Hinweisgeberschutzgesetz vs. DSGVO: Wie Sie Ihre interne Meldestelle rechtlich sicher betreiben

Wie regelt die DSGVO die Informationspflichten für hinweisgebende Personen?

Gemäß Art. 13 der DSGVO ist die hinweisgebende Person über die Datenverarbeitung zu informieren. Und zwar schon bevor sie einen Hinweis gibt und auch dann, wenn eine anonyme Hinweisabgabe möglich ist. Am einfachsten lässt sich das über ein digitales Meldeportal abbilden. Dort können die Personen während der Abgabe ihres Hinweises die Datenschutzerklärung lesen und bestätigen.

‍

Wie regelt die DSGVO die Handhabung von Informationen über betroffene Personen?

Interne Meldestellen bekommen nicht nur Daten von hinweisgebenden Personen, sondern sie erhalten auch Daten über Personen, die in den Meldungen genannt werden. Oft beschreiben die Hinweisgeber das Verhalten anderer Mitarbeiter. Dabei nennen sie häufig Namen oder geben Informationen, die erkennen lassen, um wen es geht. Zum Beispiel fallen Aussagen wie: „unser Abteilungsleiter Personal“ oder „die Leiterin der Buchhaltung“.

In einer Meldung können auch andere Personen erwähnt werden. Insbesondere Mitarbeiter, die bei einem Ereignis dabei waren oder mit denen die hinweisgebende Person über das Ereignis gesprochen hat. Diese Personen werden oft namentlich erwähnt oder durch Details beschrieben, die ihre Identität erkennen lassen. Die interne Meldestelle muss dann entscheiden, ob sie diese Personen darüber informieren muss, dass ihre Daten verarbeitet werden.

Artikel 14 der DSGVO besagt, dass der Verantwortliche, in dem Fall die interne Meldestelle, die betroffene Person informieren muss, wenn diese Daten nicht direkt von ihr selbst, sondern aus anderen Quellen erhoben werden.

‍Achtung jedoch: Diese Informationspflicht würde die Erfolgschancen interner Untersuchungen gefährden und einen zusätzlichen Verwaltungsaufwand für die interne Meldestelle bedeuten. Daher steht diese Pflicht oft im Widerspruch zum Hinweisgeberschutzgesetz, das den Schutz der Identitäten von den betroffenen Personen ausdrücklich regelt. Aus diesem Grund gibt es spezielle Ausnahmeregelungen.

‍

Die Ausnahmen: Wann betroffene Personen nicht informiert werden müssen

Artikel 14 der DSGVO sieht einige Ausnahmen vor, bei denen die Information der betroffenen Personen nicht erforderlich ist. Diese gelten für Fälle, in denen Daten nicht direkt von der Person selbst erhoben wurden. Eine dieser Ausnahmeregelungen ist in Artikel 14 Absatz 5 c) der DSGVO festgelegt. Nach dieser Regel müssen Personen nicht informiert werden, wenn ihre Daten aufgrund von Gesetzen erhoben werden, die bereits Schutzmaßnahmen für die Rechte dieser Personen vorsehen. Aus unserer Sicht fällt darunter auch das Hinweisgeberschutzgesetz.

‍

Wie das Hinweisgeberschutzgesetz die Daten und Rechte von betroffenen Personen schützt

Das Hinweisgeberschutzgesetz enthält klare Regeln, wie interne Meldestellen die persönlichen Daten von Personen verarbeiten sollen, über die gemeldet wird. Außerdem stellt das Gesetz sicher, dass die Rechte dieser Personen geschützt werden. Hier finden Sie die wichtigsten Vorgaben zusammengefasst:

• § 8 des Hinweisgeberschutzgesetzes besagt, dass alle persönlichen Daten, die in einer Meldung erwähnt werden, vertraulich zu behandeln sind. Das bedeutet, dass nur die Mitarbeiter der internen Meldestelle und diejenigen, die sich um die Folgemaßnahmen kümmern, Zugriff auf diese Daten haben dürfen.
• § 9 des Hinweisgeberschutzgesetzes beschreibt spezielle Ausnahmen zum Vertraulichkeitsgebot. Diese Ausnahmen gelten für interne Untersuchungen, das Ergreifen von Maßnahmen nach einer Meldung und wenn Strafverfolgungsbehörden einbezogen werden müssen.
• Das Gesetz fordert zudem, dass nur ausreichend qualifizierte Personen in einer Meldestelle tätig sein dürfen (siehe § 15 Abs. 2 des Hinweisgeberschutzgesetzes). Und auch nur diese Personen die eingehenden Meldungen einsehen dürfen (siehe § 16 des Hinweisgeberschutzgesetzes).
• § 11 des Hinweisgeberschutzgesetzes sieht vor, dass alle eingehenden Meldungen drei Jahre lang, nach Abschluss eines Verfahrens gespeichert werden müssen. Zusätzlich müssen spezielle Schutzmaßnahmen ergriffen werden, wenn besonders sensible persönliche Daten verarbeitet werden, wie in Art. 9 der DSGVO beschrieben (siehe § 10 HinSchG).
• Wenn eine interne Meldestelle Rückmeldungen an die hinweisgebende Person gibt, muss sie die Interessen anderer Personen berücksichtigen, die von der Meldung betroffen sind (nach § 17 des Hinweisgeberschutzgesetzes). Außerdem dürfen die Rechte dieser betroffenen Personen durch keine Vereinbarung eingeschränkt werden (siehe § 39 HinSchG).
  ‍

Unsere Einschätzung zum Sachverhalt

Wir vertreten die Auffassung, dass das Hinweisgeberschutzgesetz ausreichende und konkrete Regeln enthält. Diese Regeln schützen die Rechte von Personen, deren Daten im Rahmen des Hinweisgebersystems verarbeitet werden.

QUOTE: Diese Personen sind deshalb gemäß Art. 14 DSGVO nicht über die Datenverarbeitung zu informieren.
‍
Achtung jedoch: Unabhängig davon könnte eine betroffene Person trotzdem verlangen, gemäß Artikel 15 der DSGVO über die Verarbeitung seiner Daten informiert zu werden. Diese Person könnte sogar versuchen, die Identität des Hinweisgebers herauszufinden.

Ob sie ein Recht auf solche Auskünfte hat, wird derzeit noch diskutiert. Gerichtliche Entscheidungen zu dieser Frage gibt es aktuell noch nicht.

Die Bundesregierung argumentiert in ihrem Gesetzesentwurf, dass normalerweise kein Recht auf Auskunft besteht, wenn die Daten vertraulich behandelt werden, wie es § 8 des Hinweisgeberschutzgesetzes vorschreibt. Diese Sichtweise ist allerdings umstritten, da sie möglicherweise gegen EU-Recht verstößt, indem sie das Auskunftsrecht und Regressansprüche bei Fehlinformationen einschränkt.

Bis ein Gericht darüber entscheidet, können Sie sich als Betreiber von Hinweisgebersystemen auf das Vertraulichkeitsgebot berufen, wenn sie um Auskunft gebeten werden.