Datenschutzrecht-Praxis

 


Neues zum Datenschutzrecht


12.5.2o23

Hinweisgeberschutzgesetz beschlossen – Datenschutzrechtliche Implikationen

Der Bundesrat hat am 12.5.2023 dem Hinweisgeberschutzgesetz in der im Vermittlungsausschuss nachverhandelten Fassung zugestimmt. Der Bundestag hatte zuvor am 11.5.2023 den Kompromissvorschlag bestätigt und seinen ursprünglichen Beschluss entsprechend geändert. Wer den Verlauf des Gesetzgebungsverfahrens noch einmal nachvollziehen möchte, wird der Website des Bundestags hier und auf der Website des Bundesrats hier
fündig.

Ziel des „Gesetzes für einen besseren Schutz hinweisgebender Personen“ (Hinweisgeberschutzgesetz – HinSchG) ist es, Beschäftigte, die auf Missstände in ihrem Unternehmen oder einer Behörde aufmerksam machen, vor negativen Konsequenzen zu schützen. Mit HinSchG soll auch die sog. Whistleblowing-Richtlinie der Europäischen Union (Richtlinie (EU) 2019/1937) umgesetzt werden. Das hätte bereits bis Ende 2021 erfolgen müssen, weshalb gegen Deutschland ein von der EU-Kommission angestrengtes Vertragsverletzungsverfahren läuft.

Kernpunkte des HinSchG sind die Verpflichtung zur Einrichtung einer Meldestelle und von Meldekanälen sowie der Schutz hinweisgebender Personen. Die Pflichten zur Einrichtung einer internen Meldestelle und verschiedener Meldekanäle trifft Unternehmen und Dienststellen mit mehr als 50 Beschäftigte sowie unabhängig von der Beschäftigtenanzahl Unternehmen gem. § 12 Abs. 3 HinSchG, z.B. bestimmte Unternehmen der Finanz- und Versicherungswirtschaft.

Im Vergleich zu den letzten Entwurfsfassungen sind beim „final beschlossenen“ Gesetz insbesondere zwei Regelungen hervorzuheben (vgl. BR-Drs. 210/23). Unternehmen sind nunmehr – d.h. anders als nach dem zuletzt vom Bundestag beschlossenen Fassung und entgegen der Empfehlung des Rechtsausschusses, aber in Übereinstimmung mit dem Entwurf der Bundesregierung – doch nicht verpflichtet, die Abgabe anonymer Meldungen zu ermöglichen. Vielmehr „sollten“ Meldestellen auch anonym eingehende Meldungen bearbeiten (§ 16 Abs. 1 Satz 4 und 5). Außerdem beträgt die maximale Bußgeldhöhe für Verstöße gegen das Gesetz nur noch 50.000 Euro statt 100.000 Euro.

Das Hinweisgeberschutzgesetz hat einige datenschutzrechtliche Implikationen. Das gilt zum einen, weil sich der Anwendungsbereich dieses Gesetzes gerade auch auf den Verstoß gegen datenschutzgesetzliche Vorgaben erstreckt und zum anderen aufgrund der Verarbeitung einer Vielzahl personenbezogener Daten von Hinweisgebern, mögliche Täter und Dritte. Datenschutzrelevante Aspekte betreffen zum Beispiel

  • die Gestaltung des Hinweisgebersystems
  • den Schutz hinweisgebender Beschäftigter und anderer Hinweisgeber, möglicher Täter sowie Dritter
  • die Offenlegung von Verstößen und
  • die Aufbewahrung der Unterlagen.

Daher gibt es eine Vielzahl von datenschutzrechtlichen Fragen, die im Rahmen der Umsetzung der gesetzlichen Pflichten gem. HinSchG beachtet und beantwortet werden müssen. Hierzu zählen insbesondere:

  • Sollten betriebliche/behördliche Datenschutzbeauftragter tatsächlich zugleich als interne Stelle i.S.d. Hinweisgeberschutzgesetzes tätig sein? Das soll zwar nach Auffassung des Gesetzgebers grundsätzlich – zumindest für Unternehmen bis zu 249 Beschäftigte – zulässig sein, ist aber nicht wirklich empfehlenswert.
  • Welche datenschutzrechtlichen Vereinbarungen müssen geschlossen werden, wenn Externe zum Betrieb der internen Meldestelle herangezogen werden (Auftragsverarbeitung, Vereinbarung über eine gemeinsame Verantwortlichkeit, Vereinbarung zwischen zwei allein Verantwortlichen)?
  • Was sind die konkreten datenschutzgesetzlichen Grundlagen für die Verarbeitung personenbezogener Daten? Hier muss z.B. bei Übermittlungen bzgl. der betroffenen Personen differenziert werden.
  • Wie kann und darf die Informationspflicht gem. Art. 13 und 14 DSGVO mit Blick auf das Vertraulichkeitsgebot gem. § 8 HinSchG erfüllt werden?
  • Was ist beim Auskunftsrecht gem. Art. 15 DSGVO zu beachten?
  • Wie lang ist die zulässige Speicherdauer?

Fazit und Ausblick

Nach großem Hickhack wurde das Hinweisgeberschutzgesetz beschlossen. Das Zustandekommen dieses Gesetzes war wahrlich kein Meisterstück, zumal Deutschland bei der damit einhergehenden Umsetzung der EU-Whistleblower-Richtlinie schon lange in Verzug ist.

In jedem Fall bringt das HinSchG eine Vielzahl datenschutzrelevanter Punkte mit sich. Da das Gesetz nunmehr bereits einen Monat nach Verkündung, also voraussichtlich Mitte Juni in Kraft treten wird, ist es allerhöchste Zeit, sich mit dieser Thematik und den damit zusammenhängenden datenschutzrechtlichen Aspekten zu befassen. Das gilt letztlich auch für die Unternehmen mit 50 bis 249 Beschäftigten, die unter die Ausnahmeregelung in § 42 HinSchG fallen und denen eine Frist bis zum 17.12.2023 gewährt wird.

Daher sollten das Thema und die datenschutzrechtlichen Implikationen (weiter) aufgegriffen bzw. etwaiger Anpassungsbedarf geprüft werden, sofern im Unternehmen bereits ein Hinweisgebersystem existiert. Bei der datenschutzrechtlichen Bewertung, insbes. der Zulässigkeit der Verarbeitung sowie der Informationspflichten und Auskunftsrechte muss beachtet und danach differenziert werden, ob es sich um

  • die Umsetzung der Vorgaben des hier erörterten HinSchG
  • die Umsetzung spezialgesetzlich vorgeschriebener Hinweisgebersysteme oder
  • Hinweisgeberschutzsysteme ohne Rechtspflicht

handelt.

Sollten Sie Fragen zum Hinweisgeberschutzgesetz, dessen datenschutzrechtlichen Implikationen oder zu sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.

+ + + UPDATE VOM 2.6.2023 + + + Am 15. Juni 2023 veranstaltet die WEKA MEDIA GmbH das Online-Seminar „Hinweisgeberschutzgesetz – Das ist im Datenschutz zu tun“, das ich gestalten werde. Näheres dazu und Informationen zu den Möglichkeiten einer Inhouse-Veranstaltung – online oder vor Ort – erfahren Sie in den Datenschutz-News v. 2.6.2023. +  +  +


Zurück zur Übersicht


Kontaktformular

Klicken Sie hier, um zu dem Kon­takt­for­mu­lar zu gelangen