Wer eine interne Meldestelle einrichtet, kommt nicht nur der Gesetzgebung nach, sondern zeigt auch Interesse an den Anliegen und Sorgen der Beschäftigten – zumal es für das Unternehmen nur von Vorteil sein kann, wenn Hinweise zunächst intern eingehen und nicht direkt an die Öffentlichkeit bzw. an externe Meldestellen herangetragen werden. Doch es gilt für betroffene Unternehmen nicht nur das Hinweisgeberschutzgesetz einzuhalten, sondern gleichermaßen die Datenschutz-Grundverordnung bei der Verarbeitung eingehender Hinweise zu berücksichtigen.
Datenminimierung
Bei der Verarbeitung gilt es, den Grundsatz der Datenminimierung (Art. 5, Abs. 1c der DSGVO) zu beachten. Es dürfen ausschließlich Daten gesammelt werden, die notwendig sind, um den gemeldeten Fall bearbeiten zu können. Die Erfassung übermäßiger oder irrelevanter Daten sollte vermieden werden.
Datensicherheit
Um die Sicherheit der Daten gewährleisten zu können, müssen entsprechende Sicherheitsmaßnahmen ergriffen werden. Um unbefugten Zugriff zu verhindern, müssen sowohl physische Schutzmechanismen (z.B. abschließbare Schränke) wie auch eine entsprechende Verschlüsselung und Netzwerkprotokolle eingesetzt werden.
Zugriffsbeschränkungen
Die Daten im Hinweisgebersystem dürfen nur für die verantwortlichen Personen einsehbar sein und müssen vor fremden Zugriffen ausreichend geschützt werden. Dies kann durch strenge Zugriffs- und Berechtigungskonzepte sowie Benutzerauthentifizierung gewährleistet werden.
Anonymität
Auch wenn das Gesetz die Abgabe anonymer Meldungen nur als “Soll-Vorschrift” vorgibt, wird empfohlen, das Einreichen anonymer Meldungen zu ermöglichen. Eine Verschleierung durch den Einsatz von Technologien ist möglich.
Transparenz
Die Organisation sollte klare Richtlinien und Verfahren für das Hinweisgebersystem haben und diese allen Mitarbeitern und Stakeholdern kommunizieren.
Rechte der betroffenen Personen
Personen, die in einem gemeldeten Fall erwähnt werden, haben das Recht, über die Existenz und den Inhalt solcher Daten informiert zu werden (es sei denn, dies würde die Untersuchung gefährden oder andere rechtliche Verpflichtungen verletzen). Sie sollten auch das Recht haben, diese Daten zu korrigieren oder zu löschen, sofern dies rechtlich zulässig ist.
Regelmäßige Überprüfung
Das Hinweisgebersystem und dessen Verfahren sind regelmäßig zu prüfen, um sicherzustellen, dass sie den aktuellen Datenschutzstandards und -bestimmungen entsprechen.
Rechtskonformität
Es ist wichtig sicherzustellen, dass das Hinweisgebersystem den datenschutzrechtlichen Vorschriften des jeweiligen Landes oder der Region entspricht, in dem es eingesetzt wird. In der EU erfordert dies die Einhaltung der Datenschutz-Grundverordnung (DSGVO), in der Schweiz z.B. muss das seit dem 1.9.2023 gültige Schweizer Bundesgesetz über den Datenschutz (DSG) Berücksichtigung finden.
Schulung und Bewusstseinsbildung
Die Mitarbeiter und alle, die mit dem System arbeiten, müssen in Bezug auf Datenschutz und Vertraulichkeit geschult werden, um sicherzustellen, dass sie die Daten angemessen schützen.
Welche Maßnahmen müssen konkret ergriffen werden?
Verzeichnis von Verarbeitungstätigkeiten ergänzen
Wenn ein Unternehmen oder eine Organisation ein Hinweisgebersystem einrichtet, dann ist diese Verarbeitungstätigkeit in der Regel im Verzeichnis von Verarbeitungstätigkeiten zu dokumentieren.
Die genauen Inhalte und Kriterien für das Verzeichnis von Verarbeitungstätigkeiten sind in Artikel 30 DSGVO festgelegt. Es sollten Informationen wie der Zweck der Verarbeitung, die Kategorien betroffener Personen, die Kategorien von Empfängern der personenbezogenen Daten, vorgesehene Speicherfristen und allgemeine Beschreibungen der technischen und organisatorischen Maßnahmen zur Sicherung der Daten enthalten sein.
Notwendige Inhalte:
- Name und Kontaktdaten des Verantwortlichen
- Zweck der Verarbeitung
- Datenkategorie
- Auflistung der Betroffenen nach Kategorien
- Auflistungen aller Datenempfänger / zur Einsicht befugten Personen (oder Kategorien von Empfängern)
- Getroffene technische und organisatorische Maßnahmen (TOM)
- Löschfristen
Technische und organisatorische Maßnahmen anpassen
Um den Nachweis erbringen zu können, dass Verarbeitungen DSGVO konform erfolgen, verpflichtet Art. 24 DSGVO den Verantwortlichen und Auftragsverarbeiter dazu, technische und organisatorische Maßnahmen (TOMs) im Unternehmen umzusetzen. Dabei muss sich die Auswahl und Umsetzung der Maßnahmen an der jeweiligen Verarbeitung (Art, Umfang, Umstände, Zwecke) und den damit einhergehenden Risiken für die Rechte und Freiheiten natürlicher Personen orientieren.
- Pseudonymisierung und Ende-zu-Ende Verschlüsselung
- Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme
- Regelmäßige Überprüfung
- Revisionssicherheit
- regelmäßige Sicherheitstests
- Datenschutz durch Technikgestaltung
- Datenminimierung
- Zweckbindung
Datenschutzfolgeabschätzung durchführen
Eine Datenschutzfolgeabschätzung (DSFA) ist im Rahmen der Datenschutz-Grundverordnung (DSGVO) ein Prozess zur Identifizierung, Bewertung und Minimierung der Datenschutzrisiken von Verarbeitungstätigkeiten. Die DSFA ist besonders dann notwendig, wenn eine geplante Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt.
Hinweisgebersysteme verarbeiten oft personenbezogene Daten sowohl von den meldenden Personen als auch von den Personen, gegen die Anschuldigungen erhoben werden. Da Meldungen oftmals mit einem hohen Risiko für betroffene Personen einhergehen, sollte vor der Einführung eines Hinweisgebersystems eine Datenschutzfolgeabschätzung durchgeführt werden.
Transparenzerklärung zur Unterstützung
Eine Transparenzerklärung im Rahmen eines Hinweisgebersystems ist wichtig, um allen Beteiligten Klarheit darüber zu verschaffen, wie das System funktioniert, welche Rechte und Pflichten sie haben und wie ihre Daten geschützt werden. Solch eine Erklärung kann Vertrauen schaffen und sicherstellen, dass das System effektiv funktioniert.
Folgende Aspekte sollten in der Transparenzerklärung berücksichtigt werden:
Datenschutz: Beschreibung, wie die Daten der Hinweisgeber und der gemeldeten Personen geschützt werden. Dies sollte auch die Dauer der Datenspeicherung und die Bedingungen für eine Löschung umfassen.
Zweck des Hinweisgebersystems: Erklärung darüber, warum das System eingeführt wurde und welchen Zweck es erfüllen soll.
Anonymität: Erklärung darüber, ob und wie die Anonymität der Hinweisgeber gewährleistet wird.
Verfahren nach einer Meldung: Beschreibung des Verfahrens, das nach einer Meldung eingeleitet wird, einschließlich Untersuchungsprozess, Maßnahmen und möglicher Konsequenzen.
Rechte der gemeldeten Personen: Informationen darüber, welche Rechte Personen haben, gegen die Vorwürfe erhoben wurden.
Kommunikation: Wie und unter welchen Umständen werden Hinweisgeber über den Stand ihrer Meldung informiert?
Keine Repressalien: Eine klare Aussage, dass Hinweisgeber nicht aufgrund ihrer Meldung benachteiligt oder bestraft werden dürfen.
Zugriff und Korrektur: Informationen darüber, wie Beteiligte Zugang zu ihren Daten erhalten und wie sie Fehler korrigieren können.
Kontakt: Angabe einer Kontaktstelle für Fragen oder Bedenken bezüglich des Hinweisgebersystems.
Rechtsgrundlage: Auf welche gesetzlichen oder internen Regelungen stützt sich das Hinweisgebersystem?
Änderungen der Erklärung: Informationen darüber, wie und unter welchen Umständen diese Transparenzerklärung aktualisiert wird.
Es ist ratsam, die Transparenzerklärung regelmäßig zu überprüfen und bei Bedarf zu aktualisieren, insbesondere im Hinblick auf Änderungen im rechtlichen Rahmen oder den internen Abläufen der Organisation.
Datenschutz-Verstöße und ihre Konsequenzen im Rahmen des Hinweisgeberschutzgesetzes
Das Hinweisgeberschutzgesetz zielt darauf ab, Personen zu schützen, die Verstöße gegen das Gesetz melden (sogenannte Whistleblower). Da bei der Bearbeitung von Hinweisen fast immer personenbezogene Daten verarbeitet werden, kann es auch zu Verstößen beim Schutz dieser Daten kommen – und Datenschutzverstöße sind besonders sensibel, da sie das Recht auf Privatsphäre betreffen.
Verstöße gegen Datenschutzregelungen können im Rahmen der DSGVO zu erheblichen Bußgeldern führen: Die DSGVO sieht Bußgelder in Höhe von bis zu 4% des weltweiten Jahresumsatzes oder 20 Millionen Euro (je nachdem, welcher Betrag höher ist) vor.
Neben den zivilrechtlichen Sanktionen gibt es in Deutschland auch strafrechtliche Konsequenzen für Datenschutzverstöße. Das BDSG enthält in den §§ 41 bis 44 spezielle Strafvorschriften für Datenschutzverstöße. Hierbei kann es zu Freiheitsstrafen von bis zu drei Jahren oder Geldstrafen kommen, je nach Schwere des Verstoßes und dem Grad des Verschuldens.
Es ist jedoch wichtig zu beachten, dass nicht jeder Datenschutzverstoß zu einer strafrechtlichen Verfolgung führt. Vielmehr hängt die Entscheidung, ob ein strafrechtliches Verfahren eingeleitet wird, von der Einschätzung der zuständigen Behörden ab und ob der Verstoß vorsätzlich oder fahrlässig begangen wurde.
Neben finanziellen und rechtlichen Konsequenzen kann ein Datenschutzverstoß auch den Ruf eines Unternehmens erheblich schädigen und zum Reputationsverlust führen.
Fazit
Es ist empfehlenswert, dass der Datenschutzbeauftragte des Unternehmens Teil des Projektteams für die Umsetzung des HinSchG ist – so kann den Mitarbeitern die Bedeutung des Schutzes personenbezogener Daten verdeutlicht werden und potenzielle Systeme stehen auch hinsichtlich ihrer Datenschutzkonformität im Fokus.
Ein gut gestaltetes Hinweisgebersystem, das die notwendigen Datenschutzprinzipien respektiert, kann das Vertrauen der Mitarbeiter stärken und sicherstellen, dass Bedenken ohne Angst vor Repressalien gemeldet werden können. Durch die Berücksichtigung der oben aufgeführten Überlegungen kann das Hinweisgebersystem datenschutzkonform in das Datenschutzmanagementsystem des Unternehmens integriert werden.
Empfehlung
Das Hinweisgebersystem PRO-DSGVO Whistle bietet eine datenschutzkonforme Lösung, die durch ihr einfaches Handling und den starken Schutz der personenbezogenen Daten von Hinweisgebern und Betroffenen überzeugt.
