Lösungen
Resourcen
Preise
Kontakt

Eine Gruppe Menschen schaut mäßig interessiert auf etwas, das sich außerhalb des Bildausschnitts befindet.

Datenschutz und Hinweisgeber­schutz: Möglichkeiten, Risiken und Empfehlungen bei der Zusammenführung von Rollen

In der heutigen Geschäftswelt sind Unternehmen häufig mit Fragen der Compliance konfrontiert. Insbesondere stellt sich die Frage, ob Datenschutzbeauftragte (DSB) auch als interne Meldestelle für Hinweisgeber fungieren können. Obwohl dies rechtlich zulässig sein dürfte, birgt es einige Risiken und Herausforderungen. In diesem Blogartikel werden wir die Möglichkeiten und Grenzen dieser Doppelfunktion, die damit verbundenen Risiken und Interessenskonflikte sowie Handlungsempfehlungen zur Gewährleistung der Compliance erörtern.

Möglichkeiten und Gemeinsamkeiten

Datenschutz und Hinweisgeberschutz haben mehr gemeinsam, als es zunächst den Anschein hat, insbesondere aus praktischen Gründen. Beide Bereiche werden oft von der Compliance-Abteilung oder sogar von derselben Person ausgeübt. Die EU-Whistleblower-Richtlinie, die im Dezember 2021 in Kraft trat, hat die Anforderungen für Unternehmen erweitert, die eine Hinweisgeber-Meldestelle einrichten müssen.

Datenschutzbeauftragte und Hinweisgeber-Meldestellen haben mehrere Gemeinsamkeiten, wie Unabhängigkeit, Zugang zum Top-Management, Vertraulichkeit und persönliche Integrität, Kapazität und Ressourcen sowie Kenntnisse der Organisation. Daher ist es nachvollziehbar, warum Unternehmen diese beiden Rollen zusammenführen möchten.

Risiken und Interessenskonflikte

Die Zusammenführung der beiden Funktionen birgt jedoch auch Risiken und Interessenskonflikte. Ein potenzieller Interessenskonflikt besteht, wenn eine Meldung den Datenschutz betrifft, z. B. die Verarbeitung personenbezogener Daten. Wenn dieselbe Person in der Rolle des DSB die Datenverarbeitung als rechtskonform bewertet, kann sie als Hinweisgeber-Meldestelle kaum anders urteilen.

Ein weiterer möglicher Interessenskonflikt entsteht, wenn der Hinweisgeberprozess selbst sensible und risikobehaftete Datenverarbeitung beinhaltet. Der Schutz der Identität der hinweisgebenden Person ist ein zentrales Element des gesamten Prozesses. Wenn die Identität des Hinweisgebers unautorisierten Empfängern bekannt wird, sollte auch der DSB den Fall prüfen. Wenn jedoch die Daten vom DSB durchgesickert sind, während er in der Rolle des Hinweisgeber-Meldestellen-Verantwortlichen handelt, kann man kaum erwarten, dass er seinen eigenen Verfahrensfehler anerkennen wird.

Empfehlungen zur Bewältigung von Risiken und Interessenskonflikten

Die Vorteile der Zusammenführung beider Rollen wiegen oft die oben genannten Risiken und potenziellen Interessenskonflikte auf. Die möglichen Vorteile der Zusammenführung der beiden Rollen bestehen hauptsächlich in der Kostensenkung. Wenn ein Unternehmen über einen Experten verfügt, der die Anforderungen erfüllt und dessen Rolle als DSB nicht seine gesamte Arbeitskapazität in Anspruch nimmt, kann es sinnvoll sein, ihm eine zusätzliche Rolle im Bereich der Hinweisgeber-Meldestellen zuzuweisen.

Dies bedeutet jedoch nicht, dass das Unternehmen das Risiko auch eingehen sollte. Eine praktikable Lösung kann darin bestehen, dass andere Mitarbeitende oder eine Externe die Meldestelle betreiben. Auch das Zwischenschalten einer anderen Person ohne fachlich einschlägige Expertise im Hause ist denkbar, die zunächst eine inhaltliche Vorprüfung vornimmt und somit die Interessenskonflikte identifiziert. Ob dies jedoch mit den gesetzlichen Anforderungen in jedem Fall in Einklang zu bringen sein wird, ist eher fraglich.

Organisationen, die die Rolle des DSB und der Hinweisgeber-Meldestelle zusammenführen, sollten einen Prozess einrichten, bei dem Beschwerden oder Fragen zu gemeinsamen Punkten, wie dem Datenschutz im Rahmen von Hinweisgeber-Untersuchungen, von jemand anderem bearbeitet werden. Dies könnte ein anderer Mitarbeiter aus der Compliance-Abteilung, ein externer Anwalt, ein relevantes Vorstandsmitglied usw. sein. Das Unternehmen sollte alle betroffenen Personen über diese Lösung informieren, um ein Misstrauen in beide Systeme zu vermeiden.

Die Einrichtung eines zusätzlichen Systems zur Behandlung des Datenschutzes in Hinweisgeber-Situationen mag im Widerspruch zur Kostensenkung stehen, aber in der Praxis wird die Anzahl ähnlicher gemeinsamer Fälle gering sein. Diese zusätzliche Kapazität sollte keine übermäßige Belastung für das Unternehmen darstellen. Stattdessen wird sie Einsparungen und eine effiziente Nutzung der Kapazitäten bringen sowie das Vertrauen der Mitarbeiter und anderer betroffener Personen in einen funktionierenden Datenschutz- und Hinweisgeberprozess gewährleisten. Und Vertrauen ist einer der wichtigsten Outputs beider erwähnten Prozesse. Gleichwohl zieht es Kosten und Zeitverluste nach sich, die genannten Punkte betriebsintern umzusetzen. Daher sollte über ein Outsourcing des Meldestellenbetriebs vor dem Hintergrund von Wirtschaftlichkeitserwägungen nachgedacht werden.

Outsourcing der Meldestelle als sichere Bank

Sollten Sie weder personell noch organisatorisch mit den bereits erwähnten Sachverhalten umgehen wollen, bietet sich die Lösung einer externen Meldestelle, die als “interne Meldestelle” fungiert, an. Hierbei ist es lediglich noch notwendig, dass Sie Ihrem externen Dienstleister eine Ansprechperson in Ihrem Unternehmen nennen, mit der über Hinweisgeberfälle in Interaktion getreten werden kann, damit interne Untersuchungen beginnen können, wenn es die Inhalte der Fälle gebieten.

Zudem sparen Sie sich bei dieser Lösung zumeist die Erstellung von Datenschutzfolgeabschätzungen, da die Software, mit der der Meldekanal betrieben wird, in den meisten Fällen auch von diesem externen Dienstleister betrieben wird.

Außerdem wird Sie der Dienstleister nur dann kontaktieren, wenn es absolut notwendig ist und der Fall eine entsprechende Brisanz hat, so dass Sie aktiv werden müssen. Alle Fälle, die nicht unter das Anwendungsgebiet des Hinweisgeberschutzes fallen, werden von diesem externen Dienstleister ohnehin für Sie aussortiert und archiviert.

Bei einem externen Dienstleister müssen Sie sich auch keine Gedanken mehr über Dokumentation machen, da diese ebenfalls übernommen wird.

Interesse an einem Dienstleister für den Betrieb Ihrer Meldestelle? Schreiben Sie uns an hi@konfidal.eu oder rufen Sie uns unverbindlich unter +49 (0) 176 72224558 an. Wir erörtern gerne mit Ihnen, wie Sie eine kostengünstige und zeitsparende Lösung ohne Interessenskonflikte realisieren können.

Man sitting on the footer bar of the website working with a laptop on his lap.
Event illustrations by Storyset
2023 All rights reserved. konfidal is a registered trademark of konfidal GmbH.