Besserer Hinweisgeberschutz durch ...

Hinweisgeberschutzgesetz
und Datenschutz

Wenn es um das Hinweisgeberschutzgesetz geht, spielt der Datenschutz eine entscheidende Rolle. Denn nicht nur der korrekte Umgang mit Hinweisen steht im Fokus, sondern auch die Gewährleistung eines hohen Datenschutzniveaus. Hierzu gehören gemäß der Datenschutz-Grundverordnung (DSGVO) die datenschutzkonforme Verarbeitung personenbezogener Daten der Hinweisgeber, die Bereitstellung von Datenschutzinformationen, die Führung eines Verzeichnisses von Verarbeitungstätigkeiten oder die Frage nach einer Datenschutzfolgenabschätzung (DSFA). Diese vielschichtigen Anforderungen können Herausforderungen mit sich bringen. 

 

Im folgenden Artikel findest du eine Übersicht zum Hinweisgeberschutzgesetz und Datenschutz. Zusätzlich gibt es kostenlose Muster und Checklisten zum Download.

HinschG und Datenschutz auf einen Blick - darum musst du dich kümmern

  • Sicherheit, Integrität & Vertraulichkeit (TOM)
  • Informationspflichten
  • Verzeichnis von Verarbeitungstätigkeiten
  • Sensibilisierung und Verschwiegenheitsvereinbarung
  • Autragsverarbeitungsvereinbarung
  • Datenschutzfolgenabschätzung
  • Lösch- und Aufbewahrungsfristen

Sicherheit, Integrität & Vertraulichkeit

Technische und organisatorische Maßnahmen

Die Verarbeitung personenbezogener Daten im Rahmen des Hinweisgeberschutzes muss gemäß den Bestimmungen der DSGVO erfolgen. Das bedeutet, dass die Daten nur für den spezifischen Zweck der Meldung eines Verstoßes verwendet werden dürfen. Personenbezogene Daten müssen entsprechend geschützt werden, um sicherzustellen, dass sie vor unbefugtem Zugriff, Verlust, Diebstahl oder Missbrauch geschützt sind. Dies kann durch technische und organisatorische Maßnahmen wie Verschlüsselung, Zugriffsbeschränkungen und Datensicherungsmaßnahmen gewährleistet werden.

 

Beispiele für empfohlene Technische und organisatorische Maßnahmen

Unsere Checkliste Technische und organisatorische Maßnahmen hilft dir dabei, deine TOMs zu überprüfen und gegebenenfalls zu verbessern. Von der Verschlüsselung von Daten bis hin zu Schulungen für Mitarbeiter und Zugriffsbeschränkungen auf bestimmte Daten und Systeme – unsere Checkliste deckt alles ab.

Checkliste herunterladen

Informationspflichten

Datenschutzhinweise für Hinweisgebende

Wie bei jeder Verarbeitung personenbezogener Daten müssen Hinweisgeber darüber informiert werden, wie mit ihren Daten verfahren wird.

 

Informationen, die Datenschutzhinweise enthalten müssen:

  • den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen
  • den Namen und die Kontaktdaten eines etwaigen Datenschutzbeauftragten
  • die Zwecke und Rechtsgrundlagen für die Verarbeitung
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien
  • wenn möglich vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien wenn möglich eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1

Unsere Muster Datenschutzerklärung für Hinweisgebersysteme  hilft dir dabei, deine Betroffenen über die Verarbeitungen zu informieren und deinen Gesetzlichen Verpflichtungen nachzukommen. 

Datenschutzerklärung herunterladen

VVT

Verzeichnis von Verarbeitungstätigkeiten

Ein Verzeichnis von Verarbeitungstätigkeiten ist ein dokumentiertes Verzeichnis aller Verarbeitungstätigkeiten personenbezogener Daten, die innerhalb einer Organisation durchgeführt werden. Es ist gemäß Artikel 30 der Datenschutz-Grundverordnung (DSGVO) für alle Unternehmen (mit nur theoretischen Ausnahmen) verpflichtend.

 

Das Verzeichnis sollte folgende Angaben für jede Verarbeitungstätigkeit enthalten:

  • Name und Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam Verantwortlichen, des Vertreters des Verantwortlichen sowie des Datenschutzbeauftragten. Im Kontext des Hinweisgeberschutzgesetzes wäre der Verantwortliche das Unternehmen, das das Hinweisgebersystem einrichtet.
  • Zwecke der Verarbeitung: Im Kontext des Hinweisgeberschutzgesetzes würde der Zweck der Verarbeitung darin bestehen, die eingegangenen Hinweise zu überprüfen und eventuelle Verstöße aufzudecken und zu ahnden.
  • Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten: Hier könnten die betroffenen Personen die Hinweisgeber oder die Personen sein, gegen die sich der Hinweis richtet. Die Art der Daten könnte von Kontaktinformationen des Hinweisgebers bis hin zu spezifischen Details über den gemeldeten Verstoß reichen.
  • Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden. Im Rahmen des Hinweisgeberschutzes könnten das die für die Untersuchung des Hinweises zuständigen Personen im Unternehmen oder externe Berater sein.
  • Übermittlungen von personenbezogenen Daten an ein Drittland oder eine internationale Organisation (falls zutreffend) und die Dokumentation der geeigneten Garantien. Das könnte relevant sein, wenn das Unternehmen international tätig ist oder wenn der Hinweisgeber oder die beschuldigte Person in einem anderen Land ansässig ist.
  • Falls möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien. Im Hinweisgeberschutzgesetz sind spezifische Fristen vorgesehen, innerhalb derer die Daten der Hinweisgeber und andere mit dem Hinweis zusammenhängende Informationen gelöscht werden müssen.
  • Falls möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen.

Unsere Muster Verzeichnis von Verarbeitungstätigkeiten  hilft dir dabei, deine Betroffenen über die Verarbeitungen zu informieren und deinen Gesetzlichen Verpflichtungen nachzukommen. 

Verzeichnis von Verarbeitungstätigkeiten herunterladen

Fachkunde und Verschwiegenheit

Schulung und Verpflichtung auf Verschwiegenheit für mit Hinweisen betraute Personen

Im Zuge der Implementierung des Hinweisgeberschutzgesetzes ist es entscheidend, dass die Mitarbeiter, die mit der Bearbeitung von Hinweisen betraut sind, angemessen sensibilisiert und geschult werden. Denn diese Mitarbeiter sind die ersten Kontaktpunkte für die Hinweisgeber und tragen eine besondere Verantwortung für den korrekten Umgang mit den gemeldeten Informationen. Daher ist es wichtig, dass sie die rechtlichen Rahmenbedingungen sowie die internen Prozesse und Verfahren kennen und verstehen.

 

Darüber hinaus ist die Verschwiegenheit ein zentraler Aspekt im Hinweisgeberschutz. Mitarbeiter, die Hinweise entgegennehmen und bearbeiten, sollten daher auf ihre Verschwiegenheitspflicht im Bezug auf den Hinweisgeberschutz hingewiesen und ausdrücklich dazu verpflichtet werden. Dies stellt sicher, dass sensible Informationen geschützt und die Rechte der Hinweisgeber gewahrt bleiben.

 

Um Unternehmen dabei zu unterstützen, bieten wir sowohl eine spezifische Schulung für Mitarbeiter im Bereich Hinweisgeberschutz. Die Schulung zielt darauf ab, die notwendigen Kenntnisse im Umgang mit Hinweisen zu vermitteln und die Sensibilisierung für die Thematik zu stärken um Unternehmen dabei zu unterstützen, die Anforderungen des Hinweisgeberschutzgesetzes effektiv und rechtskonform umzusetzen.

Wir schulen Ihre Beschäftigten im Umgang mit personenbezogenen Daten gemäß DSGVO im Bezug auf das Hinweisgeberschutzgesetz. Fordern Sie jetzt ein unverbindliches Angebot an.

Unverbindliches Angebot anfordern

Einsatz von Dienstleistern

Auftragsverarbeitungsvereinbarung

Eine Auftragsverarbeitungsvereinbarung (AVV) gemäß Art. 28 DSGVO ist erforderlich, wenn ein Dienstleister - der sogenannte Auftragsverarbeiter - personenbezogene Daten im Auftrag eines Verantwortlichen (also des Unternehmens, das den Auftragsverarbeiter beauftragt) verarbeitet. Dies kann beispielsweise der Fall sein, wenn ein Unternehmen ein externes Hinweisgebersystem nutzt oder einen Dienstleister als interne Stelle für die Verarbeitung der Hinweise einsetzt.

 

Die AVV muss bestimmte Mindestinformationen enthalten, um den Anforderungen der DSGVO zu entsprechen. Hierzu gehören unter anderem:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien betroffener Personen
  • Die Pflichten und Rechte des Verantwortlichen
  • Technische und organisatorische Maßnahmen zum Schutz der Daten
  • Regelungen zur Unterstützung des Verantwortlichen bei der Wahrung der Betroffenenrechte
  • Regelungen zur Löschung oder Rückgabe der Daten nach Beendigung der Verarbeitung

 

Nachfolgend ein Muster der Bitkom für eine Auftragsverarbeitungsvereinbarung


Risikobewertung

Datenschutzfolgenabschätzung (DSFA)

Die Datenschutz-Folgenabschätzung (DSFA) ist ein wichtiger Aspekt der Datenschutz-Grundverordnung (DSGVO). Sie ist ein Verfahren, das dazu dient, die Auswirkungen bestimmter Datenverarbeitungsprozesse auf den Schutz personenbezogener Daten zu bewerten. Eine DSFA ist insbesondere dann durchzuführen, wenn eine Art der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund ihrer Art, ihres Umfangs, ihrer Umstände und ihrer Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

 

Im Kontext des Hinweisgeberschutzgesetzes ist die Notwendigkeit einer DSFA ein umstrittenes Thema. Einige Experten argumentieren, dass die Einrichtung und der Betrieb eines Hinweisgebersystems eine DSFA erfordern könnten, da diese Systeme in der Regel sensible Daten verarbeiten und ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen können. Andererseits ergibt sich die Verarbeitung aus dem Gesetz und wird nicht auf den sogenannten "Black- und Whitelisten" der Aufsichtsbehörden geführt, was die Frage aufwirft, ob eine DSFA tatsächlich notwendig ist.

 

Trotz dieser Unsicherheit kann es aus Sicht des risikobasierten Ansatzes der DSGVO ratsam sein, eine DSFA durchzuführen, um potenzielle Risiken zu identifizieren und geeignete Maßnahmen zur Risikominderung zu erarbeiten. Als Unterstützung bieten wir ein Muster für eine solche Datenschutz-Folgenabschätzung an, um Unternehmen dabei zu helfen, die potenziellen Auswirkungen ihrer Hinweisgebersysteme auf den Datenschutz effektiv zu bewerten.

Unsere Muster Datenschutzfolgenabschätzung (DSFA)  hilft dir dabei, deine Betroffenen über die Verarbeitungen zu informieren und deinen Gesetzlichen Verpflichtungen nachzukommen. 

Muster Datenschutzfolgenabschätzung (DSFA) herunterladen

Löschkonzept

Aufbwahrungs- und Löschfristen

Gemäß der Datenschutz-Grundverordnung (DSGVO) müssen personenbezogene Daten so kurz wie möglich und nur so lange gespeichert werden, wie es für die Erfüllung des Zwecks, für den sie verarbeitet wurden, notwendig ist. Die genaue Aufbewahrungsdauer kann dabei von Fall zu Fall variieren und hängt von Faktoren wie der Art der Daten, dem Zweck der Verarbeitung und den rechtlichen, vertraglichen oder betrieblichen Aufbewahrungsfristen ab.

 

Besondere Bedeutung haben die Lösch- und Aufbewahrungsfristen im Kontext des Hinweisgeberschutzgesetzes. In diesem Kontext sieht das Gesetz spezifische Fristen vor, innerhalb derer die Daten der Hinweisgeber und andere mit dem Hinweis zusammenhängende Informationen gelöscht werden müssen. Nach Abschluss des Verfahrens, das durch den Hinweis eingeleitet wurde, ist der Verantwortliche dazu verpflichtet, alle relevanten Daten nach drei Jahren zu löschen, sofern keine weiteren rechtlichen Verpflichtungen oder begründeten Interessen entgegenstehen. Durch diese Regeln wird ein hohes Maß an Datenschutz für Hinweisgeber gewährleistet und gleichzeitig sichergestellt, dass Unternehmen ihren Verpflichtungen gemäß dem Hinweisgeberschutzgesetz nachkommen.

Mit unserer Datenschutz Liste Lösch- und Aufbewahrungsfristen erstellen Sie ein umfassendes Löschkonzept.

Liste herunterladen

Inhalt wird geladen ...