Suche

Teil 3 – Datenschutz beim Hinweisgebersystem

Der Datenschutz ist ein kritischer Aspekt bei Whistleblower-Systemen, besteht doch ihre Aufgabe darin, sensible Daten vertrauensvoll und auf Wunsch auch anonym zu empfangen und zu verarbeiten. Welche Voraussetzungen müssen geschaffen werden und wie kann das Vertrauen der Beschäftigten in das System nicht nur gewonnen, sondern auch erhalten werden?
Hannah Wei, Unsplash
Anzeige

Wer eine interne Meldestelle einrichtet, kommt nicht nur der Gesetzgebung nach, sondern zeigt auch Interesse an den Anliegen und Sorgen der Beschäftigten – zumal es für das Unternehmen nur von Vorteil sein kann, wenn Hinweise zunächst intern eingehen und nicht direkt an die Öffentlichkeit bzw. an externe Meldestellen herangetragen werden. Doch es gilt für betroffene Unternehmen nicht nur das Hinweisgeberschutzgesetz einzuhalten, sondern gleichermaßen die Datenschutz-Grundverordnung bei der Verarbeitung eingehender Hinweise zu berücksichtigen.

Datenminimierung

Bei der Verarbeitung gilt es, den Grundsatz der Datenminimierung (Art. 5, Abs. 1c der DSGVO) zu beachten. Es dürfen ausschließlich Daten gesammelt werden, die notwendig sind, um den gemeldeten Fall bearbeiten zu können. Die Erfassung übermäßiger oder irrelevanter Daten sollte vermieden werden.

Datensicherheit

Um die Sicherheit der Daten gewährleisten zu können, müssen entsprechende Sicherheitsmaßnahmen ergriffen werden. Um unbefugten Zugriff zu verhindern, müssen sowohl physische Schutzmechanismen (z.B. abschließbare Schränke) wie auch eine entsprechende Verschlüsselung und Netzwerkprotokolle eingesetzt werden.

Zugriffsbeschränkungen

Die Daten im Hinweisgebersystem dürfen nur für die verantwortlichen Personen einsehbar sein und müssen vor fremden Zugriffen ausreichend geschützt werden. Dies kann durch strenge Zugriffs- und Berechtigungskonzepte sowie Benutzerauthentifizierung gewährleistet werden.

Anonymität

Auch wenn das Gesetz die Abgabe anonymer Meldungen nur als “Soll-Vorschrift” vorgibt, wird empfohlen, das Einreichen anonymer Meldungen zu ermöglichen. Eine Verschleierung durch den Einsatz von Technologien ist möglich.

Transparenz

Die Organisation sollte klare Richtlinien und Verfahren für das Hinweisgebersystem haben und diese allen Mitarbeitern und Stakeholdern kommunizieren.

Rechte der betroffenen Personen

Personen, die in einem gemeldeten Fall erwähnt werden, haben das Recht, über die Existenz und den Inhalt solcher Daten informiert zu werden (es sei denn, dies würde die Untersuchung gefährden oder andere rechtliche Verpflichtungen verletzen). Sie sollten auch das Recht haben, diese Daten zu korrigieren oder zu löschen, sofern dies rechtlich zulässig ist.

Regelmäßige Überprüfung

Das Hinweisgebersystem und dessen Verfahren sind regelmäßig zu prüfen, um sicherzustellen, dass sie den aktuellen Datenschutzstandards und -bestimmungen entsprechen.

Rechtskonformität

Es ist wichtig sicherzustellen, dass das Hinweisgebersystem den datenschutzrechtlichen Vorschriften des jeweiligen Landes oder der Region entspricht, in dem es eingesetzt wird. In der EU erfordert dies die Einhaltung der Datenschutz-Grundverordnung (DSGVO), in der Schweiz z.B. muss das seit dem 1.9.2023 gültige Schweizer Bundesgesetz über den Datenschutz (DSG) Berücksichtigung finden.

Schulung und Bewusstseinsbildung

Die Mitarbeiter und alle, die mit dem System arbeiten, müssen in Bezug auf Datenschutz und Vertraulichkeit geschult werden, um sicherzustellen, dass sie die Daten angemessen schützen.

Welche Maßnahmen müssen konkret ergriffen werden?

Verzeichnis von Verarbeitungstätigkeiten ergänzen

Wenn ein Unternehmen oder eine Organisation ein Hinweisgebersystem einrichtet, dann ist diese Verarbeitungstätigkeit in der Regel im Verzeichnis von Verarbeitungstätigkeiten zu dokumentieren.

Die genauen Inhalte und Kriterien für das Verzeichnis von Verarbeitungstätigkeiten sind in Artikel 30 DSGVO festgelegt. Es sollten Informationen wie der Zweck der Verarbeitung, die Kategorien betroffener Personen, die Kategorien von Empfängern der personenbezogenen Daten, vorgesehene Speicherfristen und allgemeine Beschreibungen der technischen und organisatorischen Maßnahmen zur Sicherung der Daten enthalten sein.

Notwendige Inhalte:

  • Name und Kontaktdaten des Verantwortlichen
  • Zweck der Verarbeitung
  • Datenkategorie
  • Auflistung der Betroffenen nach Kategorien
  • Auflistungen aller Datenempfänger / zur Einsicht befugten Personen (oder Kategorien von Empfängern)
  • Getroffene technische und organisatorische Maßnahmen (TOM)
  • Löschfristen

Technische und organisatorische Maßnahmen anpassen

Um den Nachweis erbringen zu können, dass Verarbeitungen DSGVO konform erfolgen, verpflichtet Art. 24 DSGVO den Verantwortlichen und Auftragsverarbeiter dazu, technische und organisatorische Maßnahmen (TOMs) im Unternehmen umzusetzen. Dabei muss sich die Auswahl und Umsetzung der Maßnahmen an der jeweiligen Verarbeitung (Art, Umfang, Umstände, Zwecke) und den damit einhergehenden Risiken für die Rechte und Freiheiten natürlicher Personen orientieren.

  • Pseudonymisierung und Ende-zu-Ende Verschlüsselung
  • Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme
  • Regelmäßige Überprüfung
  • Revisionssicherheit
  • regelmäßige Sicherheitstests
  • Datenschutz durch Technikgestaltung
  • Datenminimierung
  • Zweckbindung

Datenschutzfolgeabschätzung durchführen

Eine Datenschutzfolgeabschätzung (DSFA) ist im Rahmen der Datenschutz-Grundverordnung (DSGVO) ein Prozess zur Identifizierung, Bewertung und Minimierung der Datenschutzrisiken von Verarbeitungstätigkeiten. Die DSFA ist besonders dann notwendig, wenn eine geplante Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt.
Hinweisgebersysteme verarbeiten oft personenbezogene Daten sowohl von den meldenden Personen als auch von den Personen, gegen die Anschuldigungen erhoben werden. Da Meldungen oftmals mit einem hohen Risiko für betroffene Personen einhergehen, sollte vor der Einführung eines Hinweisgebersystems eine Datenschutzfolgeabschätzung durchgeführt werden.

Transparenzerklärung zur Unterstützung

Eine Transparenzerklärung im Rahmen eines Hinweisgebersystems ist wichtig, um allen Beteiligten Klarheit darüber zu verschaffen, wie das System funktioniert, welche Rechte und Pflichten sie haben und wie ihre Daten geschützt werden. Solch eine Erklärung kann Vertrauen schaffen und sicherstellen, dass das System effektiv funktioniert.

Folgende Aspekte sollten in der Transparenzerklärung berücksichtigt werden:

Datenschutz: Beschreibung, wie die Daten der Hinweisgeber und der gemeldeten Personen geschützt werden. Dies sollte auch die Dauer der Datenspeicherung und die Bedingungen für eine Löschung umfassen.

Zweck des Hinweisgebersystems: Erklärung darüber, warum das System eingeführt wurde und welchen Zweck es erfüllen soll.
Anonymität: Erklärung darüber, ob und wie die Anonymität der Hinweisgeber gewährleistet wird.

Verfahren nach einer Meldung: Beschreibung des Verfahrens, das nach einer Meldung eingeleitet wird, einschließlich Untersuchungsprozess, Maßnahmen und möglicher Konsequenzen.

Rechte der gemeldeten Personen: Informationen darüber, welche Rechte Personen haben, gegen die Vorwürfe erhoben wurden.
Kommunikation: Wie und unter welchen Umständen werden Hinweisgeber über den Stand ihrer Meldung informiert?

Keine Repressalien: Eine klare Aussage, dass Hinweisgeber nicht aufgrund ihrer Meldung benachteiligt oder bestraft werden dürfen.

Zugriff und Korrektur: Informationen darüber, wie Beteiligte Zugang zu ihren Daten erhalten und wie sie Fehler korrigieren können.

Kontakt: Angabe einer Kontaktstelle für Fragen oder Bedenken bezüglich des Hinweisgebersystems.

Rechtsgrundlage: Auf welche gesetzlichen oder internen Regelungen stützt sich das Hinweisgebersystem?

Änderungen der Erklärung: Informationen darüber, wie und unter welchen Umständen diese Transparenzerklärung aktualisiert wird.

Es ist ratsam, die Transparenzerklärung regelmäßig zu überprüfen und bei Bedarf zu aktualisieren, insbesondere im Hinblick auf Änderungen im rechtlichen Rahmen oder den internen Abläufen der Organisation.

Datenschutz-Verstöße und ihre Konsequenzen im Rahmen des Hinweisgeberschutzgesetzes

Das Hinweisgeberschutzgesetz zielt darauf ab, Personen zu schützen, die Verstöße gegen das Gesetz melden (sogenannte Whistleblower). Da bei der Bearbeitung von Hinweisen fast immer personenbezogene Daten verarbeitet werden, kann es auch zu Verstößen beim Schutz dieser Daten kommen – und Datenschutzverstöße sind besonders sensibel, da sie das Recht auf Privatsphäre betreffen.

Verstöße gegen Datenschutzregelungen können im Rahmen der DSGVO zu erheblichen Bußgeldern führen: Die DSGVO sieht Bußgelder in Höhe von bis zu 4% des weltweiten Jahresumsatzes oder 20 Millionen Euro (je nachdem, welcher Betrag höher ist) vor.

Neben den zivilrechtlichen Sanktionen gibt es  in Deutschland auch strafrechtliche Konsequenzen für Datenschutzverstöße. Das BDSG enthält in den §§ 41 bis 44 spezielle Strafvorschriften für Datenschutzverstöße. Hierbei kann es zu Freiheitsstrafen von bis zu drei Jahren oder Geldstrafen kommen, je nach Schwere des Verstoßes und dem Grad des Verschuldens.

Es ist jedoch wichtig zu beachten, dass nicht jeder Datenschutzverstoß zu einer strafrechtlichen Verfolgung führt. Vielmehr hängt die Entscheidung, ob ein strafrechtliches Verfahren eingeleitet wird, von der Einschätzung der zuständigen Behörden ab und ob der Verstoß vorsätzlich oder fahrlässig begangen wurde.

Neben finanziellen und rechtlichen Konsequenzen kann ein Datenschutzverstoß auch den Ruf eines Unternehmens erheblich schädigen und zum Reputationsverlust führen.

Fazit

Es ist empfehlenswert, dass der Datenschutzbeauftragte des Unternehmens Teil des Projektteams für die Umsetzung des HinSchG ist – so kann den Mitarbeitern die Bedeutung des Schutzes personenbezogener Daten verdeutlicht werden und potenzielle Systeme stehen auch hinsichtlich ihrer Datenschutzkonformität im Fokus.

Ein gut gestaltetes Hinweisgebersystem, das die notwendigen Datenschutzprinzipien respektiert, kann das Vertrauen der Mitarbeiter stärken und sicherstellen, dass Bedenken ohne Angst vor Repressalien gemeldet werden können. Durch die Berücksichtigung der oben aufgeführten Überlegungen kann das Hinweisgebersystem datenschutzkonform in das Datenschutzmanagementsystem des Unternehmens integriert werden.

Empfehlung

Das Hinweisgebersystem PRO-DSGVO Whistle bietet eine datenschutzkonforme Lösung, die durch ihr einfaches Handling und den starken Schutz der personenbezogenen Daten von Hinweisgebern und Betroffenen überzeugt.

Jetzt kennenlernen

Zu Teil 1: Auswahl und Einrichtung einer internen Meldestelle
Zu Teil 2: Geeignetes Personal für die Meldestelle auswählen und schulen
Zu Teil 4: Interne und externe Kommunikation des Hinweisgebersystems

Weitere Artikel zum Thema

Hannah Wei, Unsplash
Auch mehr als zwei Monate nach Inkrafttreten des Hinweisgeberschutzgesetzes haben nicht alle Unternehmen ein Hinweisgebersystem in ihrem Betrieb etabliert. Häufig besteht die Sorge, dass Mitarbeiter das System missbrauchen könnten. Um dem entgegenzuwirken, sollten die Anwendungsbereiche[...]
Alpha Oinam, Unsplash
Der Schreibtisch ist für viele nicht nur Arbeitsplatz, sondern auch Ablagefläche für Dokumente, Arbeitsmappen und Kaffeetassen. Während die Kaffeetasse bleiben darf, sollten geschäftliche Dokumente zum Feierabend oder bei Abwesenheit weggeräumt werden. Viele weitere Regeln sorgen[...]
Shutterstock
Die gesetzlichen Pflichten für Unternehmen nehmen immer weiter zu – gerade im Bereich Personal. Doch auch die Digitalisierung ist im HR-Bereich angekommen: Software-Plattformen versprechen Erleichterung durch Automatisierung. Doch wie genau unterstützen die Tools und was[...]
Hannah Wei, Unsplash
Nicht jeder Beschäftigte ist dazu geeignet, die Verantwortung für die Meldestelle zu übernehmen. Was muss bei der Auswahl des Verantwortlichen beachtet werden, welche Qualifikationen sind erforderlich und welcher Schulungsaufwand wird benötigt? Antworten auf die dringendsten[...]
Mohamed_hassan, Pixabay
Abgesagte Operationen und Flüge, geschlossene Supermärkte, Millionenausfälle: Auch Unternehmen aus Gastronomie und Hotellerie sollten das fehlerhafte Crowdstrike-IT-Update zum Anlass nehmen, einen IT-Notfallplan zu erstellen und ihre Cyber-Resilienz zu prüfen. [...]
Unser Newsletter

Bleiben Sie auf dem Laufenden mit regelmäßigen Informationen zum Thema Gastgewerbe. Ihre Einwilligung in den Empfang können Sie jederzeit widerrufen.