Aufsatzbesprechung: Fehr/Refenius: Hinweisgeberschutzgesetz: Interner Meldestellenbeauftragte, Compliance-Berater (CB) 2023, 289 ff.;
Das Hinweisgeberschutzgesetz (HSchG) verpflichtet Unternehmen mit mehr als 50 Beschäftigten, eine interne Meldestelle zu etablieren. Voraussetzung ist ein funktionierendes Hinweisgebersystem sowie fachkundige Beschäftigte, die eingehende Hinweise entgegennehmen und bearbeiten. Unternehmen haben die Möglichkeit, diese Pflicht zu outsourcen oder selbst umzusetzen. Doch dies bringt praktische Schwierigkeiten mit sich, insbesondere bei der Frage, wer die Betreuung des Hinweisgebersystems übernehmen soll.
Anforderungen an die Meldestellenbeauftragten
Unternehmen benötigen nicht nur ein Hinweisgebersystem, das idealerweise aus einem digitalen System sowie analogen Meldemöglichkeiten (Telefon, Post, Email) besteht, sondern auch fachkundige Beschäftigte, die dieses System täglich betreuen. Besonders für Unternehmen ohne eigene Rechts- oder Compliance-Abteilung stellt sich die Frage, wer diese Verantwortung übernehmen soll.
Eine Zusammenfassung der Anforderungen an die Fachkunde der Meldestellenbeauftragten lesen Sie hier.
Der Datenschutzbeauftragte als potenzieller Meldestellenbeauftragter
Einige Unternehmen überlegen, ob der Datenschutzbeauftragte* diese Aufgabe übernehmen könnte. Doch hier ist Vorsicht geboten, da erhebliche Interessenkonflikte bestehen könnten.
Prof. Dr. Stefanie Fehr und Kevin Refenius haben in der Fachzeitschrift Compliance-Berater (CB 2023, 289 ff.) einen Aufsatz zu diesem Thema veröffentlicht, der die Problematik detailliert beleuchtet. Im Folgenden wird die Veröffentlichung besprochen.
Interessenkonflikte gemäß DSGVO
Fehr und Refenius argumentieren, dass die Frage, ob ein Datenschutzbeauftragter als interner Meldestellenbeauftragter fungieren kann, ausschließlich nach der DSGVO zu beurteilen ist. Es sei daher allein am Maßstab der DSGVO zu prüfen, ob der betriebliche Datenschutzbeauftragte eine solche Aufgabe übernehmen kann bzw. sollte. Laut Art. 38 Abs. 6 S. 1 DSGVO dürfen einem Datenschutzbeauftragten zusätzliche Aufgaben übertragen werden, solange diese nicht zu Interessenkonflikten führen (Art. 38 Abs. 6 S. 2 DSGVO). Entscheidend ist, dass der Datenschutzbeauftragte seine Pflichten und Aufgaben in völliger Unabhängigkeit ausüben kann.
Die Unabhängigkeit des Datenschutzbeauftragten
Fehr und Refenius begründen den attestierten Konflikt mit kollidierenden Interessen des Datenschutzbeauftragten, welcher dessen Unabhängigkeit zu stark gefährde. Sie weisen darauf hin, dass bereits bei der Implementierung von Meldekanälen der Datenschutzbeauftragte nach Art. 38 Abs. 1 DSGVO zum Schutz personenbezogener Daten eingebunden werden muss. In der Rolle des internen Meldestellenbeauftragten müsste er dann auch Folgemaßnahmen wie Datenanalysen einleiten, um Hinweise aufzuklären. Diese Doppelrolle könnte die Unabhängigkeit des Datenschutzbeauftragten gefährden, da er dann die Zwecke und Mittel der Datenverarbeitung personenbezogener Daten festlegen würde, was gemäß EuGH-Rechtsprechung (C-453/21 und C-560/21) unzulässig ist.
Aktuelle Rechtsprechung unterstützt die These
Diese Argumentation wird durch ein Urteil des Bundesarbeitsgerichts (BAG, 6. Juni 2023 – 9 AZR 383/19) gestützt. Das BAG entschied, dem EuGH-Urteil nachfolgend, dass der Betriebsratsvorsitzende nicht zugleich Datenschutzbeauftragter sein darf, und änderte damit seine bisherige Rechtsprechung. Diese Entscheidung unterstreicht die Notwendigkeit der Unabhängigkeit des Datenschutzbeauftragten.
Fazit: Unternehmen müssen alternative Lösungen finden
Unternehmen, die das Hinweisgeberschutzgesetz umsetzen müssen, sollten daher andere Lösungen in Betracht ziehen, um die Rolle des internen Meldestellenbeauftragten zu besetzen. Der Datenschutzbeauftragte ist aufgrund potenzieller Interessenkonflikte nicht geeignet, diese Aufgabe zu übernehmen. Stattdessen sollten Unternehmen entweder spezialisierte Fachkräfte einstellen oder externe Dienstleister beauftragen, um die Unabhängigkeit und die effektive Umsetzung des Hinweisgebersystems sicherzustellen.
Angebot: Kostenfreies Gespräch mit unseren Experten
Sie haben Fragen zum Thema Datenschutz und zum Hinweisgeberschutzgesetz und der Implementierung eines Hinweisgebersystems in Ihrem Unternehmen? Wir geraten Sie gerne und betreiben das System für Sie. Über 250 Kunden vertrauen uns bereits. Zudem stellen wir für unsere Kunden die Position des externen Datenschutzbeauftragten.
Kontakt
Sprechen Sie mit unseren Experten – unverbindlich und kostenlos.
E-Mail: info@compliancerechtsanwaelte.de
Telefon: 089 2152 7445
Autor dieses Artikels: RA Dr. Maximilian Degenhart, Geschäftsführer der Compliance Beratung + Service Rechtsanwaltsgesellschaft mbH.
Compliance Rechtsanwälte ist eine Spezialkanzlei für Compliance, die in den Kernbereichen Compliance-Organisation, Datenschutz, ESG, Geldwäsche, IT-Recht, Strafrecht, Hinweisgebersystemen, Lieferketten und Schulungen tätig ist. Das Team von Compliance Rechtsanwälte berät eine breite Vielfalt an Mandanten. Dazu gehören aufstrebende mittelständische Unternehmen genauso wie die öffentliche Hand und Konzerne. Compliance Rechtsanwälte ist eine der führenden Adressen für Compliance in Deutschland.
Informationen zum Hinweisgeberschutzgesetz
Weitere Informationen zum Hinweisgeberschutzgesetz finden Sie auf der Homepage von hinweisgeberexperte.de.