open search
close
Neueste Beiträge Whistleblowing & Compliance

Vorsicht Falle: Datenschutzfolgenabschätzung VOR Einführung der Whistleblower-Hotline

Print Friendly, PDF & Email

Das Fristende naht: Zum 17. Dezember 2023 müssen auch Arbeitgeber mit nur 50 oder mehr Beschäftigten eine Whistleblower Hotline nach dem Hinweisgeberschutzgesetz (HinSchG) eingeführt haben. Für Arbeitgeber mit 250 oder mehr Beschäftigten gilt diese Pflicht bereits seit dem 2. Juli 2023. Zu den Details hatten wir zuletzt in unserem Blog vom 30.10.2023 berichtet: FAQ zum Hinweisgeberschutzgesetz – Teil 2.

Was vorher zu tun ist

Bei Einführung jeglicher neuer oder datenintensiver Verfahren ist die Durchführung einer so genannten Datenschutzfolgenabschätzung (DSFA) erforderlich. Die DSFA ist in Art. 35 DSGVO geregelt. Sie ist durchzuführen, bevor mit der fraglichen Verarbeitung begonnen wird.

Erforderlichkeit einer Datenschutzfolgenabschätzung

Das deutsche HinSchG sowie die zu Grunde liegende EU-Richtlinie (2019/1937 EU) treffen keine Aussage dazu, inwieweit vor Einführung einer Whistleblower Hotline (Meldestelle) eine DSFA erforderlich ist, ebenso wenig die deutsche Gesetzesbegründung (BT-Drs. 20/5992). Die Erwägungsgründe 76 und 85 der EU-Richtlinie führen aus, dass die Vorgaben des Datenschutzes bei der Einführung und Umsetzung eines Hinweisgebersystems einzuhalten sind.

Die Erforderlichkeit der DSFA, die sog. Schwellwertanalyse, richtet sich daher nach den allgemeinen Grundsätzen in Art. 35 DSGVO. Danach ist eine DSFA durchzuführen, wenn eine Datenverarbeitung aufgrund ihres Umfangs, der Umstände oder des Zwecks der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Eine Whistleblower Hotline eröffnet die Möglichkeit, zutreffende, aber auch falsche Informationen über die beschuldigte Person oder weitere betroffene Personen beim Arbeitgeber oder bei einer externen Meldestelle zu hinterlegen. Der gemeldete Sachverhalt wird in vielen Fällen noch weitere Informationen mit Personenbezug enthalten, wie etwa Aussagen über die Rolle im Unternehmen, über die konkreten Umstände der vorgeworfenen Tat, aber auch zum Kommunikationsverhalten und zu privaten Inhalten. Dabei handelt es sich zum Teil um höchstpersönliche Daten der hinweisgebenden Person sowie des Beschuldigten. Diese Daten können missbraucht werden, indem z.B. Identitäten aufgedeckt werden oder die Daten an unbefugte Dritte übermittelt oder verfälscht werden, weshalb ein hohes Risiko für die Rechte und Freiheiten besteht.

Deshalb ist es weit überwiegende Meinung der europäischen Datenschutzbehörden (die alle die DSGVO anwenden), dass bei Einführung einer Whistleblower-Hotline vorab eine DSFA statt zu finden hat. Dies ergibt sich sowohl aus der Orientierungshilfe der DSK (Konferenz der deutschen Datenschutzbehörden) zu Whistleblower-Hotlines, Stand 14.11.2018, Seite 12, als auch aus so genannten Positivlisten einiger weiterer europäischer Länder (Listen von nach Art. 35 Abs. 4 DSGVO, wonach die jeweilige Datenschutzbehörde des Landes Beispielsfälle aufzählt, in welchen eine DSFA zwingend erforderlich ist). Beispiele hierfür sind die von der französischen Datenschutzbehörde CNIL am 6. November 2018 veröffentlichte Liste sowie die Liste der polnischen Datenschutzbehörde aus 2018 und schließlich auch die aktuelle Liste der englischen Datenschutzbehörde ICO, die auch nach dem Brexit weiterhin eng an das europäische Datenschutzrecht angelehnt ist. Auch der Großteil der deutschen Fachliteratur hält die Durchführung einer DSFA für erforderlich.

Gibt es Ausnahmen?

Es gibt einige wenige Stellungnahmen in der Literatur, die formulieren, „in der Regel“ sei eine DSFA erforderlich, ohne aber konkrete Ausnahmen zu beschreiben. Solche Ausnahmen sind eher schwer vorstellbar. Der Zielkonflikt zwischen der – gesetzlich gebotenen – Eröffnung einer Meldestelle einerseits und den Risiken bei der Datenintensität und etwaigem Missbrauch der erhobenen Daten ist quasi systemimmanent. Die DSFA ist die gebotene Vorgehensweise, um solche Zielkonflikte aufzulösen.

Durchführung einer DSFA

Wie ist nun eine DSFA durchzuführen? Das Verfahren ist dasselbe wie bei jeder anderen Einführung eines neuen und möglicherweise datenschutzsensiblen Systems. Erforderlich ist

  • eine Darstellung der geplanten Verarbeitungsschritte,
  • sodann eine Einschätzung von deren Erforderlichkeit und Verhältnismäßigkeit im Hinblick auf die beabsichtigten Zwecke,
  • ferner eine Einschätzung der eingeschränkten Rechte und Freiheiten von betroffenen Personen sowie
  • schließlich, und dies ist der wichtigste Punkt, eine Beschreibung derjenigen Maßnahmen, die nötig sind, um die Risiken zu mildern. Dazu zählen hier unter anderem die Begrenzung von Speicher-Fristen, von Zugriffsmöglichkeiten etc.

Hierbei handelt es sich um Mindestanforderungen für die Durchführung der DSFA, welche anhand des jeweiligen Einzelfalls erfolgt. Unterschiede ergeben sich beispielsweise daraus, ob die Meldestelle intern im Unternehmen betrieben wird oder durch einen unabhängigen Dritten, ob anonyme Meldungen möglich sind, wer die Meldungen bearbeitet und inwieweit hierbei ein elektronisches System zu Hilfe genommen wird.

Bei der Errichtung einer Meldestelle sowie der Durchführung einer DSFA und damit verbundener Untersuchungen und Abhilfemaßnahmen unterstützen wir Sie gerne mit unserem Team unter whistleblowing.kliemt.de.

Dr. Jessica Jacobi 

Rechtsanwältin
Fachanwältin für Arbeitsrecht
Partner
Dr. Jessica Jacobi ist seit 2003 Partnerin der Sozietät. Gemeinsam mit ihrem Team berät sie nationale und internationale Arbeitgeber in allen Fragen des deutschen Arbeitsrechts, wie z.B. bei der Reorganisation von Unternehmen, bei Massenentlassungen und in schwierigen Individualstreitigkeiten inklusive interner Ermittlungen. Sie ist ein aktives Mitglied der International Practice Group für Data Privacy bei unserem internationalen Kanzleinetzwerk Ius Laboris und berät häufig z.B. bei der Einführung neuer technischer Systeme und deren Verhandlung mit dem Betriebsrat, bei Auskunftsansprüchen von Arbeitnehmern nach Art. 15 DS-GVO und bei internationalen Datenübertragungen. Sie ist Autorin einer Vielzahl von Veröffentlichungen und tritt regelmäßig als Referentin auf. Sie ist Mitglied der Fokusgruppe "Datenschutz".
Verwandte Beiträge
Compliance Datenschutz Individualarbeitsrecht Kollektivarbeitsrecht Neueste Beiträge Top-Management

Arbeitsrecht im Jahr 2024: Die Top 5

Rechtzeitig zu den Silvester-Vorbereitungen lesen Sie hier unseren Jahresrückblick auf eine kleine Auswahl an beachtenswerten und für das Arbeitsrecht relevanten Urteilen. Besonders bewegt haben uns im Jahr 2024: Schadensersatzforderungen nach DSGVO-Auskunftsverlangen, Zielvereinbarungs-Boni, Überstundenvergütungen von Teilzeitkräften, die Konzernleihe sowie entschädigungsfreie Wettbewerbsverbote. Top 1 – Auskunftsverlangen nach Art. 15 DSGVO – Schadensersatzrisiko entschärft Schadensersatzforderungen des Arbeitnehmers wegen eines angeblichen Datenschutzverstoßes des Arbeitgebers waren ein beliebtes Instrument, um…
Internationales Arbeitsrecht Neueste Beiträge Urlaub

Perks for employees’ parents: unwrapping the new rules on holiday vouchers

Back in 2019, the government of Slovakia introduced what it called the ‘recreation allowance’ to boost domestic tourism. It requires certain employers to contribute financially to domestic trips taken by eligible employees. From 1 January 2025, the allowance will be extended to the parents of those employees. This is an innovative and, in many ways, welcome move, but it raises some questions about how employers…
Individualarbeitsrecht Kollektivarbeitsrecht Neueste Beiträge Prozessrecht

Datenschutz ist kein Tatenschutz: Beweisverwertungsverbote vor dem Revival?

Nicht selten enthalten Betriebsvereinbarungen Beweisverwertungsverbote für den Fall, dass der Arbeitgeber personenbezogene Daten unter Verstoß gegen Vorschriften des Datenschutzes oder einer Betriebsvereinbarung verarbeitet. Solche Beweisverwertungsverbote sind jedoch nach der Rechtsprechung des BAG nicht zulässig. Dies liegt auf der Linie der verwertungsfreundlichen Rechtsprechung mit dem Grundsatz „Datenschutz ist kein Tatenschutz“. Diese Rechtsprechung gerät indes zunehmend in Bedrängnis, was ein Revival der Beweisverwertungsverbote bewirken könnte. Derzeit können…
Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

 

Die Abmeldung ist jederzeit möglich.