Hinweisgebersystem mit Ombudsperson einführen: Pflicht ab 17.12.2023
Unternehmen mit 50 Beschäftigten oder mehr sind nach dem Hinweisgeberschutzgesetz ab dem 17.12.2023 verpflichtet, interne Meldekanäle einzurichten (für Unternehmen mit mehr als 250 Beschäftigten gilt diese Vorgabe schon seit dem 2.7.2023). Die IITR Datenschutz GmbH als Partner der IT-Recht Kanzlei bietet interessierten Unternehmen die Möglichkeit, ein Hinweisgebersystem mit einer externen Ombudsperson zu erhalten. Der folgende Beitrag untersucht die datenschutzrechtlichen Rahmenbedingungen.
Inhaltsverzeichnis
- Wie wird die Anzahl der Beschäftigten berechnet?
- Ist bei der Einrichtung einer internen Meldestelle eine Datenschutz-Folgenabschätzung notwendig?
- Datenschutzrechtliche Herausforderungen
- Ist eine Datenschutz-Folgenabschätzung notwendig?
- Schwellenwertanalyse als Prüfstein
- Schlussfolgerung
- Angebot: Hinweisgebersystem und externe Ombudsperson kombiniert
Wie wird die Anzahl der Beschäftigten berechnet?
Nach § 12 Abs. 2 HinSchG ist die Einrichtung einer Meldestelle für Beschäftigungsgeber mit jeweils in der Regel mindestens 50 Beschäftigten erforderlich.
Entscheidend ist die reale Zahl der Mitarbeiter.
Eine Berechnung nach Vollzeitäquivalenten, bei denen Teilzeitkräfte nur zur Hälfte zählen, ist nicht vorgesehen.
Maßgeblich kommt es nach Vorstellung des Gesetzgebers also auf die tatsächliche Beschäftigtenzahl an, die bestimmte Maßnahmen zum Schutz der Vertraulichkeit von Hinweisen erforderlich macht, und nicht auf deren arbeitsvertragliche Situation.
Ist bei der Einrichtung einer internen Meldestelle eine Datenschutz-Folgenabschätzung notwendig?
Die neuen Regelungen des Hinweisgeberschutzgesetztes zielen darauf ab, Whistleblower, die rechtswidriges Verhalten in Organisationen aufdecken, vor Vergeltungsmaßnahmen zu schützen.
Es fördert die Transparenz und Integrität von Unternehmen, indem es die Aufdeckung von Fehlverhalten erleichtert. Zudem schafft das Gesetz klare Meldemechanismen, um das öffentliche Interesse zu schützen und die Rechtsstaatlichkeit zu stärken.
Datenschutzrechtliche Herausforderungen
Wenn Hinweisgeber solche Informationen weitergeben, ist in vielen Fällen eine Verarbeitung personenbezogener Daten verbunden. Dies könnte den Namen des Hinweisgebers, den oder die Beschuldigten oder auch andere Personen, die an der Nachverfolgung des Hinweises beteiligt sind, beinhalten. Hierdurch wird der Anwendungsbereich der Datenschutzgrundverordnung (DSGVO) eröffnet.
Ist eine Datenschutz-Folgenabschätzung notwendig?
Vor dem Hintergrund der Sensibilität der verarbeiteten Daten stellt sich die Frage, ob vor dem Aufsetzen einer internen Meldestelle eine Datenschutz-Folgenabschätzung gemäß Art. 35 Abs. 1 DSGVO notwendig ist. Eine solche Abschätzung soll sicherstellen, dass Datenverarbeitungsprozesse, die ein hohes Risiko für die Grundrechte und Freiheiten natürlicher Personen darstellen, ordnungsgemäß bewertet werden.
Vor dem Hintergrund dieser Anforderungen bietet die IITR Datenschutz GmbH als Partner der IT-Recht Kanzlei interessierten Unternehmen die Möglichkeit, ein Hinweisgebersystem mit einer externen Ombudsperson zu erhalten. Weitere Informationen finden Sie hier.
Das Hinweisgebersystem ermöglicht Meldungen in den gesetzlich vorgegebenen Bereichen, darunter strafbewehrte Verstöße wie Diebstahl oder Körperverletzung, bußgeldbewehrte Verstöße im Bereich Arbeitsschutz, Verstöße gegen Datenschutzbestimmungen, Lebensmittel- und Futtermittelsicherheit, Umweltschutz, Strahlenschutz und Regelungen zur Geldwäschebekämpfung.
Schwellenwertanalyse als Prüfstein
Um festzustellen, ob die Einrichtung einer internen Meldestelle diesen Kriterien entspricht, wird eine Schwellenwertanalyse durchgeführt. Zwar gibt es Regelbeispiele in der sogenannten "Muss-Liste", die von den Aufsichtsbehörden festgelegt wurden, diese erscheinen jedoch nicht zutreffend. Bei näherer Untersuchung scheint die umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten nicht gegeben zu sein.
Jedoch gibt das Arbeitspapier 248 des Europäischen Datenschutzausschusses Anlass zur Annahme, dass bei den meisten Datenverarbeitungsvorgängen im Zusammenhang mit internen Meldungen die Kriterien erfüllt sind, die eine Datenschutz-Folgenabschätzung rechtfertigen würden.
Schlussfolgerung
Angesichts der Tatsache, dass die gemeldeten Informationen hochsensibel sein können und möglicherweise erhebliche rechtliche und persönliche Konsequenzen für die Betroffenen haben, wäre es dringend ratsam, eine Datenschutz-Folgenabschätzung durchzuführen. Unternehmen und Organisationen sollten sicherstellen, dass sie alle notwendigen Schritte unternehmen, um den Datenschutzbestimmungen gerecht zu werden und das Vertrauen ihrer Mitarbeiter und der Öffentlichkeit zu wahren.
Angebot: Hinweisgebersystem und externe Ombudsperson kombiniert
Vor dem Hintergrund dieser Anforderungen bietet die IITR Datenschutz GmbH als Partner der IT-Recht Kanzlei interessierten Unternehmen die Möglichkeit, ein Hinweisgebersystem mit einer externen Ombudsperson zu erhalten. Weitere Informationen finden Sie hier.
Das Hinweisgebersystem ermöglicht Meldungen in den gesetzlich vorgegebenen Bereichen, darunter strafbewehrte Verstöße wie Diebstahl oder Körperverletzung, bußgeldbewehrte Verstöße im Bereich Arbeitsschutz, Verstöße gegen Datenschutzbestimmungen, Lebensmittel- und Futtermittelsicherheit, Umweltschutz, Strahlenschutz und Regelungen zur Geldwäschebekämpfung.
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
0 Kommentare