollte man sich schon jetzt Gedanken machen, wie ein solches System im Unternehmen eingebaut werden kann, ohne mit dem Datenschutz in Konflikt zu geraten. Wir haben Ihnen die wichtigsten Faktoren zusammengestellt, die Sie bei der Umsetzung des Meldesystems beachten sollten:

• Nach § 8 des Entwurfs zum Hinweisgeberschutzgesetz haben Meldestellen die Vertraulichkeit der hinweisgebendenen Person, Personen die Gegenstand der Meldung sind und sonstige genannte Personen zu wahren. Achten Sie bei der Umsetzung Ihres Whistleblowing-Systems auf den Schutz der Identitäten. Sowohl Beschäftigte als auch die Geschäftsführung dürfen unter keinen Umständen die Möglichkeit haben, die meldende Person zu identifizieren.
• Falls Sie einen Dienstleister einsetzen möchten, muss – je nach beauftragter Dienstleistung – ein Vertrag zur Auftragsverarbeitung abgeschlossen werden.
• Whistleblowing-Systeme bergen immer ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen. Aus diesem Grund ist vor Einführung des jeweiligen Systems gemäß Art. 35 DS-GVO eine Datenschutz-Folgenabschätzung durchzuführen. Ihr Datenschutzbeauftragter kann Sie hierbei unterstützen.
• In Vergangenheit sind zahlreiche IT-Anbieter auf diesen Markt aufgesprungen, die keine Erfahrung mit solchen Systemen haben. Leider kam es dabei zu Zwischenfällen, in denen beispielsweise die Identität des Hinweisgebers offengelegt wurde. Wählen Sie den Dienstleister daher mit größter Sorgfalt aus. 

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.