Datenschutz und Meldestelle: Spezialwissen für die Doppelfunktion

Datenschutz und Meldestelle: Spezialwissen für die Doppelfunktion. In diesem Blogbeitrag möchten wir Ihnen sechs relevante Hinweise und Tipps für die Praxis mitgeben.

Inhaltsverzeichnis

Eine therapeutische Sitzung. Links spricht eine Person und rechts sitzt eine Person, die Notizen macht.

Datenschutz und Meldestelle: Spezialwissen für die Doppelfunktion. In diesem Blogbeitrag möchten wir Ihnen sechs relevante Hinweise und Tipps für die Praxis mitgeben. In den letzten Wochen haben wir diese Tipps bereits auf unserem LinkedIn-Account geteilt. Hier folgen: https://www.linkedin.com/company/hinweisgeber-compliance-gbr

Wir gehen auf folgende Themen ein:

  • Welche Daten sammeln Sie eigentlich?
  • Welche Daten dürfen Sie empfangen und verarbeiten?
  • Wann dürfen Sie Daten verarbeiten?
  • Wie sieht eine Datenschutz-Folgenabschätzung aus?
  • Was müssen Sie bei einem Löschkonzept beachten?

Welche Daten sammeln Sie eigentlich?

Wissen Sie eigentlich, welche Datenströme im Hinweisgebermanagement existieren? Aus Sicht des Datenschutzes dürfen Sie hier nicht den Überblick verlieren. Denken Sie an personenbezogene Daten aus dem Hinweis, die weiteren Daten zum Sachverhalt aus z. B. SAP-Analysen oder Dokumentenanalysen und den Interviews.

Beispielhafte Daten sind: Name des Hinweisgebers, der Beschuldigten, der Zeugen, der Betroffenen (ggf. weitere Angaben) sowie Angaben zum Sachverhalt. Wie Sie merken, sind dies personenbezogene Daten, welche besonders betrachtet und geschützt werden müssen.

Welche Daten dürfen Sie empfangen und verarbeiten?

Ihr Hinweisgebermanagement kann Hinweise jeglicher Art empfangen, ob Sie diese Hinweise dann speichern und verarbeiten dürfen, ist eine andere Frage. Neben dem sachlichen Anwendungsbereich der EU-WBRL und des Hinweisgeberschutz-E finden Sie weitere Meldegegenstände:

  • Verhaltensweisen, die einen sich gegen das Unternehmensinteresse richtenden Straftatbestand erfüllen
  • Verhaltensweisen, die gegen Menschenrechte, Umweltschutzbelange oder gegen den AGG verstoßen
  • Verhaltensweisen, die unternehmensinterne Ethikregeln beeinträchtigen

Mehr zu diesem komplexen datenschutzrechtlichen Sachverhalt erfahren Sie in unseren Trainings.

Wann dürfen Sie Daten verarbeiten?

Wann und wie darf ich Hinweise überhaupt verarbeiten? Ein Vertragsverhältnis gem. Art. 6 lit. B DS-GVO oder auch die Einwilligung der betroffenen Person gemäß Art. 6 Abs. 1 lit. A DS-GVO reicht nicht aus, um die Hinweise verarbeiten zu dürfen. Dagegen kann eine rechtliche Verpflichtung gemäß Art. 6 Abs. 1 lit. C DS-GVO, eine Abwägung nach Art. 6 Abs. 1 lit. f DS-GVO oder spezifischere Vorschriften gemäß Art. 88 DS-GVO dabei helfen, die datenschutzrechtliche Zulässigkeit einzuordnen.

Praxistipp: Definieren Sie eindeutig Ihre Hinweiskategorien, um die (wertvollen) Hinweise bearbeiten zu dürfen.

Wie sieht eine Datenschutz-Folgenabschätzung aus?

Sehen Sie eine Datenschutz-Folgenabschätzung (DSFA) nicht als notwendigen Übel, sondern als einen Prozess, um Risiken zu erkennen, zu bewerten und zu bewältigen. Das Ziel einer DSFA ist es u. a. Folgen von personenbezogenen Verfahren möglichst umfassend zu erfassen.

Wie Sie in den letzten Beiträgen gelernt haben, verarbeiten Sie in einem Hinweisgebermanagement viele personenbezogene Daten. Deshalb ist eine DSFA unerlässlich. Aufgrund mangelhafter DSFA gab es bereits Bußgeld-Bescheide gegen aiComply S.r.l und gegen Aeroporta Bologna S.p.a. i.H.v. von einerseits 20.000 EUR und 40.000 EUR.

Praxistipp: Vermeiden Sie Bußgelder oder Fehler in ihrem Hinweisgebermanagement, indem Sie eine Datenschutzfolgeabschätzung gem. Art. 35 DS-GVO durchführen und so den Datenschutz mit in die Konzeption des Hinweisgebermanagementprozesses einbinden.

Was müssen Sie bei einem Löschkonzept beachten?

Haben Sie schon an die Löschpflichten gem. Art. 17 DS-GVO gedacht? Dort wird das „Recht auf Vergessenwerden“ konkretisiert. Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass die betreffenden personenbezogenen Daten unverzüglich gelöscht werden. Der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern die Gründe (a) bis (f) zutreffen: https://dejure.org/gesetze/DSGVO/17.html

Besonderes Konfliktpotenzial birgt die datenschutzrechtliche Löschungsverpflichtung aus Art. 17 Abs. 1 lit. a DS-GVO im Zusammenhang mit Meldungen in Hinweisgebersystemen. Die vorgenannte Problematik lässt sich zum Teil mithilfe von Art. 32 Abs. 1 lit. a, ErwG 28, 29, 75, 78 DS-GVO lösen. Die drei Schritte dazu finden Sie in der Grafik.

Praxistipp: Gründung einer Löschgruppe aus Vertretern der Funktionen Meldestelle, Datenschutz sowie HR oder Betriebsrat sowie dokumentieren Sie das „Lösch“-Meetings.

Picture of Prof. Dr. Stefanie Fehr

Prof. Dr. Stefanie Fehr

Prof. Dr. Stefanie Fehr ist Wirtschaftsjuristin, LL.M. und hat in leitenden Compliance-Funktionen in Dax-Konzernen eine umfassende Berufserfahrung zum professionellen Hinweisgeber-Management sammeln können. Zum 1. Oktober 2021 hat Frau Prof. Dr. Fehr die Professur für Compliance, Datenschutz und Unternehmensauditing an der HS Ansbach übernommen und hat zusätzlich seit 2018 einen Lehrauftrag im Bereich „Corporate Compliance“ an der Universität Kassel inne.
Ein Mann der Luftbaloons aus Glühbirnen in der Hand hält und auf einen Text "Helpful Tips" zeigt.

Hinweisgeberschutzgesetz: Praktische Tipps für die Einrichtung einer Meldestelle

Das deutsche Hinweisgeberschutzgesetz (HinSchG) ist ein wichtiges Thema für Unternehmen und Behörden. Es soll hinweisgebende ...
Ein Bild, welches fragende Personen zeigt, die sich unterschiedliche Profile angucken

Die Benennung eines Meldestellen-Beauftragten für die interne Meldestelle

Mit dem Hinweisgeberschutzgesetz (HinSchG) hat der deutsche Gesetzgeber erstmals ein allgemeingültiges Gesetz geschaffen, das Pflichten ...
Eine Illustration, wie eine Recherche durchgeführt wird.

OSINT und wie es Organisationen bei internen Untersuchungen unterstützt

In einer Welt, in der die meisten Informationen digital und online verfügbar sind, ist es ...

QuickCheck LkSG Beschwerdeverfahren

Der „QuickCheck LkSG Beschwerdeverfahren“ dient der kurzen Einschätzung, ob Ihr Unternehmen in den Anwendungsbereich des Lieferkettensorgfaltspflichtengesetzes zum Thema Beschwerdeverfahren fällt. Er stellt keine Rechtsberatung dar.

Sollten Sie bislang noch kein Beschwerdeverfahren nach LkSG verfügen oder Ihre LkSG-Bemühungen überprüfen lassen wollen, wenden Sie sich zu diesem Zweck gern an unsere LkSG Practice Group:

Telefon-Nr.: +49 160 90461727
E-Mail: info@hinweisgeber-compliance.de

Vielen Dank für die Nutzung des "QuickCheck Beschwerdeverfahren" von Hinweisgeber-Compliance.

Unternehmen mit Hauptverwaltung, Hauptniederlassung, Verwaltungssitz, satzungsmäßigem Sitz oder Zweigniederlassung in Deutschland sind adressiert. Das Gesetz gilt auch für deutsche Niederlassungen ausländischer Unternehmen.

Das Lieferkettengesetz galt im ersten Schritt ab 2023 für alle Unternehmen mit über 3.000 Beschäftigten in Deutschland. Im zweiten Schritt (ab Januar 2024) müssen sich nun auch Unternehmen mit mindestens 1.000 Arbeit­­­­nehmern im Inland an die Vorgaben halten. Dazu zählt auch das Beschwerdeverfahren.

Der "QuickCheck LkSG Beschwerdeverfahren" dient der kurzen Einschätzung, ob Ihr Unternehmen in den Anwendungsbereich des Lieferkettensorgfaltspflichtengesetzes zum Thema Beschwerdeverfahren fällt. Er stellt keine Rechtsberatung dar.

Sollten Sie bislang noch kein Beschwerdeverfahren nach LkSG verfügen oder Ihre LkSG-Bemühungen überprüfen lassen wollen, wenden Sie sich zu diesem Zweck gern an unsere LkSG Practice Group indem Sie hier Ihre Kontaktdaten hinterlassen.

Bleiben Sie stets auf dem neuesten Stand.

Melden Sie sich kostenfrei für den Newsletter an.


Wenn Sie das Formular absenden, erklären Sie sich damit einverstanden, dass Ihre persönlichen Daten zum Zweck der Zusendung eines E-Mail-Newsletters mit Informationen über die Angebote der Hinweisgeber Compliance GbR verwendet werden. Ihre Daten werden ausschließlich zur Versendung des Newsletters verwendet und nur an unseren E-Mail Marketing-Dienstleister weitergegeben. Sie können Ihre Einwilligung jederzeit widerrufen.