- Cortina Consult
- HinSchG
- Datenschutz-Folgenabschätzung
HinSchG – Datenschutz-Folgenabschätzung
Ist eine Datenschutz-Folgenabschätzung für interne Meldestellen erforderlich?
Auf einen Blick: das Hinweisgeberschutzgesetz
Am 2. Juli 2023 trat das Hinweisgeberschutzgesetz (HinSchG) in Kraft. Infolgedessen sind Unternehmen sowie kirchliche Stellen dazu verpflichtet, eine interne Meldestelle für alle Mitarbeitenden einzurichten. Dadurch soll vor allem der Schutz der Hinweisgeber (Whistleblower) gewährleistet werden. Da eingehende Meldungen mit personenbezogenen Daten verbunden sind, zieht dies datenschutzrechtliche Konsequenzen nach sich. Besonders, wenn die Meldungen nicht anonym abgegeben werden, führt dies zu einem erhöhten Risiko bezüglich der personenbezogenen Daten der in der Meldung involvierten Personen.
Datenschutz-Folgenabschätzung: Was ist das?
Eine Datenschutz-Folgenabschätzung (DSFA) dient dazu, Datenschutzrisiken zu erkennen und diesen vorzubeugen respektive sie zu minimieren. Somit handelt es sich nicht bloß um eine gesetzliche Anforderungen. Vielmehr ermöglicht die Durchführung einer DSFA, die Konsequenzen der Verarbeitung der personenbezogenen Daten der Betroffenen zu analysieren. Damit können die Verantwortlichen geeignete Schutzmaßnahmen ergreifen und so Datenschutzkonformität gewährleisten.
DSFA bei internen Meldestellen: Ist sie erforderlich?
Nun wissen Sie, dass eine interne Meldestelle personenbezogene Daten verarbeitet. Da kommt sicherlich die Frage auf, ob eine DSFA gemäß Artikel 35 Absatz 1 DSGVO vor der Einrichtung einer solchen Meldestelle notwendig ist.
Laut Gesetz besteht die Notwendigkeit einer DSFA dann, wenn ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen durch die Verarbeitung personenbezogener Daten besteht. Ferner sind Faktoren wie Art der Daten, der Verarbeitungsmethoden und der potenziellen Auswirkungen auf die Betroffenen ausschlaggebend dafür, ob Sie eine DSFA durchführen müssen.
Schwellenwertanalyse bei internen Meldestellen
Wozu dient die Schwellenwertanalyse?
Eine Schwellenwertanalyse ist ein kritischer Schritt, der eine detaillierte Untersuchung der spezifischen Umstände erfordert, unter denen die Datenverarbeitung stattfindet. Sie hilft Ihnen zu ermitteln, ob die Voraussetzungen zur Durchführung einer DSFA gemäß Artikel 35 Abs. 3 DSGVO erfüllt sind. Dabei berücksichtigt sie verschiedene Regelbeispiele sowie Anwendungsfälle der DSGVO.
Ergebnis der Schwellenwertanalyse
Diese Regelbeispiele sind in einer Liste der Datenschutzkonferenz (DSK) einsehbar. Sie enthält also die Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist. Laut dieser Liste ist eine DSFA für interne Meldestellen nicht erforderlich.
Nach Durchführung der Schwellenwertanalyse stellt sich außerdem heraus, dass im Fall der internen Meldestelle keine „umfangreiche“ Verarbeitung vorliegt. Diese müsste laut Artikel 35 Abs. 3 lit. b DSGVO gegeben sein , damit eine DSFA durchgeführt werden muss. Grund dafür ist, dass sich Meldungen lediglich auf Einzelpersonen respektive kleine Personengruppen beziehen. Somit ist von einer geringen Anzahl an Meldungen mit personenbezogenen Daten i.S.d. Artikel 9 DSGVO auszugehen.
Warum sollte ich dennoch eine DSFA für meine interne Meldestelle durchführen?
Das Arbeitspapier 248 des Europäischen Datenschutzausschusses enthält jedoch Kriterien, die bei fast jeder Datenverarbeitung im Zusammenhang mit internen Meldungen erfüllt sind. Darüber hinaus wird das Verfahren zur Meldung von Missständen in der „Orientierungshilfe der Datenschutzaufsichtsbehörden zur Whistleblowing-Hotline“ als besonders riskant eingestuft. Damit sollte klar sein, dass Sie eine DSFA für Ihre interne Meldestelle aufgrund des erhöhten Risikos für die Rechte und Freiheiten der meldenden Personen durchführen sollten.
Was muss ich bei der Umsetzung der DSFA für meine interne Meldestelle beachten?
Damit Sie eine DSFA durchführen können, sollte sie im Vorfeld sorgfältig geplant werden. Dabei ist besonders wichtig, dass Sie die relevanten Stakeholder einbeziehen, mögliche Risiken identifizieren und bewerten sowie einen klaren Aktionsplan entwickeln. Dies kann schnell sehr umfangreich werden. Um den Prozess zu vereinfachen und effizient zu gestalten, können Datenschutzexperten von entscheidender Bedeutung sein.
Bei der Durchführung einer DSFA sollten Sie also die geplanten Verarbeitungsvorgänge systematisch beschreiben, die Notwendigkeit und Verhältnismäßigkeit dieser Verarbeitung sowie die Risiken für die Rechte und Freiheiten der betroffenen Personen bewerten und schließlich Abhilfemaßnahmen festlegen.
Fazit: Was empfehlen wir Ihnen?
Die Meldungen über Verstöße von Beschuldigten könnten möglicherweise sensible Informationen enthalten, die sogar strafrechtlich relevant sein und ernste Konsequenzen für die betroffene Person haben könnten. Daher empfehlen wir dringend, eine Datenschutz-Folgenabschätzung durchzuführen. Diese Bewertung ist nicht nur eine proaktive Maßnahme, sondern ein entscheidender Schritt, um die Integrität und Vertraulichkeit der betroffenen Daten zu wahren.
Die Nichtbeachtung dieser Empfehlung könnte nicht nur rechtliche Folgen haben, sondern auch das Vertrauen in Ihr Unternehmen untergraben. Es ist daher in Ihrem besten Interesse, diese wichtige Aufgabe mit der gebotenen Sorgfalt und Expertise anzugehen, um die Privatsphäre und Sicherheit aller Betroffenen zu gewährleisten.
Als ext. Meldestellenbeauftragter unterstützen wir Sie gerne bei der Umsetzung der gesetzlichen Vorgaben.
Kostenloser Newsletter mit lesenswerten Neuigkeiten zum HinSchG und Best-Practices zur Umsetzung.
Ihre Vorteile mit Cortina Consult
Cortina Consult hilft Unternehmen dabei, die Anforderungen des Hinweisgeberschutzgesetzes im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen.
- Gebündelte Erfahrung aus 10 Jahren in der Branche und 500 erfolgreichen Projekten
- Beratung, Software & Schulung aus einer Hand
- Prozessoptimierung frei nach dem Motto: so viel wie nötig, so wenig wie möglich
