Die Vorteile der Besetzung der internen Meldestelle (HinSchG) mit dem Datenschutzbeauftragten
In der heutigen digitalen Ära ist der Schutz personenbezogener Daten von größter Bedeutung. Datenschutzbeauftragte spielen dabei eine zentrale Rolle, um sicherzustellen, dass Unternehmen und Organisationen die geltenden Datenschutzbestimmungen einhalten. Eine weitere wichtige Funktion, die dem Datenschutzbeauftragten unter bestimmten Voraussetzungen übertragen werden kann, ist die Besetzung der internen Meldestelle gemäß dem Hinweisgeberschutzgesetz (HinSchG).
Was ist die interne Meldestelle?
Das 2023 in Kraft getretene Hinweisgeberschutzgesetz (genauer „Gesetz für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ – oder kurz “HinSchG”) legt fest, dass Beschäftigungsgeber dafür zu sorgen haben, dass bei ihnen mindestens eine Stelle für interne Meldungen eingerichtet ist und betrieben wird, an die sich Beschäftigte im Falle von Missständen wenden können (§ 12 Abs.1 HinSchG).
Die Pflicht gilt dabei nach § 12 Abs. 2 HinSchG für Beschäftigungsgeber mit jeweils in der Regel mindestens 50 Beschäftigten. Zu den Aufgaben der internen Meldestelle gehört gemäß § 13 Abs. 1 HinSchG das Betreiben von Meldekanälen nach § 16, die Verfahrensdurchführung nach § 17 sowie das Ergreifen von Folgemaßnahmen nach § 18. Dadurch soll dafür gesorgt werden, dass Rechtsverstöße untersucht, verfolgt und unterbunden werden. Außerdem sollen Whistleblower insoweit vor Benachteiligungen geschützt werden, die ihnen wegen ihrer Meldung drohen oder diese bereits zuvor von einer solchen abschrecken können.
Möglichkeit und Grenzen einer Doppelfunktion
Das Hinweisgeberschutzgesetz (HinSchG) und die Datenschutzgrundverordnung (DSGVO) ermöglichen grundsätzlich eine Doppelfunktion der Personen, die in diesen Bereichen tätig sind, setzen jedoch klare Grenzen, um Interessenkonflikte zu vermeiden.
Die Möglichkeit einer Doppelfunktion:
- Interne Meldestelle: Das HinSchG erlaubt es den Personen, die für eine interne Meldestelle verantwortlich sind, neben dieser Rolle auch andere Aufgaben und Pflichten im Unternehmen wahrzunehmen (§ 15 Abs. 1 S. 2 HinSchG). Dies bietet Flexibilität bei der Besetzung dieser Positionen und ermöglicht eine effizientere Nutzung von Ressourcen.
- Datenschutzbeauftragter (DSB): Ähnlich erlaubt die DSGVO, dass der Datenschutzbeauftragte neben seinen Aufgaben als DSB auch andere Aufgaben und Pflichten wahrnehmen kann (Art. 38 Abs. 6 S. 1 DSGVO). Dies kann für Organisationen von Vorteil sein, da der DSB möglicherweise Einblicke in andere Bereiche des Unternehmens gewinnt.
Die Grenzen der Doppelfunktion:
- Interessenkonflikte vermeiden: Sowohl das HinSchG als auch die DSGVO betonen, dass die zusätzliche Übernahme von Aufgaben nicht zu Interessenkonflikten führen darf (§ 15 Abs. 1 S. 3 HinSchG und Art. 38 Abs. 6 S. 2 DSGVO). Dies bedeutet, dass Personen in diesen Positionen ihre Unabhängigkeit und Integrität wahren müssen.
- Aufgabenverteilung sorgfältig planen: Organisationen müssen sicherstellen, dass Personen, die mehrere Rollen ausüben, nicht in Situationen geraten, in denen ihre Verantwortlichkeiten oder Interessen miteinander kollidieren. Ein Beispiel könnte sein, wenn der DSB eine Rolle im IT-Management übernimmt, was seine Unabhängigkeit bei Datenschutzfragen beeinträchtigen könnte.
Das sind die Vorteile
Liegen interne Meldestelle und Datenschutzbeauftragter in Personalunion vor, muss also stets gewährleistet sein, dass beide Funktionen unabhängig ausgeübt werden können. Zudem hat das Unternehmen sicherzustellen, dass die mit den Aufgaben einer internen Meldestelle beauftragte Person über die dafür notwendige Fachkunde verfügt (§ 15 Abs. 2 HinSchG). Doch besonders die Qualifikation des Datenschutzbeauftragten bietet eine solide Grundlage für die geforderte Trennung wie auch für die Ausübung der Funktion der internen Meldestelle. Welche Vorteile die Besetzung der internen Meldestelle mit dem Datenschutzbeauftragten mit sich bringt, soll im Folgenden verdeutlicht werden:
1. Bündelung von Fachwissen: Datenschutzbeauftragte verfügen gemäß Art. 37 DSGVO über ein fundiertes Fachwissen im Bereich Datenschutz und Datensicherheit und können häufig weitere Rechtskenntnisse vorweisen, die der Wahrnehmung der Aufgaben der internen Meldestelle zuträglich sind. Durch die Besetzung der internen Meldestelle können sie ihr Wissen nutzen, um sicherzustellen, dass alle gemeldeten Vorfälle angemessen bewertet und behandelt werden. Dies trägt auch dazu bei, potenzielle Datenschutzverletzungen frühzeitig zu erkennen und zu adressieren.
2. Vertrauenswürdige Ansprechpartner: Aufgrund ihrer grundsätzlichen Sensibilisierung für Unabhängigkeit, Verschwiegenheit und Vertraulichkeit sind Datenschutzbeauftragte oft bereits als vertrauenswürdige Ansprechpartner innerhalb der Organisation etabliert. Mitarbeiter fühlen sich in der Regel wohler dabei, sensible Informationen wie Datenschutzverletzungen oder Compliance-Verstöße einem vertrauten Gesicht anzuvertrauen. Die Besetzung der internen Meldestelle mit dem Datenschutzbeauftragten stärkt daher das Vertrauen der Mitarbeiter und fördert eine offene Kommunikationskultur.
3. Effiziente Koordination: Datenschutzbeauftragte sind erfahren darin, Datenschutzvorfälle effizient zu koordinieren und die notwendigen Maßnahmen zur Risikominderung zu ergreifen. Indem sie die interne Meldestelle leiten, können sie sicherstellen, dass alle relevanten Stakeholder rechtzeitig informiert werden und dass angemessene Schritte zur Untersuchung und Behebung des Vorfalls eingeleitet werden. Weiterhin sind die Prozesse der internen Ermittlung zur Erhebung gerichtsfester Beweise für die angezeigten Rechtsverstöße teilweise von Vorgaben zum Datenschutz überlagert und müssen dementsprechend datenschutzkonform gestaltet werden, indem zum Beispiel die Identität des Hinweisgebers und Dritter geschützt wird.
4. Einhaltung gesetzlicher Anforderungen: Das Hinweisgeberschutzgesetz legt bestimmte Anforderungen an die interne Meldestelle fest, einschließlich des Schutzes der Identität von Hinweisgebern und der Vertraulichkeit der gemeldeten Informationen (§ 8 Abs.1 HinSchG). Datenschutzbeauftragte sind vertraut mit diesen Anforderungen und können sicherstellen, dass die Meldestelle diese Bestimmungen vollständig einhält, um die Einhaltung gesetzlicher Vorgaben zu gewährleisten.
5. Ganzheitlicher Datenschutzansatz: Die Besetzung der internen Meldestelle mit dem Datenschutzbeauftragten ermöglicht einen ganzheitlichen Datenschutzansatz innerhalb der Organisation. Indem Datenschutzaspekte von Anfang an in den Meldeprozess integriert werden, können potenzielle Datenschutzrisiken frühzeitig erkannt und proaktiv angegangen werden.
Fazit
Insgesamt bietet die Besetzung der internen Meldestelle mit dem Datenschutzbeauftragten eine Vielzahl von Vorteilen, darunter Fachwissen, Vertrauenswürdigkeit, Effizienz, gesetzliche Einhaltung und einen ganzheitlichen Datenschutzansatz. Unternehmen und Organisationen sollten daher ernsthaft in Betracht ziehen, diese Praxis zu implementieren, um den Schutz personenbezogener Daten zu stärken und das Vertrauen ihrer Mitarbeiter und Kunden zu fördern. Es ist dabei jedoch stets sicherzustellen, dass derartige Aufgaben und Pflichten nicht zu Interessenkonflikten führen und dem DSB ausreichende (zeitliche) Ressourcen zur Verfügung gestellt werden, um beiden Aufgaben gerecht werden zu können.