Datenschutz und Meldestelle: Spezialwissen für die Doppelfunktion. In diesem Blogbeitrag möchten wir Ihnen sechs relevante Hinweise und Tipps für die Praxis mitgeben. In den letzten Wochen haben wir diese Tipps bereits auf unserem LinkedIn-Account geteilt. Hier folgen: https://www.linkedin.com/company/hinweisgeber-compliance-gbr
Wir gehen auf folgende Themen ein:
- Welche Daten sammeln Sie eigentlich?
- Welche Daten dürfen Sie empfangen und verarbeiten?
- Wann dürfen Sie Daten verarbeiten?
- Wie sieht eine Datenschutz-Folgenabschätzung aus?
- Was müssen Sie bei einem Löschkonzept beachten?
Welche Daten sammeln Sie eigentlich?
Wissen Sie eigentlich, welche Datenströme im Hinweisgebermanagement existieren? Aus Sicht des Datenschutzes dürfen Sie hier nicht den Überblick verlieren. Denken Sie an personenbezogene Daten aus dem Hinweis, die weiteren Daten zum Sachverhalt aus z. B. SAP-Analysen oder Dokumentenanalysen und den Interviews.
Beispielhafte Daten sind: Name des Hinweisgebers, der Beschuldigten, der Zeugen, der Betroffenen (ggf. weitere Angaben) sowie Angaben zum Sachverhalt. Wie Sie merken, sind dies personenbezogene Daten, welche besonders betrachtet und geschützt werden müssen.
Welche Daten dürfen Sie empfangen und verarbeiten?
Ihr Hinweisgebermanagement kann Hinweise jeglicher Art empfangen, ob Sie diese Hinweise dann speichern und verarbeiten dürfen, ist eine andere Frage. Neben dem sachlichen Anwendungsbereich der EU-WBRL und des Hinweisgeberschutz-E finden Sie weitere Meldegegenstände:
- Verhaltensweisen, die einen sich gegen das Unternehmensinteresse richtenden Straftatbestand erfüllen
- Verhaltensweisen, die gegen Menschenrechte, Umweltschutzbelange oder gegen den AGG verstoßen
- Verhaltensweisen, die unternehmensinterne Ethikregeln beeinträchtigen
Mehr zu diesem komplexen datenschutzrechtlichen Sachverhalt erfahren Sie in unseren Trainings.
Wann dürfen Sie Daten verarbeiten?
Wann und wie darf ich Hinweise überhaupt verarbeiten? Ein Vertragsverhältnis gem. Art. 6 lit. B DS-GVO oder auch die Einwilligung der betroffenen Person gemäß Art. 6 Abs. 1 lit. A DS-GVO reicht nicht aus, um die Hinweise verarbeiten zu dürfen. Dagegen kann eine rechtliche Verpflichtung gemäß Art. 6 Abs. 1 lit. C DS-GVO, eine Abwägung nach Art. 6 Abs. 1 lit. f DS-GVO oder spezifischere Vorschriften gemäß Art. 88 DS-GVO dabei helfen, die datenschutzrechtliche Zulässigkeit einzuordnen.
Praxistipp: Definieren Sie eindeutig Ihre Hinweiskategorien, um die (wertvollen) Hinweise bearbeiten zu dürfen.
Wie sieht eine Datenschutz-Folgenabschätzung aus?
Sehen Sie eine Datenschutz-Folgenabschätzung (DSFA) nicht als notwendigen Übel, sondern als einen Prozess, um Risiken zu erkennen, zu bewerten und zu bewältigen. Das Ziel einer DSFA ist es u. a. Folgen von personenbezogenen Verfahren möglichst umfassend zu erfassen.
Wie Sie in den letzten Beiträgen gelernt haben, verarbeiten Sie in einem Hinweisgebermanagement viele personenbezogene Daten. Deshalb ist eine DSFA unerlässlich. Aufgrund mangelhafter DSFA gab es bereits Bußgeld-Bescheide gegen aiComply S.r.l und gegen Aeroporta Bologna S.p.a. i.H.v. von einerseits 20.000 EUR und 40.000 EUR.
Praxistipp: Vermeiden Sie Bußgelder oder Fehler in ihrem Hinweisgebermanagement, indem Sie eine Datenschutzfolgeabschätzung gem. Art. 35 DS-GVO durchführen und so den Datenschutz mit in die Konzeption des Hinweisgebermanagementprozesses einbinden.
Was müssen Sie bei einem Löschkonzept beachten?
Haben Sie schon an die Löschpflichten gem. Art. 17 DS-GVO gedacht? Dort wird das „Recht auf Vergessenwerden“ konkretisiert. Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass die betreffenden personenbezogenen Daten unverzüglich gelöscht werden. Der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern die Gründe (a) bis (f) zutreffen: https://dejure.org/gesetze/DSGVO/17.html
Besonderes Konfliktpotenzial birgt die datenschutzrechtliche Löschungsverpflichtung aus Art. 17 Abs. 1 lit. a DS-GVO im Zusammenhang mit Meldungen in Hinweisgebersystemen. Die vorgenannte Problematik lässt sich zum Teil mithilfe von Art. 32 Abs. 1 lit. a, ErwG 28, 29, 75, 78 DS-GVO lösen. Die drei Schritte dazu finden Sie in der Grafik.
Praxistipp: Gründung einer Löschgruppe aus Vertretern der Funktionen Meldestelle, Datenschutz sowie HR oder Betriebsrat sowie dokumentieren Sie das „Lösch“-Meetings.