Hinweisgeberschutzgesetz – Zwischen Verantwortlichkeit und Vertraulichkeit
11. Januar 2024

Das neue Hinweisgeberschutzgesetz verlangt von Unternehmen mit mehr als 50 Beschäftigten die Einrichtung interner Meldestellen. Beim Datenschutz stellt dies die Unternehmen vor die Herausforderung, eine Balance zwischen dem Schutz der Whistleblower und dem Schutz der Beschuldigten zu finden. In diesem Artikel behandeln wir die Datenschutzaspekte, die bei der Einrichtung einer Meldestelle zu beachten sind. Was […]

Das neue Hinweisgeberschutzgesetz verlangt von Unternehmen mit mehr als 50 Beschäftigten die Einrichtung interner Meldestellen. Beim Datenschutz stellt dies die Unternehmen vor die Herausforderung, eine Balance zwischen dem Schutz der Whistleblower und dem Schutz der Beschuldigten zu finden. In diesem Artikel behandeln wir die Datenschutzaspekte, die bei der Einrichtung einer Meldestelle zu beachten sind.

Was ist das Whistleblower-Gesetz?

Mit dem Hinweisgeberschutzgesetz, das seit dem 2. Juli 2023 gilt, hat sich Deutschland daran gemacht, die EU-Richtlinie zum Schutz von Hinweisgebern (Whistleblowern)  in nationales Recht zu übertragen. 

Was ist das Ziel des Gesetzes? Es soll den Rücken von Personen stärken, die auf Missstände im Job aufmerksam machen. Unternehmen mit über 50 Beschäftigten müssen nun interne Meldestellen einrichten. Für bestimmte Unternehmen der Finanzbranche ist die Einrichtung einer Meldestelle unabhängig von der Mitarbeiterzahl Pflicht.

Die Aufgabe der Meldestellen: Sie müssen unter Wahrung der Vertraulichkeit Meldungen entgegennehmen, bewerten und gegebenenfalls Ermittlungen gegen die beschuldigte Person einleiten.

Das Fehlen einer Hinweisgeberstelle kann das Unternehmen 20.000 Euro kosten. Wer eine Meldung verhindert, muss bis zu 50.000 Euro zahlen.

Wie funktioniert die Meldung?

Meldungen können grundsätzlich mündlich oder in Textform abgegeben werden. Die Einrichtung einer Hotline mit einem befähigten Gegenüber ist genauso zulässig wie z.B. die Benennung einer Vertrauensperson. Die Meldung kann sowohl mündlich als auch in Textform abgegeben werden, was elektronische Meldungen einschließt. Um die Anonymität der Hinweisgeber zu schützen und Ressourcen zu schonen, verwenden viele Unternehmen Online-Plattformen, die von einer Vielzahl von Anbietern bereitgestellt werden.

In der Regel verläuft der Meldeprozess bei Online-Meldestellen nach dem folgenden Schema ab: 

Der Hinweisgeber nutzt das sichere Online-Formular des Fallmanagement-Systems, um die Meldung über den vermuteten Missstand oder Verstoß einzureichen. Dies kann eine Beschreibung des Vorfalls, Namen von Personen oder Abteilungen, Orte und Daten sowie andere relevante Details umfassen. Der Hinweisgeber sollte die Möglichkeit haben, eine Meldung anonym abzugeben, kann aber auch entscheiden, unter Angabe der Identität zu melden.

Nachdem die Meldung online eingereicht wurde, erhält der Hinweisgeber automatisch, spätestens aber nach sieben Tagen, eine Bestätigung über den Eingang seiner Meldung. Wird die Meldung vom Meldestellenverantwortliche (auch Ombudsmann genannt) als relevant eingestuft, koordiniert dieser anschließend das gesamte Verfahren. 

Der Ombudsmann informiert innerhalb von drei Monaten den Hinweisgeber über den Fortschritt der Untersuchung und die ergriffenen Maßnahmen und fordert bei Bedarf weitere Dokumente und Informationen beim Hinweisgeber an. Wenn die Untersuchung Verstöße oder Missstände bestätigt, wird ein internes Ermittlungsverfahren durchgeführt. 

Das Verfahren endet, wenn die Untersuchung abgeschlossen ist und alle erforderlichen Maßnahmen ergriffen wurden. Der Ombudsmann übermittelt dem Hinweisgeber das Ergebnis der Ermittlungen, soweit dies mit gesetzlichen Verschwiegenheitspflichten vereinbar ist. Üblicherweise wird die Meldung zusammen mit allen zum Fall gehörenden Ermittlungsergebnisse und Dokumente an diesem Punkt archiviert und aus dem Hinweisgeber-System entfernt. 

Kann eine interne Meldestelle extern beauftragt werden? 

Die Einrichtung und der Betrieb einer internen Meldestelle im eigenen Hause gemäß dem Hinweisgeberschutzgesetz kann für Unternehmen aus verschiedenen Gründen unpraktisch sein. 

Zunächst besteht das Risiko von Interessenkonflikten. Ein intern beauftragter Ombudsmann könnte befangen sein, insbesondere wenn die Meldung gegen Kollegen oder Vorgesetzte gerichtet ist. Die Objektivität und Unabhängigkeit der Untersuchung könnten dadurch beeinträchtigt werden. 

Zweitens ist der Betrieb einer internen Meldestelle arbeitsintensiv und erfordert spezielle Kompetenzen und Schulungen, die zusätzliche Ressourcen beanspruchen. Nicht jedes Unternehmen kann auf qualifizierte Mitarbeiter zurückgreifen, die unter Berücksichtigung der Vertraulichkeit und der nötigen Fachkunde für die Rolle des Ombudsmannes in Frage kommen.

Drittens werden bei internen Meldestellen sensible Daten verarbeitet, was eine Herausforderung hinsichtlich des Datenschutzes darstellt. 

Ein externer Dienstleister kann dieses Dilemma lösen, indem er Unabhängigkeit und Fachkenntnis bietet und das Unternehmen von der Verwaltung der Meldestelle entlastet​​. Die Meldestelle bleibt auch bei externer Vergabe eine interne Meldestelle. Externe Meldestellen sind im Gesetz gesondert geregelt und werden u.a. vom Bund eingerichtet.

Welche datenschutzrechtlichen Verträge sind notwendig?

Bei der Einrichtung einer Meldestelle liegt die Verantwortung für die Verarbeitung personenbezogener Daten beim verantwortlichen Unternehmen, auch wenn sie von externen Dienstleistern betrieben wird.

In Unternehmensgruppen hängt die Vertragsart für die Datenverarbeitung beim gemeinsamen Betrieb eines Hinweisgebersystems davon ab, wie die Verarbeitung organisiert ist. Bei gemeinsamer Verantwortlichkeit, typischerweise wenn mehrere Konzerngesellschaften die Mittel und Zwecke gemeinsam bestimmen (was bei einem gemeinsamen Datenpool der Fall sein dürfte), wird eine entsprechende Vereinbarung über die gemeinsame Verantwortlichkeit (Joint Controller Agreement) nach Art. 26 DSGVO benötigt. 

Die Bereitstellung des Tools für die interne Meldestelle durch einen Dienstleister (egal ob intern oder extern) ist in jedem Fall Auftragsverarbeitung und muss vertraglich geregelt werden.

Braucht es eine Datenschutzfolgenabschätzung (DSFA) für die Verarbeitung im Rahmen der internen Meldestelle?

xIm Jahr 2018 hat die Datenschutzkonferenz in einer Orientierungshilfe ohne weitere Begründung festgestellt, dass ein Verfahren zur Meldung von Missständen aufgrund des hohen Risikos für die Rechte und Freiheiten natürlicher Personen einer Datenschutz-Folgenabschätzung unterliegt. Zu diesem Zeitpunkt war die Einrichtung einer internen Meldestelle noch eine freiwillige Maßnahme. Seit der Einführung des Hinweisgeberschutzgesetzes, ist der Sachverhalt jedoch völlig anders und die Orientierungshilfe der Aufsichtsbehörden sollte überarbeitet oder zurückgezogen werden. Im Gegensatz zum österreichischen Gesetzgeber hat es der Deutsche Bundestag leider versäumt, die DSFA gleich mit ins Gesetz zu schreiben. Es stellt sich die Frage, warum eine vom Gesetzgeber geforderte automatisierte Verarbeitung (hier: Meldung in Textform), die unter Einhaltung der Anforderungen der DSGVO (Artikel 25, 28 und 32) implementiert wird überhaupt zu einem hohen Risiko, das im Rahmen einer DSFA gesondert geprüft werden muss, führen kann. Dass Aufsichtsbehörden und Berater die Notwendigkeit einer DSFA bejahen ist nur verständlich, aber rechtlich begründet ist es nicht.

Warum ist es gut, wenn Sie Daten löschen?
09. Oktober 2023

Seit einem halben Jahrzehnt ist die DSGVO in Kraft. Zu Beginn haben wir alle mit viel Energie versucht, dem detaillierten Regelwerk gerecht zu werden. Doch da die enthaltenen Löschfristen anfangs noch in weiter Ferne lagen, hatte ihre Umsetzung oft keine hohe Priorität. Inzwischen sitzen viele Unternehmen auf Bergen von Daten, die eigentlich längst gelöscht sein […]

Seit einem halben Jahrzehnt ist die DSGVO in Kraft. Zu Beginn haben wir alle mit viel Energie versucht, dem detaillierten Regelwerk gerecht zu werden. Doch da die enthaltenen Löschfristen anfangs noch in weiter Ferne lagen, hatte ihre Umsetzung oft keine hohe Priorität. Inzwischen sitzen viele Unternehmen auf Bergen von Daten, die eigentlich längst gelöscht sein sollten.
Wissen Sie, welche Daten wann in Ihrer Organisation gelöscht werden müssen?

Das Datenleck bei Motel One: Ein kurzer Überblick

Ende September 2023 wurde die Hotelkette Motel One Opfer eines groß angelegten Hackerangriffs. Millionen Kundendaten  landeten im Darknet. Darunter waren die komplette Gästeliste seit 2016, private Rechnungsadressen und Geburtsdaten von Kunden, interne Geschäftszahlen aber auch Handynummern von Beschäftigten. Besonders brisant: 150 Kreditkartendaten von Gästen, wie Motel One bestätigen musste.

Die Konsequenzen

Für Motel One ist das Datenleck ein Desaster. Das Unternehmen verliert Vertrauen bei seinen Kunden und Mitarbeiterinnen – denn auch deren Daten sind betroffen, sofern sie auf Reisen selbst Gäste ihres Arbeitgebers waren.

In Deutschland führten schon kleinere Fälle zu sechsstelligen Bußgeldzahlungen.
Bereits für das Fehlen von klar definierten Löschregeln für personenbezogene Daten wurden in der Vergangenheit schmerzhafte Strafzahlungen verhängt. 

Betroffene können online leicht Ansprüche prüfen – eine Klagewelle gegen Motel One ist zu erwarten.
Dazu der immense Reputationsverlust: Wer den Datenschutz missachtet, dem wird auch in anderen Bereichen Nachlässigkeit unterstellt.

Die Idee “Der Staat müsste sich mehr um Datensicherheit kümmern” zeugt von Unverständnis: Wer Daten verarbeitet, ist für die Sicherheit der Daten verantwortlich.

Die Blamage und der wirtschaftliche Schaden wären viel kleiner ausgefallen, wenn das Unternehmen Zeit in ein sinnvolles Löschkonzept investiert und auch gelöscht hätte. Gelöschte Daten können nicht mehr gestohlen werden.
Das Paradoxe dabei: Wir müssen viele Daten aufbewahren.  Je weniger exponiert die Daten mit langer Aufbewahrungsfrist gespeichert werden (z.B. in speziell gesicherten Archiv-Systemen), desto kleiner ist das Risiko für Ihr Unternehmen.

Was man nicht mehr braucht, muss weg

Alle Daten ohne rechtliche Aufbewahrungspflicht oder bei denen der Zweck der Verarbeitung nicht mehr vorliegt, müssen gelöscht werden. Ein effektives, gut in das Unternehmen integriertes Löschkonzept kann das sicherstellen. Es schützt Reputation, Kundenvertrauen und Finanzen im Falle eines Cyberangriffs vor Schaden.

Löschkonzept

Ein Löschkonzept ist ein strukturierter Ansatz zur Datenverwaltung, der den gesamten Lebenszyklus der Daten von der Erhebung bis zur Löschung abdeckt. Es hilft Unternehmen, veraltete und nicht mehr benötigte Daten sicher zu entfernen und somit die Risiken von Datenlecks zu minimieren. Doch ein Löschkonzept geht über die bloße Löschung hinaus. Es umfasst auch die Prüfung der Rechtmäßigkeit der Datenspeicherung und die Implementierung effektiver Sicherheitsmaßnahmen zum Schutz der Daten.

Was müssen Sie tun?

  1. Bestandsaufnahme: Prüfen sie alle Verarbeitungstätigkeiten im Unternehmen

Welche Datenkategorien werden verarbeitet und welche Löschfristen bestehen für diese Daten? Die Löschfrist ergibt sich in der Regel aus der Rechtsgrundlage zur eigentlichen Verarbeitung. Es können aber auch weitere gesetzliche Verpflichtungen zur Aufbewahrung bestehen, die sie berücksichtigen müssen.

Beispielsweise könnten Geschäftsbriefe, die zu keinem Abschluss geführt haben, aus Sicht eines Unternehmens vernichtet werden. Die Steuergesetzgebung schreibt jedoch vor, dass Geschäftsbriefe 6 Jahre aufbewahrt werden müssen. 

LöschklasseDokumentartenRechtsgrundlagegesetzl. Aufbewahrungs-fristFrist
berecht.
Interesse
Standard-Aufbewahrungs-fristBeginn der Laufzeit
LK01Video-ÜberwachungArt. 6, Abs. 1, lit. f DSGVOnicht definiert72 h72 hZeitpunkt der Aufnahme
LK02Handels- und Geschäftsbriefe, E-Mails und andere digitale Dokumente, BeratungsprotokolleArt. 6 Abs. 1, lit. c DSGVO in Verbindung mit § 147 AO, Abs. 36 Jahre3 Jahre6 JahreEnde des Geschäftsjahres, in dem der Brief erstellt wurde.
Beispiel für typische Löschklassen in Unternehmen
  1. Definition von Löschklassen und Löschregeln
    Um die Komplexität der Löschanforderungen überschaubar zu halten, definieren sie Löschklassen. Das sind Gruppen von Daten, für die gleiche Aufbewahrungsfristen bestehen. Die Zuordnung von Löschklassen zu den einzelnen Verarbeitungsschritten der Verarbeitung erlaubt die Ableitung von Löschregeln. Löschregeln definieren für jede Verarbeitung, welche Daten konkret wann gelöscht werden müssen.
  1. Die Implementierung eines effektiven Löschkonzepts kann anspruchsvoll sein, doch mit der richtigen Unterstützung ist es durchaus machbar. Brainosphere hat Erfahrung bei der Erstellung und Umsetzung von umfangreichen Löschkonzepten auch in Konzernstrukturen. Gerne helfen wir auch Ihrem Unternehmen, datenschutzkonform zu arbeiten. Kontaktieren Sie uns, um mehr darüber zu erfahren, wie wir Ihnen helfen können, Ihr Löschkonzept zu erarbeiten und umzusetzen.

Übersicht eines Löschprozesses für Unternehmen

Für Unterstützung beim Thema Löschkonzept, kontaktieren Sie uns gerne unter service@brainosphere.de.

Neue Website
16. März 2010

Nachdem wir Ende 2009 die Website von Klar EDV aktualisiert haben, ist dies der zweite Schritt bei der Überarbeitung unserer Online-Auftritte. Auf der Grundlage der Klar EDV Gestaltung haben wir auch diese Website mit WordPress als Content-Management-System und dem Theme von Hybrid umgesetzt. Unser Dank gilt erneut Ulrike Zimmer, die uns das Design entworfen hat […]

Nachdem wir Ende 2009 die Website von Klar EDV aktualisiert haben, ist dies der zweite Schritt bei der Überarbeitung unserer Online-Auftritte. Auf der Grundlage der Klar EDV Gestaltung haben wir auch diese Website mit WordPress als Content-Management-System und dem Theme von Hybrid umgesetzt.

Unser Dank gilt erneut Ulrike Zimmer, die uns das Design entworfen hat und Martin Raasch, der die technische Umsetzung koordiniert hat.

Es ist geplant, dass hier mehrmals pro Monat ein kurzer Artikel über Dinge, aus den Bereichen Datenschutz, E-Learning und Projektmanagement, veröffentlicht wird. Wir freuen uns über Kritik und Anregungen, die wir über die Kommentare oder das Kontaktformular entgegen nehmen. Die Kommentare sind moderiert und werden zeitnah durch uns frei geschaltet.

Herzlichen Dank und viel Vergnügen!

Ihr Gregor Klar

0 Kommentare
Projektmanagement
05. März 2010

Die Bedeutung betrieblicher Informationstechnologie und der eigenen IT-Infrastruktur ist für Unternehmen so groß wie nie zuvor. Die meisten Geschäftsprozesse erfolgen IT-gestützt und müssen reibungslos funktionieren. Ohne sie ist der Unternehmenserfolg ernsthaft gefährdet. Aufgrund der wachsenden Komplexität wird es für die Unternehmensleitung jedoch immer schwerer, die Sicherheit und die Qualität von Geschäftsprozessen zu bewerten bzw. verlässliche […]

Die Bedeutung betrieblicher Informationstechnologie und der eigenen IT-Infrastruktur ist für Unternehmen so groß wie nie zuvor. Die meisten Geschäftsprozesse erfolgen IT-gestützt und müssen reibungslos funktionieren.

Ohne sie ist der Unternehmenserfolg ernsthaft gefährdet. Aufgrund der wachsenden Komplexität wird es für die Unternehmensleitung jedoch immer schwerer, die Sicherheit und die Qualität von Geschäftsprozessen zu bewerten bzw. verlässliche Kosten/Nutzen-Analysen zu erstellen.

Als Folge daraus werden IT-Projekte häufig ohne ausreichendes Projektmanagement und eine entsprechende Qualitätssicherung umgesetzt. Mangelnde Kommunikation und fehlende Projekttransparenz bergen zusätzliches Konfliktpotenzial in sich – gerade bei bereichsübergreifenden Vorhaben.

So planen, steuern und sichern wir Ihre IT-Projekte:
• Wir entwickeln Projekthandbuch und Projektplan.
• Wir wählen Steuerungsmethoden nach dem jeweiligen Bedarf.
• Wir erstellen die notwendigen Kommunikations- und Organisationspläne.
• Wir installieren ein zuverlässiges Berichtswesen – nach innen und außen.
• Wir bewerten Projektrisiken und leiten rechtzeitig die erforderlichen Maßnahmen ein.
• Wir sichern die termingerechte Verfügbarkeit entsprechender Ressourcen.
• Wir moderieren bereichs- und hierarchieübergreifend.

0 Kommentare
Sie finden uns hier…
01. März 2010

…in Berlin-Charlottenburg, in der Holtzendorffstraße 20 (Ecke Kantstraße). Größere Kartenansicht

…in Berlin-Charlottenburg, in der Holtzendorffstraße 20 (Ecke Kantstraße).


Größere Kartenansicht

0 Kommentare