Mit dem Inkrafttreten des Hinweisgeberschutzgesetzes (HinSchG) sind zahlreiche datenschutzrechtliche Fragen aufgetaucht. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat kürzlich FAQ veröffentlicht, die Klarheit über diese Fragen schaffen sollen. Die FAQ finden Sie auf dieser Seite.

Die Stellungnahme ist insbesondere für Unternehmen und Dienstleister relevant, die sich mit der Implementierung interner Meldestellen befassen. In diesem Blogbeitrag gehen wir auf die wichtigsten datenschutzrechtlichen Fragen ein, die in den FAQ behandelt werden, und erläutern ihre Bedeutung für Datenschutzbeauftragte und Unternehmen.

Können Datenschutzbeauftragte alleine eine interne Meldestelle betreiben?

Interessenkonflikte verhindern eine Alleinverantwortung

Der Landesbeauftragte für den Datenschutz stellt klar: Datenschutzbeauftragte können alleine keine interne Meldestelle betreiben, da dies zu Interessenkonflikten führen kann. Art. 38 Abs. 6 DS-GVO erlaubt zwar, dass Datenschutzbeauftragte andere Aufgaben übernehmen können, jedoch nur, wenn kein Interessenkonflikt besteht. Eine Doppelfunktion ohne zusätzliche Maßnahmen kann dazu führen, dass die Datenschutzbeauftragten in Situationen geraten, in denen sie entweder über Vorgänge berichten müssen, an denen sie selbst beteiligt waren, oder Datenverarbeitungen kontrollieren müssen, die sie selbst durchgeführt haben.

Voraussetzungen für eine mögliche Doppelfunktion

Eine Doppelfunktion kann nur in Ausnahmefällen zulässig sein, wenn folgende Maßnahmen ergriffen werden:

  • Vertretungsregelungen: Es müssen klare Regelungen vorhanden sein, die eine Vertretung durch nicht-Datenschutzbeauftragte sicherstellen.
  • Klare Zuständigkeiten und Rollentrennung: Eine strikte organisatorische und sachliche Trennung der Zuständigkeiten, etwa bei Aktenführung und Archivierung, muss gewährleistet sein.
  • Lückenlose Prozessdokumentation: Alle Prozesse müssen umfassend dokumentiert werden, um Transparenz und Nachvollziehbarkeit zu gewährleisten.
  • Diese Maßnahmen sollen sicherstellen, dass keine Interessenkonflikte entstehen und die Unabhängigkeit der Datenschutzbeauftragten gewahrt bleibt.

Müssen Unternehmen einen Auftragsverarbeitungsvertrag mit externen Dienstleistern abschließen, die die Meldestelle betreiben?

Erforderlichkeit eines Auftragsverarbeitungsvertrags

Der Landesbeauftragte für den Datenschutz betont, dass Unternehmen einen Auftragsverarbeitungsvertrag (AVV) mit externen Dienstleistern abschließen müssen, die die interne Meldestelle betreiben. Die Gesetzesbegründung zum HinSchG sieht eine Beauftragung externer Dritter in Form der Auftragsverarbeitung als zulässig an. Dies betrifft insbesondere Fälle, in denen der externe Dienstleister nicht sämtliche Aufgaben der Meldestelle übernimmt, sondern lediglich zuarbeitet, wie beispielsweise das Entgegennehmen und Aussortieren von Hinweisen.

Praxisbeispiel: Hinweisgeberexperte

Hinweisgeberexperte betreut mittlerweile über 250 Kunden. Wir schließen mit unseren Kunden AVV ab und stellen sicher, dass alle datenschutzrechtlichen Vorgaben eingehalten werden. Durch diese vertragliche Regelung stellen wir sicher, dass die Datenverarbeitung im Einklang mit den gesetzlichen Anforderungen erfolgt.

Welche Rolle hat HR bei der internen Meldestelle?

Keine alleinige Verantwortung der Personalabteilung

Der Landesbeauftragte für den Datenschutz weist darauf hin, dass die Personalabteilung (HR) keine alleinige Verantwortung für die interne Meldestelle übernehmen sollte. Whistleblowing-Hotlines und Meldestellen sollten außerhalb der Personalverwaltung organisiert und betrieben werden, um Unabhängigkeit und Objektivität zu gewährleisten.

Lösungsansatz von Hinweisgeberexperte

Wir bieten ein Outsourcing-Konzept, bei dem die operative Verantwortung für die Meldestelle übernehmen, während die Personalabteilung lediglich als unterstützender „Arm ins Unternehmen“ fungiert. Dieses Konzept entspricht den Empfehlungen des Landesbeauftragten für den Datenschutz, da HR nicht die alleinige Verantwortung trägt und somit Interessenkonflikte vermieden werden.

hinweisgeberexperte.de

Fazit

Die kürzlich veröffentlichten FAQ des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg bieten klare Richtlinien zur datenschutzkonformen Umsetzung des Hinweisgeberschutzgesetzes. Unternehmen müssen sicherstellen, dass Datenschutzbeauftragte nicht alleine für interne Meldestellen verantwortlich sind, sondern geeignete Vertretungsregelungen und Rollentrennungen implementiert werden. Zudem ist der Abschluss eines Auftragsverarbeitungsvertrags mit externen Dienstleistern obligatorisch, wenn diese die Meldestelle betreiben. Schließlich sollte die Personalabteilung nicht die alleinige Verantwortung für die Meldestelle übernehmen, um Unabhängigkeit und Objektivität zu gewährleisten.

Hinweisgeberexperte hat bereits Maßnahmen ergriffen, die diesen Anforderungen entsprechen. Wir bieten unseren Kunden ein datenschutzkonformes Konzept zur Umsetzung des Hinweisgeberschutzgesetzes an. Unternehmen sind gut beraten, diese FAQ und die damit verbundenen Empfehlungen zu berücksichtigen, um rechtliche Sicherheit und Datenschutzkonformität zu gewährleisten.

Angebot: Kostenfreies Gespräch mit unseren Experten

Sie haben Fragen zu den FAQ oder zum Thema Meldestelle und deren Outsourcing? Wir begleiten Sie bei allen Fragen zum Hinweisgeberschutzgesetz und der Implementierung eines Hinweisgebersystems und betreiben das System für Sie. Melden Sie sich bei uns. Über 250 Kunden vertrauen uns bereits.

Kontakt

Sprechen Sie mit unseren Experten – unverbindlich und kostenlos.

E-Mail: info@compliancerechtsanwaelte.de
Telefon: 089 2152 7445

Autor dieses Artikels: RA Dr. Maximilian Degenhart, Geschäftsführer der Compliance Beratung + Service Rechtsanwaltsgesellschaft mbH.

Compliance Rechtsanwälte ist eine Spezialkanzlei für Compliance, die in den Kernbereichen Compliance-Organisation, Datenschutz, ESG, Geldwäsche, IT-Recht, Strafrecht, Hinweisgebersystemen, Lieferketten und Schulungen tätig ist. Das Team von Compliance Rechtsanwälte berät eine breite Vielfalt an Mandanten. Dazu gehören aufstrebende mittelständische Unternehmen genauso wie die öffentliche Hand und Konzerne. Compliance Rechtsanwälte ist eine der führenden Adressen für Compliance in Deutschland.