rehm-verlag
  Online-Produkte öffnen

Datenschutzfragen beim neuen Hinweisgeberschutzgesetz des Bundes und bei den bayerischen Ergänzungsvorschriften für den kommunalen Bereich

Keine Kommentare
6 Bewertungen

Datenschutz-Newsletter Ausgabe 4/2023 (Dezember)

Das Hinweisgeberschutzgesetz des Bundes, für den kommunalen Bereich in Bayern um landesrechtliche Vorschriften ergänzt, zwingt auch bayerische öffentliche Stellen zur Einrichtung von internen und externen Hinweisgebersystemen. Der vorliegende Newsletter gibt zunächst einen Überblick über die rechtlichen Vorgaben zum Schutz von Hinweisgebern und beleuchtet dann die datenschutzrechtlichen Fragen, die Hinweisgebersysteme aufwerfen.

Inhalt

  1. Schutzbedarf von Hinweisgebern
  2. Gesetzgeberische Aktivitäten
    2.1 Sachliche Notwendigkeit von Regelungen
    2.2 Hinweisgeberschutz-Richtlinie der EU
    2.3 Hinweisgeberschutzgesetz des Bundes
    2.4 Ergänzende Landesregelungen für Gemeinden und Gemeindeverbände
    2.5 Kein Raum für weitere landesrechtliche Regelungen
  3. Vorgaben des Datenschutzrechts für die Verarbeitung von Daten durch Hinweisgeber und Meldestellen.
    3.1 Meldestellen und Meldewege
    3.2 Befugnis zu Meldungen an Meldestellen
    3.3 Verarbeitungsbefugnis der Meldestellen für personenbezogene Daten
    3.4 Besonderheiten bei der Unterrichtungspflicht nach Art. 14 DSGVO
    3.5 Besonderheiten bei Auskunftsersuchen nach Art. 15 DSGVO
  4. Weitere Vorgaben des Datenschutzrechts für Meldestellen
    4.1 Übertragung der Aufgaben der internen Meldestelle auf den Datenschutzbeauftragten
    4.2 Durchführung einer Datenschutzfolgenabschätzung
    4.3 Technischer Betrieb interner Meldestellen durch Dritte
    4.4 Aufnahme in das Verzeichnis der Verarbeitungstätigkeiten

1. Schutzbedarf von Hinweisgebern

Hinweisgeber sind leicht verkürzt gesagt Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit Informationen über Rechtsverstöße erlangen und diese Informationen dann an die zuständigen Stellen weitergeben. Es liegt auf der Hand, dass ihnen hieraus Nachteile entstehen können. Sollte es sich um Rechtsverstöße von Kolleginnen oder Kollegen handeln, sehen sich Hinweisgeber rasch dem Vorwurf der „Nestbeschmutzung“ ausgesetzt. Falls es um Rechtsverstöße von Vorgesetzten geht, erleiden Hinweisgeber möglicherweise Nachteile beim beruflichen Fortkommen, da Vorgesetzte darauf üblicherweise Einfluss haben. Im Extremfall riskieren Hinweisgeber sogar, dass die betroffenen Vorgesetzten die Beendigung des Arbeits- bzw. Dienstverhältnisses betreiben.

2. Gesetzgeberische Aktivitäten

2.1 Sachliche Notwendigkeit von Regelungen

Schon seit längerem bestand weitgehend Konsens darüber, dass ein angemessener Schutz von Hinweisgebern ohne gesetzgeberische Maßnahmen nicht zu gewährleisten ist. Gesetzgeberische Maßnahmen schienen auch deshalb gerechtfertigt, weil Unternehmen, Behörden und andere Institutionen ein sehr großes Interesse daran haben, von Rechtsverstößen in ihrem Bereich zu erfahren. Für Behörden spielt in diesem Zusammenhang der Grundsatz der Gesetzmäßigkeit der Verwaltung eine besondere Rolle. Wird die Gesetzmäßigkeit der Verwaltung durch Rechtsverstöße gefährdet, die innerhalb einer Behörde vorkommen, tangiert dies das Rechtsstaatsprinzip, aus dem der Grundsatz der Gesetzmäßigkeit der Verwaltung abgeleitet ist.

2.2 Hinweisgeberschutz-Richtlinie der EU

Trotz dieser Einsicht war der Weg zu entsprechenden gesetzlichen Regelungen überraschend lang und erwies sich teils auch als recht verwickelt. Am Ausgangspunkt stand die Hinweisgeberschutz-Richtlinie der Europäischen Union aus dem Jahr 2019 (Richtlinie (EU) 2019/1937 – HinSch-RL), die – vor allem in der Wirtschaft – oft auch als „Whistleblower-Richtlinie“ bezeichnet wird. Sie konnte für sich allein keine unmittelbare Schutzwirkung zugunsten von Hinweisgebern entfalten. Dies liegt daran, dass EU-Richtlinien – von Sonderkonstellation abgesehen – nicht unmittelbar gelten, sondern eines Umsetzungsakts in das nationale Recht der Mitgliedstaaten bedürfen (Art. 288 Abs. 3 des Vertrags über die Arbeitsweise der Europäischen Union – AEUV).

2.3 Hinweisgeberschutzgesetz des Bundes

Mit der erforderlichen Umsetzung in nationales Recht tat sich der deutsche Gesetzgeber schwer. An sich hätte die Hinweisgeberschutz-Richtlinie in allen wesentlichen Teilen bis spätestens 17. Dezember 2021 in deutsches Recht umgesetzt sein müssen (Art. 26 Abs. 1 HinSch-RL; Art. 26 Abs. 2 HinSch-RL enthält eine insgesamt gesehen bedeutungslose Ausnahme hiervon). Dies geschah nicht termingerecht, was die Einleitung eines Vertragsverletzungsverfahrens gemäß Art. 258 AEUV beim Europäischen Gerichtshof durch die Europäische Kommission zur Folge hatte. Unter dem Druck dieses Verfahrens kam es auf der Bundesebene schließlich zur Verabschiedung des Hinweisgeberschutzgesetzes des Bundes vom 31. Mai 2023 (BGBl. I 2023, Nr. 140), abgekürzt als HinSchG.

Die Gesetzgebungsmaterialien wirken auf den ersten Blick etwas verwirrend. Dies erklärt sich aus den politischen Kontroversen, die das Gesetzgebungsverfahren begleitet haben. Am Anfang stand ein Gesetzentwurf der Bundesregierung (BR-Drs. 20/3442 v. 19. September 2022). Er wurde am 16. Dezember 2022 vom Bundestag unter Einbeziehung von Änderungsvorschlägen des Rechtsausschusses des Bundestags (BT-Drs. 20/4909 v. 14. Dezember 2022) beschlossen. Der Bundesrat versagte jedoch am 10. Februar 2023 seine Zustimmung. Der Gesetzentwurf wurde daraufhin in einen zustimmungspflichtigen Teil (BT-Drs. 20/5992 v. 14. März 2023) und einen nicht zustimmungspflichtigen Teil (BT-Drs. 20/5991 v. 14. März 2023) aufgespaltet. Letztlich kam es dann jedoch im Vermittlungsausschuss von Bundestag und Bundesrat auf der Basis des ursprünglichen Gesetzentwurfs der Bundesregierung (BR-Drs. 20/3442 v. 19. September 2022) zu einem Kompromiss (BR-Drs. 20/6700 v. 9. Mai 2023), der den Weg zur endgültigen Gesetzesfassung ebnete, die am 31. Mai 2023 im Bundesgesetzblatt veröffentlicht wurde (BGBl. I 2023, Nr. 140).

2.4 Ergänzende Landesregelungen für Gemeinden und Gemeindeverbände

Für den kommunalen Bereich war die Geschichte der Gesetzgebung zum Hinweisgeberschutz damit noch nicht zu Ende. Für Kommunen beschränkt sich das Hinweisgeberschutzgesetz auf folgende Regelung (§ 12 Abs. 1 Satz 4 HinSchG):

„Für Gemeinden und Gemeindeverbände und solche Beschäftigungsgeber, die im Eigentum oder unter der Kontrolle von Gemeinden und Gemeindeverbänden stehen, gilt die Pflicht zur Einrichtung und zum Betrieb interner Meldestellen nach Maßgabe des jeweiligen Landesrechts.“

Selbst hätte der Bund eine solche Pflicht für den kommunalen Bereich nicht einführen können. Dies wäre mit dem Grundgesetz nicht zu vereinbaren gewesen, da dort ein Durchgriffsverbot des Bundes statuiert ist (Art. 84 Abs. 1 Satz 7 GG):

„Durch Bundesgesetz dürfen Gemeinden und Gemeindeverbänden Aufgaben nicht übertragen werden.“

Bayern erließ eine Regelung für den kommunalen Bereich erst mit Wirkung vom 1. August 2023. Dies geschah im Rahmen des Gesetzes zur Änderung des Gemeinde- und Landkreiswahlgesetzes und weiterer Rechtsvorschriften durch die Einfügung entsprechender Ergänzungen in die Gemeindeordnung, die Landkreisordnung und die Bezirksordnung. Der ursprüngliche Gesetzentwurf (LT-Drs. 18/28527 v. 18. April 2023) sah die notwendigen Regelungen freilich noch nicht vor. Sie wurden erst im Zuge der Gesetzesberatungen in den Entwurf eingefügt, und zwar durch die Beschlussempfehlung des Ausschusses für Kommunale Fragen, Sicherheit und Sport des Bayer. Landtags (LT-Drs. 18/30041 v. 13. Juli 2023).

Rechtstechnisch geht der bayerische Gesetzgeber wie folgt vor:

  • Zunächst wird durch einen Verweis auf § 12 Abs. 1 HinSchG klargestellt, dass auf landesrechtlicher Ebene Regelungen zur Einrichtung und zum Betrieb interner Meldestellen getroffen werden (§ 56 Abs. 4 Satz 1 GO; Art. 50 Abs. 2 Satz 1 LKrO; Art. 47 Abs. 2 Satz 1 BezO).

  • Darauf aufbauend werden insoweit die §§ 13- 18 HinSchG für entsprechend anwendbar erklärt (§ 56 Abs. 4 Satz 1 GO; Art. 50 Abs. 2 Satz 1 LKrO; Art. 47 Abs. 2 Satz 1 BezO).

  • Leicht unterschiedlich ausgestaltete Ausnahmen für Beschäftigungsgeber mit in der Regel weniger als 50 Beschäftigten schließen sich an (§ 56 Abs. 4 Satz 2 GO; Art. 50 Abs. 2 Satz 2 LKrO; Art. 47 Abs. 2 Satz 2 BezO). Für Gemeinden gibt es eine weitere Ausnahme für den Fall, dass eine Gemeinde weniger als 10000 Einwohnerinnen und Einwohner hat (Art. 56 Abs.2 GO).

  • Als Dritter im Sinn des § 14 Abs.1 Satz 1 HinSchG kann eine geeignete staatliche Meldestelle im Geschäftsbereich des Staatsministeriums des Innern, für Sport und Integration mit den Aufgaben der internen Meldestelle betraut werden (Art. 56 Abs. 4 Satz 3 GO; Art. 50 Abs. 2 Satz 3 LKrO und Art. 47 Abs.2 Satz 3 BezO verweisen jeweils auf diese Vorschrift).

  • Inhaltlich identische Regelungen für Beschäftigungsgeber, die im Eigentum oder unter der Kontrolle einer Gemeinde, eines Landkreises oder eines Bezirks stehen, schließen sich jeweils an (Art. 97 GO; Art. 85 LKrO; Art. 81 Abs.3 BezO).

2.5 Kein Raum für weitere landesrechtliche Regelungen

Raum für darüber hinausgehende landesrechtliche Regelungen neben dem Hinweisgeberschutzgesetz des Bundes besteht nicht. Dies beruht auf dessen persönlichem und sachlichem Anwendungsbereich. Er lässt für zusätzliche landesrechtliche Regelungen keinen Raum:

  • Der persönliche Anwendungsbereich des Hinweisgeberschutzgesetzes des Bundes knüpft an den Schutz bestimmter Personen an (§ 1 HinSchG), nämlich an den Schutz von „hinweisgebenden Personen“ (§ 1 Abs. 1 HinSchG), an den Schutz von Personen, die Gegenstand einer Meldung oder Offenlegung sind, sowie an den Schutz von sonstigen Personen, die von einer Meldung oder Offenlegung betroffen sind (§ 1 Abs. 2 HinschG). Ob die durch das Gesetz geschützten Personen bei Unternehmen der Privatwirtschaft, bei Behörden oder öffentlichen Stellen des Bundes oder bei Behörden oder öffentlichen Stellen der Länder beschäftigt sind, spielt keine Rolle.

  • Auch der sachliche Anwendungsbereich des Gesetzes (§ 2 HinSchG) knüpft in keiner Weise daran an, in welchen Institutionen oder Organisationen sich Indizien für Verstöße ergeben.

In den Vorschriften zum persönlichen und sachlichen Anwendungsbereich kommt das Ziel des Bundesgesetzgebers zum Ausdruck, das Hinweisgeberschutzgesetz als „Stammgesetz“ auszugestalten. Es soll ein einheitliches und kohärentes Schutzsystem für Hinweisgeber schaffen, unabhängig davon, in welcher Branche die hinweisgebenden Personen beschäftigt sind und zu wem sie in einem Beschäftigungsverhältnis (Arbeitsverhältnis oder Beamtenverhältnis) stehen. Der Gesetzentwurf der Bundesregierung verdeutlicht diese gesetzgeberische Intention so (BT-Drs. 20/3442 v. 19. September 2022, S. 34):

„Während bislang im deutschen Recht der Schutz hinweisgebender Personen nur fragmentarisch und uneinheitlich in verschiedenen Lebensbereichen ausgestaltet ist, sieht die HinSch-RL ein einheitliches Schutzsystem für hinweisgebende Personen vor, die Verstöße in den verschiedensten Rechtsbereichen melden oder offenlegen. Dies lässt sich sinnvoll und systematisch logisch am besten durch ein neues Stammgesetz in das nationale Recht umsetzen, das für die Zukunft ein praktikables und anwendungsfreundliches Schutzsystem als Querschnittsinstrument etabliert.“

3. Vorgaben des Datenschutzrechts für die Verarbeitung von Daten durch Hinweisgeber und Meldestellen

3.1 Meldestellen und Meldewege

Meldungen sind nach der Definition des § 3 Abs. 4 HinSchG Mitteilungen von Informationen über Verstöße an interne Meldestellen (§ 12 HinSchG) oder externe Meldestellen (§§ 19 bis 24 HinSchG). Das Konzept des Hinweisgeberschutzgesetzes basiert strukturell darauf, dass sich Hinweisgeber mit ihren Meldungen nach ihrer Wahl an interne oder externe Meldestellen wenden können. Diese Meldestellen müssen Meldungen entgegennehmen und sie inhaltlich bearbeiten. Da – wenn auch nicht zwingend, so doch in der Regel – Hinweisgeber zumindest auch personenbezogene Daten mitteilen, führt dieses Konzept zu zahlreichen Berührungspunkten mit den Vorgaben des Datenschutzrechts. Ausgangspunkt ist dabei, dass die Verarbeitung (Art. 4 Nr. 2 DSGVO) personenbezogener Daten (Art. 4 Nr. 1 DSGVO) den sachlichen Anwendungsbereich der DSGVO eröffnet (Art. 2 Abs. 1 DSGVO). Die folgende Darstellung beschränkt sich auf die wesentlichen Fragen, die sich datenschutzrechtlich stellen.

3.2 Befugnis zu Meldungen an Meldestellen

Meldungen mit personenbezogenen Daten durch Hinweisgeber an Meldestellen stellen datenschutzrechtlich Datenübermittlungen dar, also eine Verarbeitung von personenbezogenen Daten (Art. 4 Nr. 2 DSGVO). Rechtsgrundlage hierfür ist eine Interessenabwägung auf der Basis von Art. 6 Abs. 1 UAbs. 1 Buchst. f DSGVO. Das berechtigte Interesse des Hinweisgebers ergibt sich aus der Freiheit der Meinungsäußerung im Sinn von Art. 10 Europäische Menschenrechtskonvention (EMRK), von der er durch Hinweise auf vermeintliche oder tatsächliche Verstöße Gebrauch macht (siehe EGMR, Urt. v. 21. Juli 2011 – 28274/08 – Heinisch/Deutschland). Etwa entgegenstehende Interessen von Personen, die vom Inhalt der Hinweise betroffen sind, überwiegen im Regelfall nicht wegen der Schutzvorgaben, die das Hinweisgeberschutzgesetz zu ihren Gunsten trifft (siehe hierzu etwa die Ausnahmen vom Vertraulichkeitsgebot für vorsätzlich oder grob fahrlässig handelnde Hinweisgeber, § 9 Abs. 1 HinSchG).

3.3 Verarbeitungsbefugnis der Meldestellen für personenbezogene Daten

§ 10 HinSchG enthält die Verarbeitungsbefugnisse, die für die Arbeit der internen und externen Meldestellen erforderlich sind. Die Gesetzesbegründung führt hierzu zutreffend aus (BT-Drs. 20/3442 v. 19.09.2022, S.76 - Begründung zu § 10):

„Durch die Verarbeitungsbefugnis dürfen die in den Meldungen enthaltenen personenbezogenen Daten durch die Meldestellen sowohl entgegengenommen als auch ausgewertet werden. Darüber hinaus dürfen bei der Durchführung der Folgemaßnahmen neue personenbezogene Daten erhoben und weiterverarbeitet werden.“.

Die Verarbeitungsbefugnis erstreckt sich auch auf besondere Kategorien personenbezogener Daten (§ 10 Satz 2 HinschG i. V. m. Art. 9 Abs. 2 Buchst. g DSGVO).

3.4 Besonderheiten bei der Unterrichtungspflicht nach Art. 14 DSGVO

Sofern – was regelmäßig der Fall ist – Daten mittels eines Hinweisgebersystems ohne Kenntnis der betroffenen Person erhoben werden, besteht dem Grunde nach eine Informationspflicht gemäß Art. 14 DSGVO. Deren Erfüllung wird häufig den Zweck gefährden, dem das Hinweisgebersystem dient. Soweit dies der Fall ist, ist es zulässig (und in der Regel erforderlich), die Erfüllung der Unterrichtungspflicht zeitlich so weit hinauszuziehen, bis diese Gefahr nicht mehr besteht. Art. 14 Abs. 5 Buchst. b DSGVO lässt dies zu. Danach besteht die Informationspflicht nicht, wenn und soweit die Pflicht zur Information „voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt.“ (siehe dazu Fehr, ZD 2022, 256,258). Dem Schutz der Personen, deren Verhalten Gegenstand eines Hinweises ist, dienen die Ausnahmen vom Vertraulichkeitsgebot für vorsätzlich oder grob fahrlässig handelnde Hinweisgeber (§ 9 Abs. 1 HinSchG).

3.5 Besonderheiten bei Auskunftsersuchen nach Art. 15 DSGVO

Ähnliche Problemstellungen wie bei der Unterrichtungspflicht nach Art. 14 DSGVO ergeben sich beim Umgang mit Auskunftsersuchen nach Art. 15 DSGVO. Prüfungsmaßstab ist insofern die Vorgabe des Art. 15 Abs. 4 DSGVO, wonach das Recht auf Erhalt einer Kopie die Rechte und Freiheiten anderer Personen nicht beeinträchtigen darf. Dieser Prüfungsmaßstab gilt allgemein für jede Art von Auskunftsersuchen nach Art. 15 DSGVO, nicht nur für Auskunftsersuchen, die spezifisch auf den Erhalt einer Kopie im Sinne einer originalgetreuen Wiedergabe der personenbezogenen Daten gerichtet sind (zu diesem Begriffsverständnis von „Kopie“ siehe EuGH, Urt. v. 4. 5. 2023 – C – 487/21 – Österreichische Datenschutzbehörde und CRIF GmbH, Rn. 32).  Nach der Rechtsprechung des EuGH stellt die Auskunft in Form einer Kopie im Rahmen von Art. 15 DSGVO nämlich kein eigenständiges Recht dar, sondern lediglich eine spezifische Modalität der Auskunftserteilung (EuGH, Urt. v. 4. 5. 2023 – C – 487/21 – Österreichische Datenschutzbehörde und CRIF GmbH, Rn. 31/32; so bereits EDSA, Guidelines 01/2022, Rn. 23, 152; überholt insoweit Fehr, ZD 2022, 256, 257/258).

Sofern der Anwendungsbereich des Bayerischen Datenschutzgesetzes eröffnet ist (siehe dazu Art. 1 BayDSG) kommt eine Beschränkung der Erteilung von Auskünften auch ohne Rückgriff auf Art. 15 Abs. 5 DSGVO bereits auf der Basis von Art. 10 Abs. 2 Nr. 3 BayDSG in Betracht. Dass die Tatsache der Speicherung von Daten in einem Hinweisgebersystem geheim gehalten werden muss, wird in der Regel zum Schutz der hinweisgebenden Person erforderlich sein. Art. 10 BayDSG enthält Beschränkungen des Auskunftsrechts nach Art. 15 DSGVO, die gemäß Art. 23 DSGVO zulässig sind. Sie sind neben Art. 15 Abs. 4 DSGVO anwendbar.

4. Weitere Vorgaben des Datenschutzrechts für Meldestellen

4.1 Übertragung der Aufgaben der internen Meldestelle auf den Datenschutzbeauftragten

Nach den Vorstellungen des Gesetzentwurfs der Bundesregierung ist es jedenfalls in kleineren Unternehmen (und damit wohl auch in kleineren Behörden und sonstigen öffentlichen Stellen) denkbar, Datenschutzbeauftragten zusätzlich die Funktion der internen Meldestelle zu übertragen (BT-Drs. 20/3442, S. 79 oben). Dabei bezieht sich der Gesetzentwurf auf Erwägungsgrund 56 der Hinweisgeberschutz-Richtlinie. Dessen Satz 2 lautet:

„In kleineren Unternehmen könnte diese Aufgabe durch einen Mitarbeiter in Doppelfunktion erfüllt werden, der direkt der Unternehmensleitung berichten kann, etwa ein Leiter der Compliance- oder Personalabteilung, ein Integritätsbeauftragter, ein Rechts- oder Datenschutzbeauftragter, ein Finanzvorstand, ein Auditverantwortlicher oder ein Vorstandsmitglied.“

Gegen diesen Ansatz werden inzwischen zurecht Einwendungen erhoben. Die Erfüllung der Aufgaben einer internen Meldestelle ist regelmäßig mit der Verarbeitung personenbezogener Daten verbunden, deren Überprüfung wiederum dem Datenschutzbeauftragten obliegt. Darin wird zumindest sehr häufig eine unzulässige Interessenskollision zu sehen sein (Heberlein, Anm. zu BAG, Urt. v. 6. Juni 2023 – 9 AZR 383/19, ZD 2023, 761, 764; das Urteil des BAG beruht auf dem Ergebnis eines Vorlageverfahrens zum EuGH in dieser Rechtssache, siehe EuGH, Urt. v. 9. Februar 2023 – C- 453/21 - X-FAB Dresden, Rn. 44 ff.). Von der Einrichtung einer solchen Doppelfunktion ist daher abzuraten (entgegen Gola, RDV 2023, 213, 220, der meint, dass sich die Personalunion bei kleineren Unternehmen vielfach geradezu anbiete).

4.2 Durchführung einer Datenschutzfolgenabschätzung

Der Zweck eines Meldesystems besteht darin, Rechtsverstöße aufzudecken, sie zu beenden, sofern sie noch andauern und nötigenfalls eine angemessene Sanktionierung der Verstöße zu veranlassen. Dies kann massive Folgen für die betroffenen Personen, aber auch für Hinweisgeber selbst haben und für Personen, die in einem Hinweis namentlich genannt werden. Damit verbunden sind besondere Risiken für die Rechte und Freiheiten der betroffenen Personen. Diese Risiken realisieren sich etwa im Falle falscher Anschuldigungen. Solche Risiken gebieten die Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO für das Hinweisgebersystem der Meldestelle (so Fehr, ZD 2022, 256, 258/259; ihr folgend Ammon, PinG 2023, 67, 71; ebenso bereits die Orientierungshilfe der DSK zu Whistleblowing-Hotlines vom 14. November 2018, S. 12, https://www.datenschutzkonferenz-online.de/media/oh/20181114_oh_whistleblowing_hotlines.pdf). Ausnahmen hiervon sieht die DSGVO auch für kleinere öffentliche Stellen oder Behörden nicht vor, obwohl der Gesetzgeber sie zum Handeln (also zur Einrichtung eines Hinweisgebersystems) zwingt. Der Bayerische Landesbeauftragte für den Datenschutz hat sich zu der Thematik noch nicht geäußert.

4.3 Technischer Betrieb interner Meldestellen durch Dritte

Beschäftigungsgeber sind verpflichtet, interne Meldestellen einzurichten (§ 12 HinSchG). Beim Betrieb der Meldestelle werden sie häufig technische Systeme externer Dienstleister einsetzen. In diesem Fall sind die Vorgaben von Art. 28 DSGVO zu beachten. Dazu gehört insbesondere der Abschluss eines entsprechenden Vertrags mit dem Auftragsverarbeiter (so auch ausdrücklich BT-Drs. 20/3442 v. 19. September 2022, S. 79/80).

4.4 Aufnahme in das Verzeichnis der Verarbeitungstätigkeiten

Ein Hinweisgebersystem gleich welcher Ausgestaltung stellt eine eigenständige Verarbeitungstätigkeit dar, die in das Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO aufzunehmen ist.

Dr. Eugen Ehmann
Mitautor von Datenschutz in Bayern

Weitere Artikel zu folgenden Schlagworten:
Auskunftsanspruch  Hinweisgeberschutzgesetz 
Mein Kommentar
Sie sind nicht eingeloggt
Bitte benachrichtigen Sie mich bei neuen Kommentaren.
Ihr Kommentar erscheint unter Verwendung Ihres Namens. Weitere Einzelheiten zur Speicherung und Nutzung Ihrer Daten finden Sie in unserer Datenschutzerklärung.
0 Kommentare zu diesem Beitrag
Wilde / Ehmann / Niese / Knoblauch / Will / Schwabenbauer / Engelbrecht
Datenschutz in Bayern

Bayerisches Datenschutzgesetz, Datenschutz-Grundverordnung - Kommentar und Handbuch für Datenschutzverantwortliche

Fortsetzungspreis‎ 242,00 €
Loseblattwerk zzgl. Aktualisierungslieferungen
Info & Bestellung
Wilde / Ehmann / Niese / Knoblauch
Datenschutz in Bayern online

Bayerisches Datenschutzgesetz, Datenschutz-Grundverordnung - Kommentar und Handbuch für Datenschutzverantwortliche

Vierteljahrespreis‎ 69,00 €
Online-Produkt
Info & Bestellung
banner-datenschutz.png
rehm_e-line_banner_355x355_L1_Var1.jpg

Wählen Sie unter 14 kostenlosen Newslettern!

Mit den rehm Newslettern zu vielen Fachbereichen sind Sie immer auf dem Laufenden.

SX_LOGIN_LAYER

SX_CONTINUE_ORDER_AS_GUEST

Passwort vergessen?

SX_OPENACCOUNT