Das Hinweisgeberschutzgesetz verpflichtet viele Unternehmen, eine interne Meldestelle einzurichten, über die Beschäftigte Missstände vertraulich melden können. Bei der Umsetzung steht meistens die rechtliche und organisatorische Seite im Vordergrund: Wer betreibt die Meldestelle, welche Fristen gelten, wie wird einem Hinweis nachgegangen? Was dabei oft zu kurz kommt, ist der Datenschutz. Dabei verarbeitet ein Meldesystem mit das Sensibelste, was in einem Unternehmen anfällt.
Ich bin externer Datenschutzbeauftragter und kein Anbieter von Hinweisgebersystemen. Die Einrichtung der Meldestelle und die rechtskonforme Bearbeitung von Hinweisen ist eine Compliance- und Rechtsaufgabe, die andere Spezialisten leisten. Mein Thema ist die Frage, wie Sie dieses Meldesystem datenschutzkonform betreiben. Denn ein Hinweisgeberkanal, der den Datenschutz vernachlässigt, kann selbst zum Risiko werden.
Was das Hinweisgeberschutzgesetz verlangt
Das Hinweisgeberschutzgesetz, kurz HinSchG, setzt die EU-Whistleblower-Richtlinie in deutsches Recht um. Es schützt Personen, die im beruflichen Kontext auf Verstöße aufmerksam machen, vor Benachteiligung. Kern der Pflicht ist die Einrichtung interner Meldestellen ab bestimmten Schwellenwerten, in der Regel ab einer Beschäftigtenzahl, die das Gesetz festlegt. Über diese Meldestelle müssen Hinweise vertraulich entgegengenommen, dokumentiert und bearbeitet werden, und der hinweisgebenden Person ist innerhalb gesetzlicher Fristen eine Rückmeldung zu geben.
So weit der organisatorische Rahmen. Für die konkrete Ausgestaltung, also welche Kanäle Sie anbieten, wer die Meldestelle besetzt und wie Sie Hinweisen nachgehen, sollten Sie sich von Spezialisten für Compliance und Arbeitsrecht beraten lassen. Das ist nicht meine Leistung. Ich komme dort ins Spiel, wo personenbezogene Daten verarbeitet werden, und das ist bei einem Hinweisgebersystem in besonders heikler Form der Fall.
Warum ein Meldesystem datenschutzrechtlich heikel ist
Ein Hinweis enthält fast immer personenbezogene Daten, und zwar von mehreren Seiten. Da ist die hinweisgebende Person, die ihre Identität preisgibt oder anonym bleiben möchte. Da ist die beschuldigte Person, über die Vorwürfe erhoben werden. Und da sind möglicherweise Zeugen oder weitere Betroffene. Häufig geht es dabei um Vorwürfe, die in besonders geschützte Bereiche fallen, etwa Korruption, Diskriminierung oder Straftaten.
Damit verarbeitet ein Meldesystem nicht selten auch besondere Kategorien personenbezogener Daten oder Daten über strafrechtliche Vorwürfe. Genau hier wird der Datenschutz anspruchsvoll. Eine unbedachte Weitergabe, ein zu großer Zugriffskreis oder eine fehlende Löschung können die hinweisgebende Person gefährden und das Unternehmen in Haftung bringen. Vertraulichkeit ist nicht nur eine HinSchG-Pflicht, sondern auch eine Datenschutzpflicht.
Die wichtigsten Datenschutzanforderungen im Überblick
Die folgende Tabelle fasst zusammen, welche Datenschutzanforderungen ich beim Betrieb eines Hinweisgebersystems prüfe.
| Anforderung | Was konkret zu tun ist |
|---|---|
| Rechtsgrundlage | Verarbeitung auf eine tragfähige Grundlage stützen, im Regelfall die rechtliche Verpflichtung aus dem HinSchG |
| Vertraulichkeit | Identität der hinweisgebenden Person streng schützen, technisch und organisatorisch absichern |
| Zugriffsbeschränkung | Nur die Personen der Meldestelle erhalten Zugriff, klar definiert und protokolliert |
| Löschfristen | Aufbewahrungs- und Löschfristen festlegen, Daten nach Abschluss fristgerecht entfernen |
| Auftragsverarbeitung | Bei externen Plattformen einen AV-Vertrag schließen und den Anbieter prüfen |
| Folgenabschätzung | Bei hohem Risiko eine Datenschutz-Folgenabschätzung durchführen |
| Information der Betroffenen | Transparenzpflichten erfüllen, ohne die Ermittlung zu gefährden |
| Verarbeitungsverzeichnis | Das Meldesystem als eigene Verarbeitungstätigkeit dokumentieren |
Diese Punkte arbeite ich mit dem Unternehmen ab, das die Meldestelle einrichtet, damit das System von Anfang an datenschutzkonform läuft.
Rechtsgrundlage und Vertraulichkeit
Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage. Beim Hinweisgebersystem stützt sich diese in der Regel auf die rechtliche Verpflichtung, die das HinSchG selbst schafft. Eine Einwilligung ist hier gerade nicht der richtige Weg, weil sie freiwillig und widerruflich sein müsste, was im Meldekontext nicht passt. Die saubere Bestimmung der Grundlage ist Pflicht und gehört in die Dokumentation.
Vertraulichkeit ist das Herzstück. Die Identität der hinweisgebenden Person darf nur den unbedingt zuständigen Personen bekannt sein. Das erreichen Sie durch ein enges Berechtigungskonzept, durch getrennte Speicherung und, wo möglich, durch Pseudonymisierung von Daten, die für die Bearbeitung nicht zwingend im Klartext vorliegen müssen. Anonyme Meldewege sollten technisch so gestaltet sein, dass keine Rückverfolgung über Metadaten möglich ist.
Löschfristen und Auftragsverarbeitung
Daten dürfen nicht länger aufbewahrt werden, als es der Zweck erfordert. Für Hinweise gibt das HinSchG einen Rahmen vor, und der Datenschutz verlangt zusätzlich ein durchdachtes Löschkonzept. Nach Abschluss eines Vorgangs müssen die Daten fristgerecht gelöscht werden, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Wer hier keine klaren Regeln hat, sammelt sensible Datenberge an, die zum Risiko werden.
Viele Unternehmen setzen für ihr Meldesystem auf externe Plattformanbieter. Sobald ein solcher Anbieter personenbezogene Daten in Ihrem Auftrag verarbeitet, brauchen Sie einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO und müssen den Anbieter sorgfältig auswählen. Worauf es dabei ankommt, beschreibe ich im Ratgeber Auftragsverarbeitung. Achten Sie besonders auf den Serverstandort, die Sicherheitsmaßnahmen des Anbieters und darauf, dass die Vertraulichkeit der hinweisgebenden Person auch technisch beim Dienstleister gewahrt bleibt.
Zugriffsbeschränkung und Protokollierung
Wer Zugriff auf Meldungen hat, entscheidet über die Vertraulichkeit des gesamten Systems. Hier gilt das Prinzip der Datenminimierung in seiner schärfsten Form: Nur die Personen, die einen Hinweis tatsächlich bearbeiten müssen, dürfen die Daten sehen. In der Praxis ist das oft ein sehr kleiner Kreis, manchmal nur eine einzige benannte Person der Meldestelle. IT-Administratoren, Vorgesetzte oder die Geschäftsführung gehören gerade nicht automatisch dazu, denn ein Hinweis kann sich auch gegen sie richten.
Diese enge Zugriffsbeschränkung muss technisch durchgesetzt und protokolliert werden. Es muss nachvollziehbar sein, wer wann auf welchen Vorgang zugegriffen hat. Eine solche Protokollierung schützt nicht nur die hinweisgebende Person, sondern auch das Unternehmen, weil sie im Streitfall belegt, dass die Vertraulichkeit gewahrt wurde. Bei externen Plattformen sollten Sie prüfen, ob der Anbieter diese Funktionen mitbringt und ob die Protokolle selbst wieder datenschutzkonform behandelt werden.
Wann eine Datenschutz-Folgenabschätzung nötig ist
Ein Hinweisgebersystem verarbeitet sensible Daten, oft in großem Umfang und mit erheblichem Risiko für die betroffenen Personen. Das spricht in vielen Fällen für eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO. In dieser DSFA bewerten Sie systematisch die Risiken der Verarbeitung und legen fest, mit welchen Maßnahmen Sie diese eindämmen. Sie ist kein bürokratischer Selbstzweck, sondern das Werkzeug, mit dem Sie die Vertraulichkeit nachweisbar absichern.
Ob im konkreten Fall eine DSFA verpflichtend ist, hängt von der Ausgestaltung Ihres Systems ab. Ich prüfe das im Einzelfall. Wie eine DSFA praktisch abläuft, habe ich im Ratgeber DSFA Schritt für Schritt beschrieben. Das Meldesystem gehört außerdem als eigene Verarbeitungstätigkeit ins Verarbeitungsverzeichnis, damit Sie Ihrer Rechenschaftspflicht genügen.
Information der Betroffenen, ohne die Ermittlung zu gefährden
Ein heikler Balanceakt betrifft die Transparenzpflichten. Grundsätzlich verlangt die DSGVO, betroffene Personen über die Verarbeitung ihrer Daten zu informieren. Bei einem Hinweisgebersystem würde eine vollständige Information der beschuldigten Person zum falschen Zeitpunkt jedoch die Ermittlung gefährden und unter Umständen die hinweisgebende Person enttarnen. Das Gesetz sieht für solche Konstellationen Ausnahmen und Aufschübe vor.
In der Praxis bedeutet das: Sie müssen die Information so gestalten, dass sie die Schutzziele des Hinweisgeberschutzes nicht unterläuft, aber auch nicht pauschal unterlassen. Wann welche Information erfolgt, gehört in das Datenschutzkonzept des Meldesystems. Das ist ein gutes Beispiel dafür, warum der Datenschutz hier nicht nebenbei mitläuft, sondern aktiv gestaltet werden muss. Wer diese Abwägungen nicht dokumentiert, steht im Prüffall ohne Begründung da.
Wer macht was
Ich fasse die Rollen klar zusammen, damit es kein Missverständnis gibt. Die Einrichtung der Meldestelle, die rechtskonforme Bearbeitung von Hinweisen und die Erfüllung der HinSchG-Pflichten sind Aufgaben der Compliance- und Rechtsabteilung beziehungsweise spezialisierter Berater. Das ist nicht meine Leistung, und ich gebe mich auch nicht als Anbieter eines Hinweisgebersystems aus.
Mein Beitrag ist der Datenschutz. Ich sorge dafür, dass das Meldesystem datenschutzkonform betrieben wird: dass die Rechtsgrundlage stimmt, die Vertraulichkeit technisch und organisatorisch abgesichert ist, Löschfristen greifen, AV-Verträge geschlossen sind, der Zugriff eng begrenzt ist und gegebenenfalls eine DSFA vorliegt. Damit steht das Datenschutz-Fundament, auf dem die Compliance-Kollegen aufbauen. Wie der Datenschutz an weitere Compliance-Themen andockt, zeigt der Hub Datenschutz-Schnittstellen.
Mein Fazit
Ein Hinweisgebersystem ist nur so gut wie das Vertrauen, das ihm entgegengebracht wird. Und dieses Vertrauen steht und fällt mit der Vertraulichkeit, also mit dem Datenschutz. Wer das Meldesystem datenschutzrechtlich sauber aufsetzt, schützt nicht nur die hinweisgebenden Personen, sondern auch das Unternehmen vor Haftung und Reputationsschäden.
Wenn Sie eine interne Meldestelle einrichten oder bereits betreiben, lohnt sich ein prüfender Blick auf die Datenschutzseite. Ich lade Sie zu einem Datenschutz-Erstgespräch ein, in dem wir Rechtsgrundlage, Vertraulichkeit, Löschfristen und Dienstleisterverträge durchgehen. Eine erste Einordnung erhalten Sie über meine Datenschutzberatung oder direkt über das Kontaktformular. Die Einrichtung und den Betrieb der Meldestelle übernehmen Ihre Compliance-Spezialisten, während ich dafür sorge, dass das Datenschutz-Fundament steht.