open search
close
Neueste Beiträge Whistleblowing & Investigations

Vorsicht Falle: Datenschutzfolgenabschätzung VOR Einführung der Whistleblower-Hotline

Print Friendly, PDF & Email

Das Fristende naht: Zum 17. Dezember 2023 müssen auch Arbeitgeber mit nur 50 oder mehr Beschäftigten eine Whistleblower Hotline nach dem Hinweisgeberschutzgesetz (HinSchG) eingeführt haben. Für Arbeitgeber mit 250 oder mehr Beschäftigten gilt diese Pflicht bereits seit dem 2. Juli 2023. Zu den Details hatten wir zuletzt in unserem Blog vom 30.10.2023 berichtet: FAQ zum Hinweisgeberschutzgesetz – Teil 2.

Was vorher zu tun ist

Bei Einführung jeglicher neuer oder datenintensiver Verfahren ist die Durchführung einer so genannten Datenschutzfolgenabschätzung (DSFA) erforderlich. Die DSFA ist in Art. 35 DSGVO geregelt. Sie ist durchzuführen, bevor mit der fraglichen Verarbeitung begonnen wird.

Erforderlichkeit einer Datenschutzfolgenabschätzung

Das deutsche HinSchG sowie die zu Grunde liegende EU-Richtlinie (2019/1937 EU) treffen keine Aussage dazu, inwieweit vor Einführung einer Whistleblower Hotline (Meldestelle) eine DSFA erforderlich ist, ebenso wenig die deutsche Gesetzesbegründung (BT-Drs. 20/5992). Die Erwägungsgründe 76 und 85 der EU-Richtlinie führen aus, dass die Vorgaben des Datenschutzes bei der Einführung und Umsetzung eines Hinweisgebersystems einzuhalten sind.

Die Erforderlichkeit der DSFA, die sog. Schwellwertanalyse, richtet sich daher nach den allgemeinen Grundsätzen in Art. 35 DSGVO. Danach ist eine DSFA durchzuführen, wenn eine Datenverarbeitung aufgrund ihres Umfangs, der Umstände oder des Zwecks der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Eine Whistleblower Hotline eröffnet die Möglichkeit, zutreffende, aber auch falsche Informationen über die beschuldigte Person oder weitere betroffene Personen beim Arbeitgeber oder bei einer externen Meldestelle zu hinterlegen. Der gemeldete Sachverhalt wird in vielen Fällen noch weitere Informationen mit Personenbezug enthalten, wie etwa Aussagen über die Rolle im Unternehmen, über die konkreten Umstände der vorgeworfenen Tat, aber auch zum Kommunikationsverhalten und zu privaten Inhalten. Dabei handelt es sich zum Teil um höchstpersönliche Daten der hinweisgebenden Person sowie des Beschuldigten. Diese Daten können missbraucht werden, indem z.B. Identitäten aufgedeckt werden oder die Daten an unbefugte Dritte übermittelt oder verfälscht werden, weshalb ein hohes Risiko für die Rechte und Freiheiten besteht.

Deshalb ist es weit überwiegende Meinung der europäischen Datenschutzbehörden (die alle die DSGVO anwenden), dass bei Einführung einer Whistleblower-Hotline vorab eine DSFA statt zu finden hat. Dies ergibt sich sowohl aus der Orientierungshilfe der DSK (Konferenz der deutschen Datenschutzbehörden) zu Whistleblower-Hotlines, Stand 14.11.2018, Seite 12, als auch aus so genannten Positivlisten einiger weiterer europäischer Länder (Listen von nach Art. 35 Abs. 4 DSGVO, wonach die jeweilige Datenschutzbehörde des Landes Beispielsfälle aufzählt, in welchen eine DSFA zwingend erforderlich ist). Beispiele hierfür sind die von der französischen Datenschutzbehörde CNIL am 6. November 2018 veröffentlichte Liste sowie die Liste der polnischen Datenschutzbehörde aus 2018 und schließlich auch die aktuelle Liste der englischen Datenschutzbehörde ICO, die auch nach dem Brexit weiterhin eng an das europäische Datenschutzrecht angelehnt ist. Auch der Großteil der deutschen Fachliteratur hält die Durchführung einer DSFA für erforderlich.

Gibt es Ausnahmen?

Es gibt einige wenige Stellungnahmen in der Literatur, die formulieren, „in der Regel“ sei eine DSFA erforderlich, ohne aber konkrete Ausnahmen zu beschreiben. Solche Ausnahmen sind eher schwer vorstellbar. Der Zielkonflikt zwischen der – gesetzlich gebotenen – Eröffnung einer Meldestelle einerseits und den Risiken bei der Datenintensität und etwaigem Missbrauch der erhobenen Daten ist quasi systemimmanent. Die DSFA ist die gebotene Vorgehensweise, um solche Zielkonflikte aufzulösen.

Durchführung einer DSFA

Wie ist nun eine DSFA durchzuführen? Das Verfahren ist dasselbe wie bei jeder anderen Einführung eines neuen und möglicherweise datenschutzsensiblen Systems. Erforderlich ist

  • eine Darstellung der geplanten Verarbeitungsschritte,
  • sodann eine Einschätzung von deren Erforderlichkeit und Verhältnismäßigkeit im Hinblick auf die beabsichtigten Zwecke,
  • ferner eine Einschätzung der eingeschränkten Rechte und Freiheiten von betroffenen Personen sowie
  • schließlich, und dies ist der wichtigste Punkt, eine Beschreibung derjenigen Maßnahmen, die nötig sind, um die Risiken zu mildern. Dazu zählen hier unter anderem die Begrenzung von Speicher-Fristen, von Zugriffsmöglichkeiten etc.

Hierbei handelt es sich um Mindestanforderungen für die Durchführung der DSFA, welche anhand des jeweiligen Einzelfalls erfolgt. Unterschiede ergeben sich beispielsweise daraus, ob die Meldestelle intern im Unternehmen betrieben wird oder durch einen unabhängigen Dritten, ob anonyme Meldungen möglich sind, wer die Meldungen bearbeitet und inwieweit hierbei ein elektronisches System zu Hilfe genommen wird.

Bei der Errichtung einer Meldestelle sowie der Durchführung einer DSFA und damit verbundener Untersuchungen und Abhilfemaßnahmen unterstützen wir Sie gerne mit unserem Team unter whistleblowing.kliemt.de.

Dr. Jessica Jacobi 

Rechtsanwältin
Fachanwältin für Arbeitsrecht
Partner
Dr. Jessica Jacobi ist seit 2003 Partnerin der Sozietät. Gemeinsam mit ihrem Team berät sie nationale und internationale Arbeitgeber in allen Fragen des deutschen Arbeitsrechts, wie z.B. bei der Reorganisation von Unternehmen, bei Massenentlassungen und in schwierigen Individualstreitigkeiten inklusive interner Ermittlungen. Sie ist ein aktives Mitglied der International Practice Group für Data Privacy bei unserem internationalen Kanzleinetzwerk Ius Laboris und berät häufig z.B. bei der Einführung neuer technischer Systeme und deren Verhandlung mit dem Betriebsrat, bei Auskunftsansprüchen von Arbeitnehmern nach Art. 15 DS-GVO und bei internationalen Datenübertragungen. Sie ist Autorin einer Vielzahl von Veröffentlichungen und tritt regelmäßig als Referentin auf. Sie ist Mitglied der Fokusgruppe "Datenschutz".
Verwandte Beiträge
Internationales Arbeitsrecht Neueste Beiträge Poland

New Polish government makes whistleblowing directive a priority

Implementation of the EU’s 2019 whistleblowing directive is a priority of the new Polish government. Despite its status as the fifth largest economy in the EU, Poland is the only EU member state that has not yet implemented the directive on the protection of persons reporting violations of EU law. The deadline for implementation of the directive into local law was 17 December 2021. The…
Neueste Beiträge

Fit für 2024 – Wichtige Änderungen für Arbeitgeber

Zum 1. Januar 2024 gab es wieder eine Reihe wichtiger Änderungen für Arbeitgeber. Wir geben einen Überblick über bereits in Kraft getretene Neuerungen und geben auch einen Ausblick auf anstehende und geplante Gesetzesänderungen in 2024. Gesetzesänderungen – Was steht fest? 1. Erhöhung des Mindestlohns, der Mindestausbildungsvergütung (MAV) sowie der Geringfügigkeitsgrenze für Minijobs Der gesetzliche Mindestlohn beträgt seit dem 1. Januar 2024 nicht mehr EUR 12,00,…
Neueste Beiträge Whistleblowing & Investigations

Hinweisgeberschutzgesetz – Fails in der Umsetzung durch Unternehmen

Seit dem 17. Dezember 2023 gibt es keine Ausreden mehr: Alle Unternehmen ab 50 Beschäftigten müssen eine interne Meldestelle eingerichtet haben. Nach einer aktuellen Umfrage sollen die allermeisten Beschäftigten aber überhaupt nicht wissen, dass es nun Regelungen zum Whistleblowing gibt, die in ihrem Unternehmen Geltung beanspruchen. Vielleicht liegt das daran, dass sich Unternehmen hier und da schwer tun in der Umsetzung des Hinweisgeberschutzgesetzes (HinSchG). Was…
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.