Einleitung
Die Vertraulichkeit der Hinweisgebung und der Schutz der Identität von Hinweisgeber:innen sind zentrale Elemente des HinweisgeberInnenschutzgesetzes (HSchG). Auch die Identität der in Hinweisen genannten Personen ist zu schützen. Dies insb im Hinblick darauf, dass sich Vorwürfe als unzutreffend erweisen könnten.
Rechtsgrundlagen
Detaillierte Regeln zum Datenschutz im Rahmen des Hinweisgeber:innenschutzes finden sich in § 8 HSchG.
Zudem unterliegt die Verarbeitung personenbezogener Daten im Rahmen eines Meldesystems grds den Bestimmungen der DSGVO und des DSG.
Personenbezogene Daten
Melden Hinweisgeber:innen Hinweise im Sinne des HSchG an eine interne oder externe Meldestelle oder machen sie diese öffentlich zugänglich, so übermitteln bzw veröffentlichen sie damit idR zumindest Informationen über sich selbst (es sei denn, sie handeln anonym) sowie über die Person, die eine Rechtsverletzung begangen haben soll.
Handelt es sich dabei um Informationen über eine natürliche Person, die identifizierbar ist, liegen personenbezogene Daten iSd Art 4 Z 1 DSGVO vor.
Beispiel
In einem Finanzunternehmen arbeiten die zwei langjährigen Angestellten Anna und Benjamin in der Abteilung für Kund:innenbetreuung. An die interne Meldestelle wird eine anonyme E-Mail gesendet, in der behauptet wird, dass Benjamin vertrauliche Kund:innendaten rechtswidrig verkauft haben soll. Obwohl die hinweisgebende Person ihren Namen nicht angegeben hat, deuten die detaillierten Informationen darauf hin, dass es sich dabei nur um Anna handeln kann. Damit ist die Hinweisgeberin identifizierbar.
Besondere Kategorien personenbezogener Daten
Wird mit einem Hinweis ein konkret begründeter Verdacht gegen eine bestimmte Person gemeldet, ist nach hA Art 10 DSGVO über strafrechtlich relevante Daten zu beachten.1 Diese Daten dürfen nur unter behördlicher Aufsicht oder aufgrund eines gesetzlichen Erlaubnistatbestandes verarbeitet werden.
Außerdem kann ein Hinweis uU auch folgende Daten über Betroffene enthalten:
- ethnische Herkunft,
- politische Meinungen,
- religiöse oder weltanschauliche Überzeugungen,
- Gewerkschaftszugehörigkeit,
- genetische oder biometrische Daten,
- Gesundheitsdaten oder
- Daten zum Sexualleben oder der sexuellen Orientierung.
Dabei handelt es sich um besondere Kategorien personenbezogener Daten, deren Verarbeitung den strengen Voraussetzungen des Art 9 DSGVO unterliegt.
Betroffene Personen
Von einer Verarbeitung im Rahmen der Hinweisgebung sind idR insb personenbezogene Daten von folgenden Personen betroffen:
- Hinweisgeber:in,
- von der Hinweisgebung betroffene Personen (Verdächtige),
- weitere im Hinweis genannte Personen (zB Zeugen),
- von Folgemaßnahmen betroffene Personen.
Rechtmäßigkeit der Datenverarbeitung
Die Datenverarbeitung im Rahmen eines Hinweisgebersystems im Sinne des HSchG ist gerechtfertigt, weil sie zur Wahrnehmung einer Aufgabe im öffentlichen Interesse, nämlich der Verhinderung und Ahndung von Rechtsverletzungen, erforderlich ist (Art 6 Abs 1 lit e , Art 9 Abs 2 lit f und g und Art 10 DSGVO ).2 Auch der Rechtfertigungsgrund des Art 6 Abs 1 lit c DSGVO (Erfüllung einer rechtlichen Verpflichtung) wird in der Lehre vertreten.3
Die rechtliche Grundlage findet sich in § 8 Abs 3 HSchG.
Ermöglicht eine Meldestelle über das HSchG hinausgehende Hinweise (etwa indem weitere Rechtsbereiche erfasst werden), kann sich das Unternehmen uU auf berechtigte Interessen (Art 6 Abs 1 lit f DSGVO ), nämlich das Interesse an der Verhinderung von Fehlverhalten, stützen. In diesem Fall ist aber eine Interessenabwägung notwendig.4
Umfang der Datenverarbeitung
Es dürfen nur personenbezogene Daten verarbeitet werden, die zur Feststellung und Ahndung einer Rechtsverletzung benötigt werden. Andernfalls dürfen sie nicht erhoben werden bzw sind sofort zu löschen.
Verarbeitende Person bzw Stelle | Umfang |
Hinweisgeber:in | Daten, die für den Hinweis benötigt werden |
Interne und externe Stellen | Daten, die ihnen von Hinweisgeber:innen übermittelt wurden |
Behörden | Daten, die infolge eines Hinweises an sie übermittelt wurden, sofern diese für weitere Ermittlungen oder Verfahren benötigt werden |
Praxistipp
Interne Meldestellen sollten Hinweisgeber:innen vor Erstattung einer Meldung darauf hinweisen, dass nur für den Hinweis benötigte personenbezogene Daten übermittelt werden dürfen.
Besondere Kategorien personenbezogener Daten iSd Art 9 DSGVO unterliegen strengeren Vorschriften. Sie dürfen im Rahmen einer Hinweisgebung nur verarbeitet werden, wenn
- dies zur Erreichung der Zwecke des HSchG unbedingt erforderlich ist,
- ein erhebliches öffentliche Interesse an der Verarbeitung besteht und
- wirksame Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Personen getroffen werden.
Datenschutzkonforme Errichtung der Meldestellen
Datenschutz-Folgenabschätzung
Kommt es im Rahmen einer Meldestelle zu einer umfangreichen Verarbeitung strafrechtlich relevanter Daten und/oder besonderer Kategorien personenbezogener Daten, ist grds vor Errichtung des Meldekanals eine Datenschutz-Folgenabschätzung (DS-FA) durchzuführen.
Während des Gesetzgebungsverfahrens erfolgte bereits eine abstrakte DS-FA,5 weshalb eine konkrete DS-FA für einzelne Verarbeitungstätigkeiten entfallen kann (§ 8 Abs 13 HSchG; Art 35 Abs 10 DSGVO ). Dies reduziert den bürokratischen Aufwand bei der Errichtung der internen Meldestellen.
Ausnahme: Eine DS-FA kann jedoch erforderlich sein, wenn die Datenverarbeitung über das gesetzlich geforderte Maß hinausgeht, etwa, wenn Rechtsverletzungen in Bereichen gemeldet werden können, die nicht im HSchG erfasst sind. 6
Um festzustellen, ob eine DS-FA zu erstellen ist, kann zuvor eine sog Schwellenwertanalyse durchgeführt werden. Dabei wird das Ausmaß geprüft, in dem die Rechte und Freiheiten der Betroffenen gefährdet sind.7
Praxistipp
Eine Schwellenwertanalyse kann sinnvoll sein, wenn Meldekanäle bereits vor Inkrafttreten des HSchG errichtet wurden.
Verzeichnis von Verarbeitungstätigkeiten
Die Datenverarbeitung ist grds im schriftlich zu führenden Verzeichnis der Verarbeitungstätigkeiten anzugeben (Art 30 DSGVO ). Dabei empfiehlt es sich, auch die Rechtsgrundlage anzugeben, aufgrund derer die Datenverarbeitung gerechtfertigt ist.8
Hinweis
Erfolgt im Rahmen des Meldesystems eine Verarbeitung strafrechtlich relevanter personenbezogener Daten, greift die Ausnahme für Unternehmen mit weniger als 250 Mitarbeitern nicht (Art 30 Abs 5 DSGVO ).
Auftragsverarbeitervereinbarung
Wird ein externer IT-Dienstleister für den Betrieb des Meldekanals herangezogen, kommt diesem idR die Rolle eines Auftragsverarbeiters zu.9 In diesem Fall ist der Abschluss eines schriftlichen Auftragsverarbeitungsvertrags erforderlich (Art 28 DSGVO ).
Wird ein Dritter mit der Führung des Meldesystems beauftragt und trifft dieser eigenständig Entscheidungen über Zwecke und Mittel der Datenverarbeitung, so ist dieser datenschutzrechtlich Verantwortlicher und es bedarf einer gesonderten Rechtsgrundlage für die Datenübermittlung.
Vereinbarung über gemeinsame Verantwortlichkeit
Soweit Verantwortliche zusammen ein Hinweisgebersystem betreiben (zB ein Konzernmeldesystem), sind sie gemeinsam Verantwortliche und müssen eine Vereinbarung gem Art 26 DSGVO abschließen.
Datentransfer in Drittländer
Insb im Rahmen von Konzernmeldesystemen kann es zu einer Übermittlung personenbezogener Daten in Drittländer (dh außerhalb der EU) kommen. In diesem Fall sind die Bestimmungen des Kapitels V der DSGVO über den internationalen Datentransfer zu beachten.
Datenschutzkonforme Gestaltung des Meldesystems
Um den Schutz personenbezogener Daten in der Praxis zu gewährleisten, müssen Unternehmen und juristische Personen des öffentlichen Sektors, die einen Meldekanal einrichten, als Verantwortliche (Art 4 Z 7 DSGVO ) grundlegende Prinzipien einhalten und gewisse Maßnahmen ergreifen, die sich aus der DSGVO und dem HSchG ergeben:10
- TOMs: Es sind geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu treffen (zB Verschlüsselung; Passwortregeln). Die Einrichtung des Hinweisgebersystems (Soft- und Hardware) muss dem aktuellen Stand der Technik entsprechen. Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sind (auch bei technischen Zwischenfällen) dauerhaft sicherzustellen.
- Datenschutzfreundliche Voreinstellungen: Das System ist standardmäßig so zu konfigurieren, dass der Schutz personenbezogener Daten bei der Nutzung gewährleistet ist.
- Zugriff: Der Zugriff muss auf Mitarbeiter:innen beschränkt sein, die für die Bearbeitung des Hinweises zuständig sind. Dafür bedarf es eines effektiven Berechtigungskonzepts.
- Datenminimierung: Es ist sicherzustellen, dass nur personenbezogene Daten verarbeitet werden, die für den Verarbeitungszweck notwendig sind. Offensichtlich nicht benötigte personenbezogene Daten sind sofort zu löschen.
- Protokollierung: Der Zugang zum System ist lückenlos zu protokollieren, um eine umfassende Nachvollziehbarkeit und Transparenz zu gewährleisten.
- Kontrolle: Die Wirksamkeit der getroffenen Maßnahmen ist regelmäßig zu überprüfen.
Datenschutzkonformer Umgang mit Meldungen
Zugriffsrechte
Der Zugriff auf gemeldete Hinweise erfolgt nach dem Need-to-know-Prinzip. Dh, dass der Zugang zum System so zu beschränken ist, dass die gespeicherten Daten nur den Mitarbeiter:innen zugänglich sind, die diese zur Bearbeitung des Hinweises benötigen.
Änderungen, Abfragen und Übermittlungen sind zu protokollieren. Nur so kann im Nachhinein nachvollzogen werden, wer auf welche Daten zugegriffen hat und zu welchem Zweck.
Aufbewahrungs- und Löschpflichten
Die Aufbewahrungsfrist nach dem HSchG (insb von Hinweisen) beträgt fünf Jahre ab der letzten Verarbeitung oder Übermittlung.
Darüber hinaus sind personenbezogene Daten so lange aufzubewahren, als es zur Durchführung bereits eingeleiteter verwaltungsbehördlicher oder gerichtlicher Verfahren oder eines Ermittlungsverfahrens nach der StPO erforderlich ist. Danach sind sie zu löschen.
Protokolldaten: Diese sind weitere drei Jahre nach Entfall der Aufbewahrungsfrist aufzubewahren.
Personenbezogene Daten, die für die Bearbeitung eines Hinweises nicht benötigt werden, sind unverzüglich zu löschen.
Praxistipp
Anstelle einer Löschung können die Daten anonymisiert werden. In diesem Fall greift die DSGVO nicht mehr.
Betroffenenrechte
Grundsätzlich haben Betroffene gem Art 12–21 DSGVO folgende Rechte:
- Informationsrecht
- Auskunftsrecht
- Recht auf Berichtigung
- Recht auf Löschung
- Recht auf Einschränkung der Verarbeitung
- Recht auf Datenübertragbarkeit
- Widerspruchsrecht
- Recht auf Benachrichtigung nach einem Data Breach
Einschränkung der Betroffenenrechte
Die datenschutzrechtlichen Ansprüche der von einem Hinweis betroffenen Person (dh der oder die Beschuldigte) sind zum Zweck der Ermittlungen und des Hinweisgeberschutzes jedoch eingeschränkt: Soweit und solange es für den Hinweisgeberschutz und für das Erreichen der Zwecke des HSchG erforderlich ist, sind die Betroffenenrechte (insb die Informations- und Auskunftsrechte) ausgesetzt (§ 8 Abs 9 HSchG). Damit sollen Versuche der Verhinderung, Unterlaufung oder Verschleppung von Hinweisen oder von Folgemaßnahmen unterbunden werden.11
Die Einschränkung soll insb für die Dauer der Durchführung eines verwaltungsbehördlichen oder gerichtlichen Verfahrens oder eines Ermittlungsverfahrens nach der StPO gelten.
Beispiel
Lisa arbeitet bei der Qualitätsproduktion GmbH und hat den Verdacht, dass sich ihr Vorgesetzter Max bestechen lässt. Sie meldet dies der internen Meldestelle. Diese veranlasst eine Untersuchung. Max erfährt von der Meldung und bittet Lukas, den Mitarbeiter der internen Meldestelle, um Auskunft über den Inhalt der Meldung und die Identität des Hinweisgebers. Wenn die Informationen weitergegeben würden, könnten Folgemaßnahmen gegen Max vereitelt werden. Um dies zu verhindern und die Hinweisgeberin zu schützen, darf Lukas keine Informationen weitergeben.