Das Fristende für die Implementierung eines Hinweisgebersystems gemäß dem Hinweisgeberschutzgesetz (HinSchG) rückt näher. Arbeitgeber mit 50 oder mehr Beschäftigten müssen ein solches Meldesystem bis zum 17. Dezember 2023 einrichten. Für Arbeitgeber mit 250 oder mehr Beschäftigten besteht diese Verpflichtung bereits seit dem 2. Juli 2023.
Vor der Einführung neuer oder datenintensiver Verfahren ist es erforderlich, eine Datenschutzfolgenabschätzung (DSFA) gemäß Artikel 35 der Datenschutz-Grundverordnung (DSGVO) durchzuführen. Diese DSFA muss erfolgen, bevor die Verarbeitung der fraglichen Daten beginnt.
Unklare Vorgaben
Das deutsche Hinweisgeberschutzgesetz sowie die zugrunde liegende EU-Richtlinie (2019/1937 EU) geben keine klaren Anweisungen darüber, ob eine DSFA vor Einrichtung eines Hinweisgebersystems notwendig ist. Die EU-Richtlinie betont jedoch, dass die Datenschutzbestimmungen bei der Einführung und Umsetzung eines Hinweisgebersystems einzuhalten sind.
Die Notwendigkeit einer DSFA wird mittels einer sogenannten Schwellwertanalyse ermittelt und richtet sich nach den allgemeinen Grundsätzen der DSGVO. Demnach ist eine DSFA erforderlich, wenn eine geplante Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen mit sich bringt, basierend auf Umfang, Umständen oder Zwecken der Verarbeitung.
Datenschutzfolgenabschätzung Unerlässlich
Eine Hinweisgebersystems birgt das Risiko, sowohl korrekte als auch falsche Informationen über betroffene Personen beim Arbeitgeber oder einer externen Meldestelle zu hinterlassen. Diese gemeldeten Informationen können persönliche Daten wie die Rolle im Unternehmen, konkrete Umstände von Vorwürfen, Kommunikationsverhalten und private Inhalte enthalten. Ein Missbrauch dieser Daten könnte zu Identitätsenthüllungen oder unbefugter Weitergabe an Dritte führen, was ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt.
Aus diesem Grund sind sich die meisten europäischen Datenschutzbehörden einig, dass vor der Implementierung eines Hinweisgebersystems eine DSFA durchgeführt werden sollte. Dies wird sowohl in der Orientierungshilfe der DSK (Konferenz der deutschen Datenschutzbehörden) zu Hinweisgebersystemen vom 14.11.2018 als auch in Positivlisten einiger europäischer Länder deutlich, welche Beispielfälle auflisten, in denen eine DSFA zwingend erforderlich ist.
Fazit
Es gibt nur wenige Stimmen, die eine DSFA als "in der Regel" erforderlich betrachten, ohne konkrete Ausnahmen zu benennen. Allerdings sind solche Ausnahmen schwer vorstellbar, da das Risiko für die Rechte und Freiheiten der betroffenen Personen der Verarbeitung durch die Meldestelle innewohnt.
Die Durchführung einer DSFA erfordert eine Darstellung der geplanten Verarbeitungsschritte, eine Bewertung ihrer Notwendigkeit und Verhältnismäßigkeit in Bezug auf die beabsichtigten Zwecke, eine Einschätzung der eingeschränkten Rechte und Freiheiten der betroffenen Personen sowie Maßnahmen zur Risikominderung.
Diese Mindestanforderungen für die DSFA variieren je nach Einzelfall, abhängig davon, ob die Meldestelle intern im Unternehmen betrieben wird, ob anonyme Meldungen möglich sind, wer die Meldungen bearbeitet und inwieweit ein elektronisches System eingesetzt wird.