Datenschutzbeauftragter darf keine interne Meldestelle verantworten
Aufsatzbesprechung:
Fehr/Refenius: Hinweisgeberschutzgesetz: Interner Meldestellenbeauftragte, Compliance-Berater (CB) 2023, 289 ff.;
Das Hinweisgeberschutzgesetz verpflichtet Unternehmen mit über 50 Beschäftigten, eine interne Meldestelle einzurichten. Diese besteht aus einem Hinweisgebersystem und fachkundigen Beschäftigten, die über das Hinweisgebersystem Hinweise entgegennehmen und bearbeiten.
Unternehmen können diese Pflicht outsourcen oder selbst umsetzen. In diesem Fall benötigen die Unternehmen erstens ein Hinweisgebersystem, welches im besten Fall aus einem digitalen System und analogen Meldemöglichkeiten besteht (Telefon, Post, Email). Zweitens, und hiermit haben viele betroffenen Organisationen praktische Schwierigkeiten, müssen „fachkundige“ Beschäftigte mit der tagtäglichen Betreuung des Hinweisgebersystems beauftragt werden.
Bei Unternehmen und Organisationen ohne Rechts- oder gar Complianceabteilung stellen sich die Verantwortlichen in den meisten Fällen bald die Frage: „Wer soll es denn machen“?
Eine Zusammenfassung der Anforderungen an die Fachkunde der Meldestellenbeauftragten lesen Sie hier.
Manche Unternehmen landen bei der Beantwortung dieser Frage beim Datenschutzbeauftragten. Hier ist größte Vorsicht geboten. Denn es besteht ein grundsätzlicher Konflikt für Datenschutzbeauftragte, die das Hinweisgebersystem betreuen (sollen/wollen).
Zu diesem Konflikt haben Prof. Dr. Stefanie Fehr und Kevin Refenius einen Aufsatz in der Fachzeitschrift Compliance-Berater verfasst (CB 2023, 289 ff.). Den Aufsatz können Sie hier erwerben.
Im Folgenden wird die Veröffentlichung besprochen.
Die Frage, ob ein Datenschutzbeauftragter als interner Meldestellenbeauftragter fungieren kann, richtet sich laut Fehr/ Refenius ausschließlich nach der DSGVO und nicht nach der Hinweisgeberschutzgesetz. Es sei daher allein am Maßstab der DSGVO zu prüfen, ob der betriebliche Datenschutzbeauftragte eine solche Aufgabe übernehmen kann bzw. sollte.
Dem betrieblichen Datenschutzbeauftragen können zwar neben seiner eigentlichen Tätigkeit noch weitere Aufgaben nach Art. 38 Abs. 6 S. 1 DSGVO übertragen werden. Dies sei gemäß Fehr/ Refenius zulässig, soweit es nicht zu Interessenkonflikten mit den Tätigkeiten eines Datenschutzbeauftragten führt (Art. 38 Abs. 6 S. 2 DSGVO). Es müsse aber dabei sichergestellt werden, dass derartige Aufgaben und Pflichten nicht zu Interessenkonflikten führen. Entscheidend ist dabei, dass der Datenschutzbeauftragte seine Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben kann.
Fehr/ Refenius begründen den attestierten Konflikt mit kollidierenden Interessen des Datenschutzbeauftragten, welcher dessen Unabhängigkeit zu stark gefährde. Denn bereits bei der Implementierung von Meldekanälen seien betriebliche Datenschutzbeauftragte nach Art. 38 Abs. 1 DSGVO zum Schutz personenbezogener Daten einzubinden. Im weiteren Verlauf müssten Datenschutzbeauftragte, wenn sie die Funktion des internen Meldestellen-Beauftragten innehaben, auch z. B. Folgemaßnahmen einleiten, wie Datenanalysen, um Hinweise aufzuklären. Laut Fehr/ Refenius müsste eine Bearbeitung des Hinweises durch den betrieblichen Datenschutzbeauftragten in diesem Fall unterbleiben und der Sachverhalt würde nicht aufgeklärt werden. Fehr/ Refenius: „Eine völlige Unabhängigkeit eines betrieblichen Datenschutzbeauftragten in der Doppelfunktion als interner Meldestellen-Beauftragter ist nicht gegeben.“
Fehr/ Refenius beziehen sich richtigerweise bei der Begründung des Interessenkonflikts des Datenschutzbeauftragten bei der Betreuung der internen Meldestelle auch auf aktuelle EuGH-Rechtsprechung EuGH (C-453/21 und C-560/21).
Fehr/ Refenius: „In seiner Entscheidung hat der EuGH festgesetellt, dass die Unabhängigkeit des Datenschutzbeauftragten im Zusammenhang mit einer Doppelfunktion weiterhin gewährleistet sein muss. Daraus folge, dass einem Datenschutzbeauftragten keine Aufgaben oder Pflichten übertragen werden dürfen, die ihn dazu veranlassen würden, die Zwecke und Mittel der Verarbeitung personenbezogener Daten bei dem Verantwortlichen festzulegen. Denn der Datenschutzbeauftragte müsse die Überwachung dieser Zwecke und Mittel unabhängig durchführen.“
Diese These wird auch durch ein auf das EuGH-Urteil folgende Urteil des Bundesarbeitsgerichts (BAG, 6. Juni 2023 – 9 AZR 383/19 ) gestützt. Hiernach darf der Betriebsratsvorsitzende nicht zugleich Datenschutzbeauftragter sein. Damit änderte das BAG seine bisherige Rechtsprechung.
Im Ergebnis sollten verpflichtete Unternehmen und Organisationen daher zurückhaltend sein, wenn es darum geht, ob der Datenschutzbeauftragte die interne Meldestelle verantworten darf. Denn die Strafen bei Verstößen gegen das Hinweisgeberschutzgesetz sind beträchtlich.
Wir raten dazu, das Hinweisgeberschutzgesetz mit Compliance Experten umzusetzen – selbstverständlich unter Einbindung des jeweiligen Datenschutzbeauftragten. Sprechen Sie uns hierzu gerne an.
Sie haben Fragen?
Wir begleiten Sie bei allen Fragen zum Hinweisgeberschutzgesetz und der Implementierung eines Hinweisgebersystems und betreiben das System für Sie. Melden Sie sich bei uns. Über 225 Kunden vertrauen uns bereits.
Kontakt zu Hinweisgeberexperte
Sprechen Sie mit unseren Experten – unverbindlich und kostenlos.
Autor: RA Dr. Maximilian Degenhart, Geschäftsführer Hinweisgeberexperte. Der Compliance Dienstleister Hinweisgeberexperte berät Mandanten bei der Einrichtung von Hinweisgebersystemen und nimmt Aufgaben von internen Meldestellen wahr. Wir betreiben Hinweisgebersysteme für mittelständische Unternehmen, börsennotierte Konzerne, Landkreise, Kommunionen und öffentliche Unternehmen.
Informationen zum Hinweisgeberschutzgesetz
Weitere Informationen zum Hinweisgeberschutzgesetz finden Sie auf unserer Homepage und auf unserem YouTube-Kanal:
*Zur besseren Lesbarkeit verzichten wir auf die gleichzeitige Verwendung der Sprachformen männlich, weiblich und divers (m/w/d). Sämtliche Personenbezeichnungen gelten gleichermaßen für alle Geschlechter.