Datenschutzrechtliche Fragen im Zusammenhang mit dem Hinweisgeberschutzgesetz

Das Hinweisgeberschutzgesetz ist am 2. Juli 2023 in Kraft getreten. Der deutsche Gesetzgeber hat damit die EU-Richtlinie 2019/1937 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden, umgesetzt. Das Hinweisgeberschutzgesetz verpflichtet den Bund zur Einrichtung sogenannter externer Meldestellen und Unternehmen mit mindestens 50 Beschäftigten zur Einrichtung einer sogenannten internen Meldestelle. An die Meldestellen können sich Hinweisgeber mit Informationen über mögliche Verstöße von oder in Unternehmen wenden, von denen sie im Rahmen ihrer beruflichen Tätigkeit Kenntnis erlangt haben. Der Begriff der möglichen Verstöße ist dabei weit gefasst. Neben allen Straftaten sind auch bestimmte bußgeldbewehrte Verstöße sowie Verstöße gegen spezielle Vorschriften, z.B. zur Rechnungslegung oder zum Umweltschutz, inbegriffen. Ebenfalls erfasst sind mögliche Verstöße gegen Vorschriften zum Schutz der Privatsphäre im Bereich der Telekommunikation und der Telemedien (TTDSG) sowie gegen Vorschriften aus dem Bereich des Datenschutzes (DSGVO und BDSG). Datenschutzrechtliche Aspekte sind aber insbesondere auch bei der Einrichtung und dem Betrieb der Meldestelle nach dem Hinweisgeberschutzgesetz zu beachten. Einige davon sollen im folgenden Beitrag beleuchtet werden.

Welche Rechtsgrundlagen ist für die Verarbeitung personenbezogener Daten durch die Meldestelle die Richtig

Da der Betrieb einer Meldestelle mit der Verarbeitung personenbezogener Daten verbunden ist, bedarf es hierfür nach Art. 6 Abs. 1 DSGVO einer Rechtsgrundlage.

Das Hinweisgeberschutzgesetz enthält zunächst eine vielversprechende Spezialvorschrift in Form des § 10 HinschG. Danach sind die Meldestellen befugt, personenbezogene Daten zu verarbeiten, soweit dies zur Erfüllung ihrer Aufgaben nach dem Hinweisgeberschutzgesetz erforderlich ist. Dies gilt auch für Daten besonderer Kategorien nach Art. 9 DSGVO. Die Aufgaben der internen Meldestelle sind nach § 13 HinschG der Betrieb von Meldekanälen, das Verfahren bei Meldungen sowie die Ergreifung von Folgemaßnahmen. Diese Aufgaben werden in den §§ 16-18 HinschG weiter konkretisiert. Rechtsgrundlage für die Verarbeitungen zur Erfüllung dieser Aufgaben durch die interne Meldestelle ist meines Erachtens Art. 6 Abs. 1 lit. c) DSGVO. Für die Meldestelle bzw. die datenschutzrechtlich verantwortliche Stelle, die die Meldestelle betreibt, sind diese Verarbeitungen zur Erfüllung der sich aus § 13 und §§ 16-18 HinschG ergebenden Verpflichtungen erforderlich. Sofern keine Artikel 9 Daten verarbeitet werden, hat § 10 HinschG insoweit nur klarstellende Wirkung. Für die Verarbeitung von Daten besonderer Kategorien war hingegen gem. Art. 9 Abs. 2 lit. j DSGVO die Schaffung einer gesonderten Rechtsvorschrift durch die Mitgliedstaaten erforderlich.

Im Ergebnis sind nach meiner Einschätzung folgende Rechtsgrundlagen für die Verarbeitungen durch die interne Meldestelle einschlägig:

• Werden Daten, die nicht in den Anwendungsbereich des Art. 9 DSGVO fallen durch die Meldestelle zur Erfüllung der im Hinweisgeberschutz definierten Aufgaben verarbeitet, ist die Rechtsgrundlage Art. 6 Abs. 1 lit. c) DSGVO
• Handelt es sich um Art. 9 Daten und ist die Verarbeitung durch die Meldestelle zur Erfüllung der im Hinweisgeberschutz definierten Aufgaben erforderlich, lautet die Rechtsgrundlage § 10 S. 2 HinschG
• Verarbeitungen, die nicht zur Erfüllung der sich aus dem Hinweisgeberschutzgesetz ergebenen rechtlichen Verpflichtungen erforderlich sind, müssen gesondert legitimiert werden. In Betracht kommt hier die Wahrung berechtigter Interessen der verantwortlichen Stelle oder eines Dritten, welches sorgfältig und positiv gegen die entgegenstehenden Interessen der betroffenen Personen abgewogen wurde

Wie ist mit dem Transparenzgebot der DSGVO umzugehen?

Zum Schutz von Hinweisgebern, Personen, die Gegenstand einer Meldung sind oder in Meldungen genannt werden, sieht das Hinweisgeberschutzgesetz eine Verschwiegenheitspflicht der Meldestellen vor. Die Verschwiegenheitspflicht gilt, wenn Hinweise auf Verstöße gemeldet werden, die in den Anwendungsbereich des Hinweisgeberschutzgesetzes fallen und der Hinweisgeber nicht vorsätzlich oder grob fahrlässig eine falsche Meldung abgegeben hat. Denunzianten sind also ausdrücklich nicht geschützt.

Soweit die Verschwiegenheitspflicht einschlägig ist, verdrängt diese teilweise das Transparenzgebot der DSGVO. Die Informationspflicht gegenüber Beschuldigten oder in Meldungen genannten Personen gem. Art. 14 DSGVO findet dann gem. Art. 14 Abs. 5 lit. c DSGVO i.V.m. § 8 HinschG keine Anwendung. Ebenso ist, soweit ein Beschuldigter oder eine in einer Meldung genannte Person Auskunft nach Art. 15 DSGVO verlangt, gemäß § 29 Abs. 1 S. 2 BDSG im Rahmen einer Interessenabwägung zu prüfen, ob eine Auskunft gegen die Verschwiegenheitspflicht nach dem Hinweisgeberschutzgesetz verstößt.

Dritte als Meldestelle

Nach § 14 Abs. 1 HinschG können auch externe Dritte mit den Aufgaben der internen Meldestelle betraut werden, sofern sie die erforderlichen Voraussetzungen, Unabhängigkeit sowie ausreichende Fachkunde und Ressourcen, erfüllen. Dabei ist die datenschutzrechtliche Einordnung der externen Stelle zu bewerten. Nicht nachvollziehbar erscheint die Einordnung des Gesetzgebers als Auftragsverarbeitung gem. Art. 28 DSGVO (BT Drucks. 20/3342 S. 80). Denn nach § 15 Abs. 1 S. 1 HinschG muss die interne Meldestelle bei der Wahrnehmung ihrer Aufgaben unabhängig sein. Soweit sich die Beauftragung des externen Dritten auf die in § 13 HinschG gesetzlich definierten Aufgaben der internen Meldestelle erstreckt, fehlt es insofern an der für eine Auftragsverarbeitung erforderliche Weisungsgebundenheit (EDPB Leitlinien 07/2020, S. 4).

Statt einer Auftragsverarbeitung spricht in dieser Konstellation einiges für eine gemeinsame Verantwortlichkeit gem. Art. 26 DSGVO. In Form der Einrichtung und dem Betrieb einer internen Meldestelle nach dem Hinweisgeberschutzgesetz legen die Parteien einen gemeinsamen Zweck der Verarbeitung fest. An der Verfolgung dieses Zwecks haben Auftraggeber und Auftragnehmer wiederum jeweils eigene Interessen: Der Auftraggeber möchte seiner Verpflichtung zum Betrieb einer solchen Stelle nachkommen, der Auftragnehmer muss, die sich aus dem Auftrag ergebenden gesetzlichen Pflichten erfüllen und verfolgt insoweit ein über die Erbringung der geschuldeten Leistung hinausgehendes Eigeninteresse. Auch bei der Bestimmung der Mittel der Verarbeitung sind beide Parteien an die Vorgaben aus dem Hinweisgeberschutzgesetz gebunden. Die in diesem Rahmen mögliche Ausgestaltung der Mittel liegt beim Auftragnehmer, während der Auftraggeber insbesondere den betroffenen Personenkreis (Beschäftigte d. Unternehmens) bestimmt. Insgesamt liegt damit eine konvergierende Entscheidung über die Zwecke und Mittel der Verarbeitung und damit eine gemeinsame Verantwortlichkeit der Parteien vor (EDPB Leitlinien 07/2020, S. 22). Auch die DSK geht in ihrer Orientierungshilfe zu Whistleblowing-Hotlines von 2018 nicht von einer Auftragsverarbeitung aus. (DSK, Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines: Firmeninterne Hinweisgebersysteme und Beschäftigtendatenschutz, 2018, S. 12).

Es bleibt abzuwarten, bis eine aktuelle Einordnung der Aufsichtsbehörden veröffentlicht wird oder es zu einer Einordnung innerhalb der Rechtsprechung kommt. Bis dahin dürfte die auf die Gesetzesbegründung gestützte Einordnung als Auftragsverarbeitung wohl wenig Angriffsfläche bieten. Gleichwohl sprechen die tatsächlichen Umstände klar für eine gemeinsame Verantwortlichkeit.