Artikel kostenlos lesen

Editorial : Der Datenschutzbeauftragte als interne Meldestelle nach dem HinSchG? : aus der RDV 4/2023 Seite 211

Lesezeit 2 Min.

Gemäß § 15 Abs. 1 S. 1 Hinweisgeberschutzgesetz (HinSchG) müssen die mit einer internen Meldestelle betrauten Personen bei der Ausübung ihrer Tätigkeit unabhängig sein. Allerdings dürfen diese Personen neben ihrer Tätigkeit als interne Meldestelle auch andere Aufgaben und Pflichten übernehmen, vgl. § 15 Abs. 1 S. 2 HinSchG. Dabei ist sicherzustellen, dass derartige Aufgaben und Pflichten nicht zu Interessenkonflikten mit der Tätigkeit als interne Meldestelle führen, (§ 15 Abs. 1 S. 3 HinSchG). Gleiches gilt für die Tätigkeit des Datenschutzbeauftragten, (Art. 38 Abs. 6 DS-GVO).

Dies führt zu der Fragestellung, ob sich die beiden Ämter des Datenschutzbeauftragten und der internen Meldestelle nebeneinander vereinbaren lassen. Erwägungsgrund 56 der EU-Hinweisgeberschutzrichtlinie führt exemplarisch einige Personen eines Unternehmens auf, die die Rolle der internen Meldestelle wahrnehmen könnten. Dort wird unter anderem auch der Datenschutzbeauftragte als zulässige Person genannt, der zugleich die Rolle der internen Meldestelle bekleiden kann. Auf diesen Erwägungsgrund nimmt auch die Gesetzesbegründung zum HinSchG Bezug. Die Ausübung beider Ämter ist somit rechtlich möglich.

Jedoch stellt sich die Frage, ob eine gleichzeitige Ausübung der Ämter auch sinnvoll ist. Gerade bei mittleren und großen Unternehmen besteht die Gefahr von Interessenkonflikten, die der gleichzeitigen Ausübung widersprächen:

Zunächst könnte der zeitliche Umfang der beiden Tätigkeiten zu einem Interessenkonflikt führen. Je größer ein Unternehmen ist, desto mehr Zeit muss dem Datenschutzbeauftragten zur Aufgabenerfüllung eingeräumt werden. Gleiches gilt für die Erfüllung der Aufgaben der internen Meldestelle. Es ist also zu befürchten, dass die gleichzeitige Wahrnehmung beider Ämter zu einer Vernachlässigung eines Amtes führt. Zudem besteht bei einer zeitlichen Überlastung des internen Meldekanals die Gefahr, dass die hinweisgebenden Personen ihre Meldung an die externe Meldestelle weitergeben. Dies hat zur Folge, dass die jeweiligen Missstände im Unternehmen nicht intern gelöst werden können, sondern direkt ein behördliches (Bußgeld-)Verfahren droht.

Sowohl der Datenschutzbeauftragte als auch die Person der internen Meldestelle unterliegen besonderen Verschwiegenheits- und Geheimhaltungspflichten. Jedoch besteht mit § 9 HinSchG eine Ausnahme von diesen Pflichten, sodass im Vergleich zur DS-GVO ein anderes Geheimhaltungsniveau besteht. Dieses unterschiedliche Schutzniveau könnte ebenfalls zu einem Interessenkonflikt führen. Darüber hinaus besteht die Gefahr der faktischen Selbstkontrolle. Die interne Meldestelle legt das jeweilige Meldeverfahren im Unternehmen (§ 17 HinSchG) sowie angemessene Folgemaßnahmen (§ 18 HinSchG) fest und ist somit als Verantwortlicher i.S.d. Art. 4 Nr. 7 DS-GVO einzustufen. Da es gemäß Art. 37 Abs. 1 lit. b DS-GVO die primäre Aufgabe des Datenschutzbeauftragten ist, den Verantwortlichen zu überwachen, würde die gleichzeitige Ausübung beider Stellen zu einer faktischen Selbstkontrolle führen. Diese Selbstkontrolle stellt einen Interessenkonflikt dar, so dass die Ausübung beider Rollen unzulässig ist.

Die aufgezeigten Interessenkonflikte und Risiken verdeutlichen, dass durch die Einbindung einer weiteren Person und die klare Benennung der einzelnen Pflichten, diese Risiken umgangen bzw. verringert werden können. Insbesondere wegen der faktischen Selbstkontrolle ist die klare personelle Trennung von Datenschutzbeauftragtem und interner Meldestelle zu empfehlen.

RA Andreas Jaspers ist Geschäftsführer der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.