Maren Rixen, Anna-Lena Glander
Im Rahmen der Einrichtung und Nutzung von Hinweisgeberschutzsystemen werden zahlreiche Daten verarbeitet.
Insoweit sind die Meldestellen befugt, personenbezogene Daten zu verarbeiten, wenn dies zur Erfüllung ihrer Aufgaben erforderlich ist; dies gilt auch für die Verarbeitung besonderer Kategorien personenbezogener Daten abweichend von Art. 9 DSGVO. Hierzu zählen z. B. Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. In diesem Fall hat die Meldestelle spezifische und angemessene Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen. Die Maßnahmen sind an den Vorgaben des § 22 Abs. 2 Satz 2 BDSG zu orientieren.
Interessenabwägung
Als Faustregel gilt: Die Verarbeitung personenbezogener Daten im Rahmen von Hinweisgebermeldungen ist, insbesondere bei der Verarbeitung der personenbezogenen Daten der von einer Meldung betroffenen Personen oder Dritter (in Bezug auf die regelmäßig mangels Kenntnis keine Einwilligung vorliegen wird) nur dann zulässig, wenn das Interesse des Beschäftigungsgebers an der Datenverarbeitung das Interesse der betroffenen Personen an ihren eigenen Daten überwiegt. Dies wird immer dann der Fall sein, wenn die Meldung in den Anwendungsbereich des HinSchG, der HinSch-RL oder anderer Gesetze fällt, auf Grundlage derer ein ausdrückliches Interesse des Beschäftigungsgebers an der Kenntnisnahme der entsprechenden Informationen angenommen wird.
Die Dokumentation der Meldungen ist in dauerhaft abrufbarer Weise und unter Beachtung des Vertraulichkeitsgebots zu gewährleisten. Mit Einwilligung kann bei telefonischen Meldungen eine vollständige Aufzeichnung des Gesprächs erstellt und aufbewahrt werden. Die Dokumentation soll grundsätzlich 3 Jahre nach Abschluss des Verfahrens gelöscht werden. Diese Frist soll jedoch verlängerbar sein, wenn dies erforderlich und verhältnismäßig ist, um Anforderungen nach dem Hinweisgeberschutzgesetz oder anderer gesetzlicher Regelungen zu erfüllen. Damit geht die Löschfrist im HinSchG anderen gesetzlichen Lösch- und Aufbewahrungsfristen grundsätzlich nicht vor und steht diesen nicht entgegen.
Die Offenlegung der Identität einer Person durch die hinweisgebende Person stellt grundsätzlich keinen datenschutzrechtlichen Verstoß dar. Zur Wahrung des Vertraulichkeitsgebots sind insbesondere die Identität der hinweisgebenden Person und der Person(en), die gemeldet wurde(n) oder die von einer Meldung oder Offenlegung betroffen sind, zu schützen. Im Fall sensibler Daten ist zudem eine Interessenabwägung durchzuführen: Der datenschutzrechtlich Verantwortliche (in diesem Fall die hinweisgebende Person) ist nicht zur Information verpflichtet, wenn dadurch sensible Daten über die meldende oder betroffene Person offenbart werden würden.
Insbesondere wenn eine gemeinsame Meldestelle mehrerer Beschäftigungsgeber eingerichtet wird, sind die strengen datenschutzrechtlich Anforderungen der Datenübermittlung zwischen Dritten zu beachten.
Soweit externe Dritte im Rahmen einer Auftragsverarbeitung mit der Einrichtung und dem Betreiben der internen Meldestelle beauftragt werden, sind die Vorgaben für Auftragsdatenverarbeitungen zu beachten, vergleiche Art. 28 DSGVO.
Einbeziehung des Datenschutzbeauftragten
Vor diesem Hintergrund sollte bei Einrichtung der internen Meldestelle sowie bei der Einrichtung der entsprechenden Abläufe von Hinweisgebermeldungen unbedingt, ggf. aber auch im Rahmen von Folgemaßnahmen, der Datenschutzbeauftragte des verpflichteten Beschäftigungsgebers eingebunden werden.