Datenschutzpflichten beim Hinweisgeberschutzgesetz

Bei Verantwortlichen mit mindestens 50 Mitarbeitern sollte es inzwischen entweder eine interne Meldestelle gemäß dem Hinweisgeberschutzgesetz (kurz: HinSchG) geben oder in Vorbereitung sein. – Unternehmen mit mindestens 250 Mitarbeitern müssen solch eine Stelle seit dem 2. Juli 2023 eingerichtet haben; bei solchen mit 50 bis 249 Mitarbeitern gilt diese Pflicht ab dem 17. Dezember 2023 (§ 42 HinSchG). – Lesen Sie weiter, um mehr zu den Datenschutzpflichten beim Hinweisgeberschutzgesetz zu erfahren. –

Relevanz des Datenschutzes

Macht ein Hinweisgeber Gebrauch von seine Rechten gemäß dem Hinweisgeberschutzgesetz, dann werden nicht nur „normale“ personenbezogene Daten verarbeitet, sondern ggf. auch solche Daten besonderer Kategorien. Mit der Verarbeitung von personenbezogenen Daten wird der Datenschutz relevant. Folglich treffen den Verantwortlichen verschiedene Pflichten gemäß der DSGVO.

Erfüllung der Informationspflichten

Natürlich hat ein Hinweisgeber das Recht, seine Beschwerde oder seinen Hinweis anonym einzureichen, es ist aber kein Muss. Aufgrund der etwaigen Verarbeitung von personenbezogenen Daten muss ein Verantwortlicher über die Verarbeitung der personenbezogenen Daten informieren (Art. 13 DSGVO). Diese Datenschutzinformation muss jederzeit verfügbar sein: eine digitale Version ist auf jeden Fall empfehlenswert, beispielsweise auf der Internetseite des Verantwortlichen. Zusätzlich sollte es aber auch ein Dokument geben, was Hinweisgebern ohne Nutzung des Internets die relevanten Informationen liefert.

Abschluss eines Auftragsverarbeitungsvertrages

Entscheidet sich ein Verantwortlicher bei der Einrichtung einer Meldestelle für Hinweisgeber einen externen Dienstleister einzubeziehen, ist zu betrachten, ob eine Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO vorliegt.  Hierbei ist es wichtig, zu erwähnen, dass dies nicht zwangsläufig in jedem Fall vorliegt. Ist dies jedoch der Fall, muss der Verantwortliche einen Auftragsverarbeitungsvertrag mit dem Dienstleister abschließen.

– Bei der Prüfung von Auftragsverarbeitungsverträgen für unsere Kunden bemerken wir übrigens noch immer, dass diese in vielen Fällen die Vorgaben der DSGVO noch immer nicht erfüllen. Falls Sie also Unterstützung bei der Prüfung und Erstellung von datenschutzrechtlich relevanten Verträgen wünschen, können Sie uns gern kontaktieren. –

Aktualisierung des Verzeichnisses von Verarbeitungstätigkeiten

Auch wenn dieses Dokument nur für den Verantwortlichen selbst und ggf. für die Datenschutzaufsichtsbehörde relevant ist, darf die Aktualisierung des Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO nicht vernachlässigt werden. Dieses Dokument ist also auch bezüglich dieses Prozesses mit den relevanten Informationen zu ergänzen.

Implementation technischer und organisatorischer Maßnahmen

Meldet ein Hinweisgeber einen Verstoß, Missstand o. Ä., muss diese Person davon ausgehen können, dass ihre personenbezogenen Daten entsprechend geschützt werden. Da das Risiko für die Rechte und Freiheiten hierbei für den Hinweisgeber u. U. hoch sein kann, hat ein Verantwortlicher Sorge dafür zu tragen, dass die Rechte und Freiheiten auch durch besondere oder zusätzliche Maßnahmen geschützt werden. Schließlich müssen Hinweisgeber sich vor Repressalien, Benachteiligungen etc. sicher fühlen. Ein Verantwortlicher muss also betrachten, wie Hinweisgeber Missstände etc. melden können und die technischen und organisatorischen Maßnahmen entsprechend anpassen, zusätzliche implementieren etc.

Durchführung einer Datenschutz-Folgenabschätzung

Wir haben im vorherigen Abschnitt schon das hohe Risiko für die Rechte und Freiheiten der Hinweisgeber angesprochen. Das bedeutet, dass gemäß Art. 35 DSGVO eine Datenschutz-Folgenabschätzung durchzuführen ist. So kann ein Verantwortlicher dann auch einschätzen, ob die geplanten Maßnahmen zum Schutz der Rechte und Freiheiten der Betroffenen ausreichend sind oder ob diese anzupassen oder zu erweitern sind.

Benennung eines Datenschutzbeauftragten

Die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung zieht die Pflicht zur Benennung eines Datenschutzbeauftragten nach sich (§ 38 Abs. 1 BDSGO). Die Notwendigkeit zur Einrichtung einer internen Meldestelle gemäß dem Hinweisgeberschutzgesetz bezieht sich auf alle Mitarbeiter und nicht nur auf die, die personenbezogene Daten verarbeiten. Möglicherweise ergibt sich so die Konstellation, dass aufgrund der ständig mit personenbezogenen Daten beschäftigten Mitarbeiterzahl keine Pflicht zur Benennung eines Datenschutzbeauftragten ergibt, aber aufgrund der Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung im Zusammenhang mit der Einrichtung einer internen Meldestelle gemäß dem Hinweisgeberschutzgesetz. – Gern stellen wir Ihnen dann auch einen externen Datenschutzbeauftragten. –

Kommunikation der Richtlinien

Zu den organisatorischen Maßnahmen gehören dann auch entsprechende Richtlinien, die die relevanten Mitarbeiter einhalten müssen. Diese sind in einer Richtlinie festzuhalten. Damit die Mitarbeiter wissen, welche diese sind, muss ein Verantwortlicher diese natürlich kommunizieren und jederzeit verfügbar halten.

Fazit

Je nach Gestaltung der internen Meldestelle gemäß dem Hinweisgeberschutzgesetz variieren die zu erstellenden Datenschutzdokumente. Wichtig ist dabei immer, dass ein Verantwortlicher alles dokumentiert. So kann er u. a. getroffene Entscheidungen in der Zukunft nachvollziehen.

Gern unterstützen wir Sie sowohl bei der Umsetzung der Datenschutzpflichten im Zusammenhang mit dem Hinweisgeberschutzgesetz als auch bei der allgemeinen Umsetzung des Datenschutzes in Ihrem Unternehmen, Ihrer Arztpraxis, Ihrem Verein etc. Kontaktieren Sie uns gern heute noch für ein unverbindliches Angebot.