Das Hinweisgeberschutzgesetz

29. Juli 2024

Was Datenschützer wissen müssen.

Meldestelle eingerichtet und fertig – so einfach sind die Anforderungen des Hinweisgeberschutzgesetzes (HinSchG) leider nicht erfüllt. Nicht zuletzt, weil auch der Datenschutz von Anfang an mitgedacht werden muss. Denn durch interne Meldestellen wird eine Vielzahl an – oft sensiblen – Daten verarbeitet. Hierfür sind Rechtsgrundlagen, Datenschutzerklärungen und Einwilligungen erforderlich und auch Löschfristen und der Umgang mit Betroffenenrechten wollen geregelt sein.

Kein Wunder also, dass die datenschutzkonforme Umsetzung des HinSchG und die Einrichtung einer internen Meldestelle viele Organisationen vor Herausforderungen stellt. Wie die Umsetzung dennoch gelingen kann, zeigen die folgenden Best Practices, die wir in der Betreuung unserer Kunden erarbeitet haben.

Warum überhaupt das HinSchG?

Das HinSchG wurde zur Umsetzung der „EU-Whistleblower-Richtlinie“ in nationales Recht erlassen, um „Hinweisgeber“ oder auch „Whistleblower“ und Personen, die Inhalt eines Hinweises sind, zu schützen. Dies gilt in Bezug auf mögliche Repressalien für die Hinweisgeber, aber auch für die möglichen Folgen für „vermutete Täter“ beispielsweise aus unberechtigten Verdächtigungen.

Der Anwendungsbereich ist auf Meldungen beschränkt, die einen Verstoß gegen geltendes Strafrecht und schwerwiegende Handlungen im Rahmen des Ordnungswidrigkeitengesetzes zum Inhalt haben. Ebenso gibt es Einschränkungen durch andere vorrangige Gesetze, die bereits Meldestellen vorsehen.

Alle Organisationen mit mehr als 50 Beschäftigten müssen das Gesetz seit dem 2. Juli 2023 umsetzen, wobei es bei weniger als 250 Beschäftigten noch eine Übergangsfrist bis zum 17. Dezember 2023 gab.

Welche gesetzlichen Anforderungen müssen Meldestellen erfüllen?

Das Gesetz verlangt die Einrichtung einer „internen Meldestelle“ gemäß § 12 HinSchG aus einer oder mehreren Personen, die „fachkundig“ und „unabhängig, frei von Interessenkonflikten“ sind (§ 15). Diese Meldestelle kann auch als Dienstleistung durch Dritte im Rahmen eines Geschäftsbesorgungsvertrags erbracht werden. Als „externe Meldestellen“ gelten ausschließlich Meldestellen der Behörden. Die interne Meldestelle hat die Vorgabe zu erfüllen, dass alle Informationen zu dokumentieren sind (§ 11) und vertraulich (§ 8 und 9) in der Meldestelle bleiben, soweit es keine gesetzlich geregelte Grundlage für eine Weitergabe gibt. Sie betreibt die Meldekanäle (§ 16), welche auch über einen Dienstleister eingekauft werden können, bearbeitet die Meldungen gemäß den Vorgaben aus dem Gesetz (§ 17) und schließt das Verfahren ab (§ 18).

Abschluss kann auch bedeuten, dass das Verfahren entweder mangels Stichhaltigkeit der Meldung eingestellt wird oder der Hinweisgeber mangels Zuständigkeit etwa an eine andere externe Meldestelle verwiesen wird oder die wesentlichen Informationen an den Beschäftigungsgeber oder eine andere Meldestelle weitergegeben werden. Anonyme Meldungen sollen, müssen aber nicht entgegengenommen werden. Grundsätzlich wird – bis auf geregelte Ausnahmen – die Identität der Hinweisgebenden durch die interne Meldestelle geschützt, die aber – anders als der DSB – auf behördliche oder gerichtliche Anordnung Auskunft zu erteilen hat.

Wie man unschwer erkennen kann, gibt es also für den Umgang mit Hinweisen oder Meldungen, die in der Regel personenbezogene Daten sind, einen engen gesetzlichen Rahmen und hohe Anforderungen an die technisch-organisatorischen Maßnahmen (TOM) aus dem Vertraulichkeitsgebot.

Da die „interne Meldestelle“ Teil der verantwortlichen Stelle ist, unterliegen die dort durchgeführten Verarbeitungen auch der Prüf- und Beratungspflicht durch den DSB. Hierbei sollten Datenschutzbeauftragte in Ausübung ihrer Tätigkeit aber beachten, dass sie die Prozesse und TOM prüfen, ohne dabei Kenntnis von Inhalten der Meldungen zu erhalten, soweit dies nicht zwingend erforderlich ist.

Kann der DSB Mitglied der internen Meldestelle sein?

Auf den ersten Blick wirken DSB wie geeignete Mitglieder der Meldestelle, da beispielsweise die Wahrung der Vertraulichkeit zu ihren gelebten Fähigkeiten gehören muss. Das Thema wurde schon verschiedentlich diskutiert und es gibt dazu (noch) keine Rechtsprechung.

Nun kann es passieren, dass sich eine Meldung auf einen Verstoß bezieht, die auf die (Nicht-)Beratung des DSB zurückgeht. Im Verlauf der Bearbeitung der Meldung kann es also zu Zweifeln an der Fachkunde des DSB oder der Sorgfalt seiner Aufgabenwahrnehmung kommen, was ihm Ansehens- und Reputationsverluste eintragen wird.

Nach unserer Auffassung ergibt sich daraus ein klarer Interessenskonflikt, der den DSB als Mitglied der internen Meldestelle nicht geeignet erscheinen lässt. Ein weiterer Konflikt kann sich aus den Verschwiegenheitspflichten des DSB und der gesetzlichen Verpflichtung der internen Meldestelle er- geben, Informationen auf behördliche Anforderung weiterzugeben.

Welche Verarbeitungen finden statt?

Zur Feststellung der Rechtskonformität einer Verarbeitung sollten diese im ersten Schritt abgegrenzt und beschrieben werden. Hier gibt es aus unserer Sicht vier Vorgangsreihen, die wir einzeln betrachten können. Zwar sind hier die Betroffenengruppen gleich, aber die erweiterten Rechtsgrundlagen, die Empfänger der Daten und die TOM leicht unterschiedlich, sodass eine differenzierte Betrachtung sinnvoll sein kann.

  1. Meldung wird angenommen, dokumentiert und der Eingang bestätigt.
  2. Meldung wird geprüft, gegebenenfalls werden weitere Informationen eingeholt und dokumentiert.
  3. Informationen aus der Meldung werden womöglich weitergegeben, Hinweisgebende über Maßnahmen informiert.
  4. Speicherung für drei Jahre nach Abschluss des Verfahrens gemäß § 11 Abs. 5 HinSchG, möglicherweise Nutzung und Löschung.

Als übergeordnete Rechtsgrundlage wird in § 10 HinSchG die Verarbeitung aller Kategorien von personenbezogenen Daten erlaubt, soweit eine Erforderlichkeit zur Erfüllung der Aufgaben der Meldestelle gegeben ist.

Für einzelne Vorgänge, insbesondere Weitergaben, gibt es weitere Anforderungen aus dem Gesetz wie bestimmte Bedingungen, Einwilligungen oder behördliche/gerichtliche Anordnungen.

Wie sieht es mit den Verantwortlichkeiten aus?

Selbstverständlich muss geklärt sein, wer der Verantwortliche der Verarbeitung ist und die gesetzlichen Pflichten umzusetzen hat. Dabei sind zwei Konstellationen zu betrachten:

Wird die Dienstleistung „interne Meldestelle“ als „Komplett-Paket“ eingekauft, handelt es sich um eine Geschäftsbesorgung. Der Dienstleister handelt nicht auf Weisung der Organisation, sondern auf Grundlage seines Fachkönnens, ist also „Dritter“ im Sinne der DSGVO. Damit wird der Dienstleister zum Verantwortlichen mit allen Obliegenheitspflichten. Hier besitzt der DSB keine Kontrollbefugnisse, sollte aber zur Auswahl des Dienstleisters beraten.

Wird die „interne Meldestelle“ von Mitarbeitern der eigenen Organisation gebildet, ist die Organisation Verantwortlicher für alle Verarbeitungen. Der DSB berät und kontrolliert entsprechend seines Auftrags. Wird dabei ein Dienstleister mit dem Betrieb der „Meldekanäle“ beauftragt, so handelt es sich um eine Auftragsverarbeitung, die entsprechend zu handhaben ist.

Leider zeigt die Praxis, dass viele Verantwortliche nicht hinreichend mit den gesetzlichen Anforderungen vertraut sind und eine „Meldekanal-Dienstleistung“ in dem Glauben einkaufen, ihre Obliegenheiten damit erfüllt zu haben. Oft zeigt sich bei Prüfungen, dass zwar die Meldekanal-Dienstleister die Identität des Hinweisgebers nicht weitergeben, aber den vorgeschriebenen Kanal „persönliche Entgegennahme“ nicht anbieten und auch keine Prüfung der Stichhaltigkeit der Meldung nach § 17 Abs. 1 Punkt 4 vornehmen oder die anderen Verpflichtungen aus § 17 und § 18 HinSchG erfüllen. Damit werden dann in der Regel Informationen aus der Meldung ungeprüft an den Auftraggeber und nicht an eine „interne Meldestelle“ übermittelt.

Hier sollte der DSB prüfen, welche der oben genannten Konstellationen umgesetzt wurde und dazu auch beraten, da auch das HinSchG in einigen Teilen Vorschriften zum Datenschutz macht.

Was ist bei den Datenschutzerklärungen zu beachten?

Der Hinweisgebende sollte spätestens bei Kontaktaufnahme mit der Meldestelle beziehungsweise so frühzeitig wie möglich eine entsprechende Datenschutzerklärung gemäß Art. 13 DSGVO erhalten. Dies lässt sich im Zuge der Bereitstellung der nach § 13 Abs. 2 HinSchG erforderlichen Informationen zum Hinweisgeberschutz kombinieren.

In der internen Meldestelle werden auch Daten von Personen verarbeitet, über die ein Hinweis erfolgt. In einigen Fällen wäre aber eine Information des Betroffenen kontraproduktiv. Hier hat der Gesetzgeber entsprechend vorgebaut, denn § 33 Abs. 1 Satz 2 BDSG setzt hier die Pflicht zur Information außer Kraft, soweit die Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche beeinträchtigt würde oder die Verarbeitung Daten aus zivilrechtlichen Verträgen beinhaltet und der Verhütung von Schäden durch Straftaten dient, sofern nicht das berechtigte Interesse der betroffenen Person an der Informationserteilung überwiegt. Das bedeutet, die Betroffenen, die Inhalt der Meldung sind, werden in der Regel nicht informiert.

… und die Betroffenenrechte?

Ähnliches gilt bei der Umsetzung der Betroffenenrechte aus Art. 23 DSGVO, die hier eine nationalstaatliche Regelung erlaubt, welche in § 29 BDSG (Rechte der betroffenen Person und aufsichtsbehördliche Befugnisse im Fall von Geheimhal- tungspflichten) spezifiziert wird:

Abs 1, Satz 2: Das Recht auf Auskunft der betroffenen Person gemäß Artikel 15 der Verordnung (EU) 2016/679 besteht nicht, soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen.

Ergänzend kommt § 34 Abs. 2 BDSG (Auskunftsrecht der betroffenen Person) zur Anwendung:

Abs. 2: Die Gründe der Auskunftsverweigerung sind zu dokumentieren. Die Ablehnung der Auskunftserteilung ist gegenüber der betroffenen Person zu begründen, soweit nicht durch die Mitteilung der tatsächlichen und rechtlichen Gründe, auf die die Entscheidung gestützt wird, der mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde.

Somit wäre ein Auskunftsersuchen mit entsprechender Begründung abzulehnen. Dies sollte als vorbereitetes Muster dem Verantwortlichen zur Verfügung stehen.

Welche Einwilligungen werden benötigt?

Im HinSchG ist an mehreren Stellen festgelegt, dass einige Verarbeitungsschritte unter bestimmten Umständen nur mit Vorliegen einer entsprechenden Einwilligung durchgeführt werden dürfen. Dies betrifft:

  • Einwilligung zur Weitergabe seiner Identität in jedem konkreten Fall,
  • Einwilligung in Tonaufzeichnungen (zum Beispiel bei Verwendung eines Anrufbeantworters oder Ton-Aufzeichnung bei persönlichen Zusammenkünften),
  • Einwilligung in die Erstellung von Wortprotokollen und gegebenenfalls
  • Einwilligung in die Nutzung von Video-Konferenzsystemen.

Die interne Meldestelle sollte entsprechende Vorlagen oder Muster bereithalten, die vorab vom DSB auf Einhaltung auf Konformität mit dem Datenschutz geprüft wurden.

Was ist mit Löschpflicht und Aufbewahrung?

Das HinSchG schreibt in § 11 Abs. 5 eine Löschung nach Ablauf von drei Jahren nach Abschluss des Verfahrens vor. Die Aufbewahrung wird nicht vorgeschrieben, ist jedoch zum Zwecke der Verteidigung eigener Rechtsansprüche aus berechtigtem Interesse geboten. In der praktischen Umsetzung heißt das, dass für die Daten mit der dann eintretenden Zweckänderung auch die Zugriffsberechtigungen entsprechend zu ändern sind und eine Löschung nach drei Jahren sicher zu stellen ist. So könnte man die Daten zu einem Fall beispielsweise in einem verschlüsselten ZIP-Archiv ablegen, wobei das Kennwort nur einem Vertreter des Verantwortlichen bekannt ist, die Daten aber im alleinigen Zugriff der Meldestelle bleiben. So wäre sichergestellt, dass nur im Eintritt der Erforderlichkeit ein Zugriff auf die Daten durch die Meldestelle erfolgen kann und die relevanten Daten auch erst nach Prüfung der Zulässigkeit weitergegeben werden können.

Welche Risiken entstehen?

Da die Informationen aus den Meldungen bei unbefugter Weitergabe existenzbedrohende Folgen sowohl für die Hinweisgebenden als auch für die Personen, die Inhalt der Meldung sind, haben können (etwa bei Meldungen zu sexuellen Übergriffen) und der Eintritt dieser Folgen wahrscheinlich ist, kann bei allen Verarbeitungen im Zusammenhang mit Meldungen von einem voraussichtlich hohen Risiko i. S. d. Art. 35 DSGVO ausgegangen werden.

Da der Gesetzgeber – anders als etwa in Österreich – beim Erlass des Gesetzes keine allgemeine Datenschutz-Folgenabschätzung (DSFA) durchgeführt hat, greift eine Ausnahme i. S. d. Art. 35 Abs. 10 in Deutschland nicht und es muss eine entsprechende DSFA durchgeführt werden. Hierzu muss der Verantwortliche den DSB hinzuziehen und diesen auf die Erforderlichkeit hinweisen, soweit er nicht hinzugezogen wird.

Gibt es Besonderheiten bei den TOM?

In § 10 HinSchG wird für die Verarbeitung besonderer personenbezogener Daten die Anwendung der Vorgaben aus § 22 Abs. 2 BDSG zur Bedingung gemacht. Dies sollte nicht nur, wenn „Art. 9-Daten“ in der Meldestelle eingehen umgesetzt werden, sondern generell.

Dies bedeutet im Speziellen:

  • Aus Satz 2: Verpflichtungen zum Logging der Eingaben, Veränderungen und Löschungen von Daten
  • Aus Satz 3: Sensibilisierung der Personen, etwa eine gesonderte Verpflichtungserklärung für die Mitglieder der internen Meldestelle
  • Aus Satz 6/7: Pseudonymisierung und Verschlüsselung, wann und wenn immer möglich
  • Aus Satz 9: Kontinuierliche Prüfung und Verbesserung der Sicherheitsmaßnahmen

In der praktischen Umsetzung ist zu beachten, dass der E-Mail-Verkehr der internen Meldestelle nicht in ein Mail-Archiv geraten darf und die Erfassung von Telefonaten mit der Meldestelle in den Log-Dateien (Nr. des Anrufers oder An- gerufenen) der Telefon-Anlage nicht erfasst werden dürfen.

Auch hier sollte der DSB die Umsetzung der Maßnahmen vor dem Hintergrund des hohen Risikos sorgfältig und verstärkt prüfen.

Fazit

Die sich aus der Umsetzung des HinSchG ergebenden Datenschutz-Anforderungen an die Organisation sind komplex und soweit dies mit einer eigenen internen Meldestelle umgesetzt wird, haben zuständige Datenschützer so einiges zu beraten und zu prüfen. Umso wichtiger ist es, dass sie von Anfang an einbezogen werden und den Aufbau der Meldestelle betreuen und beratend unterstützen. Mit der nötigen Fachkunde und einer strukturierten Vorgehensweise ist die datenschutzkonforme Umsetzung des HinSchG aber auch kein Hexenwerk.

Über den Autor

Leonard Hüesker


arbeitete nach seinem Studium der Biologie und Informatik viele Jahre als IT-Consultant sowie Innovations- und Projektmanager. Seit 2004 ist er zertifizierter Datenschutzbeauftragter und seit 2018 als Datenschutz- beauftragter und Datenschutzauditor bei der Sachverständigenbüro Mülot GmbH. In dieser Funktion betreut er große und mittlere Organisationen. Sein Schwerpunkt liegt auf Datenschutz in verbundenen Unternehmen und Sport-Organisationen.

Die neusten Datenschutztrends

Bleiben Sie stets auf dem Laufenden und verpassen Sie keine Neuigkeiten mehr! Melden Sie sich für unseren Newsletter an und erhalten Sie regelmäßig Einladungen zu unseren Events und alle aktuellen Positionspapiere und Handreichungen.

Anmeldung zum Newsletter

Um sich für den beschriebenen Newsletter anzumelden, tragen Sie bitte hier Ihre E-Mail-Adresse ein. Sie können sich jederzeit über den Abmeldelink in unseren E-Mails abmelden.