Abo

Hinweisgeberschutzgesetz : Der „Datenschutzteufel“ steckt im Detail

Das Hinweisgeberschutzgesetz (HinSchG) tritt am 02.07.2023 in Kraft. Es regelt die Einrichtung von Meldestellen, die Ausgestaltung einzurichtender Meldewege, den Umgang mit eingehenden Meldungen, den Schutz von Hinweisgebern vor Repressalien, aber auch den Schutz anderer Personen vor unrichtigen Meldungen.

Lesezeit 7 Min.

Weil bei der Entgegennahme und Bearbeitung von Meldungen verschiedene personenbezogene Daten verarbeitet werden müssen, sind neben den Vorgaben des HinSchG auch die weiterhin zusätzlich geltenden Vorgaben der Datenschutz-Grundverordnung (DS-GVO) und für Beschäftigte der § 26 Bundesdatenschutzgesetz (BDSG) zu beachten. Dieser Beitrag unternimmt einen ersten Versuch, die zusätzlich zum HinSchG geltenden Datenschutzanforderungen einzuordnen. Er wird das HinSchG streifen, aber nicht vollständig besprechen oder vorstellen.

Wer ist zur Einrichtung einer Meldestelle verpflichtet?

Grundsätzlich sind alle „Beschäftigungsgeber“ mit regelmäßig 50 und mehr Beschäftigten zur Einrichtung einer Meldestelle verpflichtet. Für einige Tätigkeitsfelder, wie z. B. Wertpapierdienstleistungsunternehmen, Börsenträger im Sinne des Börsengesetzes, Institute im Sinne des Kreditwesengesetzes und Kapitalverwaltungsgesellschaften besteht die Einrichtungspflicht unabhängig von der Beschäftigtenanzahl (§ 12 Abs. 3 HinSchG).

Weil das Gesetz sowohl Unternehmen wie auch Behörden adressiert, wird der Begriff „Beschäftigungsgeber“ als Normadressat eingeführt und ebenfalls sehr weit gefasst. Er umfasst natürliche Personen sowie juristische Personen des öffentlichen und des privaten Rechts, rechtsfähige Personengesellschaften und sonstige, nicht vorstehend genannte rechtsfähige Personenvereinigungen, bei denen mindestens eine Person beschäftigt ist (§ 3 Abs. 8 HinSchG).

Meldestellen können intern durch den Beschäftigungsgeber betrieben oder an einen Dienstleister ausgelagert werden (externe Meldestelle).

Jede Person, die sich in einem beruflichen Verhältnis zum Beschäftigungsgeber befindet, wird als Hinweisgeber durch das HinSchG geschützt. „Berufliches Verhältnis“ ist weit zu verstehen, d. h. ein berufliches Verhältnis ist nicht beschränkt auf ein Beschäftigungsverhältnis.

Hinweisgeberschutzgesetz
Hinweisgeberschutzgesetz

Einrichtung von Meldestellen

Bei der Einrichtung einer Meldestelle sind sowohl die Vorgaben aus dem HinSchG wie auch die üblichen Anforderungen der DS-GVO umzusetzen. Aus Sicht der DS-GVO bedarf es verbindlicher Regeln zur Arbeitsweise und Verantwortung (Umsetzung von Art. 24 DS-GVO). Dazu bietet es sich an, die Kernprozesse wie

  • Einrichtung und Betrieb von Kanälen zur vertraulichen Kontaktaufnahme und Kommunikation,
  • Entgegennahme der Meldung,
  • Prüfung auf sachliche und inhaltliche Zuständigkeit,
  • Prüfung der Befugnis zur Weitergabe und Weitergabe,
  • Kommunikation mit dem Hinweisgeber,
  • Löschung der Meldung und aller damit im Zusammenhang stehenden (Meta-)Daten und
  • Umsetzung von Betroffenenrechten wie z. B. Auskunft, Berichtigung, Löschung durch Hinweisgeber sowie die von der Meldung betroffenen Personen festzulegen und zu dokumentieren.

Bei der organisatorischen wie technischen Umsetzung ist zu beachten, dass nur die personenbezogenen Daten verarbeitet werden, die unbedingt erforderlich für den jeweiligen Bearbeitungsschritt sind (Umsetzung von Art. 24 DS-GVO).

Jede Organisation muss seit mehr als fünf Jahren ein Sicherheitskonzept vorhalten, das die Risiken für die Rechte und Freiheiten der von der Datenverarbeitung betroffenen Personen analysiert und geeignete risikomindernde Maßnahmen enthält. Mit der Einrichtung einer Meldestelle entstehen zusätzliche Risiken, insbesondere für den Hinweisgeber und die von der Meldung betroffenen Personen. Deshalb ist das vorhandene Sicherheitskonzept um die neuen Risiken und Maßnahmen zu ergänzen.

8 HinSchG verpflichtet Meldestellen dazu, die Identität des Hinweisgebers sowie alle anderen von der Meldung betroffenen Personen vertraulich zu behandeln. Eine Kenntnisnahme ist auf Personen, die die Meldung entgegennehmen oder für Folgemaßnahmen zuständig sind, zu beschränken. Ebenfalls einbezogen sind bei der Erfüllung der Aufgaben einer Meldestelle unterstützende Personen.

Da auch Meta-Daten beispielsweise aus der Kommunikation mit dem Hinweisgeber Hinweise auf dessen Identität geben können, sind auch alle Meta-Daten, wozu nicht nur Telefonnummern, Ort, Zeitpunkt, sondern auch Datennamen, Dateiattribute, GPS-Koordinaten in Bildern usw. zählen, vertraulich zu behandeln. Kurz: Für Daten ist die Vertraulichkeit sicherzustellen.

Üblicherweise haben IT-Administratoren sowie bei Software-as-a-Service-Diensten oder Produkten mit Wartungsverträgen auch die Hersteller Zugriff auf alle Daten in einem IT-System. Solche Zugriffe müssen für alle Systeme, die zur Kommunikation mit dem Hinweisgeber und zur Entgegennahme und Bearbeitung von Meldungen dienen, wirkungsvoll ausgeschlossen werden. Da § 8 HinSchG den Kreis der zur Kenntnisnahme berechtigten Personen abschließend festlegt, kann er nicht durch die Meldestelle beispielsweise durch die Unterzeichnung von Vertraulichkeitserklärungen erweitert werden.

Da im Fehlerfall Wartungszugriffe durch IT-Administratoren oder Hersteller unumgänglich sind, bedeutet es, dass sämtliche Daten verschlüsselt gespeichert werden müssen. Die Schlüssel müssen so verwaltet werden, dass ausschließlich die zur Kenntnis berechtigten Personen die Daten entschlüsseln können. Ein bloßer Entzug von Zugriffsrechten reicht regelmäßig nicht aus. Faktisch scheiden damit alle üblicherweise in einem Unternehmen betriebenen Systeme wie E-Mail, Telefonanlage, Ticketsysteme, File Server und Office-Produkte für den Einsatz einer Meldestelle aus. Spezialsoftware ist grundsätzlich erforderlich.

Ein Rollen- und Rechtekonzept ist zu erstellen und in allen von der Meldestelle genutzten Softwareanwendungen zu implementieren.

Sollen etwa Software-as-a-Service-Produkte eingesetzt werden, bei denen der Betreiber Unterauftragnehmer aus Drittländern (Staaten außerhalb der EU) einsetzt, wird zur Umsetzung der Vertraulichkeitsverpflichtung, die auch bedeutet, dass die Meldestelle den Zugriff ausländischer Behörden verhindern muss, eine Verschlüsselung erforderlich sein. Die Verschlüsselung muss so ausgestaltet sein, dass auch die mitwirkenden Unternehmen die Daten beispielsweise unter Zwang nicht entschlüsseln können. Die Verschlüsselung muss im Drittland durchgängig erfolgen, d. h. die Daten dürfen auch nicht im Arbeitsspeicher entschlüsselt werden. Im Regelfall dürfte diese Anforderung einer Beauftragung solcher Software-as-a-Service-Produkten entgegenstehen.

Eine Frau mit dem Finger an den Lippen deutet auf Stille oder Verschwiegenheit.

Weiterhin ist kritisch zu prüfen, ob die Daten der Meldestelle in das „normale“ Backup einfließen dürfen. Auf jeden Fall ist das Backup so zu organisieren, dass eine fristgerechte Löschung umgesetzt werden kann und die Daten der Meldestelle – wie oben ausgeführt – so verschlüsselt abgelegt werden, dass eine Kenntnisnahme Unbefugter nicht möglich ist.

Die Tätigkeit der Meldestelle stellt eine neue Verarbeitung dar. Eine Aufnahme in das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DS-GVO ist zu prüfen. Eine Datenschutzfolgeabschätzung nach Art. 35 DS-GVO wird von deutschen Datenschutzaufsichtsbehörden für erforderlich gehalten. Weiterhin sind die Beschäftigten über die Verarbeitung zu informieren. Es bietet sich an, die Datenschutzinformation nach Artt. 13 und 14 DS-GVO entsprechend zu ergänzen.

Zusätzliche Anforderung an externe Meldestellen

Soll der Betrieb der Meldestelle an einen Dienstleister ausgelagert werden, ist zu prüfen, ob es sich bei der konkreten Gestaltung um eine Auftragsverarbeitung nach Art. 28 DS-GVO oder um eine Zusammenarbeit zwischen zwei Verantwortlichen handelt. Liegt eine Auftragsverarbeitung vor, ist der entsprechende Vertrag zur Umsetzung der Vertragsinhalte nach Art. 28 DS-GVO zu schließen.

Liegt hingegen der Fall vor, dass zwei Verantwortliche zusammenwirken, ist weiterhin zu prüfen, ob eine gemeinsame Verantwortung nach Art. 26 DS-GVO besteht. Wenn dieses der Fall sein sollte, ist eine Vereinbarung nach Art. 26 DS-GVO zu schließen und die Beschäftigten, der Hinweisgeber und alle von einer Meldung betroffenen Personen sind über die wesentlichen Inhalte der Vereinbarung zu informieren.

Bearbeitung von Meldungen

Der Beschäftigungsgeber ist verpflichtet, mindestens einen Meldekanal anzubieten. Er kann sich entscheiden, ob er mündliche Meldungen oder Meldungen in Textform annimmt. Er soll weiterhin auch anonyme Meldungen bearbeiten. Jedoch besteht keine Pflicht, Meldekanäle so zu gestalten, dass anonyme Meldungen möglich sind.

Wenn eine Meldung eintrifft, ist der Hinweisgeber gemäß Art. 13 DS-GVO über die Verarbeitung zu informieren. Die Information muss spätestens bei der Datenerhebung, z. B. mittels Onlineformular, erfolgen. Deshalb bietet es sich an, die entsprechende Information an den Meldekanälen zu verlinken. Erfolgt die Meldung etwa per Post, hat die Information bei Sichtung der Meldung zu erfolgen.

Sind in der Meldung weitere Personen genannt, sind diese grundsätzlich nach Art. 14 DS-GVO über die nun beginnende Verarbeitung zu informieren. Von der Information, die die Sachverhaltsaufklärung oder Strafverfolgung erschweren kann, kann im Rahmen der in Art. 14 DS-GVO genannten Ausnahmen abgesehen werden. Ob eine solche Ausnahme vorliegt oder ein gesetzliches Informationsverbot besteht, ist im jeweiligen Einzelfall zu prüfen.

Eingehende Meldungen sind nicht nur zu sichten, sondern auch zu bearbeiten. Wenn weitergehende Ermittlungen erforderlich sein sollten, erfolgen diese durch die Ermittlungsstelle des Beschäftigungsgebers oder durch (Strafverfolgungs-)Behörden. Aufgrund der bereits erläuterten Vertraulichkeitspflicht darf die Meldestelle Daten nicht ohne Weiteres an eine Ermittlungsstelle des Beschäftigungsgebers oder an (Strafverfolgungs-) Behörden weitergeben. Vielmehr ist im Einzelfall zu prüfen, ob und – wenn ja – welche Rechtsgrundlage insbesondere nach § 9 HinSchG die Weitergabe erlaubt oder anordnet. Die Rechtsgrundlage sollte wegen der Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO) dokumentiert werden.

Die Vertraulichkeitsverpflichtung ist auch bei den weiteren Aktivitäten wie der Ermittlung und Ableitung von Maßnahmen zu wahren. Die Entscheidung für aus der Meldung und Ermittlung folgende Konsequenzen obliegt dem Beschäftigungsgeber, ebenso die Verantwortung dafür.

Die Löschung der Meldungen sowie der zugehörigen Kommunikation ist sicherzustellen (Umsetzung von Art. 17 DS-GVO). Die Meldung und die Vorgangsdokumentation sind aufzubewahren und grundsätzlich drei Jahre nach Abschluss des Verfahrens zu löschen, sofern die Ausnahmen in § 11 Abs. 5 HinSchG nicht zutreffen. Die organisatorische und technische Umsetzung zur Löschung ist zu implementieren.

Hinweisgebern, aber auch den von einer Meldung betroffenen Personen, stehen unverändert die Betroffenenrechte wie z. B. Auskunft, Berichtigung und Löschung zu. Betroffenenrechte können nur in den in Kapitel III der DS-GVO oder in §§ 29, 34 bis 36 BDSG genannten Ausnahmen verweigert werden.

Fazit

Mit der verpflichtenden Einrichtung von Meldestellen kommen nicht nur die im HinSchG genannten Aufgaben auf Unternehmen zu. Vielmehr gelten für die Meldestelle zusätzlich die bekannten Anforderungen der DS-GVO. Zusätzliche Anforderungen werden sich insbesondere in den Bereichen Sicherstellung der Vertraulichkeit, Abschottung der Daten vom „normalen“ Betrieb und vertrauliche Kommunikation ergeben. Ab dem 01.12.2023 kann die Nichtumsetzung des HinSchG mit Bußgeldern geahndet werden. Viel Zeit zur Umsetzung bleibt folglich nicht mehr.

 

Dr. Niels Lepperhoff, Xamit Bewertungsgesellschaft mbH

Diesen Beitrag teilen: