Hinweisgeberschutzgesetz und Datenschutz: Einblicke und Überlegungen

Die Verbindung zwischen dem Hinweisgeberschutzgesetz und dem Datenschutz ist ein komplexes Thema, das viel Diskussion und Überlegung erfordert. Das Hinweisgeberschutzgesetz, oft als ”HinSchG” abgekürzt, hat wichtige Auswirkungen auf die Verarbeitung personenbezogener Daten, insbesondere in Bezug auf Whistleblower und diejenigen, über die berichtet wird. Der folgende Artikel bietet einen Überblick über Informationen zum Hinweisgeberschutzgesetz (HinSchG) und Datenschutz, wobei der besondere Schutzbedarf von Whistleblowern und eventuelle Ermittlungsinteressen dem Auskunftsinteresse des Beschuldigten (und evtl. geltend gemachten Betroffenenrechte) unter Berücksichtigung der aktuellen Rechtslage gegenübergestellt wird. Unter welchen Bedingungen (Öffnungsklausel) dürfen (besondere Kategorien) personenbezogener Daten - in Einklang mit der DSGVO und dem Bundesdatenschutzgesetzes - überhaupt verarbeitet werden? Welche Informationspflichten, Aufbewahrungs- und Löschfristen gibt es und welche Vorteile bieten toolgestützte Lösungen in diesem Punkt, um letzlich die Balance zwischen der Anonymität von Hinweisgebern und dem Informationsrecht der Betroffenen zu wahren?

1. Der besondere Schutzbedarf von Whistleblowern

Whistleblower sind Individuen, die interne Missstände oder rechtswidriges Verhalten innerhalb einer Organisation aufdecken. Sie sind oft dem Risiko von Vergeltungsmaßnahmen oder Repressalien ausgesetzt, weshalb der Schutz ihrer Identität von größter Bedeutung ist. Auch die Personen, über die berichtet wird, haben ein besonderes Schutzbedürfnis aufgrund des Kontexts der Datenverarbeitung. Nach den Vertraulichkeitsverpflichtungen aus §8 HinSchG sind die Identität der hinweisgebenden Person, der Personen, die Gegenstand einer Meldung sind (Beschuldigter) und sonstiger in der Meldung genannten Personen (dies können Zeugen oder Betroffene sein) zu wahren.

Das HinSchG anerkennt, dass Whistleblowing-Systeme die Verarbeitung personenbezogener Daten i.S.d. Art. 4 Nr. 1 DSGVO erfordern (Entgegennahme und Dokumentation eingehender Meldungen, weitere Verarbeitung personenbezogener Daten, etwa zur Durchführung interner Untersuchungen oder im Rahmen von Folgemaßnahmen), selbst wenn ein Hinweisgeber anonym bleibt. Die Verarbeitung personenbezogener Daten erfolgt „befugt“, soweit diese in Erfüllung von Pflichten nach dem Hinweisgeberschutzgesetz erfolgt. Das HinSchG enthält eine entsprechende Befugnisnorm (§ 10). Das bedeutet, Meldestellen dürfen personenbezogene Daten verarbeiten, sofern dies zur Erfüllung ihrer Aufgaben nach den §§ 13 und 24 des HinSchG erforderlich ist. Wenn eine Meldung außerhalb des Anwendungsgebiets des HinSchG fällt, ist eine datenschutzrechtliche Einzelfallprüfung erforderlich. Hier gelten die allgemeinen gesetzlichen Anforderungen der DSGVO und des Bundesdatenschutzgesetzes.

2. Die Einhaltung der DSGVO und des Bundesdatenschutzgesetzes

Aufgrund der Sensibilität der verarbeiteten Daten spielt die Einhaltung der DSGVO bereits bei der Einrichtung der Meldestelle eine wichtige Rolle. Eine Datenschutzfolgeabschätzung (Art. 35 DSGVO) unter Einbezug des Datenschutzbeauftragten ist zu empfehlen. 

Zudem muss die interne Meldestelle bzw. der Verantwortliche hinweisgebenden Personen bzw. potenziellen hinweisgebenden Personen Datenschutzhinweise zur Verfügung stellen (Art. 13 DSGVO): Zum Zeitpunkt der Erhebung muss die betroffene Person, also die Person, deren Daten verarbeitet werden, informiert bzw. unterrichtet werden. Dies geschieht i.d.R. auf der Landingpage der internen Meldestelle bei SaaS-Produkten. Bei Telefonhotlines oder E-Mail-Adressen, die für den Zweck eingerichtet wurden, sind die Hinweisgebenden schon vorher über Rundmails oder Aushänge über Ihre Rechte aufzuklären.

Zudem setzt das Whistleblowing-System im späteren Verarbeitungsprozess die Anwendung einer Öffnungsklausel voraus. Zumeist stützt sich die Verarbeitung personenbezogener Daten auf Art. 6 Abs. 1 lit.c DSGVO in Verbindung mit § 10 HinSchG (weniger als 50 Beschäftigte: Art. 6 Abs. 1 lit. f DSGVO (Interessenabwägung)).

3. Verarbeitung besonderer Kategorien personenbezogener Daten

Für die Verarbeitung besonderer Kategorien personenbezogener Daten müssen bestimmte Ausnahmen gemäß Art. 9 Abs 2 DSGVO vorliegen. Zwei Hauptausnahmen sind hier relevant:

• Verteidigung gegen eigene Rechtsansprüche oder Abwehr von fremden Ansprüchen (Buchstabe f).

• Die Verarbeitung dient einem besonderen öffentlichen Interesse, das mit dem HinSchG verfolgt wird. Dabei wird das Ziel verfolgt, die Rechtsstaatlichkeit zu fördern und Menschen zu ermutigen, Missstände zu melden (Buchstabe g).

Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind. (§ 26 Abs. 1 S. 2 BDSG)

4. Informationspflichten und Datenschutz: Information der Beschuldigten und Beteiligten

Das HinSchG und die DSGVO legen bestimmte Informationspflichten fest. Zum Zeitpunkt der Datenerhebung muss die betroffene Person (“Beschuldigter”, aber auch Zeugen) informiert werden. Allerdings können diese Informationspflichten unter bestimmten Bedingungen verzögert oder zurückgehalten werden, insbesondere wenn die Ermittlungen gefährdet wären (Klärung des Sachverhalts wäre nicht oder nicht mehr möglich, zivilrechtliche Ansprüche wären beeinträchtigt oder die Arbeit von Strafverfolgungsbehörden würde erheblich erschwert werden (§ 29 Abs. 1 S. 1 und S. 2 BDSG)).

Diese Ausnahmen gelten auch für Informationspflichten bei der Datenverarbeitung und bei der Geltendmachung von Betroffenenrechten (§15 DSGVO), jedoch nur solange, wie es die (weiteren) Ermittlungen nicht gefährdet.

Gemäß aktueller Rechtsprechung ist es in der Regel erforderlich, das Anliegen der Anonymität des Hinweisgebers dem Wunsch nach Information bzw. dem Auskunftsinteresse der betroffenen Person unterzuordnen, sofern der Hinweisgeber absichtlich oder grob fahrlässig falsche Informationen bereitgestellt hat (Ausnahme vom Vertrauchlichkeitsgebot nach HinSChG § 9, Abs. 1).

5. Aufbewahrungs- und Löschfristen

Das HinSchG legt fest, dass Daten und die Dokumentation spätestens drei Jahre nach Abschluss des Verfahrens gelöscht werden müssen. Allerdings gibt es Ausnahmen, die eine längere Aufbewahrung erlauben. Die genauen Bedingungen und Zeitpunkte sind jedoch noch Gegenstand von Diskussionen und werden von der Rechtsprechung geklärt werden müssen.

6. Die Vorteile softwaregestützter Lösungen

Toolgestützte Lösungen bieten aus datenschutzrechtlichen Gründen viele Vorteile. Das HinSchG verlangt, dass Dokumentationen abrufbar sein müssen. Bei einer Lösung mit Whistleblower Software können Daten leichter und sicherer abgerufen werden. Darüber hinaus unterstützt Whistleblowing Software bei der Anforderung des Hinweisgeberschutzgesetzes, dass fallbezogene Daten drei Jahre nach Abschluss des Falls gelöscht werden müssen. Gute Software fragt die Meldestellenverantwortlichen explizit danach, ob dies automatisch getan werden soll und wenn nicht, verlangt die Software gewichtige Gründe anzugeben - genau so, wie es das Hinweisgeberschutzgesetz verlangt.

Abschließende Gedanken

Das Zusammenspiel von Hinweisgeberschutz und Datenschutz ist komplex, aber von entscheidender Bedeutung, um sowohl die Rechte von Whistleblowern als auch die von beschuldigten Personen zu wahren. Es ist wichtig, stets die aktuelle Rechtsprechung und Gesetzgebung im Auge zu behalten und sicherzustellen, dass alle Verarbeitungstätigkeiten rechtmäßig und angemessen sind.