Mit dem Inkrafttreten des Hinweisgeberschutzgesetzes (HinSchG) am 2. Juli 2023 stehen Unternehmen vor neuen datenschutzrechtlichen Herausforderungen. Regelmäßig enthalten bei einer Meldestelle eingehende Hinweise personenbezogene Daten. Dazu gehören insbesondere der Name des Hinweisgebers (sofern kein anonymer Hinweis erfolgte) und Angaben zum Sachverhalt sowie zu betroffenen Personen. Diese Daten müssen auch im Interesse des Unternehmens – als potenzieller Adressat von Bußgeldern und Schadensersatzansprüchen – in Übereinstimmung mit den Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) erfasst und verarbeitet werden.
Vorgaben bei der Einrichtung und dem Betreiben einer Meldestelle
Im Folgenden zeigen wir wesentliche Aspekte auf, die bei der Einrichtung und dem Betrieb einer Meldestelle berücksichtigt werden sollten.
- Datenschutz-Folgenabschätzung: Vor der Einrichtung eines Meldekanals muss aufgrund des hohen Risikos der Datenverarbeitung für die Rechte und Freiheiten natürlicher Personen eine Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO durchgeführt und dokumentiert werden. Ziel einer solchen Datenschutz-Folgenabschätzung ist es, derartige Risiken durch technische und organisatorische Maßnahmen zu minimieren.
- Verarbeitungsverzeichnis: Auch das Hinweisgeberverfahren ist in das Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 DSGVO aufzunehmen.
- Vertraulichkeitsvereinbarung: Um die Funktionsfähigkeit des Hinweisgeberschutzsystems zu gewährleisten, sieht das Hinweisgeberschutzgesetz in §§ 8, 9 HinSchG einen weitgehenden Schutz der Identitäten aller von einer Meldung betroffenen Personen vor. Demnach darf ihre Identität ausschließlich internen Meldestellen sowie für Folgemaßnahmen zuständigen Personen bekannt gemacht werden. Nur in bestimmten Ausnahmefällen, zum Beispiel auf Verlangen von Strafverfolgungsbehörden, dürfen Informationen zur Identität einer hinweisgebenden Person weitergegeben werden. Dieses Vertraulichkeitsgebot ist gesetzlich vorgesehen. Es bietet sich jedoch für Arbeitgeber im Rahmen ihrer Fürsorgepflicht an, die für die interne Meldestelle zuständigen Personen auf die Folgen der Nichteinhaltung dieser Vorschriften im Rahmen einer zusätzlichen Vertraulichkeitsvereinbarung hinzuweisen.
- Schulungspflicht: Nach § 15 Abs. 2 HinSchG haben Unternehmen dafür Sorge zu tragen, dass die mit den Aufgaben einer internen Meldestelle beauftragten Personen über die notwendige Fachkunde verfügen, insbesondere um die Vertraulichkeit der Identität betroffener Personen zu wahren. Dies ist ggf. durch geeignete Schulungen sicherzustellen und umfasst auch den datenschutzkonformen Umgang bei der Erfassung und Verarbeitung eingehender Hinweise.
- Dokumentationspflicht: Die interne Meldestelle ist gem. § 11 HinSchG verpflichtet, alle eingehenden Meldungen unter Beachtung des Vertraulichkeitsgebots in dauerhaft abrufbarer Weise zu dokumentieren.
- Aufbewahrungs- und Löschpflichten: Die Dokumentation der eingegangenen Meldung gem. 30 DSGVO grundsätzlich drei Jahre nach Abschluss des Verfahrens zu löschen. Eine darüberhinausgehende Aufbewahrungsfrist ist möglich, solange dies erforderlich und verhältnismäßig ist.
- Technisch organisatorische Maßnahmen: Unternehmen müssen technisch organisatorische Maßnahmen gem. Art. 32 DSGVO treffen, um eine DSGVO-konforme Verarbeitung personenbezogener Daten sicherzustellen. Das ist auch dann der Fall, wenn Dritte mit den Aufgaben einer internen Meldestelle betraut wurden.
- Auslagerung der internen Meldestelle: Das Hinweisgeberschutzgesetz sieht in § 14 Abs. 1 Hin-SchG die Möglichkeit vor, Dritte mit den Aufgaben einer internen Meldestelle zu betrauen. Dies befreit den Beschäftigungsgeber jedoch nicht von der Pflicht, selbst geeignete Maßnahmen zu ergreifen, um einen durch das Hinweisgebersystem gemeldeten Verstoß abzustellen. Zudem sollte die Klärung der datenschutzrechtlichen Verantwortlichkeiten je nach konkreter Ausgestaltung der Zusammenarbeit z.B. im Rahmen eines Auftragsverarbeitungsvertrages (Art. 28 DSGVO) erfolgen.
- Datenschutzbeauftragter als Meldestelle: Gerade für kleine Unternehmen mit geringerem Bedarf ist es zumindest denkbar, die Person des Korruptionsbeauftragten, des Integritätsbeauftragten oder des Datenschutzbeauftragten mit dem Betreiben der internen Meldestelle zu betrauen. Immerhin dürfen gem. § 15 Abs. 1 HinSchG die mit den Aufgaben einer internen Meldestelle beauftragten Personen neben ihrer Tätigkeit für die interne Meldestelle andere Aufgaben und Pflichten wahrnehmen. Dabei sind jedoch im Vorfeld die Risiken einer solchen Doppelfunktion abzuwägen und im Fall der Fälle organisatorische Maßnahmen zu ergreifen, um Interessenskonflikte auszuschließen.
Informations- und Auskunftspflichten
Das Spannungsfeld zwischen datenschutzrechtlichen Vorgaben und dem Hinweisgeberschutz wird besonders im Rahmen Auskunftspflichten deutlich.
Werden durch Eingang einer Meldung personenbezogene Daten ohne Kenntnis der betroffenen Personen erhoben, besteht die Pflicht des Beschäftigungsgebers, die betroffene Person umfassend über die Erhebung und Verarbeitung der Daten zu informieren, insbesondere über die Zwecke und die Quelle, aus der die Informationen stammen (Art. 14 Abs. 1 und 2 DSGVO). Damit müssten Beschäftigungsgeber sowohl den Inhalt einer Meldung als auch die Identität des Hinweisgebers von sich aus offenlegen.
Typischerweise werden aufgrund der Meldung eines Hinweisgebers zunächst personenbezogene Daten ohne Kenntnis der betroffenen Person (z.B. gemeldete Personen oder Zeugen) verarbeitet. In diesem Fall besteht gem. Art. 14 DSGVO für das Unternehmen die Pflicht, die betroffene Person umfassend über die Umstände der Verarbeitung zu informieren. Die Informationspflicht bezieht sich dabei insbesondere auch auf die Quelle, aus der die Informationen stammen. Damit besteht die Gefahr besteht, dass eine frühzeitige Mitteilung die Aufklärung des Sachverhalts gefährdet werden könnte. Es gibt jedoch Ausnahmen von der Informationspflicht, wenn dadurch Informationen offenbart würden, die ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen (§ 29 Abs. 1 BDSG) oder wenn dadurch voraussichtlich die Verwirklichung der Ziele der Verarbeitung unmöglich gemacht oder ernsthaft beeinträchtigt werden (Art. 14 Abs. 5 DSGVO).
Zudem haben Betroffene im Rahmen der Auskunftspflicht (Art. 15 DSGVO) einen Anspruch auf Information über die Herkunft der Daten sowie ggf. auf eine Kopie der verarbeiteten personenbezogenen Daten. Auch hiervon gibt es jedoch Ausnahmen, insbesondere soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen (§ 29 Abs. 1 BDSG).
Der entscheidende Punkt in diesen Zusammenhang ist die Geheimhaltung der Identität des Hinweisgebers. Die Auskunfts- und Informationspflicht beinhaltet grundsätzlich auch die Offenlegung der Datenherkunft, was bedeutet, dass auch die Identität des Hinweisgebers preisgegeben werden müsste. Jedoch müssen diese Verpflichtungen in Einklang mit dem Vertraulichkeitsgebot des Hinweisgeberschutzgesetzes gebracht werden kann. Bei Nichteinhaltung der Geheimhaltungspflicht drohen dem Verantwortlichen Bußgelder. Gleichzeitig können bei Nichterfüllung der datenschutzrechtlichen Informations- und Auskunftspflicht ebenfalls Bußgelder verhängt werden. Es ist essentiell, derartige Spannungsfelder frühzeitig zu erkennen und praktikable Lösungen für Meldestellen zu finden.
Ein überwindbares Spannungsfeld
Die Einhaltung datenschutzrechtlicher Vorgaben stellt eine Grundvoraussetzung effektiven Hinweisgeberschutzes dar. Es ist daher unerlässlich, diese Vorgaben bei der Einrichtung und dem Betrieb einer Meldestelle genau im Blick zu halten. Die Stolperfallen, welche sich an den vielen Schnittstellen des Hinweisgeberschutzes und Datenschutzes ergeben, sind jedoch nicht unüberwindbar. Vielmehr sind sie durch eine frühzeitige Auseinandersetzung mit datenschutzrechtlichen Anforderungen zu meistern. Letztlich lassen sich durch eine gute Datenschutzpraxis nicht nur Bußgelder oder Schadensersatzansprüche vermeiden; sie bildet auch die Grundlage für ein Klima in dem Hinweisgeber sich sicher fühlen, um Missstände frühzeitig aufzuzeigen.
Manuela Baiker ist Mitautorin und Rechtsreferendarin. Vor ihrer Tätigkeit bei McDermott studierte Manuela Rechtswissenschaften an der Universität zu Köln mit Schwerpunkt Völker- und Europarecht. Ihr Masterstudium absolvierte Manuela in Italien und Schweden.