13.11.2023

Umsetzung der Whistleblower-Richtlinie: Das neue Hinweisgeberschutzgesetz (HinSchG)

Im Juli 2023 ist das Hinweisgeberschutzgesetz (HinSchG) zur Umsetzung der Whistleblower-Richtlinie in Deutschland in Kraft getreten. Mit dem HinSchG sind auch datenschutzrechtliche und Compliance-relevante Regelungen verbunden. Wir zeigen auf, was bei der Umsetzung des HinSchG aus datenschutzrechtlicher Sicht zu beachten ist.

Ihr ISiCO-Experte für das Thema:
Dr. Philipp Siedenburg
Director Datenschutz

Am 2. Juli 2023 ist das Hinweisgeberschutzgesetz (HinSchG) zur Umsetzung der Whistleblower-Richtlinie in Deutschland in Kraft getreten, mehr als ein Jahr nach Ablauf der Umsetzungsfrist. Mit dem HinSchG sind auch datenschutzrechtliche und Compliance-relevante Regelungen verbunden, deren Zusammenspiel für Unternehmen aufgrund der jeweils hohen Anforderungen von erheblicher Bedeutung sein kann. Zum einen sieht das Gesetz ausdrücklich vor, dass auch Datenschutzverstöße Gegenstand einer Meldung oder Offenlegung nach dem HinSchG sein können. Vor allem aber verarbeiten die dort vorgesehenen Hinweisgebersysteme typischerweise eine Vielzahl personenbezogener Daten, etwa solche zur Person der Hinweisgeber:in, zu Beschuldigten oder auch nur anderweitig Betroffenen und Zeug:innen sowie im Rahmen der Ermittlungen erhobene und verarbeitete Datensätze, die regelmäßig ebenfalls personenbezogene Daten enthalten. Der folgende Beitrag soll einen Überblick darüber geben, was bei der Umsetzung des HinSchG aus datenschutzrechtlicher Sicht zu beachten ist.

Das Hinweisgeberschutzgesetz: ein Überblick

Die unionsrechtliche Hinweisgeberrichtlinie (auch: Whistleblower-Richtlinie; RL (EU) 2019/1937) vom 23. Oktober 2019 verfolgte das Ziel, den Schutz von Hinweisgeber:innen zu regeln und beinhaltet Elemente wie die Einrichtung interner und externer Hinweisgebersysteme in Unternehmen sowie spezifische Schutzvorschriften. Die Richtlinie fordert von den Mitgliedstaaten die Einführung eines gesetzlich verpflichtenden, flächendeckenden Meldesystems, mit dessen Hilfe Missstände in Unternehmen gemeldet werden können. Nach der Richtlinie sollen Hinweisgeber:innen ermutigt werden, sich zunächst intern im Unternehmen über eine sog. Whistleblower-Hotline zu Wort zu melden, damit Sachverhalte möglichst intern, schnell und sachnah geklärt werden könnten. Für Unternehmen sei eine rein interne Behandlung von derartigen Vorwürfen vorzugswürdig, da so Reputationsschäden und der Veröffentlichung interner Unternehmensinformationen vorgebeugt werden kann. Die Systeme sollen nach der Richtlinie zudem die Meldung an die zuständige Behörde wie auch eine eventuelle Meldung an die Öffentlichkeit bzw. ein direktes Veröffentlichen von Rechtsverstößen in Unternehmen ermöglichen.

Das neue Hinweisgeberschutzgesetz regelt primär drei Aspekte des Hinweisgeberschutzes:

  • Schutzvorschriften für Hinweisgeber:innen (z.B. Repressalienverbot)
  • Interne (arbeitgeberseitige) Hinweisgebersysteme
  • Externe (staatliche) Hinweisgebersysteme

Die Schutzvorschriften zielen auf hinweisgebende Personen ab, die Informationen über strafbewehrte Verstöße, gewisse bußgeldbewährte Verstöße oder über Verstöße gegen die explizit im HinSchG genannte Vorschriften melden oder offenlegen. Aber auch die Personen, auf die eine Meldung abzielt oder die Gegenstand einer Offenlegung gegenüber der Öffentlichkeit sind sowie sonstige im Rahmen des Hinweisgeberprozesses betroffene Personen (z.B. Zeug:innen ). Die Schutzvorschriften differenzieren nicht nach Unternehmensgröße oder Beschäftigtenanzahl, sie treffen also grundsätzlich alle sog. „Beschäftigten“- sprich Arbeitgeber:innen.

Interne Meldestellen, die sowohl in einer einzelnen Person wie auch etwa in einem ganzen Fachbereich angesiedelt sein können, treffen nach dem HinSchG verschiedene Aufgaben. So sollen sie die notwendigen Meldekanäle betreiben, mit Hinweisgeber:innen kommunizieren (insbesondere bei Bedarf weiterer Informationen) und schließlich angemessene Folgemaßnahmen ergreifen. Diese umfassen etwa:

  • Interne Untersuchungen
  • Kontaktierung betroffener Personen und Arbeitseinheiten
  • Weiterleitung an für interne Ermittlungen zuständige Einheiten im Unternehmen
  • Weiterleitung an Behörden
  • Einstellung bzw. Abschluss des Verfahrens bei Beweismangel

Anders als die allgemeinen Schutzvorschriften trifft die Pflicht zur Einrichtung interner Meldestellen gem. § 12 HinSchG nur diejenigen Beschäftigungsgeber:innen, die über mind. 50 Beschäftigte verfügen. Beschäftigungsgeber:innen mit lediglich 50-249 Beschäftigten müssen solche Meldestellen zwar einrichten, aber wegen einer Übergangsregelung in § 42 HinSchG erst bis zum 17. Dezember 2023. Für Arbeitgeber:innen mit mehr als 250 Beschäftigten gilt eine solche Privilegierung nicht, sie müssen die Meldestellen bereits vorher einrichten.

Welche personenbezogenen Daten werden – je nach Ausgestaltung – im Rahmen eines Hinweisgebersystems regelmäßig verarbeitet?

Mit der Bearbeitung von Meldungen von Hinweisgeber:innen nach der Whistleblower-Richtlinie bzw. dem Hinweisgeberschutzgesetz geht, sofern es sich nicht um anonyme Meldesysteme handelt, auch die Verarbeitung personenbezogener Daten einher. Hier müssen Unternehmen somit nicht nur die neuen Regelungen des Hinweisgeberschutzgesetzes beachten, auch die DSGVO und das BDSG sind in diesen Fällen anwendbar. Auf Unternehmen kommt daher ein erhöhter Compliance-Aufwand zu, da sie bei der Einrichtung einer Whistleblower-Hotline oder entsprechender Online-Lösungen rechtsgebietsübergreifende Anforderungen zu erfüllen haben. Anzumerken ist, dass die RL (EU) 2019/1937 explizit normierte, dass die in ihrem Zusammenhang erfolgende Verarbeitung personenbezogener Daten im Einklang mit der DSGVO erfolgen soll und forderte die Mitgliedstaaten pauschal auf, den Schutz personenbezogener Daten zu gewährleisten.

Das HinSchG sieht die Verarbeitung personenbezogener Daten in verschiedenen Vorschriften, insbesondere in den das Meldesystem betreffenden Regelungen, vor. Zunächst kann es um die Verarbeitung der Daten von Hinweisgeber:innen selbst gehen, wenn sie z.B. ihren Namen bei der Meldung eines Missstandes angeben oder für Rückfragen sogar angeben müssen. Die Verarbeitung personenbezogener Daten kann außerdem in Bezug auf den Sachverhalt vorliegen, den Hinweisgeber:innen aufdecken möchte. In der Sachverhaltsbeschreibung werden sich häufig auch Namen oder andere personenbezogene Daten von anderen Personen wiederfinden, die mit dem Sachverhalt in Verbindung stehen oder die die Hinweisgeber:innen beschuldigen. Auch durch nach der Meldung unter Umständen erfolgende interne Ermittlungen würden im Regelfall personenbezogene Daten verarbeitet, etwa die Zugriffe auf IT-Systeme und Datenbanken, E-Mail- und Chat-Verläufe oder auch Protokolle von im Rahmen der Ermittlungen erfolgten Gesprächen.

Rechtsgrundlage der Verarbeitung

Werden im Rahmen eines Meldesystems personenbezogene Daten verarbeitet, muss eine solche Verarbeitung natürlich den geltenden Datenschutzgesetzen entsprechen, insbesondere bedarf es einer Rechtsgrundlage.

Einwilligung, Art. 6 Abs. 1 lit. a DSGVO

Erteilen Hinweisgeber:innen eine Einwilligung hinsichtlich der Verarbeitung etwa ihres Namens, der E-Mail-Adresse oder auch anderer personenbezogener Daten, so könnte dies auf Art. 6 Abs. 1 lit. a DSGVO gestützt werden. Eine Einwilligung ist allerdings nur wirksam, wenn sie auch freiwillig erteilt wurde. Hierfür ist eine echte oder freie Wahl hinsichtlich der Erteilung oder der Verweigerung der Einwilligung nötig. Handelt es sich um ein internes System, sind hier die besonderen Anforderungen des § 26 Abs. 1 BDSG zu beachten, die bei der Einwilligung von Beschäftigten gegenüber ihrem Arbeitgeber greifen.

Notwendigkeit zur Erfüllung des Vertrages oder vorvertraglicher Maßnahmen, Art. 6 Abs. 1 S. 1 lit. b DSGVO

Eine Verarbeitung auf Grundlage des Arbeitsvertrags von Hinweisgeber:innen oder der Person, deren Identität sie preisgeben, und damit auf Grundlage des Art. 6 Abs. 1 S. 1 lit. b DSGVO ist unzulässig. Im Rahmen des Hinweisgebersystems ist der Arbeitsvertrag beziehungsweise das Beschäftigungsverhältnis selbst nicht direkt betroffen; die Datenverarbeitung ist zur Erfüllung des Arbeitsvertrags nicht notwendig.

Rechtliche Verpflichtung, Art. 6 Abs. 1 S. 1 lit. c DSGVO

Wohl am relevantesten ist die Rechtsgrundlage aus Art. 6 Abs. 1 S. 1 lit. c DSGVO in Verbindung mit § 10 HinSchG. Danach sind die nach § 12 HinSchG einzurichtenden Meldestellen dazu befugt personenbezogene Daten zu verarbeiten soweit dies zur Erfüllung ihrer in den §§ 13 und 24 HinSchG bezeichneten Aufgaben erforderlich ist. § 10 HinSchG ermöglicht auch die Verarbeitung besonderer Kategorien personenbezogener Daten. Besondere Kategorien personenbezogener Daten sind nach Art. 9 Abs. 1 DSGVO solche Daten, aus denen die Rasse und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Sie umfassen zudem genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. § 10 Abs. 1 S. 1 HinSchG erlaubt explizit, dass die Verarbeitung solcher besonderen Kategorien personenbezogener Daten durch eine Meldestelle abweichend von Art. 9 Abs. 1 DSGVO zulässig ist, wenn diese Verarbeitung zur Erfüllung ihrer Aufgaben erforderlich ist.

Ihre Strategie für den besten Schutz

Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz und der Informationssicherheit. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.

Termin vereinbaren

Berechtigte Interessen, Art. 6 Abs. 1 S. 1 lit. f DSGVO

Eine Verarbeitung kann allerdings auch zulässig sein, wenn diese zur Meldung von Missständen erforderlich ist und durch die berechtigten Interessen des Unternehmens gerechtfertigt ist. Solche Interessen können z.B. die Verhütung von Betrugsfällen im Unternehmen, die Aufdeckung oder Vermeidung von Korruption oder die Gewährleistung finanzieller Sicherheit des Unternehmens sein. Diese Interessen müssen allerdings mit den Interessen der betroffenen Personen abgewogen werden, damit die Verarbeitung zulässig wird.

Die Interessen des Unternehmens werden insbesondere bei Verhaltensweisen der betroffenen Person überwiegen, die einen Straftatbestand erfüllen oder die gegen Menschenrechte und gewichtige Umweltbelange verstoßen. Bei der Meldung von Verstößen gegen interne Regeln ist jedoch gründlich abzuwägen und im Einzelfall zu entscheiden, wessen Interessen überwiegen. Die Interessen des Unternehmens werden vermutlich nur dann ausreichen, wenn die internen Regeln, gegen die laut Hinweisgeber:innen verstoßen wurde, der Vermeidung der Katalogstraftaten dienen. Verstöße gegen interne Regeln wie das Gebot der Freundlichkeit in der Kundenbetreuung werden die Verarbeitung personenbezogener Daten wohl nicht rechtfertigen.

Hinweis: § 26 Abs. 1 S. 2 BDSG sieht als nationale Vorschrift spezielle Vorgaben vor, wenn es um die Aufdeckung von Straftaten im Beschäftigungsverhältnis geht. Die Daten dürfen in diesem Fall nur dann verarbeitet werden, wenn tatsächliche Anhaltspunkte vorliegen, dass die betroffene Person im Arbeitsverhältnis eine Straftat begangen hat.

Was sind die relevanten Vorgaben des Datenschutzes die bei der Einrichtung eines Hinweisgebersystem beachtet werden müssen?

Ist die Verarbeitung personenbezogener Daten im Rahmen eines Hinweisgebersystems grundsätzlich zulässig, müssen trotzdem noch die weiteren datenschutzrechtlichen Anforderungen und Verpflichtungen der DSGVO eingehalten werden.

Datenschutzgrundsätze, Art. 5 DSGVO

Dafür ist zunächst essentiell, dass personenbezogene Daten nur zu dem Zweck verarbeitet werden, zu dem sie erhoben wurden (Grundsatz der Zweckbindung) und dass nicht mehr Daten verarbeitet werden, als zur Zweckerreichung notwendig ist (Grundsatz der Datenminimierung). Daten, die in Bezug auf die Zwecke der Verarbeitung unrichtig sind, sind unverzüglich zu löschen oder zu berichtigen. Um diese und andere Datenschutzgrundsätze zu gewährleisten, muss das Unternehmen als Verantwortlicher geeignete technische und organisatorische Maßnahmen (sogenannte TOM) ergreifen. Hier kommt eine Pseudonymisierung der Daten in Betracht.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Bitte rechnen Sie 3 plus 9.

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Betroffenenrechte, Art. 12 ff. DSGVO

Auch die ausreichende Wahrung der Betroffenenrechte sollte bei Implementierung eines Hinweisgebersystems ausreichende Beachtung finden. Um eine datenschutzkonforme Whistleblower-Hotline zu betreiben, müssen Verantwortliche ihren Informations- und Auskunftspflichten nachkommen. Sie sind grundsätzlich verpflichtet, Betroffene zu informieren, wenn sie Daten von ihnen speichern und warum und auch von wem sie sie erlangt haben. Die Identität von Hinweisgeber:innen würde also offengelegt werden müssen, was auf die Bereitschaft zur Meldung erhebliche Auswirkungen haben kann. Über diese Konsequenzen ist vorab ausführlich zu informieren. Dies würde dann das Ziel der Verarbeitung, nämlich das Aufdecken von Missständen in Unternehmen, unmöglich machen oder ernsthaft beeinträchtigen. In diesen Fällen muss geprüft werden, ob die DSGVO eine Ausnahme zulässt, wenn das Unternehmen z.B. zusätzliche Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Personen ergreift. Die Information muss dann nicht erfolgen.

Ähnliches gilt bzgl. des Auskunftsrechts von betroffenen Personen auf die zu ihnen gespeicherten Daten, Herkunft und Empfänger der Daten. Dieses Recht entfällt, wenn durch die Auskunft Informationen offenbart werden würden, die wegen überwiegender berechtigter Interessen eines Dritten geheim gehalten werden müssen. Die Aufdeckung von Rechtsverstößen in Unternehmen oder auch der Schutz der Hinweisgeber:innen könnte ein solches Interesse darstellen.

Sonstige Pflichten des Verantwortlichen

Des Weiteren muss, um ein Hinweisgebersystem datenschutzkonform aufzubauen, eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden und der oder die Datenschutzbeauftragte frühzeitig in alle datenschutzrelevanten Fragen eingebunden werden.

Wird das gesamte Hinweisgebersystem oder auch nur die Einrichtung einer Meldestelle an externe Dienstleister:innen ausgelagert, liegt in der Regel eine Auftragsverarbeitung im datenschutzrechtlichen Sinne vor. Hier muss zwischen den Verantwortlichen, sprich dem eigentlich zur Einrichtung des Hinweisgebersystems beziehungsweise der Meldestelle Verpflichteten und der Auftragnehmer:in, sprich der die Dienstleistung erbringen Partei, ein Auftragsverarbeitungsvertrag im Sinne des Art. 28 DSGVO geschlossen werden. Steht die Datenübermittlung an die Dienstleister:in mit einer Datenübermittlung in ein Drittland in Zusammenhang sind die entsprechenden Vorgaben der Art. 44 ff. DSGVO ergänzend zu berücksichtigen.

Art. 17 Abs. 1 DSGVO verpflichtet Verantwortliche, personenbezogene Daten zu löschen, sofern diese für die Zwecke für die sie erhoben oder verarbeitet wurden nicht mehr notwendig sind. § 11 Abs. 1 HinSchG sieht so etwa vor, dass die in einer Meldestelle für die Entgegennahme von Meldungen zuständigen Personen alle eingehenden Meldungen in dauerhaft abrufbar Weise dokumentieren. § 11 Abs. 5 S. 1 HinSchG sieht wiederum vor, dass die Dokumentation der Meldungen von Hinweisgeber:innen drei Jahre nach Abschluss des Verfahrens gelöscht werden. Zu diesem Zeitpunkt entfällt damit auch der Zweck der Dokumentation der Meldungen. Ausnahmen macht die Norm nur, wenn die Dokumentation zur Erfüllung von Anforderungen des HinSchG oder anderer Rechtsvorschriften erforderlich ist.

Anonyme Ausgestaltung des Hinweisgebersystems?

Ein Weg für Unternehmen, zusätzliche datenschutzrechtliche Anforderungen zu verhindern, stellt die Anonymisierung von personenbezogenen Daten dar. Werden im Rahmen des Meldesystems Daten grundsätzlich nur anonymisiert verarbeitet und liegt insofern gar kein Personenbezug vor, ist auch die DSGVO nicht anwendbar. § 16 Abs. 1 HinSchG erlaubt Beschäftigungsgeber:innen anonyme Meldungen über interne Meldekanäle zuzulassen, eine Verpflichtung zur Einrichtung anonymer Meldekanäle besteht indes nicht. Das Hinweisgebersystem könnte etwa auf einem Formularsystem aufgebaut werden, in welches Hinweisgeber:innen ihr Anliegen eintragen kann, ohne ihre Identität preiszugeben.

Allerdings werden sich auch in der Sachverhaltsbeschreibung häufig Namen oder andere personenbezogene Daten von Dritten wiederfinden, die mit dem Sachverhalt in Verbindung stehen oder die Hinweisgeber:innen beschuldigen. In Bezug auf Sachverhaltsbeschreibungen ergeben anonymisierte Angaben also regelmäßig keinen Sinn, da der Sachverhalt nicht effektiv aufgeklärt werden kann, wenn genauere Informationen zu weiteren Beteiligten fehlen. Ein vollständig anonymes Meldesystem ist damit zumindest hinsichtlich der durch den Inhalt der Meldung betroffenen wohl nicht denkbar, werden bei der Einrichtung von Hinweisgebersystemen somit wohl stets auch datenschutzrechtlichen Vorschriften unterworfen sein.

Fazit

Datenschutzrechtlich ist die Einführung der erforderlichen Meldesysteme nach dem Hinweisgeberschutzgesetz eine Herausforderung für Unternehmen. Allerdings werden keine unlösbaren datenschutzrechtlichen Probleme aufgeworfen. Besonders kleinen Unternehmen ist es hierbei anzuraten, entsprechende Compliance effektiv und frühzeitig sicherzustellen. Es empfiehlt sich, das System schon vor Ende der Umsetzungsfrist datenschutzkonform aufzubauen oder zumindest an den neuen Anforderungen auszurichten. Nur durch rechtzeitiges Handeln kann Compliance gewährleistet und Reputationsschäden vorgebeugt werden. Benötigen Sie Hilfe oder Beratung bei der Einführung eines Meldesystems oder haben Sie sonstige Fragen zum Hinweisgeberschutzgesetz? Sprechen Sie uns gerne an, wir unterstützen gerne bei allen datenschutzrechtlichen Aspekten der neuen gesetzlichen Anforderungen.

Weitere Neuigkeiten

17.07.2024

Neue Regelungen für Ihr ISMS: Diese gesetzlichen Anforderungen muss Ihre IT-Sicherheit erfüllen

In den letzten Jahren haben zahlreiche neue gesetzliche Regelungen zur IT-Sicherheit Unternehmen vor erhebliche Herausforderungen gestellt. Diese Gesetze fordern von Unternehmen umfassende Maßnahmen zur Sicherung ihrer IT-Infrastruktur und Daten. Angesichts dieser wachsenden Anforderungen bietet sich die Einführung eines Informationssicherheits-Managementsystems (ISMS) an. Ein ISMS hilft nicht nur dabei, die gesetzlichen Anforderungen zu erfüllen, sondern trägt auch zur Verbesserung der allgemeinen Sicherheitslage eines Unternehmens bei.

Weiterlesen …

09.07.2024

NIS2-Richtlinie: Machen Sie Ihr Unternehmen fit für Oktober 2024 – mit unserem Leitfaden zum Download

Mit der nahenden Deadline im Oktober 2024 für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS2) stehen schätzungsweise 30.000 deutsche Unternehmen vor der Herausforderung, gesetzliche Vorgaben zu erfüllen und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern. In diesem Zusammenhang bieten wir umfassende Lösungen an, die darauf ausgerichtet sind, Ihr Unternehmen durch maßgeschneiderte Risikoanalysen, die Implementierung fortschrittlicher Cyber-Risikomanagementpraktiken und robuste Geschäftskontinuitätspläne auf den neuesten Stand der Technik zu bringen.

Weiterlesen …