Hinweisgeberschutz gilt jetzt auch für Unternehmen ab 50 Mitarbeitern
Seit 17.12.2023 sind alle Unternehmen ab 50 Mitarbeitern zur Einführung eines Hinweisgebersystems verpflichtet. Viele Unternehmen stehen nun vor Herausforderungen im Zusammenhang mit dem Datenschutz.
Datenschutzrechtliche Fragen beim Hinweisgeberschutz
Das HinweisgeberInnenschutzgesetz (HSchG) soll Personen, die offenlegen, dass öffentliche oder private Rechtsträger, mit denen sie im weitesten Sinn beruflich verbunden sind (oder waren), gegen bestimmte Gesetze verstoßen (haben), durch geregelte Abläufe und Zuständigkeiten bei der Offenlegung unterstützen und sie vor den nachteiligen Folgen einer solchen Offenlegung schützen.
Zu diesem Zweck müssen Unternehmen (eingetragene Personengesellschaften und Kapitalgesellschaften) und juristische Personen des öffentlichen Rechts, die entweder mindestens 50 Beschäftigte haben oder in besonders sensiblen Bereichen (zB Finanzdienstleistungen) tätig sind, ein internes Hinweisgebersystem einführen.
Für die Entgegennahme der Hinweise muss eine Meldestelle innerhalb der Organisation eines Rechtsträgers („interne Stelle“ iSd § 5 Z 6 HSchG) eingerichtet werden. Außerdem müssen Rechtsträger geeignete Mittel und Wege zur Kommunikation mit dieser Meldestelle schaffen und dafür sorgen, dass die einlangenden Hinweise in einem geregelten Verfahren, das den gesetzlichen Anforderungen entspricht, behandelt werden (siehe dazu insbesondere § 11 Abs 3 HSchG).
Um diesen Pflichten nachzukommen, wird es in der Regel notwendig sein, eine Vielzahl an Daten, darunter auch solche mit Personenbezug, zu verarbeiten. Üblicherweise werden diese (personenbezogenen) Daten dabei ganz oder teilweise „automatisiert“, also digital verarbeitet, wodurch sich der Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) eröffnet. Deshalb müssen Rechtsträger, die unter das HinweisgeberInnenschutzgesetz (HSchG) fallen, zusätzlich zum Schutz der Hinweisgeber auch den Datenschutz beachten, der nicht nur die Hinweisgeber, sondern alle natürlichen Personen, deren Daten verarbeitet werden (also insbesondere auch die Beschuldigten), betrifft.
Dabei ist naheliegend, dass Art und Umfang der in diesem Rahmen verarbeiteten Daten zu erheblichen Risiken für die von der Datenverarbeitung betroffenen Personen führen können. Hinweisgeber, deren Identität unbeabsichtigt offengelegt wird, können das Ziel von Vergeltungsmaßnahmen werden, während Beschuldigte möglicherweise voreiligen Verdächtigungen ausgesetzt sind, wenn die gegen sie erhobenen Vorwürfe zu früh bekannt werden. Um das zu verhindern, muss insbesondere die Vertraulichkeit der Daten, die im Rahmen einer Hinweisgebung verarbeiteten werden, gewährleistet sein. Natürlich sind aber auch die übrigen Grundsätze der Datenverarbeitung laut Datenschutz-Grundverordnung (DGSVO) auf Hinweisgebersysteme anzuwenden.
Anhand dieser Grundsätze lässt sich auch aufzeigen, worauf bei der Verarbeitung personenbezogener Daten im Rahmen einer Hinweisgebung mit Blick auf den Datenschutz (und die damit verbundene Informations- bzw Datensicherheit) zu achten ist. Daneben müssen aber einige grundsätzliche Fragen beantwortet werden, die sich speziell im Regelungszusammenhang des HinweisgeberInnenschutzgesetzes (HSchG) stellen.
Hinweis:
Unter das HinweisgeberInnenschutzgesetz (HSchG) fallen nur solche Hinweisgebungen, die zumindest eine der folgenden Rechtsmaterien betreffen (§ 3 Abs 3 bis 5 HSchG):
Öffentliches Auftragswesen, Finanzdienstleistungen und Finanzprodukte, Finanzmärkte, Geldwäsche und Terrorismusfinanzierung, Produktsicherheit und -konformität, Verkehrssicherheit, Umweltschutz, Strahlenschutz und nukleare Sicherheit, Lebensmittel- und Futtermittelsicherheit, Tiergesundheit und Tierschutz, öffentliche Gesundheit, Verbraucherschutz, Datenschutz, Verhinderung der Verfolgung bestimmter Korruptionsstraftaten, bestimmte Rechtsverletzungen zum Nachteil der finanziellen Interessen der Europäischen Union, Verletzung der (körperschaftsteuerlichen) Binnenmarktvorschriften, Verletzung der unionsrechtlichen Wettbewerbsvorschriften und Verletzung der Unionsvorschriften über staatliche Beihilfen.
Welche personenbezogenen Daten dürfen verarbeitet werden?
Im Rahmen des Hinweisgebersystems dürfen nur solche Daten mit Personenbezug verarbeitet werden, die in Hinblick auf den Zweck der Datenverarbeitung
- angemessen,
- erheblich und
- notwendig sind.
Welche konkreten Daten das sind, lässt sich nur für den Einzelfall anhand der tatsächlichen Gegebenheiten beantworten.
Beispiel:
Die Identität des Beschuldigten und eine Beschreibung des mutmaßlich rechtswidrigen Verhaltens zu verarbeiten, wird für den Zweck einer Hinweisgebung üblicherweise angemessen, erheblich und notwendig sein. Informationen über das Vermögen des Beschuldigten können, müssen hingegen nicht unbedingt notwendig sein (besonders dann, wenn sich der Beschuldigte durch die vorgeworfene Rechtsverletzung nicht bereichert). Informationen aus dem ausschließlich privaten Bereich des Beschuldigten (zB Hobbys, private Verbindungen zu anderen Personen, Freizeitgestaltung) sind hingegen meist nicht für die Hinweisgebung notwendig.
Dabei ist zu beachten, dass laut § 8 Abs 1 HSchG nur die Daten bestimmter Personengruppen verarbeitet werden dürfen. Diese Einschränkung betrifft zwar in erster Linie die Rechtsgrundlage der Datenverarbeitung, gibt daneben aber auch faktisch (wenn auch streng genommen nicht über den Grundsatz der Datenminimierung) den zulässigen Umfang der Datenverarbeitung zum Zweck einer Hinweisgebung vor.
Zum Beitrag
Arbeitshilfen
Produkt-Empfehlungen
Arbeitshilfen
