IT-Recht & Datenschutz

Das Hinweisgeberschutzgesetz kommt – Was gilt in datenschutzrechtlicher Hinsicht?

Veröffentlicht am 2nd Feb 2023

In seiner letzten Sitzung des Jahres 2022 hat der Deutsche Bundestag das Hinweisgeberschutzgesetz („HinSchG“) beschlossen. Das HinSchG soll Personen schützen, die im Zusammenhang mit oder im Vorfeld ihrer beruflichen Tätigkeit Informationen über bestimmte Verstöße erlangt haben und diese melden („Hinweisgeber“). Es soll außerdem diejenigen schützen, die Gegenstand einer solchen Meldung sind oder von ihr betroffen sind („Gemeldete“). Der Bundesrat muss dem HinSchG noch zustimmen. Es wird erwartet, dass das HinSchG im Mai 2023 in Kraft treten wird (wir berichteten).

Two businessmen shaking hands in a corridor

Die Einführung von Hinweisgebersystemen ist nicht neu. Bereits in der Vergangenheit mussten insbesondere EU-Tochtergesellschaften von US-Konzernen wegen US-rechtlichen Anforderungen aus dem Sarbanes-Oxley-Act Hinweisgebersysteme implementieren. Auch Kreditinstitutionen waren in der Vergangenheit, z.B. nach dem KWG, zur Implementierung von Hinweisgebersystemen verpflichtet. Die datenschutzrechtlichen Aufsichtsbehörden haben sich deshalb bereits vor vielen Jahren mit den datenschutzrechtlichen Anforderungen bei Meldesystemen beschäftigt, siehe Opinion 1/2006 der Art. 29 Working Party vom 1. Februar 2006 oder eine Stellungnahme des ehemaligen Düsseldorfer Kreises aus 2007. Nach Inkrafttreten der DS-GVO haben die deutschen Aufsichtsbehörden ihre Stellungnahmen zu Hinweisgebersystemen und damit verbundenen datenschutzrechtlichen Anforderungen wiederholt aktualisiert, mit der letzten Aktualisierung der Orientierungshilfe im November 2018.

Vor dem Hintergrund der Sensibilität der Aufsichtsbehörden für datenschutzrechtlichen Anforderungen bei Hinweisgebersystemen, sollten Unternehmen bei den Entscheidungen zur Umsetzung eines Hinweisgebersystems die nachfolgenden datenschutzrechtlichen Aspekte berücksichtigen.

1. Begrenzung der meldefähigen Themen?

Um einen Ausgleich zu finden zwischen den Interessen der Unternehmen und den Interessen der Gemeldeten gegen Verleumdung und Denunziation, sollten Unternehmen in der Vergangenheit nach Auffassung der Aufsichtsbehörden nur Meldungen zu eng begrenzten, das Unternehmen betreffende, Themen annehmen dürfen. Diese Themen umfassten: Betrug, Fehlverhalten bei der Rechnungslegung sowie interne Rechnungslegungskontrollen, Wirtschaftsprüfungsdelikte, Korruption, Banken- und Finanzkriminalität, verbotene Insidergeschäfte, Verstöße gegen Menschenrechte, das AGG und Umweltschutzbelange.

Mit dem HinSchG wird die Liste der meldefähigen Themen entsprechend § 2 des HinSchG signifikant erweitert. Es bleibt aber zu erwarten, dass die Aufsichtsbehörden weiterhin daran festhalten werden, dass nicht jedes mögliche Verhalten, das über die Liste in § 2 des HinSchG hinausgeht, über ein Hinweisgebersystem gemeldet werden darf, es sei denn, eine datenschutzrechtliche Rechtsgrundlage kann im Einzelfall dargelegt werden. Unternehmen ist daher zu raten, grundsätzlich nur Meldungen zu Themenbereichen anzunehmen, die unter § 2 des HinSchG fallen.

2. Anonyme Meldungen?

Die Aufsichtsbehörden waren in der Vergangenheit der Auffassung, dass die Möglichkeit zur anonymen Meldung das Risiko von Anschuldigungen „ins Blaue hinein“ wesentlich erhöht. Um eine ungerechtfertigte Datenerhebung zu vermeiden, waren grundsätzlich nur Meldungen unter Namensnennung zulässig. Im Zuge des Inkrafttretens der DS-GVO hatte sich diese Sichtweise der deutschen Aufsichtsbehörden geändert. Nach deren Auffassung hätte ein Gemeldeter über einen Auskunftsanspruch nach Art. 15 Abs. 1 lit.) g DS-GVO auch das Recht, den Namen des Hinweisgebers zu erfahren, da dieser die Quelle für die Datenerhebung ist. Um hier wiederum die Interessen des Hinweisgebers auf Vertraulichkeit zu schützen, wurde von den Aufsichtsbehörden eine 180-Grad-Umkehr vorgenommen: Anonyme Meldungen sollten nun der Standard sein, damit bei den Unternehmen gar nicht erst Informationen zur Identität vorliegen, die einem Gemeldeten nach Art. 15 DS-GVO zur Verfügung zu stellen wären. Eine Meldung unter Angabe des Namens sollte dem Hinweisgeber nur möglich sein, wenn er eine Einwilligung in die Offenlegung seiner Identität gegenüber dem Gemeldeten bei einem Auskunftsersuchen erteilt. 

Nach dem HinSchG sind Hinweisgebersysteme zukünftig so einzurichten, dass Hinweise auch anonym abgegeben werden können. Es soll also in der Entscheidung des Hinweisgebers liegen, ob er anonym bleiben will oder nicht. Auch die schwer nachzuvollziehende Auslegung der deutschen Aufsichtsbehörden, dass dem Gemeldeten bei einem Auskunftsanspruch nach Art. 15 DS-GVO grds. die Identität des Hinweisgebers offenzulegen ist, wenn der Hinweisgeber seinen Namen angegeben hat, sollte sich nun erübrigt haben. § 8 des HinSchG besagt, dass die Identität des Meldenden vertraulich ist und grds. nur den Personen in der Meldestelle bekannt sein darf. Außerdem führt die Gesetzesbegründung zum HinSchG aus, dass im Rahmen des Art. 15 DS-GVO mit § 29 BDSG grundsätzlich der Vertrauensschutz des Hinweisgebers überwiegen soll. Jedoch sollte bei jedem Auskunftsanspruch im Einzelfall dokumentiert werden, warum der Vertrauensschutz des Hinweisgebers das Interesse des Auskunftsbeantragenden überwiegt, mit der Folge, dass die Identität des Hinweisgebers als Quelle nicht offengelegt wird. 

3. Datenschutzrechtliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten

Vor dem HinSchG bestand für die meisten Unternehmen keine rechtliche Pflicht zur Einführung und Unterhaltung eines Hinweisgebersystems. Als datenschutzrechtliche Erlaubnisnorm für die Erhebung und Verarbeitung von personenbezogenen Daten im Zusammenhang mit Compliance-Meldungen hatten die Aufsichtsbehörden deshalb in der Vergangenheit das überwiegende berechtigte Interesse des Unternehmens (jetzt Art. 6 Abs. 1 lit f) DS-GVO) identifiziert, jedoch auch klargestellt, dass ein überwiegendes Interesse nur besteht, wenn gewisse Beschränkungen vorgenommen werden. Dazu gehören z.B. Beschränkungen der meldefähigen Verstöße für anonyme Meldungen, der Zugriffsrechte und eventuell auch bei den Personen, die überhaupt einen möglichen Verstoß über solche internen Meldesysteme melden dürfen.

Mit dem HinSchG wird für bestimmte Unternehmen (grds. Unternehmen mit mindestens 50 Beschäftigten) eine Pflicht zur Einrichtung interner Hinweisgebersysteme eingeführt. Soweit die Datenerhebung und -verarbeitung erforderlich ist, um den Pflichten aus dem HinSchG nachzukommen, werden sich Unternehmen auf Art. 6 Abs. 1 lit c) DS-GVO iVm § 10 HinSchG stützen können (Erforderlichkeit der Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung). Wenn die Datenverarbeitung allerdings über die Vorgaben des HinSchG hinausgeht und somit nicht mehr für die Erfüllung einer rechtlichen Verpflichtung erforderlich ist (z.B. weil ein Unternehmen ein Hinweisgebersystem einführen will, obwohl es nach dem HinSchG nicht dazu verpflichtet ist, weil Themen gemeldet werden sollen, die über die Themen in § 2 des HinSchG hinausgehen, oder weil die Datenverarbeitungsprozesse von den Prozessen abweichen, die das HinSchG vorsieht), muss im Einzelfall geprüft werden, ob die entsprechende Datenverarbeitung über ein überwiegendes berechtigtes Interesse des Unternehmens gerechtfertigt werden kann. Die Aufsichtsbehörde in Baden-Württemberg hat beispielsweise bereits geäußert, dass es keine Rechtsgrundlage geben soll für die Verarbeitung von Daten zu Themenbereichen, die über § 2 des HinSchG hinausgehen. Unternehmen sollten deshalb genau prüfen, was nach dem HinSchG erforderlich ist. Wenn das geplante Meldesystem von den Vorgaben des HinSchG abweicht, ist genau zu hinterfragen, wie die damit verbundene Datenverarbeitung gerechtfertigt werden kann.  

4. Betrieb des Hinweisgebersystems durch Externe

Bereits in der Vergangenheit konnten nach Ansicht der Aufsichtsbehörden die Hinweisgebersysteme von externen Dienstleistern betrieben werden. Diese externen Dienstleister wurden regelmäßig als Auftragsverarbeiter gemäß Art. 28 DS-GVO eingebunden. Auch das HinSchG eröffnet diese Möglichkeit (§ 14 HinSchG) und ausweislich der Gesetzesbegründungen kann – jedenfalls bei Unternehmen mit Sitz in Deutschland – insbesondere auch eine andere Konzerngesellschaft als interne Meldestelle für den ganzen Konzernverbund agieren. Diese interne Meldestelle muss  unabhängig und vertraulich handeln.

Aus datenschutzrechtlicher Sicht ist hierbei zu prüfen, ob der Externe als Auftragsverarbeiter oder als Verantwortlicher agiert, welche datenschutzrechtlichen Verträge erforderlich sind und welche datenschutzrechtlichen Erlaubnisnormen identifiziert werden müssen.

5. Datenschutz-Folgenabschätzung

Die Aufsichtsbehörde in Baden-Württemberg empfiehlt, dass eine Datenschutz-Folgeabschätzung nach Art. 35 DS-GVO vor Implementierung eines Hinweisgebersystems durchgeführt wird, da Daten zu potentiell strafbarem Verhalten verarbeitet werden könnten, für den Hinweisgeber das Risiko besteht, dass seine Anonymität ggf. nicht angemessen geschützt wird, und weil die Einbindung von Externen als Meldestelle das Risiko für die personenbezogenen Daten weiter erhöhen kann.

6. Weitergabe von Daten an Dritte

Die personenbezogenen Daten des Hinweisgebers und der Gemeldeten unterliegen einem strengen Vertrauensschutz, von dem nur in den in § 9 HinSchG genannten Fällen abgewichen werden darf. Beispielsweise können Offenlegungen gegenüber gewissen Behörden nach dem HinSchG erlaubt sein. Parallel zum Vorliegen einer solchen Ausnahme nach § 9 HinSchG ist jedoch auch aus datenschutzrechtlicher Sicht sicherzustellen, dass eine solche Übermittlung von Daten an Dritte datenschutzrechtlich zulässig ist. Regelmäßig wird eine Interessenabwägung nach Art. 6 Abs. 1 lit. f) DS-GVO erforderlich sein; in gewissen Fällen kann aber auch die Einwilligung des Hinweisgebers oder des Gemeldeten erforderlich sein. Diese Anforderungen sind insbesondere bei konzerninternen Datenübermittlungen zu beachten, die aufgrund von Matrixstrukturen, zentralisierten Verantwortungsbereichen oder auch bei konzernweiten Untersuchungen erfolgen können.

7. Speicherdauer

Die Aufsichtsbehörden hatten in der Vergangenheit eine kurze Speicherfrist von zwei Monaten nach Abschluss einer Untersuchung für ausreichend erachtet, es sei denn, Folgemaßnahmen rechtfertigten eine längere Speicherung. Für Unternehmen waren diese Vorgaben oftmals nicht praktikabel.

Das HinSchG statuiert nun eine Speicherfrist von drei Jahren, allerdings stellt das HinSchG nicht klar, welche Dokumente dieser Speicherfrist unterliegen. Aus der Gesetzesbegründung und der zugrundeliegenden Richtlinie wird man jedoch schließen müssen, dass nur die eingehende Meldung hiervon umfasst ist. Aufgrund der restriktiven Sicht der Aufsichtsbehörden in der Vergangenheit sollte deshalb sorgefältig geprüft werden, welche Speicherfristen für weitere Dokumente, wie Gesprächsprotokolle, Maßnahmenbeschreibungen, und Folgemaßnahmen gerechtfertigt sind. Ggf. sollten solche Dokumente nach Abschluss der Untersuchung anonymisiert bzw. pseudonymisiert werden.

Empfehlungen für Unternehmen

Sowohl Unternehmen, die zur Implementierung eines internen Hinweisgebersystems nach dem HinSchG oder nach dem Lieferkettensorgfaltspflichtengesetz (LkSG) verpflichtet sind, als auch Unternehmen, die ein solches System freiwillig implementieren wollen, sollten prüfen lassen, welche rechtlichen Anforderungen und Beschränkungen sich aus dem Datenschutzrecht ergeben. Diese können insbesondere Auswirkungen auf die Strukturierung und Prozesse für das interne Hinweisgebersystem haben. Aber auch prinzipielle datenschutzrechtliche Anforderungen wie Transparenz für Hinweisgeber und Gemeldete, Datenschutz-Folgenabschätzung, und Zugriffsbeschränkungen sind zu beachten. Darüber hinaus sind bei der Implementierung von Hinweisgebersystemen in Betrieben mit Betriebsrat auch die betrieblichen Mitbestimmungsrechte zu beachten.

Teilen

* Dieser Artikel entspricht dem aktuellen Stand zum Zeitpunkt seiner Veröffentlichung und spiegelt nicht notwendigerweise den aktuellen Stand des Gesetzes / der Regulatorik wider.

Sprechen Sie uns an

Interested in hearing more from Osborne Clarke?