Hinweisgeberschutz und Datenschutz – Markus Zechel und David Schmidt im Datenschutz Talk Podcast

Transkript zur Folge:

Herzlich willkommen zum Datenschutztalk. Ihrem Podcast für die Themen Datenschutz und Informationssicherheit,
einer Themenfolge, die wir schon seit langem bei uns liegen haben, weil wir uns mit dem Thema Hinweisgeber Schutzgesetz ja
auch als schon schon seit einiger Zeit beschäftigen und insbesondere mein lieber Kollege David, den ich ganz herzlich begrüße, hallo David.
Hallo Markus.
Und ich haben uns äh zu verschiedensten Sachverhalten zum Hinweisgeberschutzgesetz unterhalten und jetzt rückt ja der siebzehnte Dezember nah und äh damit müssen dann im Prinzip auch alle Unternehmen ab 50 beschäftigt,
mit dem Thema beschäftigen und deswegen haben wir das zum Anlass genommen, jetzt auch
die die Themenfolge zu platzieren. Und ähm ich würde dich bitten David uns nochmal einen kurzen Überblick
zu geben über die Idee des Hinweisgeberschutzgesetzes und vielleicht einige Begrifflichkeiten noch mal glatt zu ziehen und grade zu rücken.
Ja, das mache ich sehr gerne. Wir wollen heute natürlich vor allem über die datenschutzrechtlichen Fragen sprechen, die mit dem äh Hinweisgeberschutzgesetz,
einhergehen, aber vielleicht noch mal kurz zum Hintergrund und was regelt dieses neue Gesetz überhaupt
Im Hintergrund ist, dass der ähm EU
gesetzgeber erkannt hat, dass zur Prävention und zur Aufklärung von Verstößen gegen Gesetze, Hinweisgeber, entscheidend beitragen können, das gleichzeitig aber natürlich
Hinweisgeber aus Angst vor Drohnenrepressalien ähm ja davon abgehalten werden können.
Sich zu melden und ähm genau da sitzt jetzt dieses neue Gesetz an, in dem es verschiedene Vorkehrungen zum Schutz,
Dieser Hinweisgeber trifft
Das ist zum einen ein Vertraulichkeitsgebot, zum anderen aber auch ähm ja Schutz vor verschiedenen, drohenden Repressalien, zum Beispiel der Kündigung im Arbeitsverhältnis.
Jetzt ähm hast du schon äh kurz umrissen, um wen es dabei geht. Also es geht um um Hinweisgeber.
Was ist es zum Thema Verstöße zu sagen? Also was kann passieren oder was was ist die Definition von einem Verstoß, weil das ja auch wichtig ist, um überhaupt den Anwendungsbereich des Gesetzes zu identifizieren?
Ja, exakt ähm der Begriff des Verstoßes ist tatsächlich sehr, sehr weit gefasst. Darunter fällt erst mal alles, was strafbewährt ist.
Außerdem auch bestimmte Bußgeldbewerte, Tatbestände, die ein besonders hohes Schutzgut aufweisen, genauer gesagt, alles was Leib und Leben schützt, was die Gesundheit schützt,
oder Beiträgt zum Schutz der Rechte von Beschäftigten und ihrer Vertretungsorgane
Und dann gibt es auch noch einen Katalog von ganz,
Verstößen gegen bestimmte Rechtsvorschriften zum Beispiel gegen Vorgaben zur Rechnungslegung, zum Umweltschutz, aber auch gegen unsere Themen, einmal zum Schutz der Privatsphäre im Bereich,
Telekommunikation und Telemedien, also alles, was in der E-Privacy-Richtlinie festgelegt ist und dann Einzug gefunden hat in unser nationales,
aber auch Regelungen zum Schutz personenbezogener Daten aus dem Anwendungsbereich der Datenschutzgrundverordnung.
Es ist eine relativ lange Auflistung, äh wenn man sich den sachlichen Anwendungsbereich anguckt und ähm tatsächlich sind es wirklich,
sogar so Sachen wie Eisenbahn, Betriebssicherheit und und so, ganz spannend. Man könnte glaube ich sagen, dass dass so gut was alles, was irgendwie,
Anrüchig ist und wo man vermuten könnte, dass dass da nicht alles sauber läuft in den sachlichen Anwendungsbereich mit rein fällt. Also ich denke da das ihm was auszuklammern dürfte schwierig werden.
Ja genau, genau. Also die Grenze muss man glaube ich ziehen bei ja persönlichen,
Derjenige ähm dort, der ist immer,
Böse zu mir oder der sagt mir nie hallo, das sind natürlich Dinge, die jetzt davon nicht abgedeckt sind, sondern das soll sich schon gegen ähm Verstöße auf
bestimmte Vorschriften beziehen, aber wie du sagst, dieser Vorschriftenkatalog ist sehr, sehr lange ausgefallen.
Kannst du uns noch mal einen kurzen Überblick über die die Anforderungen geben, die sich konkret
dann für das Unternehmen oder wie es so schön heißt für den Beschäftigungsgeber aus dem Hinweisgeberschutzgesetz ergeben. Für den Überblick und natürlich in erster Linie mal mit der Brille,
Datenschutz ist drauf.
Genau, also das Gesetz bringt äh verschiedene Anforderungen mit sich und,
ja schaut dabei auf die Größe des Unternehmens und stellt ab auf die Anzahl der Beschäftigten. Es ist so, dass Unternehmen, die,
50 Beschäftigte haben eine sogenannte interne Meldestelle einrichten müssen, also eine eine,
Stelle, die im Unternehmen oder auch auch extern ausgelagert werden kann. Darüber reden wir gleich noch, an die man sich dann,
Wenden kann. Es gibt dazu noch die externe Meldestelle, die nicht mit der ausgelagerten intern verwechselt werden darf. Da muss man ein bisschen aufpassen.
Das ist mir jetzt schon passiert in einem Podcast, dass ich ähm die ähm ausgelagerte interne Meldestelle meinte und dafür externe Meldestelle als Begriff verwendet habe.
Genau, genau, aber mit der externen Meldestelle äh sind tatsächlich ähm Stellen gemeint, die bei ähm verschiedenen,
Behörden eingerichtet werden, also allem voran,
Beim Bundesministerium für Justiz, aber auch bei der BaFin gibt es ja schon bestehende Meldestellen, die weiterhin aufrecht erhalten werden und jetzt sozusagen in dieses Hinweisgeberschutzgesetz mit
Übertragen werden dürfen. Die bleiben weiter bestehen, aber Unternehmen müssen eben auch ab 50 Beschäftigten eine eigene interne Meldestelle.
Einrichten und in speziellen Branchen ist es so, dass auch
unterhalb dieser Grenze von 50 Mitarbeitern. Solche Meldestellen einzurichten sind, das ist zum Beispiel der Fall im Wertpapierhandel, im in der Versicherungsbranche. Da gab es aber vorher auch schon Spezial
ähm Vorschriften zu, die ähm KWG zum Beispiel zu finden waren.
Unabhängig von der Anzahl der Beschäftigten müssen außerdem alle Unternehmen die Regelungen zum Schutz der Hinweisgeber beachten, also die,
Das Verbot von Repressalien, dabei wird es auch ähm oder ist mit dem Gesetz auch eine Beweislastumkehr gekommen und es gibt auch ein Recht auf Schadenersatz für Hinweisgeber, die dann doch Repressalien erlebt haben.
Also eine ganze Menge an Aktivitäten, die man entfalten muss bis zum,
Siebzehnten Dezember, falls man das bis jetzt noch nicht getan hat, denke ich, ja. Vielleicht noch einen kleinen Exkurs, wo das Hinweisgeberschutzgesetz herkommt.
Das ist ja nicht einfach vom vom Himmel gefallen und der deutsche Gesetzgeber hat sich überlegt, hm, da müssen wir was tun, sondern im Hintergrund steht er hier eine europäische Richtlinie und zwar die Richtlinien zwotausendneunzehn, neunzehn, siebenunddreißig, die am,
23. Oktober 219 veröffentlicht worden ist und eben,
Genau den den Bereich ähm im Auge hat, den du schon erwähnt hast. Es geht um den Schutz von Personen, die Verstöße gegen das Unionsrecht melden. Das ist so die die offizielle,
bezeichnende Richtlinie und,
Dem gefolgt ist der deutsche Gesetzgeber dann und hat daraus über das übliche Gesetzgebungsverfahren halt das Hinweisgeber Schutzgesetz erlassen.
Das noch mal so. Also es ist wie gesagt,
die Umsetzung einer europäischen Richtlinie, anders als bei der Datenschutzgrundverordnung, die ja direkt gilt, müssen Richtlinien ein nationales Recht umgesetzt werden,
So viel noch, noch zum Hintergrund mit dazu,
Lasst uns mal in das eine oder andere Thema vielleicht ein bisschen tiefer einsteigen, wenn du mit deinem Überblick so weit zufrieden bist oder gibt's noch irgendwas, was du ergänzen möchtest?
Man äh kann sich jetzt natürlich auch noch die Frage stellen, vielleicht machen wir's aber auch später nochmal in einem Deep Dive. Wer sind denn überhaupt Hinweisgeber oder wer kann überhaupt alles Hinweisgeber sein? Das ist sind grundsätzlich erst mal ähm alle natürlichen Personen
Die im Zusammenhang mit ihrer beruflichen Tätigkeit Informationen über Verstöße erlangt haben und diese melden.
Gleichzeitig sind das aber auch Personen, die im Vorfeld einer beruflichen Tätigkeit solche Informationen erlangt haben und diese melden also auch Bewerber sind,
Geschützt und die Richtlinie fasst den Begriff des Zusammenhangs mit der beruflichen Tätigkeit sehr weit. Demnach können Hinweisgeber nicht nur Beschäftigte sein, sondern,
auch Lieferanten, Berater, Freiberufler und Selbstständige allerdings ist es so, dass hier dem,
Verantwortlichen, also dem Unternehmen freigestellt wird, ob die interne Meldestelle auch für nicht Beschäftigte geöffnet wird
Das geht aus dem Text des Hinweisgeberschutzgesetzes aus Deutschland nicht klar hervor, eigentlich gar nicht hervor, steht aber konkret so in der Gesetzesbegründung und im
Artikel acht, Absatz zwei der Richtlinie.
Ja so ein bisschen kann man das ja glaube ich rauslesen, ne? Ich meine, wir sind jetzt schon im Deep dafür. Wir haben schon den Überblick gerade verlassen und und vielleicht sollte ich noch ergänzen, dass ähm uns dazu ja auch eine höhere Frage erreicht hat, die sich genau mit dem Thema beschäftigt hat.
Wer ist eigentlich Hinweis gäbe und für wen muss ich diese interne Meldestelle eigentlich verfügbar machen und da ist tatsächlich die Grundannahme, weil das auch so ein bisschen,
Die Tendenz ist, wenn man sich das anguckt, auch von den Begriffsbestimmungen, die die im Hinweisgeberschutzgesetz ja vorne anstehen, dass es sich im Wesentlichen um beschäftigt handelt. Da wird ja auch die Definition der Beschäftigten mit aufgeführt.
Ein bisschen abgespeckt, dass wir die aus dem BDSG kennen. Im Paragraphen26 Absatz 8,
Da fehlen einige ähm Personen, die die in die Definition von Beschäftigten aus der Datenschutzperspektive mit reinfallen,
wie gesagt, grundsätzlich wird so die der Eindruck vermittelt über das Hinweisgeberschutzgesetz, dass die Adressaten oder die Personen, die Hinweise geben können.
Beschäftigte sein und da hast du jetzt nochmal genau die die richtige Stelle referenziert. Der Schutzbereich der Richtlinie ist tatsächlich nicht nur ein Arbeit für Arbeitnehmer eröffnet,
sondern für alle, die Repressialien erleiden können und es geht sogar so weit,
Das ist ähm auch freiwillig und ähm bezahlte unbezahlte Praktikanten mit betreffen kann. Und es kann sogar so weit gehen, dass äh wenn man sich da den ähm Artikel vier.
Absatz 4 anguckt. Das ist sogar um natürliche Personen gehen kann,
Die auch Verwandte des Hinweisgebers sind, die auch im Prinzip,
Im beruflichen Kontext äh Repressalien erleiden können. Also der Anwendungsbereich der Richtlinie ist ist deutlich weiter als die Interpretation des Hinweisgeberschutzgesetzes zulässt und damit auch die die die Antwort im Prinzip auf die Frage ähm der Hörerin,
Ähm wer wird eigentlich hiervon erfasst? Und man kann es aus der aus der,
Aus mir maßgeber Schutzgesetz nicht so ganz genau rauslesen. Das ist richtig, aber ähm es gibt auch da,
die Tendenz sich das anzugucken auch über wie du vorhin äh nochmal in ähm im Vorgespräch gesagt hast auch immer die Gesetzesbegründung dazu. Da hattest du einen Hinweis gefunden zu.
Genau richtig. Das ist ähm die Gesetzesbegründung zum Paragraf 16 des Hinweisgeberschutzgesetzes. Dort ähm steht auch noch mal drin, dass die Wahlmöglichkeit eröffnet ist, ob man auch
Dritten, also Lieferanten, Beratern et cetera die interne Meldestelle öffnen möchte.
Ob das jetzt tatsächlich praktikabel ist. Ich glaube, das muss jeder für sich selbst entscheiden. Ich denke, man muss sich aber klarmachen, dass ja zum Beispiel Lieferanten natürlich,
auch sehr sehr nah am Dingen, die in Unternehmen ähm so vor sich gehen,
ran sein können und diese dann auch Bedarf spüren, dass Ganze zu melden und,
Wenn man sich dazu entscheidet, die interne Meldestelle,
dann nicht für solche Lieferanten zu eröffnen, dann melden die sich natürlich woanders. Dann gehen die auf die Externe Meldestelle zu und da muss man dann halt überlegen, möchte man das?
Die die Umsetzung ähm finde man tatsächlich im Paragraph 16,
Im Hinweisgeberschutzgesetz, da da heißt es ja, die internen der interne Meldekanal kann so gestaltet werden, dass er darüber hinaus auch natürlichen personenoffensteht, die im Rahmen ihrer beruflichen Tätigkeit,
Mit dem jeweiligen Beschäftigungsgeber in Kontakt stehen oder mit der jeweiligen Organisationseinheit in Kontakt stimmt. Das ist die diese,
Kann Bestimmungen, die die Richtlinie halt offen gelassen hat, aber ich bin beide, ich würde es auch nicht versuchen, möglichst repressiv zu gestalten und,
anderen natürlichen Personen den Zugang eben nicht zu eröffnen.
Das sollte man ja auch nicht vernachlässigen. Es hat ja durchaus auch einen Nutzen für das das Unternehmen, für die Organisation. Wenn es wirklich Personen gibt, die in meinem Unternehmen Handlungen begehen, die,
Gegen deutsches Recht oder EU-Recht verstoßen, dann bin ich ja gut beraten, das auch selber zu identifizieren und eben nicht zum Beispiel durch eine BaFinnen aufmerksam gemacht zu werden oder,
durch eine ähm Datenschutzaufsichtsbehörde aufmerksam gemacht zu werden, sondern da kann ich das ja besser dann erstmal intern.
Ja absolut richtig und die ähm Kommission weist auch in ihren Erwägungsgründen darauf hin, dass es empirische Untersuchungen gibt, die ergeben haben, dass sich Hinweisgeber eigentlich lieber an Interne stellen.
Wenn und nicht an externe, also es geht dabei gar nicht
darum, in die Zeitung zu kommen und und und Fame zu generieren, sondern es geht einfach darum, einen ähm Missstand aufzudecken und diesen Missstand zu beseitigen und das
kann natürlich die interne Stelle wesentlich besser und effektiver als eine externe Stelle.
In dem Zusammenhang, wenn wir schon beim beim Paragrafen 16 im Hinweisgeberschutzgesetz sind, ist ja auch die die Frage, die man diskutiert hat, muss ich die Möglichkeit schaffen, dass man sich auch anonym melden kann und da ist klar, ähm es besteht keine Verpflichtungen
Die Meldestelle oder die Meldekanäle so zu gestalten, dass sie in jedem Fall
Meldungen auf äh nehmen müssen. Allerdings und das steht auch ähm direkt im Gesetz. Ich muss halt auch,
Anonymen Meldungen nachgehen können. Also die interne Meldestelle,
sollte auch anonym eingehende Meldungen bearbeiten und das kann man jetzt wieder interpretieren. Dies ist, die sollte wieder eine Kammbestimmung, aber ich würde ihm natürlich auch
Als Beschäftigungsgeber des ähm Unternehmersorganisation in jedem Fall nachgehen.
Ja, darüber wurde tatsächlich auch sehr, sehr viel diskutiert im Gesetzgebungsverfahren. Wie gut sind anonyme Meldungen, was kann man daraus machen, weil äh man hat natürlich das
Problem, wenn eine anonyme Meldung rein
kommt und man hat dann Rückfragen an die meldende Person und die meldet sich aber einfach nicht mehr, dann dann ähm ist die irgendwie so, steht diese Meldung irgendwie im Raum?
Und ähm man weiß dann nicht mehr so richtig, wie man damit umgehen soll. Aber ich find's eigentlich auch richtig so und ähm ja am Ende ist es ein Kompromiss, der dann jetzt dabei rausgekommen ist. Also anonyme Meldungen sind,
Nicht verpflichtend, aber wenn man sie anbietet, dann müssen sie auch bearbeitet werden.
Wir sind schon so ein bisschen auf dem Weg zu den Aufgaben der im internen Meldestelle. Ich würde aber natürlich aus unserer Datenschutzperspektive noch noch ein, zwei ähm Fragen voranstellen und gucken, ähm wie man damit umgeht.
Wenn wir jetzt ab dem siebzehnten Dezember dann eine interne Meldestelle ähm haben,
Dann fällt mir natürlich gleich ein, dass wir unser Verzeichnis von Verarbeitungstätigkeiten anpassen müssen nach Artikel 30 der Datenschutzgrundverordnung und
natürlich ist da immer ganz hilfreich, obwohl es da nicht nicht gesetzlich vorgesehen ist zu wissen, auf welche Rechtsgrundlage stützen wir uns eigentlich bei,
der Verarbeitung der personenbezogenen Daten im Rahmen der internen Meldestelle und ich habe eine Idee, aber ich vermute mal, dass du auch ein eine Interpretation hast.
Ich habe äh selbstverständlich eine Interpretation und es ist erstmal so, dass auch der Gesetzgeber hier eine Idee hatte oder zumindest daran gedacht hat und deswegen den Paragraph zehn, den USGer Schutz mit aufgenommen hat.
Der ist erlaubt, der internen Meldestelle personenbezogene Daten zu verarbeiten, soweit dies zur Erfüllung ihrer gesetzlich definierten Aufgaben
erforderlich ist und ich persönlich würde deswegen über den Artikel sechs,
Absatz eins, Buchstabe C, DSGVO in Verbindung mit diesem §10 Hinweisgeberschutzgesetz gehen wollen,
Was die Verarbeitung personenbezogener Daten angeht. Allerdings erlaubt der Paragraph zehn auch ausdrücklich die Verarbeitung von ähm besonders sensiblen Daten nach Artikel neun.
Datenschutzgrundverordnung und diese Artikel neun,
Enthält dann wieder eine Öffnungsklausel, sodass man da sagen könnte, gut für die Artikel 9 Daten,
Ist es direkt der §10 den Weißgeberschutzgesetz?
Und ähm für die ja, Nicht-Artikel neuen Daten quasi für die normalen Daten in Anführungsstrichen würde ich dann aber über den wie gesagt, Artikel sechs, Absatz eins, Buchstabe C gehen wollen.
Die die Öffnung, auf die ich referenzieren beziehst, ist halt der Artikel 9 Absatz für Buchstabe G, wo es ja,
eines Mitgliedsstaates geben kann oder wenn es direkt im Unionsrecht verankert ist, dass die Verarbeitung von,
Besonderen Kategorien von Personen bezogenen Daten auch ermöglicht. Wobei hier natürlich wichtig ist, dass äh zusätzliche, angemessene und spezifische Maßnahmen getroffen werden müssen. Und da, wenn wir uns den Paragrafen zehn angucken, dann
wiederholt, der genau diese Anforderung, der sagt nämlich, dann hat die Meldestelle spezifisch und angemessene Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen, also da
Sind wir, glaube ich, auch auf der sicheren Seite, wenn wir sagen, für die,
äh besonderen personenbezogenen Daten, die die interne Meldestelle im Rahmen ihrer gesetzlich übertragenden Aufgaben übernimmt, sind wir im 6 1 C,
Artikel 9 kriegen wir halt auch relativ gut argumentiert. Und ich finde es mal wieder ein schönes Beispiel,
Was eben 61 C für mich bedeutet. Es muss wirklich eine konkrete gesetzliche Verpflichtung in einem Gesetz drin sein und den den Fall haben wir hier,
Ich find's schön, dass der deutsche Gesetzgeber uns die Mühe abgenommen hat, die richtige Stelle zu finden und ähm das ist wirklich so so nochmal im Paragrafen zehn ausdrücklich rausgestellt hat.
Ja genau ähm wobei natürlich auch,
acht geboten ist, wenn äh man nicht dazu verpflichtet ist, eine interne Meldestelle
einzurichten, weil man nicht über die Schwelle von 50 Mitarbeitern kommt, dann kann natürlich der Artikel 6 Absatz 1 Buchstabe C nicht genutzt werden.
Weil eben die rechtliche Verpflichtung gar nicht greift dann kann man meines Erachtens noch auf den Artikel sechs Absatz 1 Buchstabe F,
Zurückgreifen, ist allerdings dann natürlich noch mal ein bisschen komplizierter, weil man die Interessenabwägung durchführen muss und sich nicht in so einem definierten Korridor bewegt.
Wie in der Paragraph zehn beziehungsweise generell die Regelung aus dem Hinweisgeber, Schutzgesetz eröffnet.
Ähm sechs sechs eins F würde ich auch immer dann sehen, wenn es wirklich keine originäre Aufgabe der externen äh der internen Meldestelle ist, die die hier wahrgenommen wird. Also wenn Datenverarbeitungen eventuell,
nice to have sind, um um noch weiter ähm irgendwas machen zu können,
Wenn zum Beispiel irgendwelche Personen noch mit eingebunden wären in Ermittlungen und nicht im Rahmen des äh der Ermittlungen dann deren Daten verarbeitet, dann bin ich natürlich auch nicht mehr im im,
In der rechtlichen Verpflichtung 61 C, sondern da bin ich auch tatsächlich hier eher im Kontext der Interessenabwägung nach sechs eins F.
Man kann natürlich auch, wenn wir jetzt ähm,
Die reine Bearbeitung der der Meldung verlassen und schon über daraus folgende Ermittlungen reden noch auf den Paragraph26 Absatz 1 Satz 2 kommen.
Der erlaubt, ähm Daten zu verarbeiten, äh wenn es um die Aufdeckung von Straftaten geht.
Der wird mit Sicherheit hier am Heranzuziehen sein. Wir hätten sogar dann mal die Möglichkeit, diese tatsächlichen dokumentierten Anhaltspunkte auch zu nehmen, weil das wäre genau das, wenn eine Meldung reinkommt, dann hätten wir,
äh tatsächlich dokumentierte Anhaltspunkte, die die eine Straftat im Beschäftigungskontext auch darstellen können, ja und mit dem Anwendungsbereich, den wir vorhin diskutiert haben, sind wir genau in dem richtigen Anwendungsfall.
Ja, guter Hinweis noch mal, danke.
So, das heißt, wir haben ähm jetzt die gesetzliche Grundlage geschaffen, die Daten verarbeiten zu können. Ähm und jetzt
dass du entscheiden, gehen wir auch auf den Aspekt, dass man die interne Meldestelle ja auch auslagern kann oder geben wir tatsächlich nochmal und gucken uns die Aufgaben der internen Meldestelle eben noch ein bisschen im Detail an.
Ich glaube, um diesen Aspekt, dass man das auch auslagern kann, besser beleuchten zu können und besser zu verstehen, sollten wir uns erst noch mal,
anschauen, was
soll diese Meldestelle denn überhaupt leisten? Was sind die Aufgaben einer Meldestelle? Und die Aufgaben sind definiert in einem Paragraf 13 Hinweisgeberschutzgesetz und sie sind das ähm,
Betreiben von Meldekanälen,
Das Verfahren bei einer Meldung und das Ergreifen von Folgemaßnahmen. Ähm diese Aufgaben sind dann weiter definiert in den Paragrafen 16 siebzehn und,
achtzehn.
Wobei hier auch äh vielleicht dann noch erwähnenswert ist ähm der Paragraph acht, der sich ja mit dem Vertraulichkeitsgebot auch beschäftigt. Den muss man im Prinzip immer mitdenken, weil es hier wirklich darum geht, die Vertraulichkeit der Identität der,
Person und und anderer ähm auch der Person die Gegenstand der Meldung sind und sonstigen in der Meldung genannten Personen zu berücksichtigen. Also nochmal auch das, was wir aus unserer Perspektive als Datenschützer eh immer mitdenken. Wird hier noch mal konkretisiert über,
das Vertraulichkeitsgebot im Paragraphen acht,
Okay und dann gibt es wie gesagt nach nachdem von dir angesprochenen Paragrafen 16 siebzehn 18 die die unterschiedlichen Dinge, 16 § 16 hatte ich gerade schon angesprochen, die Meldekanäle, die die auch zum Teil dann,
möglich sind, dass man sie anonym gestalten kann, aber nicht muss. Genau was ähm wer aus deiner Sicht da noch mal zusätzliche Erwähnenswert zum Paragraph sechzehn.
Also zum einen das, was du schon angedeutet hast und dann ähm
Datenschutzrechtlich auch spannend wird, wo wir gleich nochmal drüber reden wollen, nämlich dass die interne Meldestelle auch auf einen externen dritten ausgelagert
Werden kann, also zum Beispiel auf einen Anwalt auf externe Berater oder sogar auch auf den Externen Datenschutzbeauftragten.
Und äh ansonsten macht der Paragraf 16 tatsächlich sehr wenig Vorgaben zur konkreten Ausgestaltung. Er sagt, dass nur befugte Personen Zugriff haben sollen auf eingehende Meldungen.
Ergibt sich für uns als Datenschützer natürlich schon aus dem Grundsatz der Integrität und Vertraulichkeit ist aber hier im Hinweisgeberschutzgesetz nochmal konkret geregelt.
Und nach Absatz drei müssen Meldekanäle so eingerichtet werden, dass,
Meldungen in mündlicher oder in ähm Textform möglich sind,
Mündliche Meldungen müssen dann ähm wenn sie angeboten werden per Telefon oder mittels einer anderen Art der Sprachübermittlung möglich sein und auch spannend auf Versuchen des Hinweisgebers muss auch eine persönliche Zusammenkunft,
stattfinden und daraus würde ich jetzt schlussfolgern, dass
eine reine Softwarelösung nicht ausreicht, weil ähm ja hier gibt es eben nicht die Möglichkeit einer persönlichen Zusammenkunft, die ähm aber eindeutig vorgeschrieben ist.
Man kann jetzt natürlich auch noch auf die Idee kommen, für diese persönliche Zusammenkunft, ähm ja, einen digitalen Raum zu verwenden, aber da äh sagt der Absatz drei, dass wenn man sich dazu entscheidet, das Ganze über eine Bild oder,
Tonübertragung zu machen, dass der Hinweisgeber hierzu explizit seine Einwilligung erteilen muss.
Das Thema dieser Dokumentation, die dann auch damit einhergeht, äh würde ich noch mal nutzen, um noch einen datenschutzrechtlichen Hinweis mitzugeben. Das Thema Aufbewahrungsfristen ist ja auch immer spannend. Wir sind dann auch wieder bei den Pflichten, die sich aus Artikel
30 aus der Dokumentation ergeben. Hier sagt das Hinweisgeberschutzgesetz ganz konkret, dass die Meldungen halt ähm dauerhaft in abrufbarer Weise,
verfügbar gemacht werden müssen unter Berücksichtigung des äh Vertraulichkeitsgebotes. Ähm es sagt aber auch im Paragrafen elf Absatz fünf, dass die äh Dokumentation,
drei Jahre nach Abschluss des Verfahrens gelöscht werden muss. Es gibt dann natürlich, wenn ihr die Erweiterung der Aufbewahrungsfristen
Aber hier ist eine sehr konkrete Vorgabe zum Thema Löschen mit drin,
Und die kann man natürlich dann auch super nutzen, wenn es darum geht, die Löschfrist im Rahmen der Verarbeitungstätigkeit zu dokumentieren. Also Paragraph elf, Absatz fünf, Satz eins.
Ja und das nehmen wir natürlich immer gerne.
Es ist super, wenn es drin steht und so konkret auch tatsächlich ist und wir das nicht irgendwie ableiten müssen aus ähm,
Gut dann hast du jetzt schon einen Aspekt angesprochen, den den ich auf jeden Fall noch ein bisschen tiefer beleuchten möchte in diesem ähm Aufgaben oder in in dem Kontext, was die Aufgaben angeht und die unterschiedlichen Aufgaben, die bei der internen Meldestelle
Berücksichtigung finden müssen. Das ist nämlich die Rolle,
Der intern Meldestelle, die man auslagert, also das Thema Outsourcing dabei und das ist ja glaube ich eine sehr spannende Frage, die die uns auch intern schon seit einiger Zeit beschäftigt und wo wir,
auch unter Berücksichtigung der Gesetzesbegründung,
sehr heftig auch ähm kann ich ja gerne mal sagen, sehr heftig auch diskutiert haben, weil aber wir haben anfang wirklich unterschiedliche Auffassungen waren, wie gestaltet man eigentlich die Konstellation.
Wenn ich bestimmte Tätigkeiten im Rahmen der internen Meldestelle auslage und ich glaube, ähm wenn wenn du das schon erwähnt hast, die einfachste Variante ist, glaube ich,
Ich habe einen Dienstleister, der biete mir eine Software an, wo wo ich die interne Meldestelle selber ähm bin,
Das heißt, ich habe Beschäftigte oder eine Organisationseinheit, das sagt das Gesetz ja auch, das kann kann so sein und ich nutze halt ein Stück Software, vielleicht ähm über ein Callcenter, wo ich diese Meldekanäle dann verfügbar mache, kümmere mich aber,
Im Prinzip, um,
Das wir's nachher dann im Paragraphen siebzehn und im Paragraphen18 noch weiter erwähnt wird, um um die weiteren Aufgaben der internen Meldestelle selber. Das ist simpel,
Da haben wir auch nicht lange darüber diskutiert. Ich denke, das ist ein Fall für Auftragsverarbeitung. Nach Paragraf 28 und da müssen wir halt gucken, dass wir das vertraglich auch haben
bin nach äh Absatz 3 der Vertrag zur Auftragsverarbeitung. Damit's aber spannend, weil ich kann ja,
Ähm und zumindest sieht das äh das äh deutsche Gesetz das vor, ja auch im Prinzip alle Tätigkeiten,
internen Meldestelle auslagern. Da, damit wird's spannend.
Ja, da wird es in der Tat spannend und äh der Gesetzgeber macht es hier sogar noch etwas spannender. Du hast die Gesetzesbegründung angesprochen und ähm dort steht drin, ich zitiere,
Soweit externe Dritte im Rahmen einer Auftragsverarbeitung mit der Einrichtung und dem Betreiben der internen Meldestelle beauftrag
Werden, sind die Vorgaben für Auftragsdatenverarbeitung zu beachten, Vergleiche, Artikel achtundzwanzig, Datenschutz, Grundverordnung und hier ist es tatsächlich so, dass dieser Passus,
bei vielen Leuten für Unsicherheit gesorgt hat, weil natürlich einiges auch gegen eine Auftragsverarbeitung spricht, was da gehen wir, denke ich mal, jetzt gleich noch äh weiter drauf ein. Ich wollte nur sagen, dass,
dieser Passus will man ihnen genau liest, eigentlich gar nicht das sagt, was man erstmal denkt, denn es wurde hier unterstellt, dass,
Immer von einer Auftragsverarbeitung auszugehen ist, aber dass das steht da tatsächlich gar nicht, denn ähm im Endeffekt
dort ähm einfach das bei der Auftragsverarbeitung auch die Vorgaben der Auftragsverarbeitung einzuhalten sind.
Ich liebe es, wenn äh man Sachen wiederholt, die so offensichtlich sind, das,
Und genau für diesen Anwendungsfall würde ich glaube ich auch sagen, ähm was auf Seite 80 dann der Gesetzesbegründung steht, die die wir hier haben, wenn wenn Auftragsverarbeitung vorliegt, muss man Auftragsverarbeitung reinpacken. Das ist genau das
Aber es gibt halt genau die diese anderen Fälle, wo wir eben nicht nur,
Bei einem Stück Software sind, wo wir so so Sachen wie Hosting haben oder Softwareservice haben, sondern wir nehmen jetzt mal den Fall an. Wir haben eine,
interne Meldestelle ausgelagert, an die von dir schon angesprochenen Ombudsmänner, wie Rechtsanwälte, Datenschutzbeauftragte et cetera und die machen halt mehr als nur die Annahme, sondern die gehen auch schon,
in die Untersuchung, die prüfen die Stichhaltigkeit der Meldung, die
bitten, die Hinweis gebende Person, um weitere Informationen und im im besten Fall kümmern Sie sich danach auch um Folgemaßnahmen aus der internen Meldung oder aus der Meldung, die dann kommt. Wie verhält sich das da aus deiner Sicht.
Er da ähm verlassen wir aus meiner Sicht ziemlich schnell den Korridor der Auftragsverarbeitung, weil ähm hier,
Hat die,
Meldestelle natürlich schon sehr viele Möglichkeiten zu entscheiden, wie sie mit einer Meldung umgeht, ähm wie sie die darin befindlichen Daten weiternutzt und verarbeitet und ähm es steht auch selbst drin im
Hinweisgeberschutzgesetz. Das ist die Meldestelle eigentlich.
Unabhängig sein soll und ähm,
Hauptbestandteil in der Auftragsverarbeitung ist nun mal die Weisungsabhängigkeit zum Verantwortlichen,
Die hier nicht gegeben ist. Also wir haben hier einen Widerspruch.
Ich denke, wenn man sich auch noch mal äh das Papier des europäischen Datenschutzausschusses zum zum Thema Verantwortlicher und Auftragsverarbeiter anguckt, dann wird der auch noch mal sehr auf die Ideen der gemeinsamen Verantwortlichkeit nach nach am Artikel,
62 Datenschutzgrundverordnung reingegangen. Dann kommt man denke ich auch ziemlich schnell auf die Idee, dass es sich hier um eine gemeinsame Verantwortlichkeit handelt, weil,
ähm gemeinsam mit anderen über den Zweck der Verarbeitung entscheidet und und da ist die Idee, die im der Europäische Datenschutzausschuss ja auch
mitträgt, würden die Verarbeitung stattfinden ähm bei der Einstellung, wenn die andere Stelle nicht mitwirken würde und genau da sehe ich zum Beispiel auch einen sehr starken Indikator dafür, weil wenn ich so eine Dienstleistung anbiete,
Dann muss es auch immer einen geben, der die nutzt und und da finde ich, sind wir genau in dieser Konstellation, wo wir
gemeinsam über den Zweck und die Mitte ähm entscheiden. Das äh finde ich schon schon sehr stark einen starken Indikator und was für mich auch ziemlich eindeutig ist, ist eben,
Die Unabhängigkeit der internen Meldestelle was gegen definitiv gegen eine Auftragsverarbeitung spricht,
Weil die Auftragsverarbeitung sich ja unter anderem und nicht unwesentlich dadurch auszeichnet, dass sie weisungsgebunden stattfindet. Und wenn die interne Meldestelle.
Weisungsunabhängig ist, dann kann für mich äh die Auftragsverarbeitung gar kein gar kein Mittel sein, um das ganze Thema datenschutzrechtlich,
zu bilden, dass die beiden Parteien unabhängig voneinander sind, würde ich auch nicht annehmen, wie gesagt, mit dem, was ich gerade schon, schon erwähnt habe ähm und die,
ausgelagerte Meldestelle verfolgt ja äh kein völlig unabhängigen Zweck damit, sondern er verfolgt den Zweck in Verbindung mit dem Beschäftigungsgeber und,
Für mich wie gesagt alles Kriterien, die mir ein gutes Gefühl geben, zu sagen, ja, ich lege mir meine Einschätzung Artikel sechsundzwanzig, Vereinbarung muss hier geschlossen werden, nicht nicht daneben lege.
Ja, mehr sehe ich genauso vielleicht auch noch mal ein zusätzliches Argument äh mit der Beauftragung einer internen Meldestelle.
Gehen sozusagen dann auch die gesetzlichen Pflichten auf die interne Meldestelle, über die eben in dem Hinweisgeber Schutzgesetz definiert sind. Wir haben über die Aufgaben gesprochen. Das heißt, ähm,
die
Meldestelle als Dienstleister, als beauftragter Dienstleister, verfolgt hier nicht nur die Erbringung einer geschuldeten Leistung,
die sich aus dem Vertrag ergibt, sondern bekommt auch gesetzliche Pflichten, die dann erfüllt werden müssen.
Die dann aber wieder über den Verantwortlichen im Prinzip abgebildet werden. Also die die das Zusammenwirken der beiden Parteien ähm ist für mich
so stark, dass man das gar nicht voneinander trennen könnte. Also ähm die Aufgabe, wie gesagt, letztendlich ist es ja eine gesetzliche Aufgabe, die eigentlich dem Beschäftigungsgeber ähm obliegt, der sucht sich einen Dienstleister, der ihn dabei unterstützt, aber,
Ähm auch wenn die die Meldestelle halt ähm sich nicht an die Vorgaben halten würde, auch wenn sie ausgelagert ist, würde man wahrscheinlich in erster Linie wieder zum Beschäftigungsgeber kommen ähm als,
Jemand, der Kastanien verhängen möchte und so und von daher kann ich das auch nicht als getrennte Verarbeitungstätigkeiten interpretieren und,
dann bleibt nicht mehr viel übrig, also es ist keine Auftragsverarbeitung, es ist nicht getrennt in einen Konstellation muss es geben und ich denke, wenn wir auch nochmal über die Transparenzpflichten uns unterhalten, die die Meldestelle hat ja auch dann tatsächlich,
Und das gehört auch mit zu ihren Pflichten der hinweisgebenden Personen, den eigenen der Meldung zu bestätigen. Hier würde ich auch sagen, müssen wir uns mit den Informationspflichten auch beschäftigen und,
da würde ja vermutlich dann auch
Das Thema der betroffenen Rechte, die die adressiert werden, auch äh über den Beschäftigungsgeber kommen. Das heißt, wenn sie mehr wissen möchten, wenden sie sich bitte an ihren Arbeitgebern. Das können könnte ich ähm mir vorstellen, dass da auch eine eine,
Indikator dafür liegt, dass hier das Thema ähm auch noch mal geregelt wird.
Ja und der Arbeitgeber weiß es ja nicht, weil wir haben ja eben dieses Vertraulichkeitsgebot, was genau verhindern soll, dass der Arbeitgeber Informationen übermeldende erhält und das bringt uns dann ja auch schon zum nächsten Spannungsfeld.
Befunden äh aber zum nächsten Spannungsfeld kommen, möchte ich noch ein ein,
Aspekt mit aufgreifen, den wir auch als Hinweis ähm bekommen haben über ein ein hörenden,
hörende Person. Ich hatte ähm vorhin schon erwähnt, dass ich mir den Lapsus erlaubt habe in in den News in der Kalenderwoche achtunddreißig, die,
Interner Meldestelle als externe Meldestelle zu zu bezeichnen. Und einer einer der Hörer hat noch mal darauf hingewiesen auf den Aspekt und aber am äh auch drauf hingewiesen, dass es ein Papier gibt von der Europäischen Kommission.
Was man in diesem Zusammenhang vielleicht auch nicht nicht unerwähnt lassen sollte. Es gab nämlich einige Parteien, die sich an die Europäische Kommission gewandt haben ähm unter anderem auch ähm aus Deutschland und,
Da ist die Frage dann auch nochmal gestellt worden zur Auslagerung der internen Meldestelle.
Und die Europäische Kommission hat hier ähm mit Hinweis auf den Erwägungsgrund 54 noch mal deutlich gemacht, dass ihre Auffassung ist,
dass man eigentlich die Meldestelle nur insoweit auslagern darf, wie es darum geht, die Meldungen anzunehmen,
Also Erwägungsgrund 45 ist da ähm scheinbar ziemlich eindeutig und wir können ja noch mal einen äh einen Blick drauf werfen,
Was im Erwähnungsgrund 54 konkret formuliert ist. Erwähnungsgrund 54 sagt ähm auch Dritte können ermächtigt werden, Meldungen von Verstößen im Namen von juristischen Personen entgegenzunehmen.
Das heißt, das ist die Idee, die die damit ähm getragen wird und wie gesagt, da sagt dann auch,
Die Kommission, dass man hier das trennen muss, wenn man sich dazu entscheidet,
die Dienstleistungen auszulagern, dass sich das nur auf die ähm Durchführung von Meldekanälen bezieht, die an externer Plattformanbieter zur Verfügung stellen kann.
Die äh Bearbeitung dann aber durch eine ähm.
Identifizierte Person oder eine Organisationseinheit innerhalb der äh des Unternehmens durchgeführt werden muss.
Wir können ja den äh Drucksache oder diese die diese Stellungnahme der Kommission auch noch mal mit,
in die Shownotes packen. Ich glaube, das ist noch mal ganz, ganz schick, das selber nachlesen zu können, weil der ein oder andere hat entweder schon Dienstleister komplett mit dieser Aufgaben betraut.
Oder vielleicht ist der eine oder andere, der das auch als Dienstleistung anbietet. Und da sollte man natürlich vorbereitet sein.
Dass wenn äh die Europäische Kommission das gar nicht als rechtmäßig ansieht,
Die Aufgaben der internen Meldestelle auch hinsichtlich der Untersuchung und Folgemaßnahmen haben zu identifizieren, dass man da dann ähm eventuell sogar,
Ja, gegen Europarecht verstößt und damit die die Nutzung gar nicht legal ist,
Also nochmal vielen Dank auch an an DM, der bei uns in den Kommentaren auf unserer Webseite den den Hinweis nochmal gegeben hat und das nochmal zur Klarstellung des Sachverhalts insgesamt.
Ja, das äh machen wir auf jeden Fall und ich glaube, was wir bis hierhin schon besprochen haben, macht auch klar, dass man dieses Hinweisgeberschutzgesetz nicht
alleine betrachten sollte. Also ich finde, es ist ein eigentlich sehr gut gelungenes Gesetz. Der Wortlaut lässt sich einfach lesen, aber es wurde dann eben doch an der ein oder anderen,
Ähm ja mit Erwägungen gespart, wo dann der ähm Sinn und Zweck dieses Gesetzes gar nicht so klar raus wird. Also man sollte im Hinterkopf behalten. Ähm es handelt sich hier um die Umsetzung einer
europäischen Richtlinie
Und die Erwägungsgründe der Richtlinie sind auf jeden Fall danebenzulegen, wenn man sich mit dem Gesetz befasst und auch die Gesetzesbegründung hilft, an der ein oder anderen Stelle weiter.
So und das ist wie gesagt zur zur Klarstellung, aber du wolltest noch auf einen anderen Sachverhalt hinaus darin.
Ja wir haben ja jetzt schon an der ein oder anderen Stelle das äh Vertraulichkeitsgebot,
angesprochen und wir kennen ja gleichzeitig ähm aus der Datenschutzgrundverordnung die Anforderungen und Vorschriften an die Transparenz und ähm hier entsteht natürlich ein,
vermeintliches Spannungsfeld, das ist ähm aufzulösen
gilt und äh um das aufzulösen ähm müssen wir uns das Vertraulichkeitsgebot noch mal etwas genauer anschauen, vor allem wann es Anwendungen findet.
Das ist nämlich nur der Fall, wenn ähm die Meldung auch Verstöße betrifft, die in den Anwendungsbereich fallen, also über die möglichen Verstöße hatten wir schon gesprochen
und weiterhin darf der Hinweisgeber nicht vorsätzlich oder grob
fahrlässig eine Falschmeldung abgeben heißt Denunzianten sollen ja ausdrücklich nicht geschützt werden,
und das Vertraulichkeitsgebot gilt nicht nur für die Identität des,
Meldenden, sondern die gilt auch für Dritte, nämlich für Personen, die Gegenstand einer Meldung sind, also Beschuldigte oder sonstige Beteiligte in der Meldung genannte Person.
Bei mir öffnet sich wieder ein schöner Spannungsbogen, wenn wir über das Thema äh Recht auf Auskunft äh sprechen, wo ja auch der äh die Quelle der Daten oder ähm die Herkunft der Daten
Mit anzugeben. Wir haben das ja ähm auch ähm über die Entscheidungen des äh Bundesgerichtshofs gesehen, wo wo ja auch,
Da eben gesagt worden ist, dass man keine Denunzianten schützend macht. Du erinnerst dich an den Fall wo wo,
Die äh Wohnungsgesellschaft ähm verpflichtet worden ist vom Bundesgerichtshof, die die Herkunft der Daten zu benennen. Also welcher der Mieter
hat diesen äh Geruchsbelästigung über den anderen Mieter zur Verfügung gestellt. Da hat das Gericht, dass sich viel auch mit dem Thema beschäftigt,
die in unterschiedlichen Interessen abzuwägen und hat ja dann auch sich nochmal mit der Frage beschäftigt, ähm die rechte Dritter, die nicht beeinträchtigt werden dürfen.
Also da nochmal, wenn es ein ein Sachverhalt ist, der ähm in den Anwendungsbereich des Hinweisgeberschutzgesetzes fällt, dann gilt das Vertraulichkeitsgebot. Wenn ich das nicht, äh wenn es nicht in den Anwendungsbereich fällt,
muss ich mir auch gefallen lassen, dass ich dann auch als ähm Herkunft der Daten benannt werde. Das sollte man also gut abwägen.
Ob man so eine Meldung dann macht, wenn sie tatsächlich nicht in den Handelsbereich liegt.
Genau, aber ähm wenn der Anwendungsbereich des Vertraulichkeitsgebots eröffnet ist, ist halt vielleicht auch noch mal äh wichtig dann sind ähm ist Artikel 14 DSGVO nicht anwendbar,
Also ähm Erhebungen nicht beim Betroffenen.
Das Ganze wird dann aufgelöst über den Artikel vierzehn, Absatz fünf Buchstabe C, DSGVO in Verbindung mit ähm dem Paragraf acht Hinweisgeberschutz
Und ähm bei Artikel 5zehn, also wenn einem Beschuldigter zufällig einen Auskunftsersuchen stellt
Dann ähm ist eine Interessenabwägung durchzuführen und dabei ist insbesondere zu berücksichtigen, ob der Hinweisgeber
vorsätzlich oder grob fahrlässig unrichtige Infos gemeldet hat. Das ergibt sich aus,
BDSG. Ich weiß jetzt nicht mehr genau,
Wo, aber in jedem Fall hat auch der Gesetzgeber hier dieses Spannungsfeld erkannt und ähm hat auch da eigentlich für Klarheit gesorgt, so ähm
dass ja ähm Verantwortliche nicht selbst diese Frage beantworten müssen.
Das ist schon mal gut, weil wie gesagt, das hat ja schon viel Irritationen geführt ähm hinsichtlich der Herkunft der Daten und muss ich muss ich informieren über die Herkunft der Daten nach,
Artikel 14 mehr in die Verarbeitung oder die ihr eben nicht bei der betroffenen Person selber stattgefunden. Also danke nochmal für den Hinweis.
Ich ich denke, wir ähm haben einen relativ guten Ritt jetzt einmal durch das Hinweisgeberschutzgesetz und auch die die europäische Richtlinie, die dem zugrunde liegt gemacht,
Gibt's noch da, wenn irgendwas, was du auf jeden Fall erwähnen möchtest, ähm was du für die Praxis noch ähm für total spannend und wichtig hältst?
Jahr zwei Aspekte ähm der erste höhere technische organisatorische Maßnahmen.
Ah, gut, gut dahin. Was haben wir noch gar.
Drüber gesprochen und da ist es so, dass ähm das Hinweisgeberschutzgesetz,
ein Querverweis enthält auf Paragraph 2zwanzig Absatz zwei BDSG. Dieser soll nämlich Anwendung finden, wenn Artikel 9 Daten
verarbeitet werden und ähm für mich ist es so, dass ja eigentlich alles in diesem Hinweisgeberportal gemeldet werden kann und
Daher kann auch nicht ausgeschlossen werden, dass Artikel 9 Daten darin verarbeitet werden. Deswegen sehe ich das eigentlich als obligatorisch an und ja dieser Paragraph 2undzwanzig Absatz zwei,
BDSG ähm konkretisiert, so ein bisschen,
Welche technische organisatorischen Maßnahmen zu treffen sind und äh sieht unter anderem eine Logging vor.
Datenschutzschulung ähm für die an der Verarbeitung Beteiligten die Benennung eines Datenschutzbeauftragten,
Pseudonymisierung, Verschlüsselung, Raschewiederherstellbarkeit und regelmäßige Evaluierung. Also schon etwas größeres Paket.
Da bringst du eine ganz spannende Frage, die die mir gerade in dem Zusammenhang einfällt. Wir haben hier eine Verarbeitungstätigkeit, die denke ich
Ihrer Natur nach besonderen Risiken für die Richtung die Frei der betroffenen Personen mit sich bringt. Das klingt also sollte man äh eine Datenschutzfolgenabschätzung durchführen.
Ähm da gibt's ja auch glaube ich Diskussionen, der Gesetzgeber hätte das äh vermissen lassen. Eine Datenschutzfolgenabschätzung durchzuführen,
Ich bin da eigentlich der Auffassung, dass der Gesetzgeber mit dem Hinweisgeberschutzgesetz ja genau das getan hat. Er hat nämlich die Rechte und die Pflichten. Ah die die die Rechte und die Freien der betroffenen Personen abgewogen und hat
Dieses Gesetz gemacht, was was für mich eigentlich so was ist wie eine Datenschutzfragenabschätzung.
Wie stehst du dazu? Würdest du noch mal für die interne Meldestelle ein separate Datenschutzfolgenabschätzung machen?
Ja äh schwierig, die Anforderungen gibt sich ja aus Artikel 35 da einen Schutzgrundverordnung und ähm setzt dort an, ob voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht und,
Puh, davon würde ich schon erst mal ähm ausgehen, weil.
Das ist ja Sinn der Richtlinie, die will ja genau die betroffenen Personen schützen, natürliche Person schützen, dass sie Repressalien unterliegt. Das heißt, es scheint ja der Gesetzgeber zu die Idee zu haben.
Ja ja und es ähm also ich würde hier auch nicht nur,
Den äh Hinweisgeber sehen als betroffene Person, sondern natürlich auch gemeldete Personen, für die einem erhebliches Risiko für ihre Rechte und Freiheiten bestehen kann, insbesondere wenn die Meldung einfach nicht richtig ist.
Also über Denunziantum haben wir auch schon kurz gesprochen, aber diese Daten sind dann ja da drin und deswegen würde ich eigentlich schon davon ausgehen, dass
zumindest im Regelfall eine Datenschutzfolgenabschätzung durchzuführen ist. Gleichzeitig bin ich auch bei dir,
Der Gesetzgeber hat das Ganze ja schon vorgegeben, hat die Interessenabwägung schon irgendwie für sich,
durchgeführt und am Ende haben wir dann wahrscheinlich einfach wieder nur eine eine Papiertiger.
Also ich weiß nicht, welche Praxis sich da jetzt durchsetzen wird. Ich kann mir vorstellen, dass viele vorsichtshalber eine Datenschutzfolgenabschätzung durchführen, dass sich da auch Templates ähm Templates die Runde machen werden, die dann halt,
ausgefüllt werden und genutzt werden.
Ist das aber auch, wenn ich eine Meldestelle dann habe, muss ich unabhängig von der Anzahl der Beschäftigten einen Datenschutzbeauftragten bestellen, weil das ist ja die die Logik in der Datenschutzfragenabschätzung, die notwendig ist. Ähm erfordert halt auch die Rolle des Datenschutzbeauftragten
War mal ein guter, guter Hinweis, den du gerade so ähm mit angeschoben hast eben mit dem Hinweis auf den Paragrafen 22 BDSG,
Du solltest noch ein zweites Thema, was dir dir noch spannend vorkam, muss noch erwähnenswert wäre?
Datenschutzfolgenabschätzung.
Ah, da habe ich dir das schon geklaut. Äh Verzeihung, das wusste ich tatsächlich nicht, dass du das noch in petto hattest, ja.
Ich dachte, das sind meine Gedanken gelesen.
Nein, ich ähm wir sind aufm Weg dahin David. Das ist so die nächste Stufe unserer Zusammenarbeit, dass wir nicht mehr reden, was im Kundenkontext dann wahrscheinlich merkwürdig.
Für einen Podcast auch doof.
Vom Podcast Dorf, genau Gedanken lesen, machen wir dann offline. Dann würde ich noch mal nochmal dir die Frage stellen, gibt's noch irgendwas? Irgendwas spannendes im Rahmen des Hinweisgeberschutzgesetzes.
Gibt es bestimmt, aber ähm dann machen wir dazu einfach, würde ich sagen, noch mal ein Follow-up.
Wenn uns noch was Spannendes einfällt, natürlich auch im Rahmen der News alle befassen sich gerade damit. Früher oder später wird's auch die erste Rechtssprechung dazu geben. Ähm ich denke Behörden werden sich auch noch weiter dazu äußern und dann
halt immer natürlich wie immer alle auf dem Laufenden.
Wer nochmal auch ein ein
Appell durchaus oder ein eine Möglichkeit, die ich eröffnen möchte. Wir haben jetzt ja nur einige Themen behandelt, die uns so offensichtlich gewesen sind. Wir haben auch zwei Höreranfragen berücksichtigt bei der Aufbereitung des Podcasts, die für mich persönlich auch noch mal ganz schön waren, weil,
Das sind Dinge, die die hätte ich nicht identifiziert und in die Richtung hätte ich nicht gedacht. Also falls Sie da draußen der Auffassung sind, falls ihr da draußen der Auffassung seid, dass dass wir.
Themen nicht,
ausreichend beleuchtet haben, irgendwas durchgegangen ist, wo ihr in der Praxis aber Bedarf seht, wo sie in der Praxis Bedarf sind, dann machen wir noch einen Teil zwei. Da bin ich auch völlig völlig beide damit.
Und bis dahin würde ich sagen, machen wir Schluss für heute. Sagt zu, Deckel drauf. Ich wünsche Ihnen, wann immer Sie den Podcast hören, ähm einen einen schönen Tag.
Da schließe ich mich an. Bis bald.