Einleitung
Die Vertraulichkeit der Hinweisgebung und der Schutz der Identität von Hinweisgeber:innen sind zentrale Elemente des HinweisgeberInnenschutzgesetzes (HSchG). Auch die Identität der in Hinweisen genannten Personen ist zu schützen. Dies insb im Hinblick darauf, dass sich Vorwürfe als unzutreffend erweisen könnten.
Rechtsgrundlagen
Detaillierte Regelungen zum Datenschutz im Rahmen des Hinweisgeber:innenschutzes enthält § 8 HSchG.
Zudem unterliegt die Verarbeitung personenbezogener Daten im Rahmen eines Meldesystems grds den Bestimmungen der DSGVO und des DSG.
Personenbezogene Daten
Melden Hinweisgeber:innen Hinweise im Sinne des HSchG an eine interne oder externe Meldestelle oder machen sie diese öffentlich zugänglich, so übermitteln bzw veröffentlichen sie damit idR zumindest Informationen über sich selbst (es sei denn, sie handeln anonym) sowie über die Person, die eine Rechtsverletzung begangen haben soll.
Handelt es sich dabei um Informationen über eine natürliche Person, die identifizierbar ist, liegen personenbezogene Daten iSd Art 4 Z 1 DSGVO vor.
Beispiel
In einem Finanzunternehmen arbeiten die zwei langjährigen Angestellten Anna und Benjamin in der Abteilung für Kund:innenbetreuung. An die interne Meldestelle wird eine anonyme E-Mail gesendet, in der behauptet wird, dass Benjamin vertrauliche Kund:innendaten rechtswidrig verkauft haben soll. Obwohl die hinweisgebende Person ihren Namen nicht angegeben hat, deuten die detaillierten Informationen darauf hin, dass es sich dabei nur um Anna handeln kann. Damit ist die Hinweisgeberin identifizierbar.
Besondere Kategorien personenbezogener Daten
Wird mit einem Hinweis ein konkret begründeter Verdacht gegen eine bestimmte Person gemeldet, ist nach hA Art 10 DSGVO über strafrechtlich relevante Daten zu beachten.1 Diese Daten dürfen nur unter behördlicher Aufsicht oder aufgrund eines gesetzlichen Erlaubnistatbestandes verarbeitet werden. § 8 Abs 6 bietet eine entsprechende Ermächtigung.
Außerdem kann ein Hinweis uU auch folgende Daten über Betroffene enthalten:
- ethnische Herkunft,
- politische Meinungen,
- religiöse oder weltanschauliche Überzeugungen,
- Gewerkschaftszugehörigkeit,
- genetische oder biometrische Daten,
- Gesundheitsdaten oder
- Daten zum Sexualleben oder der sexuellen Orientierung.
Dabei handelt es sich um besondere Kategorien personenbezogener Daten, deren Verarbeitung den strengen Voraussetzungen des Art 9 DSGVO unterliegt.
Betroffene Personen
Von einer Verarbeitung im Rahmen der Hinweisgebung sind idR insb personenbezogene Daten von folgenden Personen betroffen:
- Hinweisgeber:in,
- von der Hinweisgebung betroffene Personen (zB Verdächtige),
- weitere im Hinweis genannte Personen (zB Zeugen, Geschädigte, Opfer),
- von Folgemaßnahmen betroffene Personen.
Rechtmäßigkeit der Datenverarbeitung
Die Datenverarbeitung im Rahmen eines Hinweisgeber:innensystems im Sinne des HSchG ist insofern gerechtfertigt, als mit § 8 HSchG iVm Art 6 Abs 1 lit c und e , Art 9 Abs 2 lit f und g , sowie Art 10 DSGVO eine entsprechende Rechtsgrundlage vorliegt. Die Verarbeitung ist zur Wahrnehmung einer Aufgabe im öffentlichen Interesse, nämlich der Verhinderung und Ahndung von Rechtsverletzungen, erforderlich.2
Ermöglicht eine Meldestelle über das HSchG hinausgehend Hinweise, bedarf es eines Erlaubnistatbestandes. Ein Unternehmen könnte sich in der Praxis insb auf sein berechtigtes Interesse (Art 6 Abs 1 lit f DSGVO ) an der Verhinderung von Fehlverhalten stützen. In diesem Fall ist allerdings eine Interessenabwägung notwendig.3
Umfang der Datenverarbeitung
Es dürfen nur solche personenbezogene Daten verarbeitet werden, die zur Feststellung und Ahndung einer Rechtsverletzung benötigt werden. Andernfalls dürfen sie nicht erhoben werden bzw sind sofort zu löschen.
Verarbeitende Person bzw Stelle | Zulässiger Umfang |
Hinweisgeber:in | Daten, die für den Hinweis benötigt werden |
Interne und externe Stellen | Daten, die ihnen von Hinweisgeber:innen übermittelt wurden |
Behörden | Daten, die infolge eines Hinweises an sie übermittelt wurden, sofern diese für weitere Ermittlungen oder Verfahren benötigt werden |
Praxistipp
Interne Meldestellen sollten Hinweisgeber:innen vor Erstattung einer Meldung darauf hinweisen, dass nur für den Hinweis benötigte personenbezogene Daten übermittelt werden dürfen.
Hinweis
Werden personenbezogene Daten über den zulässigen Umfang hinaus gespeichert, kann dies einen Verstoß gegen die DSGVO darstellen und können die dort vorgesehenen hohen Geldbußen drohen.4
Besondere Kategorien personenbezogener Daten iSd Art 9 DSGVO unterliegen strengeren Vorschriften. Sie dürfen im Rahmen einer Hinweisgebung nur verarbeitet werden, wenn
- dies zur Erreichung der Zwecke des HSchG unbedingt erforderlich ist,
- ein erhebliches öffentliche Interesse an der Verarbeitung besteht und
- wirksame Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Personen getroffen werden.
Datenschutzkonforme Errichtung der Meldestellen
Datenschutz-Folgenabschätzung
Kommt es im Rahmen einer Meldestelle zu einer umfangreichen Verarbeitung strafrechtlich relevanter Daten und/oder besonderer Kategorien personenbezogener Daten, ist grds vor Errichtung des Meldekanals eine Datenschutz-Folgenabschätzung (DS-FA) durchzuführen.
Während des Gesetzgebungsverfahrens erfolgte bereits eine abstrakte DS-FA,5 weshalb eine konkrete DS-FA für einzelne Verarbeitungstätigkeiten entfallen kann (§ 8 Abs 13 HSchG; Art 35 Abs 10 DSGVO ). Dies reduziert den bürokratischen Aufwand bei der Errichtung der internen Meldestellen.
Ausnahme: Eine DS-FA kann jedoch erforderlich sein, wenn die Datenverarbeitung über das gesetzlich geforderte Maß hinausgeht, etwa, wenn Rechtsverletzungen in Bereichen gemeldet werden können, die nicht vom HSchG erfasst sind.6
Um festzustellen, ob eine DS-FA zu erstellen ist, kann eine sog Schwellenwertanalyse hilfreich sein. Dabei wird das Ausmaß geprüft, in dem die Rechte und Freiheiten der Betroffenen gefährdet sind.7
Verzeichnis von Verarbeitungstätigkeiten
Die Datenverarbeitung ist grds im schriftlich zu führenden Verzeichnis der Verarbeitungstätigkeiten anzuführen (Art 30 DSGVO ). Dabei empfiehlt es sich, ua auch auf den Erlaubnistatbestand zu verweisen, auf den die Datenverarbeitung gestützt wird.
Hinweis
Erfolgt im Rahmen des Meldesystems eine Verarbeitung strafrechtlich relevanter personenbezogener Daten, greift die ansonsten geltende Ausnahme für Unternehmen mit weniger als 250 Mitarbeitern nicht (Art 30 Abs 5 DSGVO ).
Auftragsverarbeitervereinbarung
Wird ein externer IT-Dienstleister für den Betrieb des Meldekanals herangezogen, kommt diesem idR die Rolle eines Auftragsverarbeiters zu.8 In diesem Fall ist der Abschluss eines schriftlichen Auftragsverarbeitungsvertrags erforderlich (Art 28 DSGVO ). Die Vertraulichkeitsbestimmungen des HSchG gelten gem § 8 Abs 4 HSchG auch gegenüber Auftragsverarbeitern.
Wird ein Dritter (zB eine Rechtsanwältin) mit der Führung des Meldesystems beauftragt und trifft dieser eigenständig Entscheidungen über Zwecke und Mittel der Datenverarbeitung, so wird dieser als datenschutzrechtlich Verantwortlicher iSd Art 4 Z 7 DSGVO zu qualifizieren sein.9
Vereinbarung über gemeinsame Verantwortlichkeit
Soweit Verantwortliche zusammen ein Hinweisgeber:innensystem betreiben (zB uU in einem Konzernmeldesystem)10, sind sie gemeinsam Verantwortliche und müssen eine Vereinbarung gem Art 26 DSGVO abschließen.
Datenschutzerklärung
Es gelten die allgemeinen Informationspflichten der Art 13, Art 14 DSGVO und § 43 DSG. Dabei ist neben Namen und Kontaktdaten des Verantwortlichen und den Verarbeitungszwecken insb über die Rechtsgrundlage der Datenverarbeitung und die Aufbewahrungsdauer personenbezogener Daten nach dem HSchG zu informieren.11
Datentransfer in Drittländer
Insb im Rahmen von Konzernmeldesystemen kann es zu einer Übermittlung personenbezogener Daten in Drittländer (dh außerhalb der EU) kommen. In diesem Fall sind die Bestimmungen des Kapitels V der DSGVO über den internationalen Datentransfer zu beachten.
Datenschutzkonforme Gestaltung des Meldesystems
Um den Schutz personenbezogener Daten in der Praxis zu gewährleisten, müssen Unternehmen und juristische Personen des öffentlichen Sektors, die einen Meldekanal einrichten, als Verantwortliche (Art 4 Z 7 DSGVO ) grundlegende Prinzipien einhalten und gewisse Maßnahmen ergreifen, die sich aus der DSGVO und dem HSchG ergeben:12
- TOMs: Es sind geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu treffen (zB Verschlüsselung; Passwortregeln). Die Einrichtung des Hinweisgeber:innensystems (Soft- und Hardware) muss dem aktuellen Stand der Technik entsprechen. Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sind (auch bei technischen Zwischenfällen) dauerhaft sicherzustellen.
- Datenschutzfreundliche Voreinstellungen: Das System ist standardmäßig so zu konfigurieren, dass der Schutz personenbezogener Daten bei der Nutzung gewährleistet ist.
- Zugriff: Der Zugriff muss auf Mitarbeiter:innen beschränkt sein, die für die Bearbeitung des Hinweises zuständig sind. Dafür bedarf es eines effektiven Berechtigungskonzepts.
- Datenminimierung: Es ist sicherzustellen, dass nur personenbezogene Daten verarbeitet werden, die für den Verarbeitungszweck notwendig sind. Offensichtlich nicht benötigte personenbezogene Daten sind sofort zu löschen.
- Protokollierung: Der Zugang zum System ist lückenlos zu protokollieren, um eine umfassende Nachvollziehbarkeit und Transparenz zu gewährleisten.
- Kontrolle: Die Wirksamkeit der getroffenen Maßnahmen ist regelmäßig zu überprüfen.
Datenschutzkonformer Umgang mit Meldungen
Zugriffsrechte
Der Zugriff auf gemeldete Hinweise erfolgt nach dem Need-to-know-Prinzip. Dh, dass der Zugang zum System so zu beschränken ist, dass die gespeicherten Daten nur den Mitarbeiter:innen zugänglich sind, die diese zur Bearbeitung des Hinweises benötigen.
Änderungen, Abfragen und Übermittlungen sind zu protokollieren. Nur so kann im Nachhinein nachvollzogen werden, wer auf welche Daten zugegriffen hat und ob dies rechtmäßig war.
Aufbewahrungs- und Löschpflichten
Die Aufbewahrungsfrist nach dem HSchG (insb von Hinweisen) beträgt fünf Jahre ab der letzten Verarbeitung oder Übermittlung.
Darüber hinaus sind personenbezogene Daten so lange aufzubewahren, als es zur Durchführung bereits eingeleiteter verwaltungsbehördlicher oder gerichtlicher Verfahren oder eines Ermittlungsverfahrens nach der StPO erforderlich ist. Danach sind sie zu löschen.
Protokolldaten: Diese sind weitere drei Jahre nach Entfall der Aufbewahrungsfrist aufzubewahren.
Personenbezogene Daten, die für die Bearbeitung eines Hinweises nicht benötigt werden, sind unverzüglich zu löschen.
Praxistipp
Anstelle einer Löschung können die Daten anonymisiert werden. In diesem Fall greift das Regime der DSGVO nicht mehr.
Betroffenenrechte
Grundsätzlich haben Betroffene gem Art 12–21 DSGVO folgende Rechte:
- Informationsrecht
- Auskunftsrecht
- Recht auf Berichtigung
- Recht auf Löschung
- Recht auf Einschränkung der Verarbeitung
- Recht auf Datenübertragbarkeit
- Widerspruchsrecht
- Recht auf Benachrichtigung nach einem Data Breach
Einschränkung der Betroffenenrechte
Die datenschutzrechtlichen Ansprüche der von einem Hinweis betroffenen Person (zB der oder die Beschuldigte) werden zum Zweck der Ermittlungen und des Hinweisgeberschutzes jedoch gesetzlich eingeschränkt: Soweit und solange es für den Hinweisgeberschutz und für das Erreichen der Zwecke des HSchG erforderlich ist, sind die Betroffenenrechte (insb die Informations- und Auskunftsrechte) ausgesetzt (§ 8 Abs 9 HSchG). Damit sollen Versuche der Verhinderung, Unterlaufung oder Verschleppung von Hinweisen oder von Folgemaßnahmen unterbunden werden.13
Beispiel
Lisa arbeitet bei der Qualitätsproduktion GmbH und hat den Verdacht, dass sich ihr Vorgesetzter Max bestechen lässt. Sie meldet dies der internen Meldestelle. Diese veranlasst eine Untersuchung. Max erfährt von der Meldung und bittet Lukas, den Mitarbeiter der internen Meldestelle, um Auskunft über den Inhalt der Meldung und die Identität des Hinweisgebers. Wenn Lukas die Informationen weitergibt, könnte Max Folgemaßnahmen vereitelt. Um dies zu verhindern und um die Hinweisgeberin zu schützen, darf Lukas keine Informationen weitergeben.