Das neue Hinweisgeberschutzgesetz (auch „Whistleblowing“ genannt) ist Anfang Juli dieses Jahres in Kraft getreten und verpflichtet eine Vielzahl von Unternehmen insbesondere dazu, eine interne Meldestelle einzurichten (dies kann auch über eine Auslagerung an einen externen Dienstleister wie z. B. die Creditreform Compliance Services GmbH erfolgen). Da über eine solche Meldestelle im Zweifel auch personenbezogene Daten verarbeitet werden (z.B. Personen, die Gegenstand einer Meldung sind), sind auch bei der Meldestelle die datenschutzrechtlichen Vorgaben anzuwenden und einzuhalten. Die meldende Person hat i.d.R. die Möglichkeit, die Meldung anonym oder unter Angabe Ihres Namens und Ihrer Kontaktdaten durchzuführen. Spätestens dann werden personenbezogene Daten verarbeitet.
Die datenschutzrechtlichen Herausforderungen erscheinen dann besonders groß, wenn über die Meldestelle sehr sensible Informationen oder sogar Informationen zu potentiellen Straftaten bzw. schwerwiegenden Verstößen verarbeitet werden. Demnach ist es von großer Bedeutung, dass die Meldestelle aus datenschutzrechtlicher Sicht geprüft wird, insbesondere auch dann, wenn die Meldestelle an eine externe Stelle ausgelagert wird.
Datenschutzfolgeabschätzung
Demnach stellt sich in diesem Kontext die Frage, ob vor der Einführung einer Meldestelle eine sog. Datenschutzfolgeabschätzung (DSFA) durchgeführt werden sollte. Dies ist immer dann notwendig, wenn eine Verarbeitung von personenbezogenen Daten voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Fazit
Aufgrund der potentiell sensiblen Inhalte der Meldungen von Verstößen, welche empfindliche Folgen für die betroffenen Personen zur Folge haben können, ist die Durchführung einer DSFA anzuraten. Mit Hilfe dieser kann zudem das Vorliegen weiterer wesentlicher datenschutzrechtlicher Anforderungen überprüft werden. Unabhängig davon, wie die Meldestelle im Unternehmen implementiert wird, sollte also im ersten Schritt zunächst geprüft werden, ob die datenschutzrechtlichen Voraussetzungen überhaupt erfüllt worden sind.
Mit CrefoWhistle der Creditreform Compliance Services GmbH (CCS) haben Sie nicht nur die Möglichkeit zur Umsetzung der Meldestelle i.S.d. Hinweisgeberschutzgesetzes in digitaler Form, sondern gleichzeitig eine datenschutzkonforme Lösung, für die bereits auch eine dokumentierte DSFA vorliegt. Somit können Sie als verantwortliche Stelle Ressourcen sparen und die interne Meldestelle kann direkt in Ihrem Unternehmen webbasiert eingesetzt werden.
