Solutions
Resources
Pricing
Contact
← Back to posts overview

German Whistleblower Protection Act and Data Protection: Insights and Reflections

Martin Meng
Martin Meng
CEO
October 08, 2023 · 3 minutes read time
Whistleblower Protection Act (Hinweisgeberschutzgesetz) in force - A quick overview.

Die Verbindung zwischen dem Hinweisgeberschutzgesetz und dem Datenschutz ist ein komplexes Thema, das viel Diskussion und Überlegung erfordert. Das Hinweisgeberschutzgesetz, oft als

meta image 4 (1)
Title image

HinSchG abgekürzt, hat wichtige Auswirkungen type: embedded-entry-inline id: 3RnWnbzbVC4SVOgdAquRJb auf die Verarbeitung personenbezogener Daten, insbesondere in Bezug auf

und diejenigen, über die berichtet wird.

1. Der besondere Schutzbedarf von Whistleblowern

Whistleblower sind Individuen, die interne Missstände oder rechtswidriges Verhalten innerhalb einer Organisation aufdecken. Sie sind oft dem Risiko von Vergeltungsmaßnahmen oder Repressalien ausgesetzt, weshalb der Schutz ihrer Identität von größter Bedeutung ist. Auch die Personen, über die berichtet wird, haben ein besonderes Schutzbedürfnis aufgrund des Kontexts der Datenverarbeitung. Nach den Vertraulichkeitsverpflichtungen aus §8 HinSchG sind die Identität der hinweisgebenden Person, der Personen, die Gegenstand einer Meldung sind (Beschuldigter) und sonstiger in der Meldung genannten Personen (dies können Zeugen oder Betroffene sein) zu wahren.

Das HinSchG anerkennt, dass <Link to="blog/whistleblower-system/">Whistleblowing-Systeme</Link>

 die Verarbeitung personenbezogener Daten i.S.d. Art. 4 Nr. 1 DSGVO erfordern (Entgegennahme und Dokumentation eingehender Meldungen, weitere Verarbeitung personenbezogener Daten, etwa zur Durchführung interner Untersuchungen oder im Rahmen von Folgemaßnahmen), selbst wenn ein Hinweisgeber anonym bleibt. Die Verarbeitung personenbezogener Daten erfolgt „befugt“, soweit diese in Erfüllung von Pflichten nach dem Hinweisgeberschutzgesetz erfolgt. Das HinSchG enthält eine entsprechende Befugnisnorm (§ 10). Das bedeutet, Meldestellen dürfen personenbezogene Daten verarbeiten, sofern dies zur Erfüllung ihrer Aufgaben nach den §§ 13 und 24 des HinSchG erforderlich ist. Wenn eine Meldung <Link to="blog/validation/">außerhalb</Link>

des <Link to="blog/Hinweisgeberschutzgesetz-Anwendungsgebiet/">Anwendungsgebiets</Link>

des HinSchG fällt, ist eine datenschutzrechtliche Einzelfallprüfung erforderlich. Hier gelten die allgemeinen gesetzlichen Anforderungen der DSGVO und des Bundesdatenschutzgesetzes.

2. Die Einhaltung der DSGVO und des Bundesdatenschutzgesetzes

Aufgrund der Sensibilität der verarbeiteten Daten spielt die Einhaltung der DSGVO bereits bei der Einrichtung der Meldestelle eine wichtige Rolle. Eine Datenschutzfolgeabschätzung (Art. 35 DSGVO) unter Einbezug des Datenschutzbeauftragten ist zu empfehlen. 

Zudem muss die interne Meldestelle bzw. der Verantwortliche hinweisgebenden Personen bzw. potenziellen hinweisgebenden Personen Datenschutzhinweise zur Verfügung stellen (Art. 13 DSGVO): Zum Zeitpunkt der Erhebung muss die betroffene Person, also die Person, deren Daten verarbeitet werden, informiert bzw. unterrichtet werden. Dies geschieht i.d.R. auf der Landingpage der internen Meldestelle.

Zudem setzt das Whistleblowing-System im späteren Verarbeitungsprozess die Anwendung einer Öffnungsklausel voraus. Zumeist stützt sich die Verarbeitung personenbezogener Daten auf Art. 6 Abs. 1 lit.c DSGVO in Verbindung mit § 10 HinSchG (weniger als 50 Beschäftigte: Art. 6 Abs. 1 lit. f DSGVO (Interessenabwägung)).

3. Verarbeitung besonderer Kategorien personenbezogener Daten

Für die Verarbeitung besonderer Kategorien personenbezogener Daten müssen bestimmte Ausnahmen gemäß Art. 9 Abs 2 DSGVO vorliegen. Zwei Hauptausnahmen sind hier relevant:

  • Verteidigung gegen eigene Rechtsansprüche oder Abwehr von fremden Ansprüchen (Buchstabe f).

  • Die Verarbeitung dient einem besonderen öffentlichen Interesse, das mit dem HinSchG verfolgt wird. Dabei wird das Ziel verfolgt, die Rechtsstaatlichkeit zu fördern und Menschen zu ermutigen, Missstände zu melden (Buchstabe g).

4. Informationspflichten und Datenschutz: Information der Beschuldigten und Beteiligten

Das HinSchG und die DSGVO legen bestimmte Informationspflichten fest. Zum Zeitpunkt der Datenerhebung muss die betroffene Person (“Beschuldigter”, aber auch Zeugen) informiert werden. Allerdings können diese Informationspflichten unter bestimmten Bedingungen verzögert oder zurückgehalten werden, insbesondere wenn die Ermittlungen gefährdet wären (Klärung des Sachverhalts wäre nicht oder nicht mehr möglich, zivilrechtliche Ansprüche wären beeinträchtigt oder die Arbeit von Strafverfolgungsbehörden würde erheblich erschwert werden (§ 29 Abs. 1 S. 1 und S. 2 BDSG)).

Diese Ausnahmen gelten auch für Informationspflichten bei der Datenverarbeitung und bei der Geltendmachung von Betroffenenrechten (§15 DSGVO), jedoch nur solange, wie es die (weiteren) Ermittlungen nicht gefährdet.

Gemäß aktueller Rechtsprechung ist es in der Regel erforderlich, das Anliegen der Anonymität des Hinweisgebers dem Wunsch nach Information bzw. dem Auskunftsinteresse der betroffenen Person unterzuordnen, sofern der Hinweisgeber absichtlich oder grob fahrlässig falsche Informationen bereitgestellt hat (Ausnahme vom Vertrauchlichkeitsgebot nach HinSChG § 9, Abs. 1).Auskunftspflichten/Betroffenenrechte 

5. Aufbewahrungs- und Löschfristen

Das HinSchG legt fest, dass Daten und die Dokumentation spätestens drei Jahre nach Abschluss des Verfahrens gelöscht werden müssen. Allerdings gibt es Ausnahmen, die eine längere Aufbewahrung erlauben. Die genauen Bedingungen und Zeitpunkte sind jedoch noch Gegenstand von Diskussionen und werden von der Rechtsprechung geklärt werden müssen.

6. Die Vorteile toolgestützter Lösungen

Toolgestützte Lösungen bieten aus datenschutzrechtlichen Gründen viele Vorteile. Das HinSchG verlangt, dass Dokumentationen abrufbar sein müssen. Bei einer Lösung mit Whistleblower Software können Daten leichter und sicherer abgerufen werden. Darüber hinaus unterstützt Whistleblowing Software bei der Anforderung des Hinweisgeberschutzgesetzes, dass fallbezogene Daten drei Jahre nach Abschluss des Falls gelöscht werden müssen. Gute Software fragt die Meldestellenverantwortlichen explizit danach, ob dies automatisch getan werden soll und wenn nicht, verlangt die Software gewichtige Gründe anzugeben - genau so, wie es das Hinweisgeberschutzgesetz verlangt.

Abschließende Gedanken

Das Zusammenspiel von Hinweisgeberschutz und Datenschutz ist komplex, aber von entscheidender Bedeutung, um sowohl die Rechte von Whistleblowern als auch die von beschuldigten Personen zu wahren. Es ist wichtig, stets die aktuelle Rechtsprechung und Gesetzgebung im Auge zu behalten und sicherzustellen, dass alle Verarbeitungstätigkeiten rechtmäßig und angemessen sind.

← Back to posts overview
Man sitting on the footer bar of the website working with a laptop on his lap.
Event illustrations by Storyset
2023 All rights reserved. konfidal is a registered trademark of konfidal GmbH.