interne Meldestelle Datenschutz Folgenabschätzung DSFA

Die interne Meldestelle benötigt eine Datenschutz-Folgenabschätzung (DSFA)

Wer eine interne Meldestelle nach dem neuen Hinweisgeberschutzgesetz einrichtet, wird in der Regel vorher eine Risikobewertung (Datenschutz-Folgenabschätzung) durchführen müssen. Das Weglassen einer solchen Bewertung kann mit einem Bußgeld sanktioniert werden. In diesem Beitrag erklären wir, worum es dabei genau geht.

Was ist das Hinweisgeberschutzgesetz (HinSchG)?

Wenn heute Mitarbeiter in ihrem Unternehmen Missstände oder gar Straftaten feststellen, die von Kollegen, Vorgesetzten oder Dritten begangen werden, kann auch dieser beobachtende Mitarbeiter in einer rechtlichen Zwickmühle stecken. Einerseits sollten Missstände und Straftaten angezeigt werden. Allerdings unterliegen in Deutschland Mitarbeiter einer Treuepflicht gegenüber ihrem Arbeitgeber. Ein Verstoß gegen diese Treuepflicht kann zu rechtlichen Konsequenzen führen, z. B. zu einer Kündigung.

Das Hinweisgeberschutzgesetz möchte dieses Spannungsfeld beseitigen und die Personen schützen, die Missstände oder Straftaten melden. Unternehmen ab 50 Mitarbeiter müssen daher eine interne Meldestelle und geeignete Prozesse einführen, mit denen dieses neue Gesetz geeignet umgesetzt wird.

Ab wann benötige Unternehmen eine interne Meldestelle?

Stichtag für Unternehmen bis 50 Mitarbeiter ist der 17.12.2023. Für Unternehmen ab 250 Mitarbeiter ist das bereits der 02.07.2023. Fehlt diese Meldestelle, drohen Bußgelder.

Was macht eine interne Meldestelle?

Die interne Meldestelle nimmt Hinweise (Meldungen) entgegen (§ 17 Abs. 1 HinSchG). Meldung müssen sowohl in Textform, als auch mündlich möglich sein.

1. Dabei bestätigt diese der hinweisgebenden Person den Eingang einer Meldung spätestens nach sieben Tagen,
2. prüft, ob der gemeldete Verstoß in den sachlichen Anwendungsbereich des Hinweisgeberschutzgesetzes fällt,
3. hält mit der hinweisgebenden Person Kontakt,
4. prüft die Stichhaltigkeit der eingegangenen Meldung,
5. ersucht die hinweisgebende Person erforderlichenfalls um weitere Informationen und
6. ergreift angemessene Folgemaßnahmen.

Zu den Folgemaßnahmen gehören (§ 18 HinSchG):
– die Durchführung interner Ermittlung,
– ggf. ein Verweis der hinweisgebende Person an andere zuständige Stellen,
– ggf. die Weitergabe der Meldung an Ermittlungsbehörden
– oder die Einstellung der Untersuchung, z. B. aufgrund mangelnder Beweise.

Was muss in Bezug auf den Datenschutz beachtet werden?

Die Meldekanäle sind so zu gestalten, dass nur die für die Entgegennahme und Bearbeitung der Meldungen Zuständigen sowie die sie bei der Erfüllung dieser Aufgaben unterstützenden Personen Zugriff auf die eingehenden Meldungen haben (§ 16 Abs. 2 HinSchG).

Die beteiligten Mitarbeiter müssen geeignet geschult und zur Vertraulichkeit verpflichtet werden. Meldungen nach dem HinSchG sind höchst sensibel und können große Nachteile für alle im Kontext einer Meldung beteiligten Personen mit sich bringen.

Wird die Meldestelle als Dienstleistung ausgelagert, so ist zu beachten, dass es geeignete (geschulte) Personen im Unternehmen gibt, die die oben genannten Folgemaßnahmen (datenschutzkonform) durchführen können. Das Marketing mancher Anbieter vermittelt den Eindruck, dass die rechtlichen Pflichten des HinSchG einfach und vor allem vollständig gegen Einwurf von Münzen ausgelagert werden können. Das ist jedoch aufgrund der rechtlichen Rahmenbedingungen meist nicht möglich.

Ist für eine interne Meldestelle eine Datenschutz-Folgenabschätzung erforderlich?

Ja.

Im Zusammenhang mit einer internen Meldestelle werden Daten zu schutzbedürftigen Personen (Beschäftigte) sowie vertrauliche oder höchst persönliche Daten (Inhalte der Meldung) verarbeitet. Allein diese zwei Kriterien können gemäß dem Workpaper 248 Rev. 01 des Europäischen Datenschutzausschuss (EDSA) ausreichen, um die Pflicht zur Durchführung einer Datenschutzfolgenabschätzung zu begründen.

Je nach konkreter Gestaltung der Meldestelle und der internen Ermittlungen, treffen aber auch weitere Kriterien zu, wie die Anwendung neuer technologischer oder organisatorischer Lösungen, sowie das Zusammenführen von Datenbeständen im Zuge interner Ermittlungen.

Wie mache ich eine Datenschutz-Folgenabschätzung (DSFA) für eine interne Meldestelle?

Für die Durchführung einer DSFA gibt es verschiedene Modelle. Einige europäische Aufsichtsbehörden haben Arbeitshilfen hierzu veröffentlicht. Die deutschen Aufsichtsbehörden nutzen das Standard-Datenschutzmodell (SDM, aktuelle Version 3.0). Ein alternatives Modell bietet die ISO 29134.

Wir nutzen in unserer Beratung vorwiegend das SDM als Grundlage für unsere Datenschutz-Folgenabschätzungen.

EU-US-Data-Privacy-Framework

Wir beraten sie gerne bei der Durchführung einer Datenschutz-Folgenabschätzung für ihre interne Meldestelle oder führen sie einfach durch den gesamten Bewertungsprozess. Wollen sie hierzu mehr erfahren? Dann vereinbaren sie hier einfach einen für sie kostenfreien und unverbindlichen Kennenlern-Termin mit uns.

Bildquellen:

  • interne-Meldestelle-Datenschutz: WoGi (143097614) | stock.adobe.com

Newsletter

Bleiben Sie immer auf dem Laufenden, was wir zum Daten- und Informationsschutz zu berichten haben

Abonnieren Sie jetzt gleich unseren Newsletter.