Einleitung
Mit unserem Beitrag vom 13. Februar 2023 hatten wir über die seinerzeit aktuellen Entwicklungen zum Hinweisgeberschutzgesetz berichtet. Inzwischen ist das Gesetz – nach Nachbesserungen im Vermittlungsausschuss – vom Bundesrat verabschiedet worden und am 2. Juli in Kraft getreten.
Zu diesem Stichtag sind Unternehmen mit 250 und mehr Beschäftigten nun also verpflichtet, einen internen Meldekanal einzurichten, an den sich Hinweisgebende wenden können, um auf Rechtsverstöße aufmerksam zu machen, und den eingehenden Hinweisen nachzugehen. Wer das Hinweisgebersystem nicht rechtzeitig einrichtet, hat noch eine Übergangsfrist bis zum 1. Dezember 2023, bis dann auch Bußgelder deswegen verhängt werden können.
Unternehmen mit 50 bis 249 Beschäftigten haben bis zum 17. Dezember 2023 Zeit, eine Meldestelle einzurichten. Eine weitere „Schonfrist“ für Bußgelder besteht für sie nicht.
An den Datenschutz denken!
Es liegt auf der Hand, dass über Meldestellen typischerweise eine Vielzahl von Informationen, darunter auch personenbezogene Daten, verarbeitet wird. Wer also ein Hinweisgebersystem errichtet, ohne an die notwendigen Maßnahmen zum Schutz der personenbezogenen Daten zu denken und diese zu implementieren, begründet einen Verarbeitungsprozess, der selbst ein Rechtsrisiko darstellt. Die bloße Anschaffung einer Softwarelösung oder die Beauftragung eines externen Dienstleisters reicht im Zweifel nicht aus, um ein datenschutzkonformes Hinweisgebersystem einzuführen.
Das Hinweisgeberschutzgesetz (HinSchG) gewährt den Meldestellen die erforderlichen Befugnisse zur Datenverarbeitung. Das bedeutet, dass die Meldestellen die personenbezogenen Daten in den Meldungen sowohl entgegennehmen als auch auswerten dürfen. Darüber hinaus dürfen im Rahmen der Folgemaßnahmen neue personenbezogene Daten erhoben und weiterverarbeitet werden. Die Meldestellen müssen dabei die Bestimmungen der Datenschutz-Grundverordnung und des Bundesdatenschutzgesetzes beachten.
Dass auch bei dem Betrieb eines Whistleblowing-Systems über einen professionellen Dienstleister bei Nichtbeachtung der datenschutzrechtlichen Vorgaben ein konkretes Bußgeldrisiko besteht, zeigt ein Verfahren der italienischen Datenschutzaufsichtsbehörde aus dem Sommer 2021. Diese verhängte gegen den Flughafen Bologna eine Geldbuße in Höhe von EUR 40.000, unter anderem weil Daten über den eingerichteten Meldekanal unverschlüsselt verarbeitet und der Zugriff von Mitarbeitenden auf das System protokolliert und damit rückverfolgt worden waren. Zudem hatte die Verantwortliche keine Datenschutz-Folgenabschätzung durchgeführt. Gegen den Auftragsverarbeiter verhängte die Aufsichtsbehörde gesondert wegen unzureichender technischer und organisatorischer Maßnahmen eine Geldbuße von EUR 20.000.
Was gilt es also an datenschutzrechtlichen Aspekten bei der Implementierung des neuen Hinweisgeberschutzgesetzes zu beachten?
Technische und organisatorische Maßnahmen
Bei dem Betrieb eines Meldesystems müssen insbesondere geeignete technische und organisatorische Maßnahmen zum Schutz der Daten ergriffen werden. Dazu gehört – wie der geschilderte Fall des Flughafens Bologna zeigt – die Gewährleistung der Transport- und Inhaltsverschlüsselung der Daten im Zusammenhang mit der Meldestelle. Eine etwaige Meldeplattform sollte gesondert zugänglich sein und nicht integriert in die Unternehmenswebsite oder das frei zugängliche Intranet.
Zudem ist im Wege eines Berechtigungskonzepts der Zugriff auf die Daten klar zu regeln. Ein Löschkonzept muss dokumentieren, wann Daten gelöscht werden. Das HinSchG sieht für den Regelfall eine Aufbewahrungsfrist von drei Jahren für die verarbeiteten Daten vor.
Mitarbeitende oder Externe, die in das Hinweisgebersystem einbezogen sind, sind auf die Vertraulichkeit zu verpflichten und regelmäßig zu schulen.
Berücksichtigung der Betroffenenrechte
Besonderes Augenmerk ist auf das schwierige Spannungsverhältnis zwischen Whistleblowing und Betroffenenrechten zu richten: Durch angemessene und klare Vorgaben sollte geregelt werden, wie insbesondere mit Ansprüchen auf Auskunft und Löschung von Daten sowohl von Hinweisgebern wie vor allem auch von „Beschuldigten“ umzugehen ist.
Ausgestaltung der Meldestelle
Bei der personellen Besetzung einer Meldestelle muss auf die nötige Fachkunde, gleichzeitig aber auch auf etwaige Interessenkonflikte geachtet werden. Wie bei der Position des Datenschutzbeauftragten kann die Geschäftsführung nicht Meldestelle sein. Mit externen Dienstleistern ist regelmäßig eine Vereinbarung über die Auftragsverarbeitung gem. Art. 28 DSGVO abzuschließen.
Datenschutzhinweise (für Interne und Externe)
Die Datenschutzhinweise sowohl für die Beschäftigten als auch für Externe sollten um den Hinweis ergänzt werden, dass eine Datenverarbeitung auch im Sinne des Hinweisgeberschutzgesetzes stattfindet. Zu den zu erteilenden Hinweisen gehören weiter die üblichen Pflichtinformationen zu etwaigen Empfängern der Daten, dem Verarbeitungszweck, der Rechtsgrundlage und der Speicherdauer.
Durchführung einer Datenschutz-Folgenabschätzung
Da mit einem Hinweisgebersystem ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen einhergeht, ist in aller Regel eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO durchzuführen. Dazu ist die/der Datenschutzbeauftragte hinzu zu ziehen.
Fazit
Im Ergebnis stellt die Einführung eines Whistleblowing-Systems also eine weitere Compliance-Anforderung für Unternehmen dar. Positiv gewendet kann eine sorgfältige Implementierung aber die „Compliance-Kultur“ insgesamt sicherlich positiv beeinflussen und Bußgelder vermeiden.
Hinweis
Wir möchten darauf hinweisen, dass die allgemeinen Informationen in diesem Newsletter eine Rechtsberatung im Einzelfall nicht ersetzen.