Mo.-Fr.: 09.00 - 17.00 Uhr
0202 24798825
Newsletter
Suche
Close this search box.
IT-Anwendungen

→ Zur Dossier Übersicht

IT-Anwendungen

→ Zur Dossier Übersicht

Teil 3 – Datenschutz beim Hinweisgebersystem

Der Datenschutz ist ein kritischer Aspekt bei Whistleblower-Systemen, besteht doch ihre Aufgabe darin, sensible Daten vertrauensvoll und auf Wunsch auch anonym zu empfangen und zu verarbeiten. Welche Voraussetzungen müssen geschaffen werden und wie kann das Vertrauen der Beschäftigten in das System nicht nur gewonnen, sondern auch erhalten werden?
Hannah Wei, Unsplash
Lesedauer 5 Minuten

Inhaltsverzeichnis

Wer eine interne Meldestelle einrichtet, kommt nicht nur der Gesetzgebung nach, sondern zeigt auch Interesse an den Anliegen und Sorgen der Beschäftigten – zumal es für das Unternehmen nur von Vorteil sein kann, wenn Hinweise zunächst intern eingehen und nicht direkt an die Öffentlichkeit bzw. an externe Meldestellen herangetragen werden. Doch es gilt für betroffene Unternehmen nicht nur das Hinweisgeberschutzgesetz einzuhalten, sondern gleichermaßen die Datenschutz-Grundverordnung bei der Verarbeitung eingehender Hinweise zu berücksichtigen.

Datenminimierung

Bei der Verarbeitung gilt es, den Grundsatz der Datenminimierung (Art. 5, Abs. 1c der DSGVO) zu beachten. Es dürfen ausschließlich Daten gesammelt werden, die notwendig sind, um den gemeldeten Fall bearbeiten zu können. Die Erfassung übermäßiger oder irrelevanter Daten sollte vermieden werden.

Datensicherheit

Um die Sicherheit der Daten gewährleisten zu können, müssen entsprechende Sicherheitsmaßnahmen ergriffen werden. Um unbefugten Zugriff zu verhindern, müssen sowohl physische Schutzmechanismen (z.B. abschließbare Schränke) wie auch eine entsprechende Verschlüsselung und Netzwerkprotokolle eingesetzt werden.

Zugriffsbeschränkungen

Die Daten im Hinweisgebersystem dürfen nur für die verantwortlichen Personen einsehbar sein und müssen vor fremden Zugriffen ausreichend geschützt werden. Dies kann durch strenge Zugriffs- und Berechtigungskonzepte sowie Benutzerauthentifizierung gewährleistet werden.

Anonymität

Auch wenn das Gesetz die Abgabe anonymer Meldungen nur als “Soll-Vorschrift” vorgibt, wird empfohlen, das Einreichen anonymer Meldungen zu ermöglichen. Eine Verschleierung durch den Einsatz von Technologien ist möglich.

Transparenz

Die Organisation sollte klare Richtlinien und Verfahren für das Hinweisgebersystem haben und diese allen Mitarbeitern und Stakeholdern kommunizieren.

Rechte der betroffenen Personen

Personen, die in einem gemeldeten Fall erwähnt werden, haben das Recht, über die Existenz und den Inhalt solcher Daten informiert zu werden (es sei denn, dies würde die Untersuchung gefährden oder andere rechtliche Verpflichtungen verletzen). Sie sollten auch das Recht haben, diese Daten zu korrigieren oder zu löschen, sofern dies rechtlich zulässig ist.

Regelmäßige Überprüfung

Das Hinweisgebersystem und dessen Verfahren sind regelmäßig zu prüfen, um sicherzustellen, dass sie den aktuellen Datenschutzstandards und -bestimmungen entsprechen.

Rechtskonformität

Es ist wichtig sicherzustellen, dass das Hinweisgebersystem den datenschutzrechtlichen Vorschriften des jeweiligen Landes oder der Region entspricht, in dem es eingesetzt wird. In der EU erfordert dies die Einhaltung der Datenschutz-Grundverordnung (DSGVO), in der Schweiz z.B. muss das seit dem 1.9.2023 gültige Schweizer Bundesgesetz über den Datenschutz (DSG) Berücksichtigung finden.

Schulung und Bewusstseinsbildung

Die Mitarbeiter und alle, die mit dem System arbeiten, müssen in Bezug auf Datenschutz und Vertraulichkeit geschult werden, um sicherzustellen, dass sie die Daten angemessen schützen.

Welche Maßnahmen müssen konkret ergriffen werden?

Verzeichnis von Verarbeitungstätigkeiten ergänzen

Wenn ein Unternehmen oder eine Organisation ein Hinweisgebersystem einrichtet, dann ist diese Verarbeitungstätigkeit in der Regel im Verzeichnis von Verarbeitungstätigkeiten zu dokumentieren.

Die genauen Inhalte und Kriterien für das Verzeichnis von Verarbeitungstätigkeiten sind in Artikel 30 DSGVO festgelegt. Es sollten Informationen wie der Zweck der Verarbeitung, die Kategorien betroffener Personen, die Kategorien von Empfängern der personenbezogenen Daten, vorgesehene Speicherfristen und allgemeine Beschreibungen der technischen und organisatorischen Maßnahmen zur Sicherung der Daten enthalten sein.

Notwendige Inhalte:

  • Name und Kontaktdaten des Verantwortlichen
  • Zweck der Verarbeitung
  • Datenkategorie
  • Auflistung der Betroffenen nach Kategorien
  • Auflistungen aller Datenempfänger / zur Einsicht befugten Personen (oder Kategorien von Empfängern)
  • Getroffene technische und organisatorische Maßnahmen (TOM)
  • Löschfristen

Technische und organisatorische Maßnahmen anpassen

Um den Nachweis erbringen zu können, dass Verarbeitungen DSGVO konform erfolgen, verpflichtet Art. 24 DSGVO den Verantwortlichen und Auftragsverarbeiter dazu, technische und organisatorische Maßnahmen (TOMs) im Unternehmen umzusetzen. Dabei muss sich die Auswahl und Umsetzung der Maßnahmen an der jeweiligen Verarbeitung (Art, Umfang, Umstände, Zwecke) und den damit einhergehenden Risiken für die Rechte und Freiheiten natürlicher Personen orientieren.

  • Pseudonymisierung und Ende-zu-Ende Verschlüsselung
  • Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme
  • Regelmäßige Überprüfung
  • Revisionssicherheit
  • regelmäßige Sicherheitstests
  • Datenschutz durch Technikgestaltung
  • Datenminimierung
  • Zweckbindung

Datenschutzfolgeabschätzung durchführen

Eine Datenschutzfolgeabschätzung (DSFA) ist im Rahmen der Datenschutz-Grundverordnung (DSGVO) ein Prozess zur Identifizierung, Bewertung und Minimierung der Datenschutzrisiken von Verarbeitungstätigkeiten. Die DSFA ist besonders dann notwendig, wenn eine geplante Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt.
Hinweisgebersysteme verarbeiten oft personenbezogene Daten sowohl von den meldenden Personen als auch von den Personen, gegen die Anschuldigungen erhoben werden. Da Meldungen oftmals mit einem hohen Risiko für betroffene Personen einhergehen, sollte vor der Einführung eines Hinweisgebersystems eine Datenschutzfolgeabschätzung durchgeführt werden.

Transparenzerklärung zur Unterstützung

Eine Transparenzerklärung im Rahmen eines Hinweisgebersystems ist wichtig, um allen Beteiligten Klarheit darüber zu verschaffen, wie das System funktioniert, welche Rechte und Pflichten sie haben und wie ihre Daten geschützt werden. Solch eine Erklärung kann Vertrauen schaffen und sicherstellen, dass das System effektiv funktioniert.

Folgende Aspekte sollten in der Transparenzerklärung berücksichtigt werden:

Datenschutz: Beschreibung, wie die Daten der Hinweisgeber und der gemeldeten Personen geschützt werden. Dies sollte auch die Dauer der Datenspeicherung und die Bedingungen für eine Löschung umfassen.

Zweck des Hinweisgebersystems: Erklärung darüber, warum das System eingeführt wurde und welchen Zweck es erfüllen soll.
Anonymität: Erklärung darüber, ob und wie die Anonymität der Hinweisgeber gewährleistet wird.

Verfahren nach einer Meldung: Beschreibung des Verfahrens, das nach einer Meldung eingeleitet wird, einschließlich Untersuchungsprozess, Maßnahmen und möglicher Konsequenzen.

Rechte der gemeldeten Personen: Informationen darüber, welche Rechte Personen haben, gegen die Vorwürfe erhoben wurden.
Kommunikation: Wie und unter welchen Umständen werden Hinweisgeber über den Stand ihrer Meldung informiert?

Keine Repressalien: Eine klare Aussage, dass Hinweisgeber nicht aufgrund ihrer Meldung benachteiligt oder bestraft werden dürfen.

Zugriff und Korrektur: Informationen darüber, wie Beteiligte Zugang zu ihren Daten erhalten und wie sie Fehler korrigieren können.

Kontakt: Angabe einer Kontaktstelle für Fragen oder Bedenken bezüglich des Hinweisgebersystems.

Rechtsgrundlage: Auf welche gesetzlichen oder internen Regelungen stützt sich das Hinweisgebersystem?

Änderungen der Erklärung: Informationen darüber, wie und unter welchen Umständen diese Transparenzerklärung aktualisiert wird.

Es ist ratsam, die Transparenzerklärung regelmäßig zu überprüfen und bei Bedarf zu aktualisieren, insbesondere im Hinblick auf Änderungen im rechtlichen Rahmen oder den internen Abläufen der Organisation.

Datenschutz-Verstöße und ihre Konsequenzen im Rahmen des Hinweisgeberschutzgesetzes

Das Hinweisgeberschutzgesetz zielt darauf ab, Personen zu schützen, die Verstöße gegen das Gesetz melden (sogenannte Whistleblower). Da bei der Bearbeitung von Hinweisen fast immer personenbezogene Daten verarbeitet werden, kann es auch zu Verstößen beim Schutz dieser Daten kommen – und Datenschutzverstöße sind besonders sensibel, da sie das Recht auf Privatsphäre betreffen.

Verstöße gegen Datenschutzregelungen können im Rahmen der DSGVO zu erheblichen Bußgeldern führen: Die DSGVO sieht Bußgelder in Höhe von bis zu 4% des weltweiten Jahresumsatzes oder 20 Millionen Euro (je nachdem, welcher Betrag höher ist) vor.

Neben den zivilrechtlichen Sanktionen gibt es  in Deutschland auch strafrechtliche Konsequenzen für Datenschutzverstöße. Das BDSG enthält in den §§ 41 bis 44 spezielle Strafvorschriften für Datenschutzverstöße. Hierbei kann es zu Freiheitsstrafen von bis zu drei Jahren oder Geldstrafen kommen, je nach Schwere des Verstoßes und dem Grad des Verschuldens.

Es ist jedoch wichtig zu beachten, dass nicht jeder Datenschutzverstoß zu einer strafrechtlichen Verfolgung führt. Vielmehr hängt die Entscheidung, ob ein strafrechtliches Verfahren eingeleitet wird, von der Einschätzung der zuständigen Behörden ab und ob der Verstoß vorsätzlich oder fahrlässig begangen wurde.

Neben finanziellen und rechtlichen Konsequenzen kann ein Datenschutzverstoß auch den Ruf eines Unternehmens erheblich schädigen und zum Reputationsverlust führen.

Fazit

Es ist empfehlenswert, dass der Datenschutzbeauftragte des Unternehmens Teil des Projektteams für die Umsetzung des HinSchG ist – so kann den Mitarbeitern die Bedeutung des Schutzes personenbezogener Daten verdeutlicht werden und potenzielle Systeme stehen auch hinsichtlich ihrer Datenschutzkonformität im Fokus.

Ein gut gestaltetes Hinweisgebersystem, das die notwendigen Datenschutzprinzipien respektiert, kann das Vertrauen der Mitarbeiter stärken und sicherstellen, dass Bedenken ohne Angst vor Repressalien gemeldet werden können. Durch die Berücksichtigung der oben aufgeführten Überlegungen kann das Hinweisgebersystem datenschutzkonform in das Datenschutzmanagementsystem des Unternehmens integriert werden.

Unser Experte

Matti Fiedler
Matti Fiedler
Matti Fiedler ist TÜV-zertifizierter Nachhaltigkeitsmanager und Datenschutzbeauftragter. Er begleitet Unternehmen beim Aufbau ihrer Datenschutz- und Nachhaltigkeitsmanagement-Systeme und unterstützt bei komplexen regulatorischen Anforderungen. Neben seiner Arbeit absolviert Matti sein Masterstudium in Wirtschaftsinformatik und weiß daher um die Bedeutung des Datenmanagements in Unternehmen.
Unser Newsletter
Bleiben Sie auf dem Laufenden mit regelmäßigen Informationen zum Thema DSGVO. Ihre Einwilligung in den Empfang können Sie jederzeit widerrufen.
Unser Newsletter

Bleiben Sie mit regelmäßigen Informationen zum Thema DSGVO auf dem Laufenden. Ihre Einwilligung in den Empfang können Sie jederzeit widerrufen. Zum Newsletter-Archiv.

Sicherheit durch Datenschutz

Wir betreuen unsere Kunden durch branchenspezifisch fokussierte Teams. Diese bestehen durchweg aus TÜV- zertifizierten Datenschutzexperten, IT-Forensikern und Volljuristen mit langjähriger Erfahrung im Bereich des Datenschutzes.

Navigation

Kontakt

zu unseren DSGVO-Sachverständigen

Montag bis Freitag von 9.00-17.00 Uhr
Telefon: +49 202 247988-25

> Eine Nachricht senden

Adresse

Inproma GmbH
PRO-DSGVO
Am Hofe 10
42349 Wuppertal

2023 © Inproma GmbH

Angebotsanfrage Datenschutz Schnelltestzentren
Vielen Dank für Ihr Interesse! Gerne unterbreiten wir Ihnen ein passendes Angebot.
=
3 in 1 Angebot
Vielen Dank für Ihr Interesse! Wir werden uns kurzfristig bei Ihnen melden.
optional für unseren Rückruf
=