Neuigkeit –
24.4.2024
Seit Anfang des Jahres sind Unternehmen, Organisationen und Einrichtungen der öffentlichen Hand gesetzlich verpflichtet, interne Meldestellen nach dem Hinweisgeberschutzgesetz zu betreiben. Doch wie steht es mit den Informationspflichten gegenüber den betroffenen Personen und welche Auskunftsrechte haben sie? Dieser Artikel klärt wichtige DSGVO-Regelungen und gibt praktische Tipps für den Umgang mit persönlichen Daten in internen Meldestellen.
Gemäß Art. 13 der DSGVO ist die hinweisgebende Person über die Datenverarbeitung zu informieren. Und zwar schon bevor sie einen Hinweis gibt und auch dann, wenn eine anonyme Hinweisabgabe möglich ist. Am einfachsten lässt sich das über ein digitales Meldeportal abbilden. Dort können die Personen während der Abgabe ihres Hinweises die Datenschutzerklärung lesen und bestätigen.
Interne Meldestellen bekommen nicht nur Daten von hinweisgebenden Personen, sondern sie erhalten auch Daten über Personen, die in den Meldungen genannt werden. Oft beschreiben die Hinweisgeber das Verhalten anderer Mitarbeiter. Dabei nennen sie häufig Namen oder geben Informationen, die erkennen lassen, um wen es geht. Zum Beispiel fallen Aussagen wie: „unser Abteilungsleiter Personal“ oder „die Leiterin der Buchhaltung“.
In einer Meldung können auch andere Personen erwähnt werden. Insbesondere Mitarbeiter, die bei einem Ereignis dabei waren oder mit denen die hinweisgebende Person über das Ereignis gesprochen hat. Diese Personen werden oft namentlich erwähnt oder durch Details beschrieben, die ihre Identität erkennen lassen. Die interne Meldestelle muss dann entscheiden, ob sie diese Personen darüber informieren muss, dass ihre Daten verarbeitet werden.
Artikel 14 der DSGVO besagt, dass der Verantwortliche, in dem Fall die interne Meldestelle, die betroffene Person informieren muss, wenn diese Daten nicht direkt von ihr selbst, sondern aus anderen Quellen erhoben werden.
Achtung jedoch: Diese Informationspflicht würde die Erfolgschancen interner Untersuchungen gefährden und einen zusätzlichen Verwaltungsaufwand für die interne Meldestelle bedeuten. Daher steht diese Pflicht oft im Widerspruch zum Hinweisgeberschutzgesetz, das den Schutz der Identitäten von den betroffenen Personen ausdrücklich regelt. Aus diesem Grund gibt es spezielle Ausnahmeregelungen.
Artikel 14 der DSGVO sieht einige Ausnahmen vor, bei denen die Information der betroffenen Personen nicht erforderlich ist. Diese gelten für Fälle, in denen Daten nicht direkt von der Person selbst erhoben wurden. Eine dieser Ausnahmeregelungen ist in Artikel 14 Absatz 5 c) der DSGVO festgelegt. Nach dieser Regel müssen Personen nicht informiert werden, wenn ihre Daten aufgrund von Gesetzen erhoben werden, die bereits Schutzmaßnahmen für die Rechte dieser Personen vorsehen. Aus unserer Sicht fällt darunter auch das Hinweisgeberschutzgesetz.
Das Hinweisgeberschutzgesetz enthält klare Regeln, wie interne Meldestellen die persönlichen Daten von Personen verarbeiten sollen, über die gemeldet wird. Außerdem stellt das Gesetz sicher, dass die Rechte dieser Personen geschützt werden. Hier finden Sie die wichtigsten Vorgaben zusammengefasst:
Wir vertreten die Auffassung, dass das Hinweisgeberschutzgesetz ausreichende und konkrete Regeln enthält. Diese Regeln schützen die Rechte von Personen, deren Daten im Rahmen des Hinweisgebersystems verarbeitet werden.
QUOTE: Diese Personen sind deshalb gemäß Art. 14 DSGVO nicht über die Datenverarbeitung zu informieren.
Achtung jedoch: Unabhängig davon könnte eine betroffene Person trotzdem verlangen, gemäß Artikel 15 der DSGVO über die Verarbeitung seiner Daten informiert zu werden. Diese Person könnte sogar versuchen, die Identität des Hinweisgebers herauszufinden.
Ob sie ein Recht auf solche Auskünfte hat, wird derzeit noch diskutiert. Gerichtliche Entscheidungen zu dieser Frage gibt es aktuell noch nicht.
Die Bundesregierung argumentiert in ihrem Gesetzesentwurf, dass normalerweise kein Recht auf Auskunft besteht, wenn die Daten vertraulich behandelt werden, wie es § 8 des Hinweisgeberschutzgesetzes vorschreibt. Diese Sichtweise ist allerdings umstritten, da sie möglicherweise gegen EU-Recht verstößt, indem sie das Auskunftsrecht und Regressansprüche bei Fehlinformationen einschränkt.
Bis ein Gericht darüber entscheidet, können Sie sich als Betreiber von Hinweisgebersystemen auf das Vertraulichkeitsgebot berufen, wenn sie um Auskunft gebeten werden.
Rechtsanwältin, Partnerin,
Certified Chief Compliance Officer,
Zertifizierter Human Rights Officer