FAQ Datenschutz und Hinweisgeberschutzgesetz
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat zu datenschutzrechtlichen Aspekten des Hinweisgeberschutzgesetzes und dessen Umsetzung Stellung bezogen.
Die FAQ finden Sie hier.
Hintergrund: Im Zusammenhang mit dem Inkrafttreten des Hinweisgeberschutzgesetzes (HinSchG) stellen sich viele datenschutzrechtliche Fragen. Die nun veröffentlichten FAQ des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg („Landesbeauftragter für den Datenschutz“) tragen zu ihrer Beantwortung bei.
Zum Hintergrund: Hinweisgeberexperte betreibt für über 250 Kunden die (ausgelagerte) „interne Meldestelle“. Teil unseres Leistungspakets ist auch die datenschutzrechtliche Compliance des Hinweisgebersystems.
Wichtig an den veröffentlichten FAQ sind aus unserer Sicht drei datenschutzrechtliche Aspekte:
1. Können Datenschutzbeauftragte alleine die interne Meldestelle betreiben?
Antwort Landesbeauftragter für den Datenschutz: Nein.
Im Einzelnen:
Aufgrund von Interessenskonflikten können Datenschutzbeauftragte alleine keine Meldestelle betreiben, sofern keine besonderen Maßnahmen ergriffen werden wie – zum Beispiel – klare Vertretungsregelungen mit Nicht-Datenschutzbeauftragten.
Das komplette Outsourcing an externe Datenschutzbeauftragte* ist daher unzulässig.
„Art. 38 Abs. 6 DS-GVO gestattet, dass der Datenschutzbeauftragte andere Aufgaben und Pflichten wahrnehmen kann, wenn sichergestellt ist, dass diese nicht zu einem Interessenkonflikt führen. Gleichzeitig ist zu sehen, dass eine solche Doppelfunktion – ohne zusätzliche Maßnahmen seitens des Verantwortlichen – einen grundsätzlichen Interessenkonflikt darstellen würde: So können einerseits Meldungen bei der Meldestelle eingehen, die den Datenschutzbeauftragten selbst betreffen. Andererseits unterfallen auch die mit der Meldestelle einhergehenden Datenverarbeitungen – insbesondere die Folgemaßnahmen (…) der Kontrolle der/des Datenschutzbeauftragten.“
Ausnahme zur Unvereinbarkeit: „Dementsprechend ist es nicht von vornherein ausgeschlossen, dass im Einzelfall eine Doppelfunktion Datenschutzbeauftragter und Meldestelle zulässig ist. Hierbei zu berücksichtigende Mindestvoraussetzungen für die Vermeidung eines Interessenkonfliktes wären geeignete Vertretungsregelungen auf beiden Seiten (…), klare Zuständigkeiten und Rollentrennungen (organisatorisch und sachlich, z.B. bei Aktenführung und Archivierung) sowie eine lückenlose Prozessdokumentation.“
Bereits lange vor den nun veröffentlichten FAQ hat Hinweisgeberexperte in einem Blog-Beitrag die Unzulässigkeit der alleinigen Verantwortung des (externen) Datenschutzexperten für den Betrieb der internen Meldestelle behandelt.
Den Beitrag finden Sie hier.
2. Sollen/müssen Unternehmen einen Auftragsverarbeitungsvertrag mit einem externen Dienstleister wie Hinweisgeberexperte abschließen, wenn die Meldestelle von diesem betrieben wird?
Antwort: Landesbeauftragte für den Datenschutz: Ja.
Im Einzelnen:
„Die Gesetzesbegründung zum Hinweisgeberschutzgesetz geht davon aus, dass eine Beauftragung externer Dritter in Form der Auftragsverarbeitung zulässig ist (BT-Drs. 372/22, S. 88). Dies dürfte (…) Fälle betreffen, in denen der Dritte nicht sämtliche Aufgaben der externen Meldestelle (…) übernimmt, sondern der oder den bei dem Beschäftigungsgeber für den Betrieb der internen Meldestelle zuständigen Person oder Personen (…) zuarbeitet, z.B. indem er die Hinweise entgegennimmt und nicht in den Anwendungsbereich des Hinweisgeberschutzgesetzes fallende aussortiert.“
Hinweisgeberexperte bietet genau dieses Leistungsspektrum an, daher schließen wir mit unseren Kunden AVV ab.
3.
Welche Rolle hat HR/ Personal beim Hinweisgebersystem nach dem Hinweisgeberschutzgesetz?
Antwort: Landesbeauftragte für den Datenschutz: Keine alleinige Verantwortung von HR für die interne Meldestelle.
Im Einzelnen:
Der Landesbeauftragte für den Datenschutz geht davon aus, dass HR/ Personal keine alleinige Verantwortung für die interne Meldestelle haben sollte.
Wörtlich heißt es: „Generell sollten Whistleblowing-Hotlines wie die interne Meldestelle außerhalb der Personalverwaltung organisiert und betrieben werden.“
Was bedeutet dies für die Zusammenarbeit zwischen Unternehmen und Dienstleistern? Hinweisgeberexperte ist für die Meldestelle operativ verantwortlich und stellt entsprechende Fachkunde und Unabhängigkeit zur Verfügung. Unser „Arm ins Unternehmen“ ist in vielen Fällen die Personalabteilung. Dieses Konzept ist nach den FAQ des Landesbeauftragten für den Datenschutz einwandfrei, da HR/ Personal in dieser Konstellation die Meldestelle nicht alleine betreibt.
Sie haben Fragen zu den FAQ oder zum Thema Meldestelle und deren Outsourcing?
Wir begleiten Sie bei allen Fragen zum Hinweisgeberschutzgesetz und der Implementierung eines Hinweisgebersystems und betreiben das System für Sie. Melden Sie sich bei uns. Über 250 Kunden vertrauen uns bereits.
Kontakt zu Hinweisgeberexperte
Sprechen Sie mit unseren Experten – unverbindlich und kostenlos.
Autor: RA Dr. Maximilian Degenhart, Geschäftsführer Hinweisgeberexperte. Der Compliance Dienstleister Hinweisgeberexperte berät Mandanten bei der Einrichtung von Hinweisgebersystemen und nimmt Aufgaben von internen Meldestellen wahr. Wir betreiben Hinweisgebersysteme für mittelständische Unternehmen, börsennotierte Konzerne, Landkreise, Kommunionen und öffentliche Unternehmen.
Informationen zum Hinweisgeberschutzgesetz
Weitere Informationen zum Hinweisgeberschutzgesetz finden Sie auf unserer Homepage und auf unserem YouTube-Kanal:
*Zur besseren Lesbarkeit verzichten wir auf die gleichzeitige Verwendung der Sprachformen männlich, weiblich und divers (m/w/d). Sämtliche Personenbezeichnungen gelten gleichermaßen für alle Geschlechter.