Hinweisgeberschutz
Subscribe Abonnieren Sie die Beiträge von Hinweisgeberschutz

Datenschutzrechtliche Pflichten & mögliche Stolperfallen beim Whistleblowing

Mit dem Inkrafttreten des Hinweisgeberschutzgesetzes (HinSchG) am 2. Juli 2023 stehen Unternehmen vor neuen datenschutzrechtlichen Herausforderungen. Regelmäßig enthalten bei einer Meldestelle eingehende Hinweise personenbezogene Daten. Dazu gehören insbesondere der Name des Hinweisgebers (sofern kein anonymer Hinweis erfolgte) und Angaben zum Sachverhalt sowie zu betroffenen Personen. Diese Daten müssen auch im Interesse des Unternehmens – als potenzieller Adressat von Bußgeldern und Schadensersatzansprüchen – in Übereinstimmung mit den Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) erfasst und verarbeitet werden.

Vorgaben bei der Einrichtung und dem Betreiben einer Meldestelle
Im Folgenden zeigen wir wesentliche Aspekte auf, die bei der Einrichtung und dem Betrieb einer Meldestelle berücksichtigt werden sollten.

  • Datenschutz-Folgenabschätzung: Vor der Einrichtung eines Meldekanals muss aufgrund des hohen Risikos der Datenverarbeitung für die Rechte und Freiheiten natürlicher Personen eine Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO durchgeführt und dokumentiert werden. Ziel einer solchen Datenschutz-Folgenabschätzung ist es, derartige Risiken durch technische und organisatorische Maßnahmen zu minimieren.
  • Verarbeitungsverzeichnis: Auch das Hinweisgeberverfahren ist in das Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 DSGVO aufzunehmen.
  • Vertraulichkeitsvereinbarung: Um die Funktionsfähigkeit des Hinweisgeberschutzsystems zu gewährleisten, sieht das Hinweisgeberschutzgesetz in §§ 8, 9 HinSchG einen weitgehenden Schutz der Identitäten aller von einer Meldung betroffenen Personen vor. Demnach darf ihre Identität ausschließlich internen Meldestellen sowie für Folgemaßnahmen zuständigen Personen bekannt gemacht werden. Nur in bestimmten Ausnahmefällen, zum Beispiel auf Verlangen von Strafverfolgungsbehörden, dürfen Informationen zur Identität einer hinweisgebenden Person weitergegeben werden. Dieses Vertraulichkeitsgebot ist gesetzlich vorgesehen. Es bietet sich jedoch für Arbeitgeber im Rahmen ihrer Fürsorgepflicht an, die für die interne Meldestelle zuständigen Personen auf die Folgen der Nichteinhaltung dieser Vorschriften im Rahmen einer zusätzlichen Vertraulichkeitsvereinbarung hinzuweisen.
  • Schulungspflicht: Nach § 15 Abs. 2 HinSchG haben Unternehmen dafür Sorge zu tragen, dass die mit den Aufgaben einer internen Meldestelle beauftragten Personen über die notwendige Fachkunde verfügen, insbesondere um die Vertraulichkeit der Identität betroffener Personen zu wahren. Dies ist ggf. durch geeignete Schulungen sicherzustellen und umfasst auch den datenschutzkonformen Umgang bei der Erfassung und Verarbeitung eingehender Hinweise.
  • Dokumentationspflicht: Die interne Meldestelle ist gem. § 11 HinSchG verpflichtet, alle eingehenden Meldungen unter Beachtung des Vertraulichkeitsgebots in dauerhaft abrufbarer Weise zu dokumentieren.
  • Aufbewahrungs- und Löschpflichten: Die Dokumentation der eingegangenen Meldung gem. 30 DSGVO grundsätzlich drei Jahre nach Abschluss des Verfahrens zu löschen. Eine darüberhinausgehende Aufbewahrungsfrist ist möglich, solange dies erforderlich und verhältnismäßig ist.
  • Technisch organisatorische Maßnahmen: Unternehmen müssen technisch organisatorische Maßnahmen gem. Art. 32 DSGVO treffen, um eine DSGVO-konforme Verarbeitung personenbezogener Daten sicherzustellen. Das ist auch dann der Fall, wenn Dritte mit den Aufgaben einer internen Meldestelle betraut wurden.
  • Auslagerung der internen Meldestelle: Das Hinweisgeberschutzgesetz sieht in § 14 Abs. 1 Hin-SchG die Möglichkeit vor, Dritte mit den Aufgaben einer internen Meldestelle zu betrauen. Dies befreit den Beschäftigungsgeber jedoch nicht von der Pflicht, selbst geeignete Maßnahmen zu ergreifen, um einen durch das Hinweisgebersystem gemeldeten Verstoß abzustellen. Zudem sollte die Klärung der datenschutzrechtlichen Verantwortlichkeiten je nach konkreter Ausgestaltung der Zusammenarbeit z.B. im Rahmen eines Auftragsverarbeitungsvertrages (Art. 28 DSGVO) erfolgen.
  • Datenschutzbeauftragter als Meldestelle: Gerade für kleine Unternehmen mit geringerem Bedarf ist es zumindest denkbar, die Person [...]

    Continue Reading



mehr lesen

Update Whistleblowing: Das Hinweisgeberschutzgesetz kommt

„Was lange währt, wird endlich gut“ – dies dürfte zumindest eingeschränkt für das verabschiedete Hinweisgeberschutzgesetz gelten. Nachdem der Bundestag Ende 2022 mit ohnehin schon etwa einjähriger Verspätung einen Entwurf des Gesetzes für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (Hinweisgeberschutzgesetz) verabschiedet hatte, verzögerte sich das Gesetzgebungsverfahren weiter aufgrund der verweigerten Zustimmung des Bundesrats vom 10. Februar 2023. Mit Beschluss vom 11. bzw. 12. Mai 2023 haben Bundestag und Bundesrat nun den vom Vermittlungsausschuss vorgeschlagenen Kompromiss auf den Weg gebracht.

Zwar steht die Ausfertigung des Gesetzes noch aus. Diese dürfte aber in Kürze zu erwarten sein, sodass das Hinweisgeberschutzgesetz aller Voraussicht nach in wenigen Wochen in Kraft treten dürfte.

Auch wenn das Hinweisgeberschutzgesetz große Herausforderungen für Unternehmen mit sich bringt, schafft die vermittelte Fassung zumindest eine Verbesserung wesentlicher Kritikpunkte. Auf Grundlage des geänderten Entwurfs sind weder anonymen Meldungen zu ermöglichen noch immateriellen Schäden zu ersetzen. Auch reduziert sich die maximale Bußgeldhöhe von 100.000 Euro auf die Hälfte. Welche Pflichten Unternehmen zukünftig im Einzelnen zu beachten haben, stellen wir nachfolgend dar:

1. ANWENDUNGSBEREICH
Als hinweisgebende Personen werden natürliche Personen bezeichnet, die im Vorfeld oder im Zusammenhang mit ihrer beruflichen Tätigkeit Informationen über Verstöße erlangt haben und diese Verstöße melden oder offenlegen. Das Gesetz sieht zur Durchsetzung der Meldungen die Einrichtung interner und externer Meldestellen vor. Dagegen soll eine Offenlegung nur unter besonderen Umständen geschützt sein.

Obwohl das Hinweisgeberschutzgesetz die europäische Richtlinie umsetzt, geht es im sachlichen Anwendungsbereich über die unionsrechtlichen Vorgaben hinaus und umfasst nicht nur Verstöße gegen das Unionsrecht. In den Schutzbereich des Gesetzes fallen beispielsweise strafrechtlich und bußgeldrelevante Verstöße, steuerrechtliche Verstöße und Verstöße gegen gesetzliche Vorgaben zur Geldwäsche, Produktsicherheit, Sicherheit des Straßenverkehrs, Förderung erneuerbarer Energien, zum Umweltschutz und Verbraucherschutz. Die einzelnen Verstöße sind abschließend in § 2 Hinweisgebergesetz-E aufgezählt. In Änderung des anfänglichen Entwurfs sind nun auch Verstöße gegen die unionsrechtlichen Vorgaben zu den digitalen Märkten und Äußerungen von Beamten enthalten.

2. PFLICHTEN
Neben den externen Meldestellen, die im Wesentlichen bei der Bundesanstalt für Finanzdienstleistungen, dem Bundesamt für Justiz und dem Bundeskartellamt vorgesehen sind, werden auch Unternehmen in die Pflicht genommen. Sie haben – je nach Größe des Unternehmens – interne Meldestellen einzurichten. Die Einrichtung umfasst die Betreibung von Meldekanälen, das Führen der Verfahren und die Ergreifung von Folgemaßnahmen.

Grundsätzlich sollen Unternehmen mit mindestens 50 in der Regel beschäftigten Arbeitnehmern Meldestellen errichten. Beschäftigt ein Unternehmen in der Regel also weniger als 50 Arbeitnehmer, ist es grundsätzlich nicht von den Pflichten betroffen. In besonders sensiblen Bereichen, wie dem Bankwesen und dem Wertpapierhandel, besteht die Pflicht allerdings unabhängig von der Unternehmensgröße. Unternehmen mit in der Regel 50-249 Beschäftigten müssen erst bis zum 17. Dezember 2023 der Einrichtung von Meldestellen nachgekommen sein (ausgenommen sind sog. sensible Bereiche). Ihnen wird zudem die Möglichkeit gewährt, gemeinsame Meldestellen zu errichten. Dies könnte insbesondere bei einem Konzernverbund sinnvoll sein und zur Erleichterung führen. Nur große Unternehmen mit in der Regel mindestens 250 Beschäftigten sind unmittelbar ab Inkrafttreten des Hinweisgeberschutzgesetzes ohne Umsetzungsfrist [...]

Continue Reading




mehr lesen

FOLGE UNS

THEMENBEREICHE

ARCHIV