Schlagwort: Whistleblowing-Richtlinie

Datenschutz-Folgenabschätzung bei Einführung einer internen Meldestelle

28. August 2023

Mit der Inkraftsetzung des Hinweisgeberschutzgesetzes am 2. Juli 2023 wurde eine neue rechtliche Landschaft für betroffene Unternehmen, öffentliche und kirchliche Stellen geschaffen. Im Zentrum dieser Entwicklung steht die Verpflichtung zur Etablierung interner Meldestellen. Dieser Beitrag beleuchtet die datenschutzrechtlichen Implikationen dieser Verpflichtung und erörtert die Notwendigkeit einer Datenschutz-Folgenabschätzung gemäß DSGVO.

Datenschutzrechtliche Herausforderungen

Die Einrichtung einer internen Meldestelle, durch die potenziell personenbezogene Daten von Hinweisgebern über vermeintlich strafbares Verhalten von Beschuldigten gemeldet werden können, wirft datenschutzrechtliche Fragen auf. Besonders dann, wenn die Meldungen nicht anonym erfolgen, kann dies zur Verarbeitung sensibler personenbezogener Daten führen. Hierdurch wird der Anwendungsbereich der DSGVO eröffnet, was die Verantwortlichen dazu verpflichtet, die Datenschutzrechte und -pflichten entsprechend zu beachten.

Datenschutz-Folgenabschätzung nach Art. 35 DSGVO

Die zentrale Frage, die sich hier stellt, ist, ob vor Einführung einer internen Meldestelle eine Datenschutz-Folgenabschätzung gemäß Art. 35 Abs. 1 DSGVO durchzuführen ist. Diese Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung entsteht, wenn die Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt.

Schwellenwertanalyse und Anwendungsfälle

Um diese Frage zu beantworten, wird eine Schwellenwertanalyse durchgeführt, um festzustellen, ob die genannten Voraussetzungen erfüllt sind. Zunächst sind die Regelbeispiele in der von Aufsichtsbehörden festgelegten “Muss-Liste” nicht relevant. Weiterhin sind die Anwendungsfälle des Art. 35 Abs. 3 DSGVO nicht einschlägig. Insbesondere der Abs. 3 lit. b DSGVO, der eine Datenschutz-Folgenabschätzung bei umfangreicher Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten vorschreibt, trifft hier nicht zu.

In Bezug auf den vorliegenden Fall wird deutlich, dass keine “umfangreiche” Verarbeitung sensibler Daten vorliegt. Die Meldungen betreffen Einzelpersonen oder kleine Personengruppen, was gemäß Erwägungsgrund 75 der DSGVO keine umfangreiche Verarbeitung darstellt.

Europäischer Datenschutzausschuss und hohe Risiken

Die Durchführungspflicht einer Datenschutz-Folgenabschätzung kann jedoch auf das Vorliegen der Kriterien des Arbeitspapiers 248 des Europäischen Datenschutzausschusses gestützt werden. Diese Kriterien sind in nahezu allen internen Meldesystemen erfüllt und deuten insgesamt auf ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen gemäß Art. 35 Abs. 1 DSGVO hin. Dabei wird betont, dass aufgrund des erhöhten Risikos für die Betroffenen bei der Meldung von Missständen eine Datenschutz-Folgenabschätzung erforderlich ist.

Fazit

Angesichts der potenziell sensiblen Natur der gemeldeten Verstöße und der möglichen schwerwiegenden Konsequenzen für die Beschuldigten, inklusive strafrechtlicher Relevanz, erscheint die Durchführung einer Datenschutz-Folgenabschätzung unausweichlich. Die Notwendigkeit ergibt sich aus den anwendbaren Vorschriften der DSGVO und den Empfehlungen des Europäischen Datenschutzausschusses, insbesondere unter Berücksichtigung der Orientierungshilfe der DSK. Unternehmen und Organisationen sollten daher bei der Einführung einer internen Meldestelle sorgfältig die datenschutzrechtlichen Aspekte prüfen und eine Datenschutz-Folgenabschätzung durchführen, um die Rechte und Freiheiten der betroffenen Personen angemessen zu schützen.

Hinweisgeberschutzgesetz verabschiedet

12. Mai 2023

Am 11. Mai 2023 hat der Bundestag das Hinweisgeberschutzgesetz (HinSchG) verabschiedet, das die EU-Richtlinie zum Schutz von Hinweisgebern in Unternehmen und Behörden umsetzt. Der Bundesrat hat das Gesetz einstimmig angenommen und es kann nun in Kraft treten. Das Gesetz bietet einen besseren Schutz für Hinweisgeber, die Missstände und Gesetzesverstöße melden, indem es Meldestellen einführt und Maßnahmen gegen Repressalien vorsieht.

Vorgeschichte

Die EU-Richtlinie (EU 2019/1937) zur Stärkung des Schutzes von Hinweisgebern hätte in Deutschland eigentlich bis zum 17. Dezember 2021 umgesetzt werden müssen. Nachdem die EU-Kommission im Januar 2022 Deutschland zur Umsetzung der Richtlinie aufgefordert hatte, reichte sie im Februar 2023 Klage beim Europäischen Gerichtshof gegen Deutschland und sieben weitere Mitgliedsstaaten ein.

Der Bundestag hatte den Entwurf der Bundesregierung am 16. Dezember in einer vom Rechtsausschuss geänderten Fassung beschlossen. Jedoch konnte der zustimmungspflichtige Gesetzentwurf im Bundesrat am 10. Februar 2023 keine Mehrheit erzielen. Als Lösung rief die Bundesregierung schließlich den Vermittlungsausschuss im April an, der eine Einigung erzielen konnte.

Inhalt und Anwendungsbereich

Die Whistleblowing-Richtlinie der EU und das Hinweisgeberschutzgesetz verpflichten alle öffentlichen und privaten Unternehmen ab einer Größe von 50 Mitarbeitern, rechtskonforme Hinweisgebersysteme für Whistleblower einzurichten:

  • Spätestens bis zum 17. Dezember 2023, sind auch Unternehmen mit einer Beschäftigtenzahl zwischen 50 und 249 verpflichtet, ein Hinweisgebersystem bereitzustellen.
  • Unabhängig von der Beschäftigtenzahl werden Wertpapierdienstleistungsunternehmen, Datenbereitstellungsdienste, Börsenträger und Kredit- und Finanzdienstleistungsinstitute nach den Vorgaben des HinSchG verpflichtet, eine interne Meldestelle für Whistleblower einzurichten.
  • Das Gesetz sieht vor, dass Whistleblower die Möglichkeit haben, Hinweise mündlich, schriftlich oder persönlich abzugeben.
  • Die Meldestelle muss den Hinweis innerhalb von sieben Tagen bestätigen und den Whistleblower innerhalb von drei Monaten über die ergriffenen Maßnahmen informieren.

Die wichtigsten Änderungen des Vermittlungsausschusses:

  • Die Pflicht zur Einrichtung anonymer Meldekanäle wird gestrichen.
  • Das Gesetz nennt keine Pflicht zur Abgabe anonymer Meldungen. Stattdessen wird nur festgelegt, dass die Meldestellen auch anonyme Meldungen bearbeiten „sollten“.
  • Der immaterielle Schadensersatz wird gestrichen.
  • Die Beweislastumkehr bleibt erhalten, jedoch gilt die Vermutung einer Repressalie nur, wenn sie von der hinweisgebenden Person selbst geltend gemacht wird.
  • Die Höhe der Bußgelder für Verstöße gegen das Gesetz wird auf 50.000 Euro reduziert.

Wir beraten Sie gerne

Ein solches Hinweisgebersystem können wir Ihnen als vollständig extern betreute Lösung anbieten. Unser KINAST Hinweisgebersystem ist auf die vollumfängliche Erfüllung der gesetzlichen Pflichten und Anforderungen zum Hinweisgeberschutz zugeschnitten, die sich aus der EU-Whistleblower-Richtlinie und dem Hinweisgeberschutzgesetz (Deutschland und Österreich) ergeben. Wir garantieren dabei höchste Vertraulichkeit.

Die genauen Vorteile der Nutzung unseres Services haben wir hier für Sie zusammengefasst:

https://www.kinast.eu/whistleblowing-hinweisgebersystem/

Gerne stehen wir Ihnen für Rückfragen zur Verfügung und unterbreiten Ihnen ein individuelles Angebot.