Das Fristende naht: Zum 17. Dezember 2023 müssen auch Arbeitgeber mit nur 50 oder mehr Beschäftigten eine Whistleblower Hotline nach dem Hinweisgeberschutzgesetz (HinSchG) eingeführt haben. Für Arbeitgeber mit 250 oder mehr Beschäftigten gilt diese Pflicht bereits seit dem 2. Juli 2023. Zu den Details hatten wir zuletzt in unserem Blog vom 30.10.2023 berichtet: FAQ zum Hinweisgeberschutzgesetz – Teil 2.
Was vorher zu tun ist
Bei Einführung jeglicher neuer oder datenintensiver Verfahren ist die Durchführung einer so genannten Datenschutzfolgenabschätzung (DSFA) erforderlich. Die DSFA ist in Art. 35 DSGVO geregelt. Sie ist durchzuführen, bevor mit der fraglichen Verarbeitung begonnen wird.
Erforderlichkeit einer Datenschutzfolgenabschätzung
Das deutsche HinSchG sowie die zu Grunde liegende EU-Richtlinie (2019/1937 EU) treffen keine Aussage dazu, inwieweit vor Einführung einer Whistleblower Hotline (Meldestelle) eine DSFA erforderlich ist, ebenso wenig die deutsche Gesetzesbegründung (BT-Drs. 20/5992). Die Erwägungsgründe 76 und 85 der EU-Richtlinie führen aus, dass die Vorgaben des Datenschutzes bei der Einführung und Umsetzung eines Hinweisgebersystems einzuhalten sind.
Die Erforderlichkeit der DSFA, die sog. Schwellwertanalyse, richtet sich daher nach den allgemeinen Grundsätzen in Art. 35 DSGVO. Danach ist eine DSFA durchzuführen, wenn eine Datenverarbeitung aufgrund ihres Umfangs, der Umstände oder des Zwecks der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
Eine Whistleblower Hotline eröffnet die Möglichkeit, zutreffende, aber auch falsche Informationen über die beschuldigte Person oder weitere betroffene Personen beim Arbeitgeber oder bei einer externen Meldestelle zu hinterlegen. Der gemeldete Sachverhalt wird in vielen Fällen noch weitere Informationen mit Personenbezug enthalten, wie etwa Aussagen über die Rolle im Unternehmen, über die konkreten Umstände der vorgeworfenen Tat, aber auch zum Kommunikationsverhalten und zu privaten Inhalten. Dabei handelt es sich zum Teil um höchstpersönliche Daten der hinweisgebenden Person sowie des Beschuldigten. Diese Daten können missbraucht werden, indem z.B. Identitäten aufgedeckt werden oder die Daten an unbefugte Dritte übermittelt oder verfälscht werden, weshalb ein hohes Risiko für die Rechte und Freiheiten besteht.
Deshalb ist es weit überwiegende Meinung der europäischen Datenschutzbehörden (die alle die DSGVO anwenden), dass bei Einführung einer Whistleblower-Hotline vorab eine DSFA statt zu finden hat. Dies ergibt sich sowohl aus der Orientierungshilfe der DSK (Konferenz der deutschen Datenschutzbehörden) zu Whistleblower-Hotlines, Stand 14.11.2018, Seite 12, als auch aus so genannten Positivlisten einiger weiterer europäischer Länder (Listen von nach Art. 35 Abs. 4 DSGVO, wonach die jeweilige Datenschutzbehörde des Landes Beispielsfälle aufzählt, in welchen eine DSFA zwingend erforderlich ist). Beispiele hierfür sind die von der französischen Datenschutzbehörde CNIL am 6. November 2018 veröffentlichte Liste sowie die Liste der polnischen Datenschutzbehörde aus 2018 und schließlich auch die aktuelle Liste der englischen Datenschutzbehörde ICO, die auch nach dem Brexit weiterhin eng an das europäische Datenschutzrecht angelehnt ist. Auch der Großteil der deutschen Fachliteratur hält die Durchführung einer DSFA für erforderlich.
Gibt es Ausnahmen?
Es gibt einige wenige Stellungnahmen in der Literatur, die formulieren, „in der Regel“ sei eine DSFA erforderlich, ohne aber konkrete Ausnahmen zu beschreiben. Solche Ausnahmen sind eher schwer vorstellbar. Der Zielkonflikt zwischen der – gesetzlich gebotenen – Eröffnung einer Meldestelle einerseits und den Risiken bei der Datenintensität und etwaigem Missbrauch der erhobenen Daten ist quasi systemimmanent. Die DSFA ist die gebotene Vorgehensweise, um solche Zielkonflikte aufzulösen.
Durchführung einer DSFA
Wie ist nun eine DSFA durchzuführen? Das Verfahren ist dasselbe wie bei jeder anderen Einführung eines neuen und möglicherweise datenschutzsensiblen Systems. Erforderlich ist
- eine Darstellung der geplanten Verarbeitungsschritte,
- sodann eine Einschätzung von deren Erforderlichkeit und Verhältnismäßigkeit im Hinblick auf die beabsichtigten Zwecke,
- ferner eine Einschätzung der eingeschränkten Rechte und Freiheiten von betroffenen Personen sowie
- schließlich, und dies ist der wichtigste Punkt, eine Beschreibung derjenigen Maßnahmen, die nötig sind, um die Risiken zu mildern. Dazu zählen hier unter anderem die Begrenzung von Speicher-Fristen, von Zugriffsmöglichkeiten etc.
Hierbei handelt es sich um Mindestanforderungen für die Durchführung der DSFA, welche anhand des jeweiligen Einzelfalls erfolgt. Unterschiede ergeben sich beispielsweise daraus, ob die Meldestelle intern im Unternehmen betrieben wird oder durch einen unabhängigen Dritten, ob anonyme Meldungen möglich sind, wer die Meldungen bearbeitet und inwieweit hierbei ein elektronisches System zu Hilfe genommen wird.
Bei der Errichtung einer Meldestelle sowie der Durchführung einer DSFA und damit verbundener Untersuchungen und Abhilfemaßnahmen unterstützen wir Sie gerne mit unserem Team unter whistleblowing.kliemt.de.