Datenschutzfolgeabschätzung HinSchG
Firmen mit mindestens 50 Beschäftigten im Sinne von § 12 HinSchG müssen seit Dezember 2023 eine „interne“ Meldestelle für Hinweisgeber (engl. Whistleblower) vorhalten.
Der LfDI Baden-Württemberg hat dazu die wichtigsten Fragen beantwortet. Er geht davon aus, dass hier ein Fall nach Nr. 6 der Schwarzen Liste der DSK vorliegt, der zwingend eine Datenschutzfolgeabschätzung (DSFA) vorschreibt.
Was beinhaltet eine DSFA für eine Meldestelle?
Eine Datenschutzfolgeeinschätzung kann unterschiedlich detailreich sein, muss aber immer die gleichen Elemente aus Art. 35 DSGVO aufweisen, die in DIN EN ISO/IEC 29134:2020-09 nach dem Stand der Wissenschaft beschrieben werden.
Zwecke
Der Zweck einer „internen“ Meldestelle ist, die Anforderungen nach § 12 HinSchG zu erfüllen und rechtswidrige Missstände nach § 2 HinSchG abzustellen. Wenn die Meldestelle zusätzlich die Anforderungen nach dem Lieferkettensorgfaltspflichtengesetz erfüllen soll, muss noch § 8 LkSG berücksichtigt werden.
Dazu gehören mit großer Wahrscheinlichkeit umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO, die das Verhalten von Beschäftigten betreffen werden und ggf. arbeits-, beamten-, straf- oder zivilrechtliche Folgen für die Beschuldigten haben können.
§ 16 Abs. 1 HinSchG legt dem Beschäftigungsgeber auf, Mitarbeiter und Leiharbeiter die Meldestelle zu öffnen. Wenn keine Leiharbeiter in Frage kommen, muss das hier festgestellt werden. Weiter hat der Beschäftigungsgeber die Wahl, ob er die Meldestelle zusätzlich natürlichen Personen öffnet, die im Rahmen ihrer beruflichen Tätigkeiten ihm oder der jeweiligen Organisationseinheit in Kontakt stehen. Das muss bei den Zwecken festgehalten werden.
Systematische Prozessbeschreibung
Innerhalb der Prozessbeschreibung müssen die funktionalen Anforderungen, die Ziele der Informationssicherheit, die erfassten und verarbeiteten Daten beschrieben und schließlich deren Verhältnismäßigkeit festgestellt werden.
Dazu gehören Austausch der Daten mit Dritten und deren Zwecke, etwa ein externer Betreiber einer „internen“ Meldestelle oder Auftragsverarbeiter für die Infrastruktur.
Die funktionale und logische Systemarchitektur muss beschrieben werden. Der Datenfluss wird hier im wesentlichen durch das Gesetz bestimmt.
Die betrieblichen Abläufe müssen beschrieben werden. Dazu gehören der Ort der Datenhaltung, die beteiligten Akteure und Unterstützungsleistungen, wie etwa eine externe Meldesoftware. Die Zugriffsmöglichkeiten, Speichern und Löschen ergeben sich hier aus dem Gesetz. Die Löschfrist beträgt drei Jahre nach HinSchG oder sieben Jahre, wenn die Meldestelle auch nach LkSG betrieben wird. Nicht vergessen sollte man bei der Verfahrensbeschreibung, dass die Beschuldigten nach Art. 13 DSGVO über die Verarbeitung ihrer Daten zu belehren sind, sobald und soweit das die Ermittlungen nicht (mehr) behindert.
Die Maßnahmen sind verhältnismäßig, wenn sie für die oben beschriebenen Zwecke geeignet, erforderlich und angemessen sind.
Risikobewertung und Abhilfemaßnahmen
Unter Beteiligung der maßgeblichen Akteure, hier in der Regel die Mitarbeiter, ggf. zusätzlich die freiwillig beteiligten Geschäftspartner, sollten die größten Risiken ermittelt werden.
Das Risiko ist die Kombination aus Eintrittswahrscheinlichkeit und Auswirkungsgrad (Eintrittsschwere).
Das passende Schaubild zur Veranschaulichung finden Sie weiter unten im Beitrag.
Für alle hohen Risiken müssen Technisch-Organisatorische Abhilfemaßnahmen nach Art. 32 DSGVO implementiert und die Risikoprüfung wiederholt werden. Eine Ende-zu-Ende-Verschlüsselung sensibler Daten, eine organisatorische Ausgliederung und der Abschluss von Auftragsverarbeitungsverträge nur mit seriösen Anbietern bieten sich an.
Vier Methoden, mit Risiken umzugehen:
-
Risikominimierung (durch Setzen von Maßnahmen)
-
Risikovermeidung (durch Unterlassen der risikobehafteten Aktivität, z. B. Beendigung der Verarbeitung personenbezogener Daten in netzbasierten-Anwendungen)
-
Risikotransfer (durch Auslagerung von Risikofolgen auf Dritte, z. B. Versicherung bei Datenverlust)
-
Risikoakzeptanz (bewusste Entscheidung, keine weiteren Maßnahmen zu treffen)
Fazit
Wenn keine hohen Risiken mehr bestehen, war die Datenschutzfolgeabschätzung erfolgreich. Im Falle des Misserfolges muss nach Art. 36 DSGVO die Aufsichtsbehörde um eine Ausnahmegenehmigung vor Errichtung der Meldestelle ersucht werden.
Datenschutzbeauftragter
Nach § 38 BDSG führt die Notwendigkeit einer DSFA automatisch dazu, dass Sie einen Datenschutzbeauftragten bestellen müssen, der sie zur konkrete Ausgestaltung der DSFA beraten kann und sollte.
Weiterführend
-
LfDI BW: FAQ Hinweisgeberschutzgesetz
-
Beuth: DIN EN ISO/IEC 29134:2020-09 zur DSFA (deutsche Fassung, 61 Seiten)
-
bbg: Risikoanalyse
Autor: Thomas Hofmann, Data Privacy Legal Consultant, 15.12.2023
