Hinweisgeberschutz versus Datenschutz – das gilt es zu beachten!

• Hinweisgeberschutz beinhaltet Personendatenschutz

Der Anwendungsbereich des Hinweisgeberschutzgesetzes erstreckt sich auch auf Verstöße gegen Datenschutzvorschriften wie bspw. aus der Datenschutzgrundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG), den Landes-Datenschutzgesetzen (DSG) oder dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG).

Außerhalb anonym gemeldeter Sachverhalte stellt in der Regel jede Meldung von Beschäftigten an den Beschäftigungsgeber eine Information mit personenbezogenen Daten – oft genug sensibler Natur – dar. Die dem Hinweisgebersystem angeschlossene Meldestelle unterliegt also in ihren Tätigkeiten und Prozessen den jeweils einschlägigen datenschutzrechtlichen Vorgaben.

• Datensparsamkeitsgebot

Der Beschäftigungsgeber hat im Rahmen des Gebots zur Datenvermeidung und Datensparsamkeit stets zu prüfen (und in einer Verfahrensbeschreibung zu dokumentieren), ob die konkrete Ausgestaltung des Systems und der Meldestelle (nebst hinterlegter Prozesse zur Bearbeitung von Meldungen) dem Gebot der Erforderlichkeit entsprechen. Dies betrifft die Frage, ob die Meldestelle möglicherweise in zu großem Umfang Daten einholt und/oder im Rahmen der Informationsweitergabe zu viele weitere Personen miteinbezieht. Die Meldestelle muss außerdem spezifische und angemessene Maßnahmen zur Wahrung der Interessen der betroffenen Personen vorsehen. Dies ergibt sich unmittelbar aus dem Hinweisgeberschutzgesetz selbst.

• Vertraulichkeitsgebot

Hinzu tritt das wesentliche Kernelement der Vertraulichkeit. Diese muss für hinweisgebende Personen, für diejenigen Personen, die Gegenstand der Meldungen sind, sowie in Bezug auf sonstige in den Meldungen genannte Personen, wie etwa Beteiligte oder unbeteiligte Dritte gewährleistet sein.

Es bestehen unterschiedliche Grade des Gebots zur Vertraulichkeitsgewährleistung. An erster Stelle steht der Informationsschutz der hinweisgebenden Person. Die Organisation der Meldestelle muss aus diesem Grunde sicherstellen, dass die hier tätigen Personen auf die Vertraulichkeit verpflichtet sowie jederzeit im Hinweisgeberschutzgesetz geschult und auf aktuellem Stand sind.

Im nächsten Teil geht es um die Erforderlichkeit der Durchführung einer Datenschutz-Folgenabschätzung, Dokumentations- und Aufbewahrungspflichten und dem Berechtigungs- und Zugriffskonzept.

• Datenschutz-Folgenabschätzung

Beschäftigungsgeber sind verpflichtet, vor der Inbetriebnahme des Hinweisgebersystems zu prüfen, ob eine Datenschutz-Folgenabschätzung im Sinne von Art. 35 DSGVO durchzuführen ist. Teilweise wird vertreten, es bestünde regelmäßig ein hohes Risiko für die Rechte und Freiheiten derjenigen Personen, die selbst melden oder den Gegenstand von Meldungen bilden, zumal es Ausnahmetatbestände von den Grundsätzen der Vertraulichkeit respektive Anonymität gebe. Auf EU-Ebene werden dementsprechend bereits Bußgelder für vor der Inbetriebnahme eines Hinweisgebersystems nicht vorgenommene Datenschutz-Folgenabschätzungen verhängt.

• Dokumentations- und Aufbewahrungspflicht

Die eingehenden Meldungen unterliegen der Dokumentationspflicht und sind – unter Wahrung der Vertraulichkeit – regelmäßig 3 Jahre nach dem jeweiligen Verfahrensabschluss zu löschen. Nur in Ausnahmefällen, bspw. Bei einschlägigen neuen Hinweisen in gleicher oder ähnlicher Sache, dürfen die Meldungen aufbewahrt werden und müssen nicht gelöscht werden. Ausnahmen könnten z.B. die Klärung erforderlicher weiterer rechtlicher Schritte wie etwa Disziplinarverfahren oder die Einleitung von Strafverfahren sein.

• Berechtigungs- und Zugriffskonzept

In dem – ohnehin obligatorischen – Datenschutzkonzept sollte auch der Zugriff auf Meldestelledaten geregelt werden. Es sollte u.a. die erteilten Berechtigungen zur Verarbeitung und zum Zugriff auf die Meldedaten und Festlegungen zu Protokollierungs- und Verschlüsselungsmaßnahmen enthalten.

Teil eines solchen Konzepts müssen im Übrigen auch Festlegungen über das Aufbewahrungs- und Lösch-Management sein.

Im dritten und letzten Teil geht es um die Einschränkung der DSGVO-Informationsrechte, die gemeinsamen oder externen Meldestellen und um die Personen, die mit der Meldestelle betraut werden.

• Einschränkung der DSGVO-Informationsrechte

Informations- und Auskunftsrechte im Sinne der Art. 13 ff. DSGVO werden durch § 8 Hinweisgeberschutzgesetz mit dem dort geregelten Vertraulichkeitsgebot eingeschränkt, da ansonsten nach Hinweisgeberschutzgesetz eigentlich geheimhaltungsbedürftige Informationen kraft datenschutzrechtlicher Vorgaben wiederum mitgeteilt werden müssten. So wird bspw. in erster Linie der Hinweisgeber selbst naturgemäß vor seiner Offenlegung geschützt. (Bei vorsätzlicher oder grob fahrlässiger Unrichtigkeit der vom Hinweisgeber gemeldeten Verstöße verhält sich das anders.) Die Abgrenzung wird im Zweifel durch fachkundige Personen vorzunehmen sein. Es muss jedoch sichergestellt werden, dass datenschutzrechtliche Auskunftsansprüche den Hinweisgeberschutz nicht unterlaufen dürfen. Hierbei handelt sich um komplexe Abwägungsfragen, die – nicht zuletzt mit Blick auf mögliche hieraus folgende Streitfälle – von den mit der Meldestelle betrauten Fachpersonen sorgfältig zu dokumentieren sind.

• Gemeinsame oder externe Meldestellen

Betreiben mehrere Verantwortliche eine gemeinsame Meldestelle – etwa auf Konzernebene – und/ oder werden externe Fachpersonen mit den Aufgaben einer solchen (internen oder externen) Meldestelle betraut, kann es erforderlich werden, je nach Konstellation datenschutzrechtliche Verträge abzuschließen. Zu denken ist hier insbesondere an eine Vereinbarung über die gemeinsame Verantwortlichkeit in Sinne von Art. 26 DSGVO oder über die Auftragsverarbeitung im Sinne von Art. 28 Abs. 2 DSGVO.

• Wer darf im Meldemanagement eingesetzt werden?

Die mit den Aufgaben der Meldestelle betrauten Personen müssen über die notwendige Fachkunde verfügen und bei der Ausübung ihrer Tätigkeit unabhängig sein. In der Gesetzesbegründung werden hier exemplarisch die Leitungsorgane für die Bereiche Compliance, HR und Finance genannt, des Weiteren die Datenschutzbeauftragten. Bei Einsetzung eines Datenschutzbeauftragten ist jedoch zur Vermeidung von Interessenkonflikten administrativ-organisatorisch sicherzustellen, dass Datenschutzbeauftragte nicht selbst über die Zwecke und den Einsatz bestimmter Mittel im Meldeprozess entscheiden und/ oder Situationen auftreten können, in denen Datenschutzbeauftragte ihre eigenen Maßnahmen und Funktionen kontrollieren müssten.

Ein Interessenkonflikt kann auch bestehen, wenn Fachberater wie bspw. Rechtsanwälte, Steuerberater oder Wirtschaftsprüfer, die vom Beschäftigungsgeber regelmäßig mit seiner fachlichen Betreuung (und ggfls. Vertretung) betraut werden, eingesetzt werden. Für diese Fälle bedarf es einer vertraglichen Abgrenzung der Aufgaben im zugrundeliegenden Mandatsvertrag (Vertrauensanwalt), einer personellen Aufspaltung innerhalb der betreuenden Kanzlei/ Gesellschaft sowie der zugehörigen besonderen Vertraulichkeits- und Geheimhaltungspflichten, dies jeweils mit Schutzwirkung für die potenziellen Hinweisgeber. Wird all dies berücksichtigt, können bspw. auch externe Anwälte als Ombudspersonen mit der Einrichtung und dem Betreiben der internen Meldestelle beauftragt werden.