DA+

Aufsatz : Das Hinweisgeberschutzgesetz im Lichte der Datenschutz-Grundverordnung : aus der RDV 6/2024, Seite 323 bis 330

Ein Leitfaden zur DS-GVO-konformen Nutzung interner Meldestellen

Lesezeit 24 Min.

Das Hinweisgeberschutzgesetz (HinSchG) ist am 2. Juni 2023 in Kraft getreten und verkündet worden[1]und gilt spätestens ab dem 17. Dezember 2023. Bis zu dieser Frist sind die Bestimmungen des Gesetzes umzusetzen. Das HinSchG verfolgt den Zweck, Personen, die Missstände, Rechtsverstöße oder Gefahren für die Allgemeinheit, an die im HinSchG dafür vorgesehenen Stellen melden (sog. hinweisgebende Personen oder Whistleblower), vor Repressalien wie Kündigung oder anderen beruflichen Benachteiligungen zu schützen. Das Gesetz richtet sich an Unternehmen sowie den öffentlichen Sektor. Bei der Errichtung sicherer Kanäle zur Meldung von Missständen unterscheidet das HinSchG zwischen externen Meldestellen, die von der öffentlichen Hand eingerichtet werden (§§ 19 ff. HinSchG) und internen Meldestellen beim Beschäftigungsgeber selbst (§§ 12 ff. HinSchG). Die Verpflichtung zur Einrichtung einer internen Meldestelle besteht für öffentliche und private Beschäftigungsgeber mit in der Regel mindestens 50 Beschäftigten (§ 12 Abs. 2 und 3 HinSchG). Die Einrichtung der internen Meldestelle nach dem HinSchG kann auch durch die Beauftragung Dritter, also externer Personen (sog. externalisierte interne Meldestelle) erfolgen, vgl. § 14 Abs. 1 S. 1 HinSchG. Die externe Meldestelle ist beim Bundesamt für Justiz eingerichtet (§ 19 Abs. 1 HinSchG). Das HinSchG sieht ein gleichberechtigtes Nebeneinander von internen und externen Meldestellen vor.[2] Hinweisgebende Personen haben die freie Wahl, ob sie Missstände zuerst an eine interne Meldestelle des Unternehmens oder der Behörde oder direkt an eine externe, staatlich eingerichtete Meldestelle melden möchten.

Dieser Aufsatz analysiert umfassend die datenschutzrechtlichen Herausforderungen des HinSchG. Im Fokus stehen dabei die datenschutzrechtlichen Pflichten für Unternehmen und Hinweisgeber, insbesondere der Umgang mit personenbezogenen Daten, die Sicherheit der Meldekanäle sowie der Schutz der betroffenen Personen. Dabei werden die wichtigsten Konfliktfelder zwischen Daten- und Hinweisgeberschutz aufgezeigt und mögliche Lösungsansätze diskutiert. Ein zentrales Thema ist dabei die Beantwortung der Fragestellung nach der Zulässigkeit der gleichzeitigen Ausübung des Amtes der internen Meldestelle und des Datenschutzbeauftragten (XI.).

I. Wer ist vom HinSchG betroffen?

Das HinSchG trat am 2. Juli 2023 in Kraft und sah für kleinere Unternehmen eine Schonfrist zur Umsetzung der Voraussetzungen bis zum 17. Dezember 2023 vor. Seitdem sind die Regelungen des HinSchG für folgende Beschäftigungsgeber relevant:

  • Unternehmen: Ab 50 Beschäftigten sind Unternehmen verpflichtet, interne Meldestellen einzurichten. ▪ Öffentliche Stellen: Alle öffentlichen Verwaltungen, Behörden, Gemeinden und juristische Personen des öffentlichen Rechts (z.B. Körperschaften, Anstalten oder Stiftungen) müssen Meldestellen unabhängig der Mitarbeiteranzahl einrichten.
  • Externe Meldestellen: Staatliche Stellen, wie das Bundesamt für Justiz, sind für die Einrichtung und den Betrieb externer Meldestellen verantwortlich.

II. Welche personenbezogenen Daten werden im Rahmen des HinSchG verarbeitet?

Im Rahmen des HinSchG werden zwangsläufig verschiedene personenbezogene Daten verarbeitet. So enthalten Meldungen – sofern die Meldungen nicht anonym abgegeben wurden – Angaben zum Hinweisgeber (Name, Kontaktdaten und arbeitsplatzbezogene Informationen wie z.B. die Stellung im Unternehmen oder der Behörde). Zudem werden Daten der beschuldigten Personen erfasst, darunter deren Name und Informationen über den gemeldeten Verstoß. Auch Dritte, die im Zusammenhang mit der Meldung genannt werden, wie Zeugen oder andere Beteiligte, können datenschutzrechtlich betroffen sein. Darüber hinaus finden nach einer Meldung an die interne Meldestelle im weiteren Verlauf der Aufklärung der gemeldeten Rechtsverstöße oder Missstände weitere Datenverarbeitungen von personenbezogenen Daten statt, die sich auf den Austausch zwischen Hinweisgeber und interner Meldestelle beziehen, wie der Inhalt von Gesprächen oder schriftlichen Mitteilungen (z.B. E-Mails).

III. Rechtsgrundlage der Datenverarbeitung

Nach einer Meldung an die interne Meldestelle sind bei einem begründeten Verdachtsfall interne Untersuchungen durchzuführen. Im Rahmen dieser Untersuchungen werden in der Regel personenbezogene Daten verarbeitet. Diese Datenverarbeitung muss auf einer rechtlichen Grundlage durchgeführt werden. Dabei kommen folgende Rechtsgrundlagen in Betracht:

Soweit das Unternehmen eine interne Meldestelle i.S.d. HinSchG errichtet hat und die Meldung an diese Meldestelle erging, stellt Art. 6 Abs. 1 lit. c) DS-GVO i.V.m. § 10 HinSchG die Rechtsgrundlage der Datenverarbeitung dar.[3] Gem. §  10 HinSchG sind interne Meldestellen befugt, personenbezogene Daten zu verarbeiten, soweit dies zur Erfüllung ihrer in den §§ 13 und 24 HinSchG bezeichneten Aufgaben erforderlich ist.[4] Dabei müssen spezifische und angemessene Maßnahmen zur Wahrung der Interessen der betroffenen Personen gem. § 22 Abs. 2 BDSG getroffen werden.[5]

Abweichend von Art.  9 Abs.  1 DS-GVO ist die Datenverarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 Abs. 2 lit. g) DS-GVO durch eine interne Meldestelle zulässig, wenn dies zur Erfüllung ihrer Aufgaben erforderlich ist.[6] Auch in diesem Fall hat die Meldestelle gemäß § 22 Abs.  2 BDSG spezifische und angemessene Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen.

Die Datenverarbeitung muss somit die Meldung und Aufklärung der gemeldeten Verstöße ermöglichen.[7] Je schwerer der mutmaßliche Verstoß wiegt, desto eher ist die Erforderlichkeit der Datenverarbeitung zu bejahen.[8]

Soweit das Unternehmen keine interne Meldestelle errichtet hat, kann das HinSchG keine rechtliche Verpflichtung i. S. d. Art.  6 Abs.  1 lit.  c) DS-GVO begründen. In diesem Fall kommt § 26 Abs. 1 S. 1 BDSG als Rechtsgrundlage der Datenverarbeitung in Betracht. Sofern die internen Ermittlungen den Verdacht einer Straftat behandeln, sind die weiteren Voraussetzungen des § 26 Abs. 1 S. 2 BDSG zu beachten. Dafür muss ein hinreichender Verdacht eines nicht unerheblichen Rechtsverstoßes bestehen.[9] Demnach müssen tatsächliche Anhaltspunkte bestehen, die den Verdacht nahelegen, dass die betroffene Person eine Straftat begangen hat, vgl. § 152 Abs. 2 StPO.[10] Zudem ist eine Interessenabwägung in Bezug auf die Art und das Ausmaß der Untersuchungen vorzunehmen.[11]

IV. Informationspflichten, Artt. 13 und 14 DS-GVO

Werden bei der betroffenen Person personenbezogene Daten erhoben, so teilt der Verantwortliche der betroffenen Person aktiv zum Zeitpunkt der Datenerhebung oder vor einer zweckändernden Weiterverarbeitung die gebotenen Informationen gem. Art. 13 Abs. 1 – 3 DS-GVO mit.[12] Demnach muss der Hinweisgeber insbesondere über den Zweck der Datenverarbeitung informiert werden.

Zumeist beinhaltet eine Meldung auch Informationen der beschuldigten Person, die als personenbezogene Daten verarbeitet werden. Werden personenbezogene Daten einer Person nicht bei dieser selbst erhoben, entsteht grundsätzlich eine Informationspflicht gegenüber dieser Person gem. Art.  14 DS-GVO.[13] Eine solche Informationspflicht ist jedoch gem. Art. 14 Abs. 5 lit. b) DS-GVO ausgeschlossen, wenn die Erteilung der Information die Verwirklichung der Ziele der Datenverarbeitung ernsthaft beeinträchtigt.[14] Da das Ziel der Datenverarbeitung im Zuge des Meldeverfahrens unter anderem die Aufklärung des erhobenen Vorwurfs ist, stellt die Geheimhaltung des Vorwurfs gegenüber der beschuldigten Person zur lückenlosen Aufarbeitung der Meldung ein unabdingbares Erfordernis dar.

Darüber hinaus ist gem. §  29 Abs.  1 S. 1 BDSG die Pflicht zur Information nach Art. 14 DS-GVO ausgeschlossen, soweit durch ihre Erfüllung Informationen offenbart würden, die ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen.[15] Da das Geheimhaltungsinteresse der hinweisgebenden Person im Fall einer berechtigten Meldung das Informationsinteresse des Beschuldigten überwiegt, ist die Informationspflicht i.S.d. Art. 14 DS-GVO aufgrund § 29 Abs. 1 S. 1 BDSG ausgeschlossen.[16]

Weiterhin sieht das HinSchG eigene Informationspflichten für Unternehmen vor. § 7 Abs. 3 S. 2 HinSchG verlangt, dass Beschäftigungsgeber für die Beschäftigten klare und leicht zugängliche Informationen über die Nutzung des internen Meldekanals bereitstellen müssen.[17] Gem. § 13 Abs. 2 HinSchG besteht zudem für interne Meldestellen die Pflicht, für Beschäftigte klare und leicht zugängliche Informationen über externe Meldestellen und einschlägige Meldeverfahren von Organen, Einrichtungen oder sonstigen Stellen der Europäischen Union bereitzustellen.[18]

V. Auskunftsanspruch, Art. 15 DS-GVO

Die betroffene Person hat gem. Art.  15 Abs.  1 DS-GVO das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, dass sie betreffende personenbezogene Daten verarbeitet werden.[19] Liegt eine Datenverarbeitung personenbezogener Daten vor, so hat die betroffene Person ein Recht auf Auskunft über diese personenbezogenen Daten.[20] Im Kontext des HinSchG ist vor allem die Frage relevant, ob die beschuldigte Person Auskunft über die Verarbeitung ihrer personenbezogenen Daten verlangen und insbesondere den Namen des Hinweisgebers erfahren kann.

Der Auskunftsanspruch steht in einem solchen Fall mit dem Vertraulichkeitsgebot aus §  8 HinSchG in einem Spannungsverhältnis.[21] Demnach haben Meldestellen die Vertraulichkeit der Identität der hinweisgebenden Personen (§ 8 Abs.  1 Nr.  1), der Personen, die Gegenstand der Meldungen sind (§ 8 Abs. 1 Nr. 2) und sonstige in der Meldung genannten Personen (§ 8 Abs. 1 Nr. 3) zu wahren. Die Erteilung des Auskunftsrechts nach Art. 15 Abs. 1 DS-GVO unterläuft dieses Vertraulichkeitsgebot. Aus diesem Grund kann der Anspruch auf Auskunftserteilung gem. § 29 Abs. 1 S. 2 BDSG ausgeschlossen werden, soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen.[22] Die berechtigten Interessen des Dritten überwiegen dann, wenn der Hinweisgeber eine berechtigte Meldung i.S.d. HinSchG abgegeben hat.[23] Meldet die hinweisgebende Person vorsätzlich oder grob fahrlässig unrichtige Informationen über Verstöße, wird die Identität der hinweisgebenden Person gem. § 9 Abs. 1 HinSchG nicht geschützt. In diesem Fall ist der Auskunftsanspruch nicht nach § 29 Abs. 1 S. 2 BDSG ausgeschlossen.[24]

Da in der Praxis die Antragstellung auf Erteilung der Auskunft nicht selten zeitlich vor der Klärung der (Un-)Richtigkeit einer Meldung bei der verantwortlichen Stelle eingeht, ist diese vor eine schwierige Aufgabe gestellt, deren Lösung nicht ganz klar ist. In solch einem Fall empfiehlt sich eine doppelte Interessenabwägung. Die interne Meldestelle sollte die Folgen einer nicht erteilten Auskunft und dem erfolgreichen Schutz der hinweisgebenden Person einerseits mit den Folgen einer erteilten Auskunft und der offengelegten Identität eines Hinweisgebers andererseits vergleichen. Als relevante Kriterien sind dort insbesondere die Schwere und Stichhaltigkeit des Vorwurfs zu berücksichtigen. Da die Sicherstellung der Identität der hinweisgebenden Person im Rahmen des HinSchG von besonderem Gewicht ist, dürfte die Auskunftserteilung zumindest für die Dauer der Prüfung der Richtigkeit der Meldung, hinter dem Hinweisgeberschutz zurücktreten. Ob eine Auskunftserteilung nach den abgeschlossenen Untersuchungen erteilt werden kann, ist wiederum im Rahmen einer Interessenabwägung zu klären. Als Ausgangspunkt stellt sich dort erneut die Frage nach der Geheimhaltungsund Schutzbedürftigkeit der Identität der hinweisgebenden Person.[25]

VI. Verantwortlichkeit

Die Frage der datenschutzrechtlichen Verantwortlichkeit stellt sich im Rahmen des HinSchG insbesondere in den Fällen, in denen ein Dritter die Rolle der internen Meldestelle übernimmt (externalisierte interne Meldestelle). Das können zum Beispiel externe Dienstleister oder Rechtsanwälte sein.[26] Die Einstufung des Dritten in die verschiedenen datenschutzrechtlichen Rollen der Verantwortlichkeit ist insofern relevant, da mit ihnen unterschiedliche Anforderungen bestehen. So muss bspw. ein Vertrag über eine Auftragsdatenverarbeitung i.S.d. Art. 28 Abs. 3 S. 1 DS-GVO oder eine Vereinbarung zur gemeinsamen Verantwortlichkeit gem. Art. 26 Abs. 1 S. 2 DS-GVO geschlossen werden.[27] Die Frage, ob die externalisierte Meldestelle als (gemeinsamer) Verantwortlicher oder Auftragsverarbeiter agiert, kann nicht pauschal beantwortet werden, sondern ist nach den jeweiligen Umständen des Einzelfalles zu bestimmen.[28] Verantwortlicher gem. Art. 4 Nr. 7 DS-GVO ist „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Auftragsverarbeiter gem. Art.  4 Nr.  8 DS-GVO ist „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. Die Weisungsgebundenheit sowie das Bestehen eines Entscheidungsspielraums sind die Abgrenzungskriterien zwischen Auftragsverarbeiter und Verantwortlichem.[29]

Oftmals werden von externen Dienstleistern Services angeboten (z.B. die Bereitstellung und Betreibung eines Meldekanals als Software as a Service), bei denen Meldekanäle für die Meldungen zur Verfügung gestellt werden. Ergeht eine Meldung durch einen Hinweisgeber, erstellt der Dienstleister für das Unternehmen einen Bericht und leitet diesen an das Unternehmen weiter. In diesen Fällen ist der Dienstleister meist streng an die Weisungen des Unternehmens gebunden, ohne dass ihm ein eigener Entscheidungsspielraum eingeräumt wird. Daher wird diese Form der externalisierten Meldestelle als Auftragsverarbeiter i.S.d. Art.  28 DS-GVO einzuordnen sein.[30] Ein Rechtsanwalt ist meist nicht als Auftragsverarbeiter einzustufen, da er aufgrund seines Berufes keinen Weisungen unterliegt und ihm ein eigener Entscheidungsspielraum hinsichtlich der Datenverarbeitung zusteht.[31] Allerdings sind auch bei Rechtsanwälten Konstellationen denkbar, bei denen der Rechtsanwalt bloß als Meldeannahmestelle dient und dem Unternehmen über die Meldungen Bericht erstattet. Dort wäre der Rechtsanwalt mangels eigenen Entscheidungsspielraums Auftragsverarbeiter i.S.d. Art. 28 DS-GVO.

Darüber hinaus können Beschäftigungsgeber und Dritter (gemeinsame) Verantwortliche sein. Sofern dem Datenverarbeiter ein Entscheidungsspielraum über Zweck und Mittel der Verarbeitung eingeräumt wird, ist er Verantwortlicher i.S.d. Art. 4 Nr. 7 DS-GVO.[32] Entscheiden der Beschäftigungsgeber und Dritte gemeinsam über die Zwecke und Mittel der Datenverarbeitung sind sie gemeinsame Verantwortliche gem. Art. 26 Abs. 1 S. 1 DS-GVO. Nach der Rechtsprechung des EuGH liegt bereits dann eine gemeinsame Verantwortlichkeit vor, wenn aus Eigeninteresse Einfluss auf die Datenverarbeitung genommen wird und somit zu der Entscheidung über Mittel und Zwecke der Verarbeitung (irgend)ein Beitrag geleistet wird.[33] Der Anwendungsbereich der gemeinsamen Verantwortlichkeit ist somit durchaus weit. Liegt zum Beispiel die Konstellation zwischen Beschäftigungsgeber und Drittem so, dass die Meldungen der Hinweisgeber zusammen ausgewertet werden und daraufhin gemeinsam über nachfolgende Schritte beraten wird, besteht eine gemeinsame Verantwortlichkeit i.S.d. Art. 26 Abs. 1 S. 1 DS-GVO. Werden jedoch Meldungen eines Hinweisgebers durch den Dritten auf deren Plausibilität geprüft und dem Beschäftigungsgeber ohne Einwirkungsmöglichkeit zur Verfügung gestellt, kann wohl nicht von einer Gemeinsamkeit der Zweckbestimmung gesprochen werden.[34] In diesem Fall sind Beschäftigungsgeber und Dritter zwei unabhängige Verantwortliche.

Aufgrund der vielen möglichen Gestaltungsmöglichkeiten der externalisierten internen Meldestellen kann keine generelle Aussage über die Verantwortlichkeit getroffen werden. Es sind zwingend die jeweiligen Umstände des Einzelfalls zu betrachten, sodass die jeweilige Rolle (Verantwortlicher oder Auftragsverarbeiter) festgelegt werden kann, um die rechtlichen Vorgaben der jeweiligen Rolle zu erfüllen.

VII. Dokumentation und Aufbewahrung

Die Personen, die in einer Meldestelle für die Entgegennahme von Meldungen zuständig sind, dokumentieren alle eingehenden Meldungen in dauerhaft abrufbarer Weise unter Beachtung des Vertraulichkeitsgebots (§ 8 HinSchG), vgl. § 11 Abs.  1 HinSchG. Bei telefonischen Meldungen oder Meldungen mittels einer anderen Art der Sprachübermittlung darf eine dauerhaft abrufbare Tonaufzeichnung des Gesprächs oder dessen vollständige und genaue Niederschrift (Wortprotokoll) nur mit Einwilligung der hinweisgebenden Person erfolgen.[35] Liegt eine solche Einwilligung nicht vor, ist die Meldung durch eine von der für die Bearbeitung der Meldung verantwortlichen Person zu erstellende Zusammenfassung ihres Inhalts (Inhaltsprotokoll) zu dokumentieren, § 11 Abs. 2 HinSchG. Die Dokumentation ist drei Jahre nach Abschluss des Verfahrens zu löschen, § 11 Abs. 5 S. 1 HinSchG. Die Dokumentation kann länger aufbewahrt werden, um die Anforderungen nach diesem Gesetz oder nach anderen Rechtsvorschriften zu erfüllen, solange dies erforderlich und verhältnismäßig ist, § 11 Abs. 5 S. 2 HinSchG. Das ist bspw. dann der Fall, wenn zu einem bereits abgeschlossenen Sachverhalt eine weitere Meldung bei der internen Meldestelle eingeht.[36]

VIII. Erforderlichkeit einer Datenschutz-Folgenabschätzung

Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch, Art. 35 Abs. 1 S. 1 DS-GVO.[37] Eine Meldung über den internen Meldekanal beinhaltet meist hochsensible Daten des Hinweisgebers (sofern er seine Meldung nicht anonym abgibt), des Beschuldigten und ggf. eines Zeugen oder Dritten. Die unsachgemäße Handhabung dieser Daten kann für die Beteiligten verheerende Folgen nach sich ziehen. Daher unterliegt das Verfahren zur Meldung von Missständen nach dem HinSchG wegen des besonders hohen Risikos für die Rechte und Freiheiten natürlicher Personen einer Datenschutz-Folgenabschätzung.[38] Aus diesem Grund ist zwingend eine Datenschutz-Folgenabschätzung vorzunehmen.

IX. Einhaltung der Grundsätze des Art. 25 DS-GVO

Nach den Grundsätzen des Art.  25 Abs.  1 DS-GVO müssen Verantwortliche den Datenschutz bereits bei der Entwicklung von Prozessen und Systemen integrieren („Datenschutz durch Technikgestaltung“) und standardmäßig nur die für den jeweiligen Zweck notwendigen personenbezogenen Daten verarbeiten („Datenschutz durch datenschutzfreundliche Voreinstellungen“).[39] Dies erfordert die Implementierung geeigneter technischer und organisatorischer Maßnahmen, um die Einhaltung der Datenschutzprinzipien von Anfang an und dauerhaft sicherzustellen.[40] Bei der Erstellung eines Hinweisgebersystems sollten daher folgende Punkte sichergestellt sein:

  • Datenminimierung: Es sollten nur die Daten erhoben werden, die für die Bearbeitung der Meldung erforderlich sind.
  • Zugriffsbeschränkung: Der Zugang zu den Meldungen sollte auf eine kleine, notwendige Gruppe von Personen beschränkt werden, um den Schutz der sensiblen Informationen zu gewährleisten.
  • Pseudonymisierung und Verschlüsselung: Die Identität des Hinweisgebers sollte durch Pseudonymisierung geschützt und alle Daten sollten verschlüsselt gespeichert werden, um unbefugten Zugriff zu verhindern.
  • Transparenz: Hinweisgeber sollten über die Verarbeitung ihrer Daten informiert werden, einschließlich der Zwecke, der rechtlichen Grundlage und der Rechte, die ihnen zustehen.
  • Sicherheitsmaßnahmen: Es sollten technische und organisatorische Maßnahmen ergriffen werden, um die Sicherheit der Daten während der Übermittlung und Speicherung zu gewährleisten, wie z.B. die Nutzung sicherer Kommunikationskanäle (Ende-zu-Ende-Verschlüsselung).
  • Datenschutzfreundliche Voreinstellungen: Standardmäßig sollten die strengsten Datenschutzoptionen aktiviert sein, z.B. dass Meldungen anonym abgegeben werden können, wenn der Hinweisgeber dies wünscht.

X. Datenschutzbeauftragter als interne Meldestelle

Zuletzt stellt sich bei der Errichtung einer internen Meldestelle die Frage, ob der betriebliche oder behördliche Datenschutzbeauftragte beide Ämter zugleich ausüben kann. Gemäß § 15 Abs. 1 S. 1 HinSchG müssen die mit einer internen Meldestelle betrauten Personen bei der Ausübung ihrer Tätigkeit unabhängig sein.[41] Allerdings dürfen diese Personen neben ihrer Tätigkeit als interne Meldestelle auch andere Aufgaben und Pflichten übernehmen, vgl. § 15 Abs. 1 S. 2 HinSchG. Dabei ist sicherzustellen, dass derartige Aufgaben und Pflichten nicht zu Interessenkonflikten mit der Tätigkeit als interne Meldestelle führen, § 15 Abs. 1 S. 3 HinSchG.

Auch der Datenschutzbeauftragte kann neben seiner Tätigkeit als Überwachungs- und Kontrollinstanz andere Aufgaben im Unternehmen übernehmen, vgl. Art. 38 Abs. 6 S. 1 DS-GVO.[42] Jedoch darf er, wie auch die Person der internen Meldestelle, diese Aufgaben nur übernehmen, wenn zu seiner Tätigkeit als Datenschutzbeauftragtem keine Interessenkonflikte entstehen.[43] Es stellt sich somit die Frage, ob der Datenschutzbeauftragte als interne Meldestelle eingesetzt werden kann oder ob dieser Einsetzung Interessenkonflikte entgegenstehen.

Als erster Ansatzpunkt zur Klärung dieser Frage dient Erwägungsgrund (ErwG) 56 der HinSch-RL[44], der exemplarisch einige Personen eines Unternehmens aufführt, welche die Rolle der internen Meldestelle wahrnehmen könnten. Dort wird unter anderem auch der Datenschutzbeauftragte als zulässige Person genannt, der zugleich die Rolle der internen Meldestelle bekleiden kann. Dies bezieht sich jedoch nur – wie auch die Gesetzesbegründung der Bundesregierung[45] – auf die Ausübung beider Ämter in kleineren Unternehmen.[46] Nach der Rechtsprechung des EuGH müssen zur Klärung eines Interessenkonflikts, insbesondere unter Betrachtung der Organisationsstruktur des Verantwortlichen bzw. Auftragsverarbeiters, und im Licht aller anwendbaren Rechtsvorschriften sowie etwaiger interner Vorschriften, alle relevanten Umstände des Einzelfalls gewürdigt werden.[47] Bei größeren Beschäftigungsgebern besteht eine erhöhte Gefahr von Interessenkonflikten. Solche können sich insbesondere aus dem zeitlichen Umfang beider Tätigkeiten (1.), der verschiedenen Formen der Verschwiegenheit (2.) sowie der faktischen Selbstkontrolle (3.) ergeben.

1. Zeitlicher Umfang

Zunächst könnte der zeitliche Umfang der beiden Tätigkeiten zu einem Interessenkonflikt führen. Der Beschäftigungsgeber ist gemäß Art. 38 Abs. 2 DS-GVO dazu verpflichtet dem Datenschutzbeauftragten alle „erforderlichen Ressourcen“ zur Erfüllung seiner Aufgaben zur Verfügung zu stellen. Dazu gehört auch das Bereitstellen von genügend zeitlichen Ressourcen.[48] Je größer ein Unternehmen ist, desto mehr Zeit muss dem Datenschutzbeauftragten zur Aufgabenerfüllung eingeräumt werden. Gleiches gilt für die Erfüllung der Aufgaben der internen Meldestelle. Es ist also zu befürchten, dass die gleichzeitige Wahrnehmung beider Ämter zu einer Vernachlässigung eines Amtes führt. Dies stellt einen Interessenkonflikt dar, sodass die gleichzeitige Ausübung der Ämter unzulässig ist. In einem größeren Unternehmen ist somit durchgehend zu prüfen, ob dem Datenschutzbeauftragten bzw. der internen Meldestelle genügend zeitliche Ressourcen zur Aufgabenerfüllung eingeräumt werden.[49] Außerdem besteht im Fall einer zeitlichen Überlastung des Datenschutzbeauftragten bzw. der internen Meldestelle die Gefahr, dass das interne Meldeverfahren nur langsam vorangeht und so die hinweisgebende Person den Weg über eine externe Meldestelle sucht. Dies führt dazu, dass die jeweiligen Missstände im Unternehmen nicht intern gelöst werden können, sondern direkt ein behördliches (Bußgeld-)Verfahren droht.

2. Verschwiegenheit

Weiterhin könnte das unterschiedlich gelagerte Niveau an Verschwiegenheitspflichten in DS-GVO und HinSchG einen Interessenkonflikt bei der zeitgleichen Ausübung beider Ämter hervorrufen. Nach Art.  38 Abs.  5 DS-GVO ist der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden, wobei die nähere Ausgestaltung dieser Verpflichtung dem Unionsrecht bzw. Recht der Mitgliedstaaten überlassen ist.[50] Der deutsche Gesetzgeber machte von dieser Gestaltungsmöglichkeit in Form von § 6 Abs. 5 S. 2 BDSG Gebrauch. Dieser statuiert, dass der Datenschutzbeauftragte zur Verschwiegenheit über die Identität der betroffenen Person sowie über Umstände, die Rückschlüsse auf die betroffene Person zulassen, verpflichtet ist, soweit er nicht davon befreit ist.

Auch das HinSchG sieht besondere Verschwiegenheitsund Geheimhaltungspflichten vor. So müssen die Meldestellen die Identität der hinweisgebenden Person, der Personen, die Gegenstand der Meldungen oder sonstig in der Meldung genannt sind, vertraulich behandeln, vgl. § 8 Abs. 1 HinSchG. Allerdings gilt diese Verschwiegenheitspflicht nach dem HinSchG nicht uneingeschränkt. Denn nach § 9 Abs. 1 HinSchG gilt diese nicht, wenn die hinweisgebende Person vorsätzlich oder grob fahrlässig unrichtige Informationen über Verstöße meldet. Im Vergleich zur DS-GVO, nach der eine solche Ausnahme auf die Vertraulichkeit in Bezug auf die personenbezogenen Daten der betroffenen Personen nicht angewendet werden kann, besteht somit ein unterschiedliches Geheimhaltungsniveau. Denkbar sind demnach Fälle in denen die interne Meldestelle rechtmäßig unter Berufung auf §  9 Abs. 2 – 4 HinSchG die Identität der hinweisgebenden Person preisgibt und somit gegen das der DS-GVO innewohnende Vertraulichkeitsgebot verstößt. Dieses unterschiedliche Geheimhaltungsniveau zwischen DS-GVO und HinSchG könnte bei gleichzeitiger Ausübung beider Ämter ebenfalls einen Interessenkonfl ikt darstellen.[51]

3. Faktische Selbstkontrolle

Zudem besteht bei der gleichzeitigen Ausübung beider Rollen die akute Gefahr einer faktischen Selbstkontrolle des Datenschutzbeauftragten. Aus Art. 37 Abs. 1 lit. b) i.V.m. Art. 39 Abs. 1 lit. b) DS-GVO ergibt sich, dass die primäre Aufgabe des Datenschutzbeauftragten darin liegt, die verantwortliche Stelle zu überwachen.[52] Daraus folgt zwangsläufi g, dass Datenschutzbeauftragter und verantwortliche Stelle nicht dieselbe Person sein dürfen, da ansonsten ein Interessenkonfl ikt in Form einer faktischen Selbstkontrolle vorläge.[53] Die interne Meldestelle legt das jeweilige Meldeverfahren im Unternehmen (§  17 HinSchG) sowie angemessene Folgemaßnahmen (§ 18 HinSchG) fest. Sie bestimmt die Zwecke und Mittel der Datenverarbeitung und ist somit als verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DS-GVO einzustufen. Die gleichzeitige Ausübung beider Stellen führte somit zu einer faktischen Selbstkontrolle.[54] Da Meldungen nach dem HinSchG nicht selten sensible Daten i.S.v. Art. 10 DS-GVO beinhalten und die im Rahmen der internen Ermittlungen durchgeführten Datenverarbeitungen mit Blick auf den damit verbundenen Eingriff in das Persönlichkeitsrecht einer besonders sorgfältigen Prüfung bedürfen, ist dies besonders problematisch.[55] Diese Selbstkontrolle stellt einen Interessenkonfl ikt nach Art.  38 Abs.  6 S. 2 DS-GVO dar. Eine gleichzeitige Ausübung beider Rollen ist somit unzulässig.

XI. Zusammenfassung

Im Ergebnis lässt sich also Folgendes zusammenfassen: Bei der Errichtung von internen Meldestellen nach dem HinSchG, die nicht ausschließlich anonyme Meldungen aufnehmen, führt kein Weg an der Einhaltung der Grundsätze der DS-GVO vorbei. Die Rechtsgrundlage der Datenverarbeitung im Rahmen von internen Ermittlungen besteht bei einer bestehenden internen Meldestelle unproblematisch in Art. 6 Abs. 1 lit. c) DS-GVO i.V.m. § 10 HinSchG. Das gilt auch für besondere Kategorien personenbezogener Daten i.S.d. Art.  9 Abs.  1 DS-GVO. Sofern ein Unternehmen keine interne Meldestelle errichtet hat, sind die Datenverarbeitungen zur Aufklärung der gemeldeten Verstöße über die allgemeinen datenschutzrechtlichen Rechtsgrundlagen und deren Voraussetzungen zu rechtfertigen. Die Erfüllung der Betroffenenrechte, insbes. die Informationspfl icht aus Art. 14 Abs. 1 und 3 sowie das Auskunftsrecht gem. Art. 15 Abs. 1 DS-GVO, können über die Ausnahmetatbestände des Art. 14 Abs. 5 lit. b) DS-GVO und § 29 Abs. 1 und 2 BDSG für die Dauer des laufenden Verfahrens ausgeschlossen werden. Nach dem Abschluss der Untersuchungen muss weiterhin überprüft werden, ob nach wie vor ein Geheimhaltungsinteresse an der Preisgabe der hinweisgebenden Personen besteht oder ob die Information bzw. Auskunft erteilt werden kann. Der Beschränkungstatbestand des §  29 Abs. 1 BDSG greift hingegen nicht ein, wenn die hinweisgebende Person vorsätzlich oder grob fahrlässig unrichtige Informationen über Verstöße meldet.

Die Frage der datenschutzrechtlichen Verantwortlichkeit bestimmt sich stets nach den Umständen des Einzelfalls. Bei externalisierten internen Meldestellen ist insbes. relevant, ob die über die Zwecke und Mittel der Datenverarbeitungen (mit)entscheiden.

Aufgrund des besonders hohen Risikos der Datenverarbeitung ist vor der Errichtung einer internen Meldestelle zwingend eine Datenschutz-Folgenabschätzung i.S.d. Art. 35 DS-GVO durchzuführen sowie die Grundsätze aus Art. 25 Abs. 1 und 2 DS-GVO einzuhalten.

Zuletzt sollte das Amt der internen Meldestelle und das Amt des Datenschutzbeauftragten – gerade in größeren Unternehmen – nicht von derselben Person ausgeübt werden. Die aufgezeigten Interessenkonfl ikte und Risiken verdeutlichen, dass durch die Einbindung einer weiteren Person und die klare Benennung der einzelnen Pflichten diese Risiken umgangen bzw. verringert werden können. Insbesondere wegen der faktischen Selbstkontrolle wird die klare personelle Trennung von Datenschutzbeauftragtem und interner Meldestelle empfohlen.

Clemens Loke
ist Referent für Datenschutz und
Datensicherheit bei der Gesellschaft für
Datenschutz und Datensicherheit (GDD)
e.V. und promoviert zu dem Thema
„Beschränkungen der Betroffenenrechte
im Rahmen des Art. 23 DS-GVO“.

[1] BGBl. 2023 I Nr. 140; zum Gesetzgebungsverfahren s. BT-Drs. 20/3442, BTDrs. 20/3709, BT-Drs. 20/4909, BT-Drs. 20/5991 und 20/5992 und BT-Drs. 20/6700.

[2] Lüneborg, in: Thüsing, HinSchG, § 7 Rn. 1.

[3] Lang, ZD 2024, 17 (18).

[4] BT-Drs. 20/4909, S. 56; Thüsing/Fischer, HinSchG, § 10 Rn

[5] Lang, ZD 2024, 17 (18).

[6] BT-Drs. 20/4909, S. 56

[7] Ammon, PinG 2023, 67 (71).

[8] Lang, ZD 2024, 17 (18); vgl. auch Beschlussempfehlung und Bericht des Rechtsausschusses (6. Ausschuss), BT-Drs. 20/4909, S. 54.

[9] Gola/Heckmann/Gola/Pötters, DS-GVO/BDSG, § 26 Rn. 58.

[10] Siehe Näheres, in: Schwartmann/Jaspers/Thüsing/Kugelmann/Schmidt/Thüsing, DS-GVO/BDSG, §  26 Rn.  31 ff.; Gola/Heckmann/Gola/Pötters, DS-GVO/ BDSG, § 26 Rn. 58 ff

[11] Schwartmann/Jaspers/Thüsing/Kugelmann/Schmidt/Thüsing, DS-GVO/BDSG, § 26 Rn. 33; Gola/Heckmann/Gola/Pötters, DS-GVO/BDSG, § 26 Rn. 61; Tiedemann, in Sydow/Marsch, DS-GVO/BDSG, § 26 Rn. 35.

[12] Schwartmann/Jaspers/Thüsing/Kugelmann/Schwartmann/Schneider, DS-GVO/ BDSG, Art. 13 Rn. 38.

[13] Schwartmann/Jaspers/Thüsing/Kugelmann/Schwartmann/Schneider, DS-GVO/BDSG, Art. 14 Rn. 1.

[14] Schwartmann/Jaspers/Thüsing/Kugelmann/Schwartmann/Schneider, DS-GVO/BDSG, Art. 14 Rn. 74; Gola, RDV 2023, 213 (220); Kascherus, ZD 2024, 429 (430).

[15] Taeger/Gabel/Louven, DS-GVO/BDSG, §  29 BDSG Rn.  1; zur Europarechtswidrigkeit von §  29 Abs.  1 S. 1 BDSG s. Sydow/Marsch/Wilhelm-Robertson, DS-GVO/BDSG, § 29 Rn. 24; Franck, ZD 2018, 345 (348).

[16] BT-Drs. 20/5992, S. 59.

[17] Thüsing/Lüneborg, HinSchG, § 7 Rn. 26.

[18] Thüsing/Fischbach, HinSchG, § 13 Rn. 2.

[19] Schwartmann/Jaspers/Thüsing/Kugelmann/Schwartmann/Klein/Peisker, DS-GVO/BDSG, Art. 15 Rn. 1.

[20] Schwartmann/Jaspers/Thüsing/Kugelmann/Schwartmann/Klein/Peisker, DS-GVO/BDSG, Art. 15 Rn. 16.

[21] Bayreuther, NZA-Beilage 2022, 20 (26).

[22] Schwartmann/Jaspers/Thüsing/Kugelmann/Schwartmann/Klein/Peisker, DS-GVO/BDSG, Art. 15 Rn. 90; Bruns, NJW 2023, 1609 (1616).

[23] Bayreuther, NZA-Beilage 2022, 20 (25).

[24] Taeger/Gabel/Louven, DS-GVO/BDSG § 29 Rn. 6; Lang, ZD 2024, 17 (20).

[25] BGH, Urt. v. 22.02.2022 – VI ZR 14/21, NJW-RR 2022, 764 Rn. 15; Herbst in Kühling/Buchner, DS-GVO/BDSG, § 29 Rn. 7.

[26] Rüdiger/Adelberg, K&R 2023, 172 (173).

[27] Schwartmann/Jaspers/Thüsing/Kugelmann/Kremer, DS-GVO/BDSG, Art.  28 Rn.  93; Schwartmann/Jaspers/Thüsing/Kugelmann/Kremer, DS-GVO/BDSG, Art.  26 Rn.  68. Näheres zu den (Mindest-)Inhalten dieser Vereinbarung, vgl. Schwartmann/Jaspers/Thüsing/Kugelmann/Kremer, DS-GVO/BDSG, Art.  26 Rn. 75 ff

[28] Rüdiger/Adelberg, K&R 2023, 172 (175).

[29] Schwartmann/Jaspers/Thüsing/Kugelmann/Kremer, DS-GVO/BDSG, Art.  26 Rn. 59.

[30] Beispiel nach Rüdiger/Adelberg, K&R 2023, 172 (173), s. Näheres zur Verantwortlichkeit im Kontext des HinSchG Musiol, CCZ 2024, 7 (8 ff.).

[31] Rüdiger/Adelberg, K&R 2023, 172 (173f.).

[32] Schwartmann/Jaspers/Thüsing/Kugelmann/Schwartmann/Hermann/Mühlenbeck/Benedikt/Köhler/Pottkämper, DS-GVO/BDSG, Art. 4 Rn. 122.

[33] EuGH, Urt. v. 05.06.2018 – C-210/16, ECLI:EU:C:2018:388 Rn. 35 ff.; EuGH, Urt. v. 10.07.2018 – C-25/17, ECLI:EU:C:2018:551 Rn. 66 ff.; EuGH, Urt. v. 29.07.2019 – C-40/17, ECLI:EU:C:2019:629 Rn. 71 ff.; Schwartmann/Jaspers/Thüsing/Kugelmann/Kremer, DS-GVO/BDSG, Art. 26 Rn. 47; zur gemeinsamen Verantwortlichkeit Schneider, Gemeinsame Verantwortlichkeit, 2021, S. 25 ff.

[34] Beispiel nach Rüdiger/Adelberg, K&R 2023, 172 (174)

[35] Fischer, in: Thüsing, HinSchG, § 11 Rn. 11.

[36] Lang, ZD 2024, 17 (19).

[37] DSK, Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines: Firmeninterne Warn-systeme und Beschäftigtendatenschutz, S. 12, abrufbar unter: https://www.datenschutzkonferenz-online.de/media/oh/20181114_oh_whistleblowing_hotlines.pdf.

[38] So auch Lang, ZD 2024, 17 (19); Ammon, PinG 2023, 67 (71); Fehr, ZD 2022, 256 (259); Bayreuther, NZA-Beilage 2022, 20 (22)

[39] Schwartmann/Jaspers/Thüsing/Kugelmann/Keber/Keppeler, DS-GVO/BDSG, Art. 25 Rn. 19.

[40] Schwartmann/Jaspers/Thüsing/Kugelmann/Keber/Keppeler, DS-GVO/BDSG, Art. 25 Rn. 32 ff.; Lang, ZD 2024, 17 (20)

[41] 1 Lang, ZD 2024, 17 (20); Bayreuther, NZA-Beilage 2022, 20 (23).

[42] Schwartmann/Jaspers/Thüsing/Kugelmann/Jaspers/Reif, DS-GVO/BDSG, Art. 38 Rn. 28.

[43] Schwartmann/Jaspers/Thüsing/Kugelmann/Jaspers/Reif, DS-GVO/BDSG, Art. 38 Rn. 28.

[44] RL (EU) 2019/1937 des Europäischen Parlaments und des Rates vom 23.10.2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden, ABl. v. 26.11.2019, L 305/17

[45] Bundesregierung, Begründung zum Entwurf eines Gesetzes für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden, BT-Drs. 20/3442, S. 78 ff.

[46] Bundesregierung, BT-Drs. 20/3442, S. 78; Kritisch dazu: Kühling/Buchner/ Bergt/Herbort, Art. 38 Rn. 42a; Fehr, ZD 2022, 256 (256); Stuke/Fehr, BB 2021, 2740; Leibold, ZD-Aktuell 2022, 01333; LfDI BW, FAQ – Hinweisgeberschutzgesetz, https://www.baden-wuerttemberg.datenschutz.de/faq-hinweisgeberschutzgesetz/; nicht so streng Gola, RDV 2023, 213 (219 f.).

[47] EuGH, Urt. v. 09.02.2023 – C-453/21, ECLI:EU:C:2023:79 Rn. 45.

[48] Schwartmann/Jaspers/Thüsing/Kugelmann/Jaspers/Reif, DS-GVO/BDSG, Art. 38 Rn. 10.

[49] So auch LfDI BW, FAQ – Hinweisgeberschutzgesetz, https://www.baden-wuerttemberg.datenschutz.de/faq-hinweisgeberschutzgesetz/

[50] Schwartmann/Jaspers/Thüsing/Kugelmann/Jaspers/Reif, DS-GVO/BDSG, Art. 38 Rn. 35 m.w.N.

[51] So auch Leibold, ZD-Aktuell 2022, 01333

[52] Schwartmann/Jaspers/Thüsing/Kugelmann/Schmidt/Thüsing, DS-GVO/BDSG, Art. 39 Rn. 14.

[53] Näheres dazu Schwartmann/Jaspers/Thüsing/Kugelmann/Jaspers/Reif, DS-GVO/BDSG, Art. 38 Rn. 36.

[54] Ähnlich Cornelius, PinG 2022, 244 (247); LfDI BW, FAQ – Hinweisgeberschutzgesetz, https://www.baden-wuerttemberg.datenschutz.de/faq-hinweisgeberschutzgesetz/; Ehmann/Selmayr/Heberlein, DS-GVO, Art. 38 Rn. 27 sieht zwar Konfl iktpotenzial, geht aber davon aus, dass durch organisatorische Maßnahmen entgegengewirkt werden kann.

[55] Ähnlich Cornelius, PinG 2022, 244 (248); auch Kascherus, ZD 2024, 429 (432).