Menü
Anzeige - Sämtliche Inhalte dieser Seite sind ein Angebot des Anzeigenpartners. Für den Inhalt ist der Anzeigenpartner verantwortlich.

Das neue Hinweisgeberschutzgesetz: für Datenschutzbeauftragte ein "alter Hut"

Schutzgesetz

Kopfbild zum Artikel
© Deutsche Datenschutz Consult
Seit Juli 2023 gilt in Deutschland das Hinweisgeberschutzgesetz (HinSchG). Es soll Beschäftigte in Unternehmen und Behörden, die Missstände und Rechtsverstöße aufdecken, vor beruflichen Nachteilen bewahren. Unternehmen mit 50 Angestellten und mehr sind zudem verpflichtet, eine sogenannte "interne Meldestelle" einzurichten.

Oliver Siernicki ist Geschäftsführer der Deutsche Datenschutz Consult in Hamburg. Er erläutert im Gespräch, was hinter dem Begriff steckt und warum das Thema für ihn und sein Team – Fachkräfte für Informationssicherheit und Datenschutz – schon lange zum Berufsalltag gehört.

Herr Siernicki, warum wurde das Hinweisgeberschutzgesetz eingeführt? Was ist sein Ziel?

Schutzgesetz
Oliver Siernicki, Geschäftsführer der Deutsche Datenschutz Consult Deutsche Datenschutz Consult
Das Hinweisgeberschutzgesetz trat am 2. Juli 2023 in Kraft. Mit ihm setzt Deutschland eine Richtlinie der EU in nationales Recht um. Ziel des Gesetzes ist unter anderem der Schutz von Angestellten, die mögliche Vergehen ihres Unternehmens aufdecken. Diese "Whistleblower" haben gegebenenfalls Repressionen von ihrem Arbeitgeber zu befürchten. Wer im Rahmen einer Bewerbung Verstöße aufdeckt, muss während des Prozesses womöglich ebenfalls Nachteile befürchten. Durch das neue Gesetz sind Unternehmen nun verpflichtet, hinweisgebende Personen vor solchen Nachteilen zu bewahren.

Praktisch umgesetzt wird das Gesetz durch die ebenfalls verpflichtenden "internen Meldestellen"?

Genau. Ab einer Unternehmensgröße von 50 Beschäftigten müssen Arbeitgeber eine solche Meldestelle einrichten. Ihre Funktion ist es, Hinweise auf Rechtsverstöße, die ihr elektronisch, postalisch, durch Sprachnachricht oder über andere Kanäle zukommen, zu bearbeiten oder an zuständige Stellen weiterzuleiten. Die Meldung ist dabei streng vertraulich zu behandeln. Idealerweise bietet man sogar einen anonymen Meldekanal an.

Wie darf man sich das vorstellen? Ein Kummerkasten an der Wand wird ja nicht die Lösung sein.

Eine interne Meldestelle kann durch eigene Mitarbeiter eines Unternehmens betrieben oder auch an einen speziellen Dienstleister ausgelagert werden. Hier muss ich etwas zum Begriff erklären, der ist etwas verwirrend: Eine interne Meldestelle bleibt eine interne Meldestelle, auch wenn sie an externe Instanzen delegiert wird. Hintergrund ist, dass sie stets in der Zuständigkeit des Beschäftigungsgebers verbleibt.

Es existieren wohlgemerkt auch externe Meldestellen, die sind allerdings von der öffentlichen Hand in Bund und Länder verantwortet und erfüllen fest definierte Aufgaben. Eine zentrale externe Meldestelle wurde etwa beim Bundesamt für Justiz eingerichtet.
Zum Thema

Was qualifiziert eine interne Meldestelle? Auf was sollten Unternehmen bei der Einrichtung achten?

Schutzgesetz
Schutz für Hinweisgeber Adobe Stock // christianstorto
Ob im eigenen Haus oder durch spezialisierte Dienstleister, es gibt drei wichtige Anforderungen. Erstens muss die Meldeinfrastruktur verlässlich zur Verfügung stehen. Zweitens muss die interne Meldestelle absolut vertrauenswürdig und unabhängig agieren. Und drittens muss sie für die Bearbeitung der Meldungen fachlich ausreichend qualifiziert sein. An dieser Stelle kommen wir als Datenschutzbeauftragte ins Spiel.

Inwiefern das?

Vertraulichkeit und Vertrauenswürdigkeit sind unter anderem das, was die Arbeit eines Datenschutzbeauftragten auszeichnet. Wir sind gesetzlich zur Vertraulichkeit verpflichtet sowie durch unsere tägliche Arbeit gewohnt, mit sensiblen personenbezogenen Daten umzugehen und die Betroffenen zu schützen.

Das ist eine überraschende Aussage. Verfolgen Datenschutzbeauftragte nicht vorrangig die Ziele ihres Auftraggebers?

Tatsächlich ist es ein verbreiteter Irrtum, dass Datenschutzbeauftragte primär die Interessen ihres Mandanten vertreten. Datenschutzbeauftragte überwachen die Einhaltung der europäischen Datenschutzgrundverordnung (DSGVO) und wahren damit zunächst die Rechte und Freiheiten der Betroffenen – auch gegenüber ihrem Mandanten.

Selbstverständlich beraten wir gleichzeitig, welche Datenschutzanforderungen gelten und machen gegebenenfalls Vorschläge, wie sie einzuhalten sind.

Ganz ähnlich agiert auch eine interne Meldestelle in Erfüllung des Hinweisgeberschutzgesetzes. So wie ein Datenschutzbeauftragter der Eingabe eines Betroffenen nachgeht, den Vorgang unabhängig untersucht, beim Verantwortlichen auf Gesetzeskonformität hinwirkt und den Betroffenen über die Fortschritte informiert, so wird auch die Meldestelle den Hinweisen des Whistleblowers unabhängig und sorgfältig im Unternehmen nachgehen und den Hinweisgeber regelmäßig informieren. Diese Parallele in der Arbeitsweise setzt sich sogar noch weiter fort.

Was meinen Sie damit?

Schutzgesetz
Online-Termin vereinbaren Deutsche Datenschutz Consult
Als Datenschutzbeauftragte besitzen wir viel Expertise im Umgang mit personenbezogenen Daten, insbesondere im Hinblick auf Vertraulichkeit. Auch im Hinweisgeberschutzgesetz sind strenge Anforderungen zum Umgang mit diesen Daten formuliert. Die Bedeutung, die unser Beruf dieser Vertraulichkeit beimisst, prädestiniert Datenschutzbeauftragte geradezu für die externe Leitung einer internen Meldestelle.

Zudem liegt auf der Hand, dass bei ihrer Einrichtung durch festangestelltes Personal leicht Interessenkonflikte entstehen können. Die lassen sich weitgehend vermeiden, wenn man sich an externe Datenschutzbeauftragte wendet. Ein möglicher Konflikt kann dann allenfalls noch aufkommen, wenn ein Whistleblower eine eventuell fehlerhafte Leistung des Datenschutzbeauftragten meldet oder die Verarbeitungstätigkeit der Meldestelle in Zweifel zieht.

Wie würde eine Auslagerung der Meldestelle praktisch ablaufen?

Die Aufgaben der Meldestelle und des Datenschutzbeauftragten könnten auf mehrere Mitarbeiter verteilt werden, die alle gewohnt sind, in ihrem Spezialgebiet zu arbeiten. Auch dies ist, nebenbei bemerkt, ein Vorteil professioneller Dienstleister gegenüber der unternehmensinternen Lösung.

Rein praktisch schließt das beauftragende Unternehmen mit dem externen Dienstleister einen Vertrag ab, der neben den Anforderungen des Hinweisgeberschutzgesetzes die der DSGVO berücksichtigt. Ein guter Dienstleister stellt neben qualifizierten Mitarbeitern dann auch die elektronische Infrastruktur für die anonyme oder namentliche Meldung zur Verfügung.
Impressum
Deutsche Datenschutz Consult GmbH
Herr Oliver Siernicki Stresemannstraße 29 22769 Hamburg Deutschland
T: 0049-40-22860700
@: infoddsc.de
deutsche-datenschutz-consult.de
Lesen Sie auch

Deutsche Datenschutz Consult DDSC | Partner für den Mittelstand
Bild zum Artikel: Deutsche Datenschutz Consult DDSC | Partner für den Mittelstand
Ab dem 25. Mai 2018 müssen alle Unternehmen, die in der EU ansässig sind und personenbezogene Daten von EU-Bürgern verarbeiten, die Datenschutzgrundverordnung (DSGVO) anwenden. Diese wirft viele bi ...
Betreiber Impressum