Datenschutz konsequent umsetzen
Das Hinweisgeberschutzgesetz (HinSchG) trat am 2. Juli 2023 in Kraft. Es resultiert national aus einer Richtlinie der EU, der sogenannten Hinweisgeberrichtlinie und ist auch datenschutzrelevant. Daher möchten wir diesen Artikel dazu nutzen, Ihnen die wichtigsten Grundlagen darüber zusammenzufassen und somit eine kurze Einleitung zu geben.
BLOG-TIPP: PERSONENBEZOGENE DATEN – DATENSCHUTZ FÜR UNTERNEHMEN IN KÖLN UND UMGEBUNG
Was ist das Hinweisgeberschutzgesetz?
Das HinSchG soll Hinweisgeber – sogenannte Whistleblower – schützen, indem es einheitliche Standards zur Meldung von Missständen und zum Schutz der Meldenden vorschreibt. Hinweisgeber können beispielsweise Missstände bei internen oder externen Meldestellen melden. Diese bearbeiten dann die Hinweise. Dies ist auch anonym möglich.
Da die meisten Missstände nicht selten durch Unternehmen oder Behörden und deren Mitarbeiter entdeckt werden, können durch die Möglichkeit der Meldung Rechtsverstöße oft sehr viel schneller aufgedeckt werden. Daher werden auch Untersuchungen und Verfolgungen dieser Missstände meist sehr viel schneller möglich. Da diese Whistleblower durch ihr Handeln Verantwortung für die Gesellschaft übernehmen, gilt es deren Schutz durch das Hinweisgeberschutzgesetz zu schützen.
BLOG-TIPP: RISIKO-BEURTEILUNG NACH DS-GVO
Interne und externe Meldestellen
Dabei gibt es interne und externe Meldestellen an welche sich der Hinweisgeber wenden kann. Interne Meldestellen sind im Unternehmen zu finden, externe werden von öffentlicher Hand her geführt. Es gibt darüber hinaus auch noch eine externe Meldestelle beim Bundesamt für Justiz (BfJ) und darüber hinaus auch noch Meldekanäle der Europäischen Kommission, des Europäischen Amts für Betrugsbekämpfung usw.
HinSchG und der Datenschutz
Bei der Meldung durch Hinweisgeber oder sog. Whistleblower werden personenbezogene Daten verarbeitet, wenn die Meldung nicht anonym erfolgt. Daher muss auch hier der Datenschutz greifen. Um eine interne Meldestelle einzurichten, in der personenbezogene Daten verarbeitet werden, müssen entsprechend des Datenschutzes und des HinSchG auch rechtliche Pflichten erfüllt werden.
Daher muss bei der Einrichtung einer internen Meldestelle genau geprüft werden, welche Verarbeitung von Daten zur Erfüllung des HinSchG erforderlich sind.
BLOG-TIPP: PERSONENBEZOGENE DATEN BESONDERER KATEGORIEN IM DATENSCHUTZ
Erforderlichkeit der Verarbeitung von personenbezogenen Daten
Im HinSchG ist also die Erforderlichkeit der Verarbeitung von Daten festgelegt, welche auch als Grundlage der Verarbeitung der personenbezogenen Daten zu sehen ist. Eine Verarbeitung der personenbezogenen Daten über diesen Zweck hinaus ist nicht zulässig.
Wichtig ist dabei zu beachten, dass eine Verarbeitung dann nicht erfolgen darf, wenn z.B. das Unternehmen oder die Dienststelle nicht verpflichtet ist ein Hinweisgebersystem einzuführen oder das die Verarbeitung nicht in den Anwendungsbereich des HinSchG fallen. Auch nicht erlaubt ist eine Verarbeitung auf dieser Rechtsgrundlage, wenn die Prozesse zur Datenverarbeitung nicht den Vorgaben des Hinweisgeberschutzgesetzes entsprechen.
BLOG-TIPP: LÖSCHKONZEPTE – WICHTIGE GRUNDLAGE IM DATENSCHUTZ FÜR UNTERNEHMEN
Ob und wann ein Hinweisgebersystem eingeführt werden kann oder sogar muss und wann eine Verarbeitung im Sinne des HinSchG und dem Datenschutz überhaupt erlaubt ist, sollten Verantwortliche immer durch einen Fachmann prüfen lassen, um rechtlichen Problemen und unrechtmäßigen Datenverarbeitungen vorzugreifen.
Wichtige Grundlagen beachten
Das Hinweisgeberschutzgesetz ist ein sehr komplexes Themenfeld und zusammen mit dem Datenschutz gilt es einige wichtige Vorgaben zu beachten. Dazu gehören zum Beispiel auch:
- notwendige Offenlegungen der Daten darf nur im Einklang mit dem Vertraulichkeitsgebot erfolgen (Ausnahmen des Vertraulichkeitsgebots beachten)
- das Vertraulichkeitsgebot begrenzt auch die Informations- und Auskunftspflichten
- Informations- und Auskunftspflichten nach DS-GVO umsetzen
- Speicherdauer und Löschfristen beachten
- Datenschutz-Folgenabschätzung durchführen
- technische und organisatorische Maßnahmen implementieren
- Maßnahmen (spezifisch und angemessen) für personenbezogene Daten besonderer Kategorien umsetzen
BLOG-TIPP: GRUNDLAGEN DER DS-GVO IN NRW – EINE ÜBERSICHT
Wichtig ist, dass alle Maßnahmen des Datenschutzes auch bei dieser Verarbeitung von personenbezogenen Daten ergriffen und dokumentiert werden müssen. Im Bereich des Datenschutzes sollte der (externe) Datenschutzbeauftragte vor der Einführung des Meldesystems involviert werden.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.