Nach §12 Abs. 1 HinSchG sind alle Unternehmen, die regelmäßig mindestens 50 Beschäftigte haben, zur Einrichtung einer internen Meldestelle verpflichtet.
Wenn diese Meldestelle intern realisiert wird, legitimiert Art. 6. Abs. 1 lit. c) DSGVO die Verarbeitung der personenbezogenen Daten. Die Pflicht zur Errichtung interner Meldestellen folgt aus § 12 HinSchG.
Nach § 13 HinSchG betreiben die internen Meldestellen Meldekanäle nach § 16 HinSchG, führen das Verfahren nach § 17 HinSchG und ergreifen Folgemaßnahmen nach § 18 HinSchG.
Wenn diese Meldestelle von externen Dritten betrieben wird, werden diese als eigene (Mit-)Verantwortliche für die Datenverarbeitung angesehen und verarbeiten die personenbezogenen Daten zur Erfüllung ihrer Pflichten nach § 16 bis 18 HinSchG. Die Rechtsgrundlage ist damit Art. 6 Abs. 1 Satz 1 Buchstabe c DS-GVO i.V.m. § 10 und 16 bis 18 HinSchG.
Sollten im Rahmen einer Meldung auch besondere Kategorien von personenbezogenen Daten nach Art. 9 DSGVO erfasst werden, so ist Verarbeitung entsprechend Art. 9 Abs. 2 lit. g) DSGVO auf Basis von Art. 6 Abs.1 lit. c) DSGVO in Verbindung mit § 10 Satz 2 HinSchG rechtmäßig.
Interne oder externe Umsetzung
Für die Beauftragung externer Dienstleister sind je nach Leistungsinhalt folgende Vertragsformen denkbar:
- Der Dienstleister übernimmt nur die Annahme von Hinweisen (Bereitstellung von Meldekanälen) und leitet die eingegangenen Hinweise zur weiteren Bearbeitung an einen internen Ansprechpartner beim Verantwortlichen weiter. In diesem Fall ist der Abschluss eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO möglich.
- Soll hingegen auch die inhaltliche Prüfung der Meldungen und das weitere Verfahren ausgelagert werden, wäre dies keine Auftragsverarbeitung. Eine gemeinsame Verantwortlichkeit gemäß Art. 26 Abs. 1 DSGVO liegt vor, wenn die Verantwortlichen gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden.
Technische und organisatorische Maßnahmen
Generell sind bei der Dokumentation der Meldungen die datenschutzrechtlichen Anforderungen aus Art. 5 DSGVO zu beachten. Hiernach müssen die verarbeiteten personenbezogenen Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung); sie müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein und es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden. Für die Speicherung bzw. Aufbewahrung der Dokumentation gilt Art. 5 Abs. 1 lit. f) DSGVO, wonach personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.
Gemäß § 11 Abs. 5 HinSchG muss die Dokumentation einer Meldung drei Jahre nach Abschluss des Verfahrens gelöscht werden.
Die E-Mailadresse des Meldekanals sollte von der automatischen Archivierung ausgeschlossen werden.
Weitere DSGVO-Pflichten
Hinweisgeber müssen über die Verarbeitung ihrer Daten nach Art. 13 DSGVO informiert werden.
- Eine Information der Betroffenen nach Art. 14 DSGVO entfällt, wenn und solange dadurch die Aufklärung des Sachverhalts und die nach § 18 Nr. 1 und 4 HinSchG zu treffenden Untersuchungen ernsthaft beeinträchtigt würden, z. B. aufgrund von drohenden Verdunklungsmaßnahmen der beschuldigten Person oder Personen.
- Das Auskunftsrecht nach Art. 15 DSGVO entfällt soweit dem die Interessen, Rechte und Freiheiten anderer Personen oder gesetzliche Geheimhaltungspflichten entgegenstehen. Trotzdem ist der Arbeitgeber darauf angewiesen, dass die interne Meldestelle prüft, ob sie personenbezogene Daten eines Anspruchstellers verarbeitet und ob und inwieweit das Vertraulichkeitsgebot der Auskunftserteilung entgegensteht. Die interne Meldestelle sollte stets in die Beantwortung von Auskunftsersuchen einbezogen werden, um irrtümlich unvollständige Auskünfte zu vermeiden. Das Auskunftsersuchen wäre damit an die interne Meldestelle weiterzuleiten und von ihr in Bezug auf ihren Zuständigkeitsbereich ggf. eigenständig zu beantworten. Ggf. muss eine Auskunft mit geschwärzten Passagen erteilt werden.
- Vor dem Hintergrund, dass im Zusammenhang mit einem Verfahren zur Meldung von Missständen sensible Daten verarbeitet werden, deren Bekanntwerden gravierende Folgen für die Reputation, die gesellschaftliche Stellung und die weitere Berufstätigkeit der betroffenen Personen hat, ist eine Datenschutz-Folgenabschätzung stets erforderlich. Damit ist eine Datenschutz-Folgenabschätzung zumindest dann durchzuführen, wenn sich aus den getroffenen technischen und organisatorischen Sicherheitsmaßnahmen und sonstigen Umständen im konkreten Fall keine erhebliche Reduzierung des mit einer internen Meldestelle gewöhnlich verbundenen Risiko ergibt.
- Verarbeitungstätigkeiten nach dem HinSchG sind im Verzeichnis der Verarbeitungstätigkeiten aufzuführen.
Ausführliche Informationen: https://www.baden-wuerttemberg.datenschutz.de/faq-hinweisgeberschutzgesetz/