DSFA Meldestelle

Datenschutzfolgeabschätzung HinSchG

Firmen mit mindestens 50 Beschäftigten im Sinne von § 12 HinSchG müssen seit Dezember 2023 eine „interne“ Meldestelle für Hinweisgeber (engl. Whistleblower) vorhalten.

Der LfDI Baden-Württemberg hat dazu die wichtigsten Fragen beantwortet. Er geht davon aus, dass hier ein Fall nach Nr.  6 der Schwarzen Liste der DSK vorliegt, der zwingend eine Datenschutzfolgeabschätzung (DSFA) vorschreibt.

 

Was beinhaltet eine DSFA für eine Meldestelle?

Eine Datenschutzfolgeeinschätzung kann unterschiedlich detailreich sein, muss aber immer die gleichen Elemente aus Art. 35 DSGVO aufweisen, die in DIN EN ISO/IEC 29134:2020-09 nach dem Stand der Wissenschaft beschrieben werden.

 

Zwecke

Der Zweck einer „internen“ Meldestelle ist, die Anforderungen nach § 12 HinSchG zu erfüllen und rechtswidrige Missstände nach § 2 HinSchG abzustellen. Wenn die Meldestelle zusätzlich die Anforderungen nach dem Lieferkettensorgfaltspflichtengesetz erfüllen soll, muss noch § 8 LkSG berücksichtigt werden.

Dazu gehören mit großer Wahrscheinlichkeit umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO, die das Verhalten von Beschäftigten betreffen werden und ggf. arbeits-, beamten-, straf- oder zivilrechtliche Folgen für die Beschuldigten haben können.

§ 16 Abs. 1 HinSchG legt dem Beschäftigungsgeber auf, Mitarbeiter und Leiharbeiter die Meldestelle zu öffnen. Wenn keine Leiharbeiter in Frage kommen, muss das hier festgestellt werden. Weiter hat der Beschäftigungsgeber die Wahl, ob er die Meldestelle zusätzlich natürlichen Personen öffnet, die im Rahmen ihrer beruflichen Tätigkeiten ihm oder der jeweiligen Organisationseinheit in Kontakt stehen. Das muss bei den Zwecken festgehalten werden.

 

Systematische Prozessbeschreibung

Innerhalb der Prozessbeschreibung müssen die funktionalen Anforderungen, die Ziele der Informationssicherheit, die erfassten und verarbeiteten Daten beschrieben und schließlich deren Verhältnismäßigkeit festgestellt werden.

Dazu gehören Austausch der Daten mit Dritten und deren Zwecke, etwa ein externer Betreiber einer „internen“ Meldestelle oder Auftragsverarbeiter für die Infrastruktur.

Die funktionale und logische Systemarchitektur muss beschrieben werden. Der Datenfluss wird hier im wesentlichen durch das Gesetz bestimmt.

Die betrieblichen Abläufe müssen beschrieben werden. Dazu gehören der Ort der Datenhaltung, die beteiligten Akteure und Unterstützungsleistungen, wie etwa eine externe Meldesoftware. Die Zugriffsmöglichkeiten, Speichern und Löschen ergeben sich hier aus dem Gesetz. Die Löschfrist beträgt drei Jahre nach HinSchG oder sieben Jahre, wenn die Meldestelle auch nach LkSG betrieben wird. Nicht vergessen sollte man bei der Verfahrensbeschreibung, dass die Beschuldigten nach Art. 13 DSGVO über die Verarbeitung ihrer Daten zu belehren sind, sobald und soweit das die Ermittlungen nicht (mehr) behindert.

Die Maßnahmen sind verhältnismäßig, wenn sie für die oben beschriebenen Zwecke geeignet, erforderlich und angemessen sind.

 

Risikobewertung und Abhilfemaßnahmen

Unter Beteiligung der maßgeblichen Akteure, hier in der Regel die Mitarbeiter, ggf. zusätzlich die freiwillig beteiligten Geschäftspartner, sollten die größten Risiken ermittelt werden.

Das Risiko ist die Kombination aus Eintritts­wahrscheinlich­keit und Auswirkungsgrad (Eintrittsschwere).

 

Das passende Schaubild zur Veranschaulichung finden Sie weiter unten im Beitrag.

 

Für alle hohen Risiken müssen Technisch-Organisatorische Abhilfemaßnahmen nach Art. 32 DSGVO implementiert und die Risikoprüfung wiederholt werden. Eine Ende-zu-Ende-Verschlüsselung sensibler Daten, eine organisatorische Ausgliederung und der Abschluss von Auftragsverarbeitungsverträge nur mit seriösen Anbietern bieten sich an.

 

Vier Methoden, mit Risiken umzugehen:

  • Risikominimierung (durch Setzen von Maßnahmen)

  • Risikovermeidung (durch Unterlassen der risikobehafteten Aktivität, z. B. Beendigung der Verarbeitung personenbezogener Daten in netzbasierten-Anwendungen)

  • Risikotransfer (durch Auslagerung von Risikofolgen auf Dritte, z. B. Versicherung bei Datenverlust)

  • Risikoakzeptanz (bewusste Entscheidung, keine weiteren Maßnahmen zu treffen)

 

Fazit

Wenn keine hohen Risiken mehr bestehen, war die Datenschutzfolgeabschätzung erfolgreich. Im Falle des Misserfolges muss nach Art. 36 DSGVO die Aufsichtsbehörde um eine Ausnahmegenehmigung vor Errichtung der Meldestelle ersucht werden.

 

Datenschutzbeauftragter

Nach § 38 BDSG führt die Notwendigkeit einer DSFA automatisch dazu, dass Sie einen Datenschutzbeauftragten bestellen müssen, der sie zur konkrete Ausgestaltung der DSFA beraten kann und sollte.

 

Weiterführend

 

Autor: Thomas Hofmann, Data Privacy Legal Consultant, 15.12.2023

Hier erfahren Sie mehr.

Ich berate Sie gerne und freue mich auf Ihre Fragen.

Data Privacy Legal Consultant

Florian Thomas Hofmann