Vergangenen Monat fand unser Webinar zum Hinweisgeberschutzgesetz statt. Im begleitenden Chat wurden uns weit über 100 Fragen gestellt, welche nicht alle beantwortet werden konnten. Dies wollen wir mit diesem Beitrag fortsetzen.
Der Inhalt im Überblick
- Fragen aus dem Chat
- Gehören zum Kreis der Meldeberechtigten verpflichtend auch ehemalige Beschäftigte und Bewerber?
- Schutz vor Repressalien: Was bedeutet hier die Beweislastumkehr?
- Wenn ein Unternehmen eigentlich unter der Schwelle ist einen DSB zu benennen, kann sich das durch die Pflicht, eine Meldestelle zu betreiben, ändern?
- Muss man auf die externe Meldestelle hinweisen?
- Wo kann ich, bspw. als Mitarbeitender der etw. melden möchte, denn die Meldung vornehmen, dass ein Unternehmen kein Hinweisgebersystem etabliert ist?
- Ist es möglich, sich beim Anwendungsbereich nicht nur an den abschließenden Katalog zu orientieren, diesen also bspw. auch um interne Vorgaben im Sinne der corporate rules zu erweitern?
- § 16 Abs. 3 HinSchG – ist dieser so zu verstehen, dass die mündliche Meldung neben der Textform zwingend ermöglicht werden sollte?
- Eine Firma hat für die interne Meldestelle eine Anwaltskanzlei mit der Betreuung beauftragt. Wer würde dann bei einer persönlichen Kontaktaufnahme mit dem Hinweisgeber diesen treffen? Ein Mitarbeiter der Anwaltskanzlei oder ein Mitarbeiter der Firma?
- Wie ist das Verhältnis zum externen Dritten datenschutzrechtlich zu beurteilen? Auftragsverarbeitung oder – bei Weitergabe von Hinweisen – gemeinsame Verarbeitung?
- Wie weist man die Fachkunde einer mit einer internen Meldestelle beauftragten Person nach?
- Zusammenspiel Hinweisgeberschutz und Datenschutz
Fragen aus dem Chat
Im Anschluss an den Vortrag gab es einen „Fragen und Antworten“-Teil, in welchem Fragen von Teilnehmenden aufgegriffen und beantwortet wurden. Naturgemäß war es aufgrund der hohen Anzahl an Teilnehmern und damit korrespondierend der hohen Anzahl an Fragen nicht möglich, alle Fragen aufzugreifen. Wir wollen daher weitere Fragen in diesem Beitrag beantworten. Dabei wurden aus dem Chat solche Fragen ausgewählt, die für eine Vielzahl von Unternehmen interessant und relevant sind.
Gehören zum Kreis der Meldeberechtigten verpflichtend auch ehemalige Beschäftigte und Bewerber?
Der persönliche Anwendungsbereich des HinSchG ist weit gefasst. Unter den geschützten Personenkreis fallen nicht nur Arbeitnehmer des Unternehmens, sondern auch Arbeitnehmer von Lieferanten, ehemalige Arbeitnehmer, solche, deren Arbeitsverhältnis noch nicht begonnen hat und Bewerber (Schutzbereich). Nach § 16 Abs. 1 S. 1 HinSchG müssen die internen Meldekanäle nur den eigenen Beschäftigten sowie Leiharbeitnehmern offenstehen, die dem Unternehmen überlassen sind. Darüber hinaus können die Meldekanäle auch für andere Personen geöffnet werden.
Schutz vor Repressalien: Was bedeutet hier die Beweislastumkehr?
Bereits jetzt dürfen Mitarbeiter nicht benachteiligt werden, wenn diese in zulässiger Weise ihre Rechte ausüben (Maßregelungsverbot, § 612a BGB). Erleiden Hinweisgeber nach einer Meldung oder Offenlegung jedoch eine Benachteiligung im Zusammenhang mit ihrer beruflichen Tätigkeit wird im Rahmen des HinSchG nun ausdrücklich vermutet, dass diese Benachteiligung eine Repressalie sei (§ 36 Abs. 2 HinSchG). Insoweit hat die Person, die die hinweisgebende Person benachteiligt hat, zu beweisen, dass die Benachteiligung auf hinreichend gerechtfertigten Gründen basierte oder dass sie nicht auf der Meldung oder Offenlegung beruhte. Bei einem Verstoß gegen das Verbot von Repressalien ist der Verursacher verpflichtet, der hinweisgebenden Person den daraus entstehenden Schaden zu ersetzen (§ 37 Abs. 1 HinSchG). Um im Fall der Fälle vorbereitet zu sein, empfiehlt es sich daher, die Gründe für eine arbeitsrechtliche Maßnahme (zum Beispiel Kündigung oder unterbliebene Beförderung), hinreichend zu dokumentieren. Dies erleichtert einerseits die Verteidigung der Rechtmäßigkeit der Maßnahme im Streitfall, bietet andererseits auch die Möglichkeit, die ergriffenen Maßnahme einer selbstkritischen Überprüfung zu unterziehen.
Wenn ein Unternehmen eigentlich unter der Schwelle ist einen DSB zu benennen, kann sich das durch die Pflicht, eine Meldestelle zu betreiben, ändern?
Das HinSchG und damit auch die Pflicht zur Einrichtung interner Meldestellen gilt nur für Unternehmen mit in der Regel mindestens 50 Beschäftigten. Davon unabhängig gilt die Verpflichtung für Unternehmen einen Datenschutzbeauftragten zu benennen, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen (§ 38 Abs. 1 S. 1 BDSG).
Muss man auf die externe Meldestelle hinweisen?
Externe Meldestellen sind Kanäle, die bei einer unabhängigen Stelle eingerichtet werden und an die sich Hinweisgeber wenden können (Wahlrecht zwischen interner und externer Meldung, § 7 HinschG). Der Bund errichtet beim Bundesamt für Justiz eine Stelle für externe Meldungen (externe Meldestelle des Bundes). Daneben können seitens Bund und Länder weitere Meldestellen mit Sonderzuständigkeiten eingerichtet bzw. weitergeführt werden. Unternehmen sollen Anreize dafür schaffen, dass sich hinweisgebende Personen vor einer Meldung an eine externe Meldestelle zunächst an die jeweilige interne Meldestelle wenden. Die internen Meldestellen haben für Beschäftigte Informationen über externe Meldeverfahren bereitzuhalten (§ 13 Abs. 2 HinSchG).
Wo kann ich, bspw. als Mitarbeitender der etw. melden möchte, denn die Meldung vornehmen, dass ein Unternehmen kein Hinweisgebersystem etabliert ist?
Hinweisgeber haben ein Wahlrecht und können Hinweise sowohl über interne als auch über externe Meldestellen abgeben.
Ist es möglich, sich beim Anwendungsbereich nicht nur an den abschließenden Katalog zu orientieren, diesen also bspw. auch um interne Vorgaben im Sinne der corporate rules zu erweitern?
Unternehmen steht es grundsätzlich frei, unternehmensinterne Compliance-Richtlinien einzuführen. Soweit dadurch die interne Meldestelle in ihrer Ausgestaltung und Ausübung nicht eingeschränkt wird, kann diese grundsätzlich auch Eingaben abseits des HinSchG bearbeiten. Dabei erfahren Hinweisgeber jedoch keinen gesetzlichen Schutz, sondern nur den jeweiligen aus den internen Richtlinien.
§ 16 Abs. 3 HinSchG – ist dieser so zu verstehen, dass die mündliche Meldung neben der Textform zwingend ermöglicht werden sollte?
Meldungen müssen in mündlicher Form oder in Textform möglich sein. Mündliche Meldungen müssen per Telefon oder mittels einer anderen Art der Sprachübermittlung erfolgen können. Auf Wunsch ist innerhalb einer angemessenen Zeit eine persönliche Vorsprache zu ermöglichen.
Eine Firma hat für die interne Meldestelle eine Anwaltskanzlei mit der Betreuung beauftragt. Wer würde dann bei einer persönlichen Kontaktaufnahme mit dem Hinweisgeber diesen treffen? Ein Mitarbeiter der Anwaltskanzlei oder ein Mitarbeiter der Firma?
Ein Mitarbeiter der Anwaltskanzlei.
Wie ist das Verhältnis zum externen Dritten datenschutzrechtlich zu beurteilen? Auftragsverarbeitung oder – bei Weitergabe von Hinweisen – gemeinsame Verarbeitung?
„Es kommt darauf an“ – es ist auf die konkrete Ausgestaltung abzustellen, welche Leistungen der Dienstleister erbringt. So steht bspw. § 13 HinSchG der Übernahme zusätzlicher Leistungen nicht entgegen (bspw. Erbringung IT-forensischer Leistungen). Auch ist eine eigene Verantwortlichkeit des Dienstleisters möglich (Argument ist u.a. die geforderte Unabhängigkeit der internen Meldestelle).
Wie weist man die Fachkunde einer mit einer internen Meldestelle beauftragten Person nach?
Die mit den Aufgaben einer internen Meldestelle beauftragten Personen müssen über die notwendige Fachkunde
verfügen (§ 15 Abs. 2 HinSchG). Welche Anforderungen an die erforderliche Fachkunde zu stellen sind, lässt das Gesetz offen. Unstrittig werden Kenntnisse über Funktion, Kompetenzen und Unabhängigkeit der Meldestelle gefordert. Ferner müssen die Personen mit dem sachlichen Anwendungsbereich des Hinweisgeberschutzes vertraut sein und das Vertraulichkeitsgebot kennen. Auch sind eine Vielzahl datenschutzrechtlicher Regelungen aus der DSGVO und dem BDSG zu beachten. Ob und welche Schulungen oder Weiterbildungen erforderlich sind hängt davon ab, welche (beruflichen) Qualifikationen die mit den Aufgaben einer internen Meldestelle beauftragten Personen aufweisen und mit welcher Art von Verstößen beim Unternehmen zu rechnen ist.
Zusammenspiel Hinweisgeberschutz und Datenschutz
Die Einrichtung und der Betrieb einer internen Meldestelle ist für Unternehmen nicht nur hinsichtlich der Umsetzung der Anforderungen des HinSchG eine erhebliche Herausforderung. Nur ein datenschutzkonformes, sicheres und niederschwelliges Hinweisgebersystemen wird auf Dauer von potenziellen hinweisgebenden Personen angenommen werden. Benötigen Sie noch Unterstützung bei der Umsetzung? Gerne betreuen wir auch Ihren Meldekanal.
Danke für den guten Beitrag.
Eine Anmerkung zur Frage „Wenn ein Unternehmen eigentlich unter der Schwelle ist einen DSB zu benennen, kann sich das durch die Pflicht, eine Meldestelle zu betreiben, ändern?“:
Aus dem FAQ zum Hinweisgeberschutzgesetz des LfDI B-W geht hervor:
„Vor dem Hintergrund, dass im Zusammenhang mit einem Verfahren zur Meldung von Missständen sensible Daten verarbeitet werden, deren Bekanntwerden gravierende Folgen für die Reputation, die gesellschaftliche Stellung und die weitere Berufstätigkeit der betroffenen Personen hat, nimmt die Datenschutzkonferenz an, dass eine Datenschutz-Folgenabschätzung stets erforderlich ist (Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines, 14. November 2018)“.
Dies nun i.V.m. § 38 Abs. 1 S. 2 BDSG könnte zu einer anderen Bewertung führen.
Interessant ist ferner, wie das Spannungsverhältnis zwischen Art. 38 Abs. 2 DSGVO (Zugang zu personebezogenen Daten für den/die DSB) und dem Vertraulichkeitsgebot (bzw. den Ausnahmen) der §§ 8, 9 HinSchG aufgelöst werden wird. Vielleicht wird hier eine „Vererbung“ der Vertraulichkeit analog § 203 Abs. 4 StGB vorzunehmen sein?
Die Durchführung einer DSFA sehe ich nicht als stets verpflichtend an. Hierzu wurde auch im Webinar ausgeführt, dass die Orientierungshilfe der DSK aus dem Jahr 2018 und damit einem Zeitpunkt stammt, in welchem es das HinSchG mit seinen genauen Vorgaben zur Einrichtung und Betrieb einer Meldestelle nicht gab. Insoweit halte ich diese Aussage, welche seitens der DSK auch nicht weiter begründet wird, nur eingeschränkt auf die nunmehr vorliegende rechtliche Situation für übertragbar. Auch der Muss-Liste zur DSFA nach Art. 35 Abs. 4 DSGVO in Ergänzung mit dem WP 248 Rev. 01 lässt sich keine grundsätzliche Verpflichtung entnehmen. Im Einzelfall kann die Durchführung natürlich gleichwohl erforderlich sein.
Insgesamt besteht noch eine Vielzahl offener Frage. Dazu wird im Einzelfall geschaut werden müssen, in welcher Verantwortlichkeit die interne Meldestelle betrieben wird und, ergänzend zum Spannungsverhältnis beim Vertraulichkeitsgebot, auch der Umgang mit den Betroffenenrechten.