Hinweisgeberschutzgesetz
und Datenschutz

Wenn es um das Hinweisgeberschutzgesetz geht, spielt der Datenschutz eine entscheidende Rolle. Denn nicht nur der korrekte Umgang mit Hinweisen steht im Fokus, sondern auch die Gewährleistung eines hohen Datenschutzniveaus. Hierzu gehören gemäß der Datenschutz-Grundverordnung (DSGVO) die datenschutzkonforme Verarbeitung personenbezogener Daten der Hinweisgeber, die Bereitstellung von Datenschutzinformationen, die Führung eines Verzeichnisses von Verarbeitungstätigkeiten oder die Frage nach einer Datenschutzfolgenabschätzung (DSFA). Diese vielschichtigen Anforderungen können Herausforderungen mit sich bringen. 

Im folgenden Artikel findest du eine Übersicht zum Hinweisgeberschutzgesetz und Datenschutz. Zusätzlich gibt es kostenlose Muster und Checklisten zum Download.

Die Verarbeitung personenbezogener Daten im Rahmen des Hinweisgeberschutzes muss gemäß den Bestimmungen der DSGVO erfolgen. Das bedeutet, dass die Daten nur für den spezifischen Zweck der Meldung eines Verstoßes verwendet werden dürfen. Personenbezogene Daten müssen entsprechend geschützt werden, um sicherzustellen, dass sie vor unbefugtem Zugriff, Verlust, Diebstahl oder Missbrauch geschützt sind. Dies kann durch technische und organisatorische Maßnahmen wie Verschlüsselung, Zugriffsbeschränkungen und Datensicherungsmaßnahmen gewährleistet werden.

Beispiele für empfohlene Technische und organisatorische Maßnahmen

• Verschlüsselung, Pseudonymisierung, Anonymisierung
• Multi-Faktor-Authentifizierung
• Sicherungs- & Recoverykonzept (3-2-1 Backupstrategie)
• Verwendung personalisierter Logins
• Verwendung sicherer und individueller Kennwörter
• Brutoforce-Detection bei fehlgeschlagenen Loginversuchen
• Benutzer- und Berechtigungskonzept
• Protokollierung von Zugriffen auf Anwendungen (Eingabe, Änderung, Löschung von Daten)
• Richtlinien, Anweisungen
• Regelmäßige Schulung und Sensibilisierung von mit dem Hinweisgebersystem betrauten Beschäftigen
• Verwendung von SSL-/TLS-Zertifikaten
• E-Mail-Verschlüsselung (Transport)

Wie bei jeder Verarbeitung personenbezogener Daten müssen Hinweisgeber darüber informiert werden, wie mit ihren Daten verfahren wird.

Informationen, die Datenschutzhinweise enthalten müssen:

• den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen
• den Namen und die Kontaktdaten eines etwaigen Datenschutzbeauftragten
• die Zwecke und Rechtsgrundlagen für die Verarbeitung
• eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
• die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
• gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien
• wenn möglich vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien wenn möglich eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1

Ein Verzeichnis von Verarbeitungstätigkeiten ist ein dokumentiertes Verzeichnis aller Verarbeitungstätigkeiten personenbezogener Daten, die innerhalb einer Organisation durchgeführt werden. Es ist gemäß Artikel 30 der Datenschutz-Grundverordnung (DSGVO) für alle Unternehmen (mit nur theoretischen Ausnahmen) verpflichtend.

Das Verzeichnis sollte folgende Angaben für jede Verarbeitungstätigkeit enthalten:

• Name und Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam Verantwortlichen, des Vertreters des Verantwortlichen sowie des Datenschutzbeauftragten. Im Kontext des Hinweisgeberschutzgesetzes wäre der Verantwortliche das Unternehmen, das das Hinweisgebersystem einrichtet.
• Zwecke der Verarbeitung: Im Kontext des Hinweisgeberschutzgesetzes würde der Zweck der Verarbeitung darin bestehen, die eingegangenen Hinweise zu überprüfen und eventuelle Verstöße aufzudecken und zu ahnden.
• Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten: Hier könnten die betroffenen Personen die Hinweisgeber oder die Personen sein, gegen die sich der Hinweis richtet. Die Art der Daten könnte von Kontaktinformationen des Hinweisgebers bis hin zu spezifischen Details über den gemeldeten Verstoß reichen.
• Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden. Im Rahmen des Hinweisgeberschutzes könnten das die für die Untersuchung des Hinweises zuständigen Personen im Unternehmen oder externe Berater sein.
• Übermittlungen von personenbezogenen Daten an ein Drittland oder eine internationale Organisation (falls zutreffend) und die Dokumentation der geeigneten Garantien. Das könnte relevant sein, wenn das Unternehmen international tätig ist oder wenn der Hinweisgeber oder die beschuldigte Person in einem anderen Land ansässig ist.
• Falls möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien. Im Hinweisgeberschutzgesetz sind spezifische Fristen vorgesehen, innerhalb derer die Daten der Hinweisgeber und andere mit dem Hinweis zusammenhängende Informationen gelöscht werden müssen.
• Falls möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen.

Im Zuge der Implementierung des Hinweisgeberschutzgesetzes ist es entscheidend, dass die Mitarbeiter, die mit der Bearbeitung von Hinweisen betraut sind, angemessen sensibilisiert und geschult werden. Denn diese Mitarbeiter sind die ersten Kontaktpunkte für die Hinweisgeber und tragen eine besondere Verantwortung für den korrekten Umgang mit den gemeldeten Informationen. Daher ist es wichtig, dass sie die rechtlichen Rahmenbedingungen sowie die internen Prozesse und Verfahren kennen und verstehen.

Darüber hinaus ist die Verschwiegenheit ein zentraler Aspekt im Hinweisgeberschutz. Mitarbeiter, die Hinweise entgegennehmen und bearbeiten, sollten daher auf ihre Verschwiegenheitspflicht im Bezug auf den Hinweisgeberschutz hingewiesen und ausdrücklich dazu verpflichtet werden. Dies stellt sicher, dass sensible Informationen geschützt und die Rechte der Hinweisgeber gewahrt bleiben.

Um Unternehmen dabei zu unterstützen, bieten wir sowohl eine spezifische Schulung für Mitarbeiter im Bereich Hinweisgeberschutz. Die Schulung zielt darauf ab, die notwendigen Kenntnisse im Umgang mit Hinweisen zu vermitteln und die Sensibilisierung für die Thematik zu stärken um Unternehmen dabei zu unterstützen, die Anforderungen des Hinweisgeberschutzgesetzes effektiv und rechtskonform umzusetzen.

Eine Auftragsverarbeitungsvereinbarung (AVV) gemäß Art. 28 DSGVO ist erforderlich, wenn ein Dienstleister - der sogenannte Auftragsverarbeiter - personenbezogene Daten im Auftrag eines Verantwortlichen (also des Unternehmens, das den Auftragsverarbeiter beauftragt) verarbeitet. Dies kann beispielsweise der Fall sein, wenn ein Unternehmen ein externes Hinweisgebersystem nutzt oder einen Dienstleister als interne Stelle für die Verarbeitung der Hinweise einsetzt.

Die AVV muss bestimmte Mindestinformationen enthalten, um den Anforderungen der DSGVO zu entsprechen. Hierzu gehören unter anderem:

• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung
• Art der personenbezogenen Daten und Kategorien betroffener Personen
• Die Pflichten und Rechte des Verantwortlichen
• Technische und organisatorische Maßnahmen zum Schutz der Daten
• Regelungen zur Unterstützung des Verantwortlichen bei der Wahrung der Betroffenenrechte
• Regelungen zur Löschung oder Rückgabe der Daten nach Beendigung der Verarbeitung

Nachfolgend ein Muster der Bitkom für eine Auftragsverarbeitungsvereinbarung

• BITKOM Muster Auftragsverarbeitungsvereinbarung
• BITKOM Anleitung und Erläuterung zur Auftragsverarbeitungsvereinbarung

Die Datenschutz-Folgenabschätzung (DSFA) ist ein wichtiger Aspekt der Datenschutz-Grundverordnung (DSGVO). Sie ist ein Verfahren, das dazu dient, die Auswirkungen bestimmter Datenverarbeitungsprozesse auf den Schutz personenbezogener Daten zu bewerten. Eine DSFA ist insbesondere dann durchzuführen, wenn eine Art der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund ihrer Art, ihres Umfangs, ihrer Umstände und ihrer Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Im Kontext des Hinweisgeberschutzgesetzes ist die Notwendigkeit einer DSFA ein umstrittenes Thema. Einige Experten argumentieren, dass die Einrichtung und der Betrieb eines Hinweisgebersystems eine DSFA erfordern könnten, da diese Systeme in der Regel sensible Daten verarbeiten und ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen können. Andererseits ergibt sich die Verarbeitung aus dem Gesetz und wird nicht auf den sogenannten "Black- und Whitelisten" der Aufsichtsbehörden geführt, was die Frage aufwirft, ob eine DSFA tatsächlich notwendig ist.

Trotz dieser Unsicherheit kann es aus Sicht des risikobasierten Ansatzes der DSGVO ratsam sein, eine DSFA durchzuführen, um potenzielle Risiken zu identifizieren und geeignete Maßnahmen zur Risikominderung zu erarbeiten. Als Unterstützung bieten wir ein Muster für eine solche Datenschutz-Folgenabschätzung an, um Unternehmen dabei zu helfen, die potenziellen Auswirkungen ihrer Hinweisgebersysteme auf den Datenschutz effektiv zu bewerten.

Gemäß der Datenschutz-Grundverordnung (DSGVO) müssen personenbezogene Daten so kurz wie möglich und nur so lange gespeichert werden, wie es für die Erfüllung des Zwecks, für den sie verarbeitet wurden, notwendig ist. Die genaue Aufbewahrungsdauer kann dabei von Fall zu Fall variieren und hängt von Faktoren wie der Art der Daten, dem Zweck der Verarbeitung und den rechtlichen, vertraglichen oder betrieblichen Aufbewahrungsfristen ab.

Besondere Bedeutung haben die Lösch- und Aufbewahrungsfristen im Kontext des Hinweisgeberschutzgesetzes. In diesem Kontext sieht das Gesetz spezifische Fristen vor, innerhalb derer die Daten der Hinweisgeber und andere mit dem Hinweis zusammenhängende Informationen gelöscht werden müssen. Nach Abschluss des Verfahrens, das durch den Hinweis eingeleitet wurde, ist der Verantwortliche dazu verpflichtet, alle relevanten Daten nach drei Jahren zu löschen, sofern keine weiteren rechtlichen Verpflichtungen oder begründeten Interessen entgegenstehen. Durch diese Regeln wird ein hohes Maß an Datenschutz für Hinweisgeber gewährleistet und gleichzeitig sichergestellt, dass Unternehmen ihren Verpflichtungen gemäß dem Hinweisgeberschutzgesetz nachkommen.