Datenschutz und Meldestelle: Spezialwissen für die Doppelfunktion

Datenschutz und Meldestelle: Spezialwissen für die Doppelfunktion. In diesem Blogbeitrag möchten wir Ihnen sechs relevante Hinweise und Tipps für die Praxis mitgeben.

Inhaltsverzeichnis

Eine therapeutische Sitzung. Links spricht eine Person und rechts sitzt eine Person, die Notizen macht.

Datenschutz und Meldestelle: Spezialwissen für die Doppelfunktion. In diesem Blogbeitrag möchten wir Ihnen sechs relevante Hinweise und Tipps für die Praxis mitgeben. In den letzten Wochen haben wir diese Tipps bereits auf unserem LinkedIn-Account geteilt. Hier folgen: https://www.linkedin.com/company/hinweisgeber-compliance-gbr

Wir gehen auf folgende Themen ein:

  • Welche Daten sammeln Sie eigentlich?
  • Welche Daten dürfen Sie empfangen und verarbeiten?
  • Wann dürfen Sie Daten verarbeiten?
  • Wie sieht eine Datenschutz-Folgenabschätzung aus?
  • Was müssen Sie bei einem Löschkonzept beachten?

Welche Daten sammeln Sie eigentlich?

Wissen Sie eigentlich, welche Datenströme im Hinweisgebermanagement existieren? Aus Sicht des Datenschutzes dürfen Sie hier nicht den Überblick verlieren. Denken Sie an personenbezogene Daten aus dem Hinweis, die weiteren Daten zum Sachverhalt aus z. B. SAP-Analysen oder Dokumentenanalysen und den Interviews.

Beispielhafte Daten sind: Name des Hinweisgebers, der Beschuldigten, der Zeugen, der Betroffenen (ggf. weitere Angaben) sowie Angaben zum Sachverhalt. Wie Sie merken, sind dies personenbezogene Daten, welche besonders betrachtet und geschützt werden müssen.

Welche Daten dürfen Sie empfangen und verarbeiten?

Ihr Hinweisgebermanagement kann Hinweise jeglicher Art empfangen, ob Sie diese Hinweise dann speichern und verarbeiten dürfen, ist eine andere Frage. Neben dem sachlichen Anwendungsbereich der EU-WBRL und des Hinweisgeberschutz-E finden Sie weitere Meldegegenstände:

  • Verhaltensweisen, die einen sich gegen das Unternehmensinteresse richtenden Straftatbestand erfüllen
  • Verhaltensweisen, die gegen Menschenrechte, Umweltschutzbelange oder gegen den AGG verstoßen
  • Verhaltensweisen, die unternehmensinterne Ethikregeln beeinträchtigen

Mehr zu diesem komplexen datenschutzrechtlichen Sachverhalt erfahren Sie in unseren Trainings.

Wann dürfen Sie Daten verarbeiten?

Wann und wie darf ich Hinweise überhaupt verarbeiten? Ein Vertragsverhältnis gem. Art. 6 lit. B DS-GVO oder auch die Einwilligung der betroffenen Person gemäß Art. 6 Abs. 1 lit. A DS-GVO reicht nicht aus, um die Hinweise verarbeiten zu dürfen. Dagegen kann eine rechtliche Verpflichtung gemäß Art. 6 Abs. 1 lit. C DS-GVO, eine Abwägung nach Art. 6 Abs. 1 lit. f DS-GVO oder spezifischere Vorschriften gemäß Art. 88 DS-GVO dabei helfen, die datenschutzrechtliche Zulässigkeit einzuordnen.

Praxistipp: Definieren Sie eindeutig Ihre Hinweiskategorien, um die (wertvollen) Hinweise bearbeiten zu dürfen.

Wie sieht eine Datenschutz-Folgenabschätzung aus?

Sehen Sie eine Datenschutz-Folgenabschätzung (DSFA) nicht als notwendigen Übel, sondern als einen Prozess, um Risiken zu erkennen, zu bewerten und zu bewältigen. Das Ziel einer DSFA ist es u. a. Folgen von personenbezogenen Verfahren möglichst umfassend zu erfassen.

Wie Sie in den letzten Beiträgen gelernt haben, verarbeiten Sie in einem Hinweisgebermanagement viele personenbezogene Daten. Deshalb ist eine DSFA unerlässlich. Aufgrund mangelhafter DSFA gab es bereits Bußgeld-Bescheide gegen aiComply S.r.l und gegen Aeroporta Bologna S.p.a. i.H.v. von einerseits 20.000 EUR und 40.000 EUR.

Praxistipp: Vermeiden Sie Bußgelder oder Fehler in ihrem Hinweisgebermanagement, indem Sie eine Datenschutzfolgeabschätzung gem. Art. 35 DS-GVO durchführen und so den Datenschutz mit in die Konzeption des Hinweisgebermanagementprozesses einbinden.

Was müssen Sie bei einem Löschkonzept beachten?

Haben Sie schon an die Löschpflichten gem. Art. 17 DS-GVO gedacht? Dort wird das „Recht auf Vergessenwerden“ konkretisiert. Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass die betreffenden personenbezogenen Daten unverzüglich gelöscht werden. Der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern die Gründe (a) bis (f) zutreffen: https://dejure.org/gesetze/DSGVO/17.html

Besonderes Konfliktpotenzial birgt die datenschutzrechtliche Löschungsverpflichtung aus Art. 17 Abs. 1 lit. a DS-GVO im Zusammenhang mit Meldungen in Hinweisgebersystemen. Die vorgenannte Problematik lässt sich zum Teil mithilfe von Art. 32 Abs. 1 lit. a, ErwG 28, 29, 75, 78 DS-GVO lösen. Die drei Schritte dazu finden Sie in der Grafik.

Praxistipp: Gründung einer Löschgruppe aus Vertretern der Funktionen Meldestelle, Datenschutz sowie HR oder Betriebsrat sowie dokumentieren Sie das „Lösch“-Meetings.

Picture of Prof. Dr. Stefanie Fehr

Prof. Dr. Stefanie Fehr

Prof. Dr. Stefanie Fehr ist Wirtschaftsjuristin, LL.M. und hat in leitenden Compliance-Funktionen in Dax-Konzernen eine umfassende Berufserfahrung zum professionellen Hinweisgeber-Management sammeln können. Zum 1. Oktober 2021 hat Frau Prof. Dr. Fehr die Professur für Compliance, Datenschutz und Unternehmensauditing an der HS Ansbach übernommen und hat zusätzlich seit 2018 einen Lehrauftrag im Bereich „Corporate Compliance“ an der Universität Kassel inne.
Magazincover von Revisionspraxis Prev

Datenschutzrechtliche Einführung in das Hinweisgeberschutzgesetz und Herausforderungen bei internen Untersuchungen

Die Revisionspraxis PRev ist das Journal für Revision, IT-Sicherheit, SAP-Sicherheit und Datenschutz. In Ausgabe 2 ...
Drei abstrakte Figuren die über ein Ziel diskutieren

Das Hinweisgeberschutzgesetz und die Rolle des Internen Meldestellenbeauftragten

Das Hinweisgeberschutzgesetz (HinSchG) ist ein wichtiger Meilenstein in der deutschen Gesetzgebung, der dazu beiträgt, die ...
Ein Mann sitzt am Schreibtisch und bekommt Geldscheine zugeflogen

Bußgeldrisiken minimieren durch Nutzung von Vertraulichkeitserklärungen

Unternehmen und Arbeitnehmer stehen seit dem Hinweisgeberschutzgesetz vor der Herausforderung, wie Bußgeldrisiken effektiv vermieden werden ...

QuickCheck LkSG Beschwerdeverfahren

Der „QuickCheck LkSG Beschwerdeverfahren“ dient der kurzen Einschätzung, ob Ihr Unternehmen in den Anwendungsbereich des Lieferkettensorgfaltspflichtengesetzes zum Thema Beschwerdeverfahren fällt. Er stellt keine Rechtsberatung dar.

Sollten Sie bislang noch kein Beschwerdeverfahren nach LkSG verfügen oder Ihre LkSG-Bemühungen überprüfen lassen wollen, wenden Sie sich zu diesem Zweck gern an unsere LkSG Practice Group:

Telefon-Nr.: +49 160 90461727
E-Mail: info@hinweisgeber-compliance.de

Vielen Dank für die Nutzung des "QuickCheck Beschwerdeverfahren" von Hinweisgeber-Compliance.

Unternehmen mit Hauptverwaltung, Hauptniederlassung, Verwaltungssitz, satzungsmäßigem Sitz oder Zweigniederlassung in Deutschland sind adressiert. Das Gesetz gilt auch für deutsche Niederlassungen ausländischer Unternehmen.

Das Lieferkettengesetz galt im ersten Schritt ab 2023 für alle Unternehmen mit über 3.000 Beschäftigten in Deutschland. Im zweiten Schritt (ab Januar 2024) müssen sich nun auch Unternehmen mit mindestens 1.000 Arbeit­­­­nehmern im Inland an die Vorgaben halten. Dazu zählt auch das Beschwerdeverfahren.

Der "QuickCheck LkSG Beschwerdeverfahren" dient der kurzen Einschätzung, ob Ihr Unternehmen in den Anwendungsbereich des Lieferkettensorgfaltspflichtengesetzes zum Thema Beschwerdeverfahren fällt. Er stellt keine Rechtsberatung dar.

Sollten Sie bislang noch kein Beschwerdeverfahren nach LkSG verfügen oder Ihre LkSG-Bemühungen überprüfen lassen wollen, wenden Sie sich zu diesem Zweck gern an unsere LkSG Practice Group indem Sie hier Ihre Kontaktdaten hinterlassen.

Bleiben Sie stets auf dem neuesten Stand.

Melden Sie sich kostenfrei für den Newsletter an.


Wenn Sie das Formular absenden, erklären Sie sich damit einverstanden, dass Ihre persönlichen Daten zum Zweck der Zusendung eines E-Mail-Newsletters mit Informationen über die Angebote der Hinweisgeber Compliance GbR verwendet werden. Ihre Daten werden ausschließlich zur Versendung des Newsletters verwendet und nur an unseren E-Mail Marketing-Dienstleister weitergegeben. Sie können Ihre Einwilligung jederzeit widerrufen.