Hinweisgeberschutzgesetz – Datenschutz-Folgenabschätzung

HinSchG – Datenschutz-Folgenabschätzung

Für den rechtssicheren Betrieb eines Hinweisgebersystems ist die Durchführung einer Datenschutz-Folgenabschätzung unumgänglich. So können Sie Schwachstellen identifizieren und geeignete Schutzmaßnahmen vornehmen. 

Hinweisgeberschutzgesetz
Inhalt dieser Seite

Auf einen Blick: das Hinweisgeberschutzgesetz

Am 2. Juli 2023 trat das Hinweisgeberschutzgesetz (HinSchG) in Kraft. Infolgedessen sind Unternehmen sowie kirchliche Stellen dazu verpflichtet, eine interne Meldestelle für alle Mitarbeitenden einzurichten. Dadurch soll vor allem der Schutz der Hinweisgeber (Whistleblower) gewährleistet werden. Da eingehende Meldungen mit personenbezogenen Daten verbunden sind, zieht dies datenschutzrechtliche Konsequenzen nach sich. Besonders, wenn die Meldungen nicht anonym abgegeben werden, führt dies zu einem erhöhten Risiko bezüglich der personenbezogenen Daten der in der Meldung involvierten Personen.

 

Datenschutz-Folgenabschätzung: Was ist das?

Eine Datenschutz-Folgenabschätzung (DSFA) dient dazu, Datenschutzrisiken zu erkennen und diesen vorzubeugen respektive sie zu minimieren. Somit handelt es sich nicht bloß um eine gesetzliche Anforderungen. Vielmehr ermöglicht die Durchführung einer DSFA, die Konsequenzen der Verarbeitung der personenbezogenen Daten der Betroffenen zu analysieren. Damit können die Verantwortlichen geeignete Schutzmaßnahmen ergreifen und so Datenschutzkonformität gewährleisten.

Vorteile des externen Meldestellenbeauftragten

Unternehmen haben die Möglichkeit, die Verantwortung für ihr Melde- und Hinweisgebersystem an unabhängige Dritte als externe Meldestellenbeauftragte übertragen. Dies bietet ihnen vor allem die folgenden Vorteile: 

Bußgeldrisiko minimieren

Der eMSB stellt sicher, dass durch Einhalten der gesetzlichen Fristen das Bußgeldrisiko minimiert wird

Qualifizierte Fachleute

Mit einem eMSB setzen Sie auf erfahrene Fachleute, die alle Hinweise fair, zeitnah und angemessen bearbeiten

Risiko delegieren

Mit Inanspruchnahme eines eMSB haftet dieser Dienstleister für das potentielle Risiko

Keine Interessenskonflikte

Als externer und unabhängiger Partner sorgt der eMSB dafür, dass Interessenskonflikte vermieden werden

Reputationsschutz

Eine zuverlässig verwaltete Meldestelle kann den guten Ruf Ihres Unternehmens schützen

Immer up-to-date

Der eMSB ist stets auf dem neuesten Stand der Gesetze und Vorschriften zum Schutz von Hinweisgebern

DSFA bei internen Meldestellen: Ist sie erforderlich?

Nun wissen Sie, dass eine interne Meldestelle personenbezogene Daten verarbeitet. Da kommt sicherlich die Frage auf, ob eine DSFA gemäß Artikel 35 Absatz 1 DSGVO vor der Einrichtung einer solchen Meldestelle notwendig ist. 

Laut Gesetz besteht die Notwendigkeit einer DSFA dann, wenn ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen durch die Verarbeitung personenbezogener Daten besteht. Ferner sind Faktoren wie Art der Daten, der Verarbeitungsmethoden und der potenziellen Auswirkungen auf die Betroffenen ausschlaggebend dafür, ob Sie eine DSFA durchführen müssen. 

Schwellenwertanalyse bei internen Meldestellen

Wozu dient die Schwellenwertanalyse?

Eine Schwellenwertanalyse ist ein kritischer Schritt, der eine detaillierte Untersuchung der spezifischen Umstände erfordert, unter denen die Datenverarbeitung stattfindet. Sie hilft Ihnen zu ermitteln, ob die Voraussetzungen zur Durchführung einer DSFA gemäß Artikel 35 Abs. 3 DSGVO erfüllt sind. Dabei berücksichtigt sie verschiedene Regelbeispiele sowie Anwendungsfälle der DSGVO. 

Ergebnis der Schwellenwertanalyse

Diese Regelbeispiele sind in einer Liste der Datenschutzkonferenz (DSK) einsehbar. Sie enthält also die Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist. Laut dieser Liste ist eine DSFA für interne Meldestellen nicht erforderlich

Nach Durchführung der Schwellenwertanalyse stellt sich außerdem heraus, dass im Fall der internen Meldestelle keine „umfangreiche“ Verarbeitung vorliegt. Diese müsste laut Artikel 35 Abs. 3 lit. b DSGVO gegeben sein , damit eine DSFA durchgeführt werden muss. Grund dafür ist, dass sich Meldungen lediglich auf Einzelpersonen respektive kleine Personengruppen beziehen. Somit ist von einer geringen Anzahl an Meldungen mit personenbezogenen Daten i.S.d. Artikel 9 DSGVO auszugehen. 

Warum sollte ich dennoch eine DSFA für meine interne Meldestelle durchführen?

Das Arbeitspapier 248 des Europäischen Datenschutzausschusses enthält jedoch Kriterien, die bei fast jeder Datenverarbeitung im Zusammenhang mit internen Meldungen erfüllt sind. Darüber hinaus wird das Verfahren zur Meldung von Missständen in der „Orientierungshilfe der Datenschutzaufsichtsbehörden zur Whistleblowing-Hotline“ als besonders riskant eingestuft. Damit sollte klar sein, dass Sie eine DSFA für Ihre interne Meldestelle aufgrund des erhöhten Risikos für die Rechte und Freiheiten der meldenden Personen durchführen sollten

Was muss ich bei der Umsetzung der DSFA für meine interne Meldestelle beachten?

Damit Sie eine DSFA durchführen können, sollte sie im Vorfeld sorgfältig geplant werden. Dabei ist besonders wichtig, dass Sie die relevanten Stakeholder einbeziehen, mögliche Risiken identifizieren und bewerten sowie einen klaren Aktionsplan entwickeln. Dies kann schnell sehr umfangreich werden. Um den Prozess zu vereinfachen und effizient zu gestalten, können Datenschutzexperten von entscheidender Bedeutung sein. 

Bei der Durchführung einer DSFA sollten Sie also die geplanten Verarbeitungsvorgänge systematisch beschreiben, die Notwendigkeit und Verhältnismäßigkeit dieser Verarbeitung sowie die Risiken für die Rechte und Freiheiten der betroffenen Personen bewerten und schließlich Abhilfemaßnahmen festlegen. 

Fazit: Was empfehlen wir Ihnen?

Die Meldungen über Verstöße von Beschuldigten könnten möglicherweise sensible Informationen enthalten, die sogar strafrechtlich relevant sein und ernste Konsequenzen für die betroffene Person haben könnten. Daher empfehlen wir dringend, eine Datenschutz-Folgenabschätzung durchzuführen. Diese Bewertung ist nicht nur eine proaktive Maßnahme, sondern ein entscheidender Schritt, um die Integrität und Vertraulichkeit der betroffenen Daten zu wahren.

Die Nichtbeachtung dieser Empfehlung könnte nicht nur rechtliche Folgen haben, sondern auch das Vertrauen in Ihr Unternehmen untergraben. Es ist daher in Ihrem besten Interesse, diese wichtige Aufgabe mit der gebotenen Sorgfalt und Expertise anzugehen, um die Privatsphäre und Sicherheit aller Betroffenen zu gewährleisten.

Inhalt dieser Seite
datenschutzkoordinator
Mathias Nimor
HinSchG Experte
Sie benötigen Hilfe bei der Umsetzung der Datenschutz-Folgenabschätzung?

Als ext. Meldestellenbeauftragter unterstützen wir Sie gerne bei der Umsetzung der gesetzlichen Vorgaben.

Ihre Vorteile mit Cortina Consult

Cortina Consult hilft Unternehmen dabei, die Anforderungen des Hinweisgeberschutzgesetzes im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen.

Hinweisgeberschutzgesetz
Nach oben scrollen
Sie haben Fragen?
– Wir beraten Sie gerne
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
Unsere Lösungen
Cortina Consult Logo