Datenschutzrecht-Praxis

 


Neues zum Datenschutzrecht


17.10.2022

Hinweisgeberschutzgesetz in Sicht – Datenschutzrechtliche Implikationen?!

Der Bundestag hat am 29.9.2022 über einen Entwurf der Bundesregierung eines Hinweisgeberschutzgesetzes beraten. Mit dem Entwurf eines „Gesetz[es] für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden" (HinSchG) soll auch die sog. Whistleblowing-Richtlinie der Europäischen Union (Richtlinie EU-2019/1937) umgesetzt werden. Das hätte bereits bis Ende 2021 erfolgen müssen, weshalb gegen Deutschland ein von der EU-Kommission angestrengtes Vertragsverletzungsverfahren läuft.

Kernpunkte dieses Gesetzes sind die Verpflichtung zur Einrichtung einer Meldestelle und von Meldekanälen sowie der Schutz hinweisgebender Personen. Die Pflichten zur Einrichtung einer internen Meldestelle und verschiedener Meldekanäle trifft Unternehmen und Dienststellen mit mehr als 50 Beschäftigten sowie unabhängig von der Beschäftigtenanzahl die in § 12 Abs. 3 E-HinSchG aufgelisteten Unternehmen, z.B. bestimmte Unternehmen der Finanz- und Versicherungswirtschaft.

Das Hinweisgeberschutzgesetz hat einige datenschutzrechtliche Implikationen. Das gilt zum einen, weil sich der Anwendungsbereich dieses Gesetzes gerade auch auf  Verstöße gegen datenschutzgesetzliche Vorgaben erstreckt und zum anderen aufgrund der Verarbeitung einer Vielzahl personenbezogener Daten von Hinweisgebern, möglichen Tätern und Dritten. Datenschutzrelevante Aspekte betreffen zum Beispiel

  • die Gestaltung des Hinweisgebersystems
  • den Schutz hinweisgebender Beschäftigter und anderer Hinweisgeber, möglicher Täter sowie Dritter
  • die Offenlegung von Verstößen und
  • die Aufbewahrung der Unterlagen.

Daher gibt es eine Vielzahl von Fragen, die im Rahmen der Umsetzung der gesetzlichen Pflichten gem. E-HinSchG beachtet und beantwortet werden müssen. Hierzu zählen insbesondere:

  • Sollten betriebliche/behördliche Datenschutzbeauftragter tatsächlich zugleich als interne Stelle i.S.d. Hinweisgeberschutzgesetzes tätig sein? Das ist zwar grundsätzlich zulässig – zumindest für Unternehmen bis zu 249 Beschäftigte, aber nicht wirklich empfehlenswert.
  • Welche datenschutzrechtlichen Vereinbarungen müssen geschlossen werden, wenn Externe zum Betrieb der internen Meldestelle herangezogen werden (Auftragsverarbeitung, Vereinbarung über eine gemeinsame Verantwortlichkeit, Vereinbarung zwischen zwei allein Verantwortlichen)?
  • Was sind die konkreten datenschutzgesetzlichen Grundlagen für die Verarbeitung personenbezogener Daten? Hier muss z.B. bei Übermittlungen bzgl. der betroffenen Personen differenziert werden.
  • Wie kann und darf die Informationspflicht gem. Art. 13 und 14 DSGVO mit Blick auf das Vertraulichkeitsgebot gem. § 8 E-HinSchG erfüllt werden?
  • Was ist beim Auskunftsrecht gem. Art. 15 DSGVO zu beachten?
  • Wie lang ist die zulässige Speicherdauer?

Fazit und Empfehlung

Das Hinweisgeberschutzgesetz, das wohl in nicht mehr allzu langer Zeit beschlossen wird, bringt eine Vielzahl datenschutzrelevanter Punkte mit sich. Das Gesetz wird 3 Monate nach Verkündung in Kraft treten. Damit bleibt nicht mehr viel Zeit, sich mit dieser Thematik und den damit zusammenhängenden datenschutzrechtlichen Aspekten zu befassen. Etwas anderes gilt lediglich für die Unternehmen mit 50 bis 249 Beschäftigten, die unter die Ausnahmeregelung in § 42 E-HinSchG fallen und denen eine Frist bis zum 17.12.2023 gewährt wird.

Daher sollten das Thema und die datenschutzrechtlichen Implikationen (weiter) aufgegriffen bzw. etwaiger Anpassungsbedarf geprüft werden, sofern im Unternehmen bereits ein Hinweisgebersystem existiert. Bei der datenschutzrechtlichen Bewertung, insbes. der Zulässigkeit der Verarbeitung sowie den Informationspflichten und Auskunftsrechten muss beachtet und danach differenziert werden, ob es sich um

  • die Umsetzung der Vorgaben des hier erörterten E-HinSchG
  • die Umsetzung spezialgesetzlich vorgeschriebener Hinweisgebersysteme oder
  • Hinweisgeberschutzsysteme ohne Rechtspflicht

handelt.

Sollten Sie Fragen zum Entwurf des Hinweisgeberschutzgesetzes, dessen datenschutzrechtlichen Implikationen oder zu sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.


Zurück zur Übersicht