Bei der Implementierung eines internen Hinweisgebersystems gewinnt auch der Aspekt des Datenschutzes erheblich an Bedeutung. Die Meldung über ein Hinweisgebersystem bedeutet zwangsläufig die Verarbeitung von personenbezogenen Daten. Eine solche Meldung enthält nicht nur Informationen zu den Beschuldigten, sondern möglicherweise auch zu weiteren betroffenen Personen wie Zeugen oder Kollegen. Zudem können interne Ermittlungen zusätzliche Daten hervorbringen. Im Falle einer nicht anonymisierten Meldung werden auch Informationen über den Hinweisgeber selbst, einschließlich seines Namens und beispielsweise seiner Position im Unternehmen, verarbeitet. Diese Verarbeitung von verschiedenen personenbezogenen Daten infolge einer Hinweisgeber-Meldung eröffnet den Anwendungsbereich des Datenschutzrechts, wodurch das Unternehmen sicherstellen muss, vertraulich mit den Daten von Hinweisgebern und Beschuldigten umzugehen sowie sämtliche Datenschutzbestimmungen einzuhalten.
Datenschutzrechtliche Anforderungen an ein Hinweisgebersystem
Es ist besonders wichtig, die folgenden Punkte zu berücksichtigen:
- Rechtsgrundlage
Wie bei jeder Form der Datenverarbeitung bedarf auch die interne Meldestelle einer rechtlichen Grundlage für den Umgang mit personenbezogenen Daten. Eine mögliche Rechtsgrundlage für die Verarbeitung im Zusammenhang mit dem Hinweisgeberschutz ist Art. 6 (1) lit. c DSGVO. Dies setzt voraus, dass eine rechtliche Verpflichtung besteht, die eine Datenverarbeitung notwendig macht. Seit dem 17. Dezember 2023 können sich Unternehmen mit mehr als 50 Mitarbeitern auf diese Rechtsgrundlage stützen, da sie gesetzlich dazu verpflichtet sind, ein Hinweisgebersystem zu implementieren.
Unternehmen mit weniger als 50 Mitarbeitern haben diese spezifische Rechtsgrundlage nicht zur Verfügung, wenn sie ein Hinweisgebersystem einführen möchten, da für sie keine gesetzliche Verpflichtung besteht. In diesem Fall können sie sich jedoch auf Art. 6 (1) lit. f DSGVO stützen. Hierbei muss das berechtigte Interesse des Unternehmens höher bewertet werden als das der beschuldigten Person. Dies dürfte in der Regel der Fall sein, da Unternehmen bestrebt sind, illegale Aktivitäten einzudämmen und Missstände frühzeitig aufzudecken. - Informationspflichten
Gemäß den Bestimmungen der Artt. 13 f. DSGVO sind sowohl die Mitarbeiter als auch externe Hinweisgebende darüber zu informieren, wie ihre Daten im Zusammenhang mit einer Meldung verarbeitet werden. Dies umfasst die Bereitstellung transparenter Informationen über die Zwecke, Rechtsgrundlagen und etwaige Empfänger der Daten. - Auskunftsrecht
Unternehmen stehen vor der Herausforderung, potenzielle Widersprüche zwischen Betroffenenrechten, wie dem Auskunftsrecht, und der Notwendigkeit zur Wahrung der Vertraulichkeit von Informationen, die über die Meldestelle zur Verfügung gestellt wurden, zu berücksichtigen. Das Gebot der Vertraulichkeit könnte unter Umständen die Interessen der Betroffenen an Auskunftseinsicht einschränken. In solchen Situationen gilt es, einen ausgewogenen Ansatz zu finden, der sowohl den Datenschutz als auch die rechtmäßige Verwendung der übermittelten Informationen gewährleistet. - Löschregeln
Gemäß § 11 (5) des HinSchG müssen alle eingehenden Meldungen nach Abschluss des Verfahrens nach einer Dauer von drei Jahren gelöscht werden. Eine Verlängerung dieser Frist könnte unter Berücksichtigung einer Verhältnismäßigkeitsprüfung in Betracht gezogen werden. Es ist möglich, dass eine über den Abschluss des Verfahrens hinausgehende Aufbewahrungspflicht besteht, insbesondere wenn weitere Meldungen im Zusammenhang entstehen könnten. In solchen Fällen ist eine sorgfältige Abwägung der Verhältnismäßigkeit erforderlich, um die Einhaltung der gesetzlichen Vorschriften zu gewährleisten. - Verzeichnis von Verarbeitungstätigkeit
Es ist erforderlich, die Aktivitäten der internen Meldestelle als gezielte Datenverarbeitung in das Verzeichnis von Verarbeitungstätigkeiten des Unternehmens aufzunehmen. - Datenschutz-Folgenabschätzung
Die Verarbeitung sensibler Daten durch eine interne Meldestelle macht die Durchführung einer DSFA sinnvoll. Sie ermöglicht Risiken zu identifizieren und Gegenmaßnahmen zu dokumentieren, um so die Datenschutzkonformität sicherzustellen.
Ausblick zum Hinweisgeberschutzgesetz im Zusammenhang mit Datenschutzrecht
Die Vereinbarkeit von Hinweisgeberschutz und Datenschutz erfordert eine gründliche Abstimmung der Vorgaben des HinSchG und der DSGVO. Eine rechtssichere Implementierung des Hinweisgebersystems ist von zentraler Bedeutung. Durch eine durchdachte Harmonisierung dieser beiden rechtlichen Säulen wird eine rechtskonforme und vertrauenswürdige Umgebung geschaffen, die nicht nur den gesetzlichen Vorgaben entspricht, sondern auch die Integrität und Vertraulichkeit der gemeldeten Informationen gewährleistet.
Wenn Sie vor der Herausforderung stehen, ein internes Hinweisgebersystem in Ihrem Unternehmen einzurichten, stehen wir Ihnen gerne unterstützend zur Seite.