Sie haben eine interne Meldestelle nach dem Hinweisgeberschutzgesetz (HinSchG) eingerichtet?
Haben Sie vor der Einrichtung der internen Meldestelle auch eine Datenschutz-Folgenabschätzung durchgeführt?
Aktuell ist umstritten, ob vor der Einrichtung und dem Betrieb einer internen Meldestelle eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden muss.
Nach Art. 35 DSGVO ist eine sogenannte Datenschutz-Folgeabschätzung (DSFA) immer dann durchzuführen, wenn eine Datenverarbeitung für die Rechte und Freiheiten einer Person ein hohes oder ein sehr hohes Risiko zur Folge hat. Dann muss der Verantwortliche der Datenverarbeitung vor deren Einführung der Datenverarbeitung eine DSFA durchführen und ermitteln, welche Folgen eine geplante Verarbeitung für den Schutz der Daten Betroffener hätte. Durch die DSFA sollen die Risiken der Datenverarbeitung beschrieben, bewertet und reduziert werden.
Es stellt sich daher zunächst die Frage, ob die Datenschutz-Grundverordnung (DSGVO) bei einem Hinweisgeberschutzsystem überhaupt anwendbar ist?
Dies ist zumindest dann der Fall, wenn die Meldung im Hinweisgeberschutzsystem nicht anonym erfolgt. Dann werden mit der Meldung oftmals personenbezogene Daten verarbeitet und daher ist auch die DSGVO anzuwenden.
Führt die Verarbeitung personenbezogener Daten in einem für Hinweisgeberschutzsystem denn auch voraussichtlich zu einem hohem oder sogar sehr hohem Risiko für die Rechte und Freiheiten natürlicher Personen?
Es gibt eine Orientierungshilfe der Datenschutzkonferenz (DSK), in der es heißt: „Ein Verfahren zur Meldung von Missständen unterliegt wegen des besonders hohen Risikos für die Rechte und Freiheiten natürlicher Personen einer Datenschutz-Folgenabschätzung“.
Dies ist zwar eine Meinung, aber kein Argument. Ich bezweifele auch, dass diese Annahme so pauschal richtig ist.
Es aber zuzugestehen, dass Meldungen in Hinweisgeberschutzsystemen sensible Inhalte, Verstöße und Straftaten beinhalten können, die für den von der Meldung Betroffenen schwerwiegende Folgen haben können.
Wenn man die juristische Literatur zu diesem Thema liest, geht daher wohl auch die überwiegende Anzahl der Autoren davon aus, dass eine DSFA vor der Einrichtung und den Betrieb der internen Meldestellen durchgeführt werden muss oder zumindest durchgeführt werden sollte.
Auch ich rate meinen Mandanten dazu, eine DSFA vor der Einführung eines Hinweisgeberschutzsystems durchzuführen, um Sie dann „im Fall der Fälle“ zu haben. Sicher ist sicher. Oder wie ein Kollege schrieb. „in dubio pro DSFA“.
