Für den rechtssicheren Betrieb eines Hinweisgebersystems ist die Durchführung einer Datenschutz-Folgenabschätzung unumgänglich. So können Sie Schwachstellen identifizieren und geeignete Schutzmaßnahmen vornehmen.
Am 2. Juli 2023 trat das Hinweisgeberschutzgesetz (HinSchG) in Kraft. Infolgedessen sind Unternehmen sowie kirchliche Stellen dazu verpflichtet, eine interne Meldestelle für alle Mitarbeitenden einzurichten. Dadurch soll vor allem der Schutz der Hinweisgeber (Whistleblower) gewährleistet werden. Da eingehende Meldungen mit personenbezogenen Daten verbunden sind, zieht dies datenschutzrechtliche Konsequenzen nach sich. Besonders, wenn die Meldungen nicht anonym abgegeben werden, führt dies zu einem erhöhten Risiko bezüglich der personenbezogenen Daten der in der Meldung involvierten Personen.
Eine Datenschutz-Folgenabschätzung (DSFA) dient dazu, Datenschutzrisiken zu erkennen und diesen vorzubeugen respektive sie zu minimieren. Somit handelt es sich nicht bloß um eine gesetzliche Anforderungen. Vielmehr ermöglicht die Durchführung einer DSFA, die Konsequenzen der Verarbeitung der personenbezogenen Daten der Betroffenen zu analysieren. Damit können die Verantwortlichen geeignete Schutzmaßnahmen ergreifen und so Datenschutzkonformität gewährleisten.
Fachkunde erwerben für den Betrieb der internen Meldestelle: Zertifizierung für den Bereich Hinweisgebersystem nach EU-Richtlinie.
Unternehmen haben die Möglichkeit, die Verantwortung für ihr Melde- und Hinweisgebersystem an unabhängige Dritte als externe Meldestellenbeauftragte übertragen. Dies bietet ihnen vor allem die folgenden Vorteile:
Bußgeldrisiko minimieren
Der eMSB stellt sicher, dass durch Einhalten der gesetzlichen Fristen das Bußgeldrisiko minimiert wird
Qualifizierte Fachleute
Mit einem eMSB setzen Sie auf erfahrene Fachleute, die alle Hinweise fair, zeitnah und angemessen bearbeiten
Risiko delegieren
Mit Inanspruchnahme eines eMSB haftet dieser Dienstleister für das potentielle Risiko
Keine Interessenskonflikte
Als externer und unabhängiger Partner sorgt der eMSB dafür, dass Interessenskonflikte vermieden werden
Reputationsschutz
Eine zuverlässig verwaltete Meldestelle kann den guten Ruf Ihres Unternehmens schützen
Immer up-to-date
Der eMSB ist stets auf dem neuesten Stand der Gesetze und Vorschriften zum Schutz von Hinweisgebern
Nun wissen Sie, dass eine interne Meldestelle personenbezogene Daten verarbeitet. Da kommt sicherlich die Frage auf, ob eine DSFA gemäß Artikel 35 Absatz 1 DSGVO vor der Einrichtung einer solchen Meldestelle notwendig ist.
Laut Gesetz besteht die Notwendigkeit einer DSFA dann, wenn ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen durch die Verarbeitung personenbezogener Daten besteht. Ferner sind Faktoren wie Art der Daten, der Verarbeitungsmethoden und der potenziellen Auswirkungen auf die Betroffenen ausschlaggebend dafür, ob Sie eine DSFA durchführen müssen.
Eine Schwellenwertanalyse ist ein kritischer Schritt, der eine detaillierte Untersuchung der spezifischen Umstände erfordert, unter denen die Datenverarbeitung stattfindet. Sie hilft Ihnen zu ermitteln, ob die Voraussetzungen zur Durchführung einer DSFA gemäß Artikel 35 Abs. 3 DSGVO erfüllt sind. Dabei berücksichtigt sie verschiedene Regelbeispiele sowie Anwendungsfälle der DSGVO.
Diese Regelbeispiele sind in einer Liste der Datenschutzkonferenz (DSK) einsehbar. Sie enthält also die Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist. Laut dieser Liste ist eine DSFA für interne Meldestellen nicht erforderlich.
Nach Durchführung der Schwellenwertanalyse stellt sich außerdem heraus, dass im Fall der internen Meldestelle keine „umfangreiche“ Verarbeitung vorliegt. Diese müsste laut Artikel 35 Abs. 3 lit. b DSGVO gegeben sein , damit eine DSFA durchgeführt werden muss. Grund dafür ist, dass sich Meldungen lediglich auf Einzelpersonen respektive kleine Personengruppen beziehen. Somit ist von einer geringen Anzahl an Meldungen mit personenbezogenen Daten i.S.d. Artikel 9 DSGVO auszugehen.
Das Arbeitspapier 248 des Europäischen Datenschutzausschusses enthält jedoch Kriterien, die bei fast jeder Datenverarbeitung im Zusammenhang mit internen Meldungen erfüllt sind. Darüber hinaus wird das Verfahren zur Meldung von Missständen in der „Orientierungshilfe der Datenschutzaufsichtsbehörden zur Whistleblowing-Hotline“ als besonders riskant eingestuft. Damit sollte klar sein, dass Sie eine DSFA für Ihre interne Meldestelle aufgrund des erhöhten Risikos für die Rechte und Freiheiten der meldenden Personen durchführen sollten.
Die All-in-One Software für den Betrieb einer internen Meldestelle mit Bestpreisgarantie.
Damit Sie eine DSFA durchführen können, sollte sie im Vorfeld sorgfältig geplant werden. Dabei ist besonders wichtig, dass Sie die relevanten Stakeholder einbeziehen, mögliche Risiken identifizieren und bewerten sowie einen klaren Aktionsplan entwickeln. Dies kann schnell sehr umfangreich werden. Um den Prozess zu vereinfachen und effizient zu gestalten, können Datenschutzexperten von entscheidender Bedeutung sein.
Bei der Durchführung einer DSFA sollten Sie also die geplanten Verarbeitungsvorgänge systematisch beschreiben, die Notwendigkeit und Verhältnismäßigkeit dieser Verarbeitung sowie die Risiken für die Rechte und Freiheiten der betroffenen Personen bewerten und schließlich Abhilfemaßnahmen festlegen.
Die Meldungen über Verstöße von Beschuldigten könnten möglicherweise sensible Informationen enthalten, die sogar strafrechtlich relevant sein und ernste Konsequenzen für die betroffene Person haben könnten. Daher empfehlen wir dringend, eine Datenschutz-Folgenabschätzung durchzuführen. Diese Bewertung ist nicht nur eine proaktive Maßnahme, sondern ein entscheidender Schritt, um die Integrität und Vertraulichkeit der betroffenen Daten zu wahren.
Die Nichtbeachtung dieser Empfehlung könnte nicht nur rechtliche Folgen haben, sondern auch das Vertrauen in Ihr Unternehmen untergraben. Es ist daher in Ihrem besten Interesse, diese wichtige Aufgabe mit der gebotenen Sorgfalt und Expertise anzugehen, um die Privatsphäre und Sicherheit aller Betroffenen zu gewährleisten.
Als ext. MSB unterstützen wir Sie bei der Einrichtung einer internen Meldestelle und übernehmen für Sie die Bearbeitung eingereichter Hinweise.
Wir unterstützen Unternehmen dabei, die Anforderungen des Hinweisgeberschutzgesetzes (HinSchG) praxisnah und rechtssicher umzusetzen – digital, so einfach wie möglich und zu fixen Konditionen. Als spezialisierter Beratungsdienstleister und externer Meldestellenbeauftragter stellen wir sicher, dass Ihre interne Meldestelle alle gesetzlichen Vorgaben erfüllt und Ihre Organisation vor rechtlichen sowie reputativen Risiken geschützt ist.
Registrieren Sie sich für unseren kostenlosen Newsletter mit lesenswerten Neuigkeiten zum Hinweisgeberschutz und Best-Practices zur Umsetzung.
* Pflichtfeld. Mit der Registrierung erklären Sie Ihr Einverständnis zum Erhalt des Cortina Legal-Updates mit Mailchimp sowie zur Interessen-Analyse durch Auswertung individueller Öffnungs- und Klickraten. Zu Ihrer und unserer Sicherheit senden wir Ihnen vorab noch eine E-Mail mit einem Bestätigungs-Link (sog. Double-Opt-In); die Anmeldung wird erst mit Klick auf diesen Link aktiv. Dadurch stellen wir sicher, dass kein Unbefugter Sie in unser Newsletter-System eintragen kann. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft und ohne Angabe von Gründen widerrufen; z. B. durch Klick auf den Abmeldelink am Ende jedes Newsletters. Nähere Informationen zur Verarbeitung Ihrer Daten finden Sie in unserer Datenschutzerklärung.
