- Hinweisgeberschutz beinhaltet Personendatenschutz
Der Anwendungsbereich des Hinweisgeberschutzgesetzes erstreckt sich auch auf Verstöße gegen Datenschutzvorschriften wie bspw. aus der Datenschutzgrundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG), den Landes-Datenschutzgesetzen (DSG) oder dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG).
Außerhalb anonym gemeldeter Sachverhalte stellt in der Regel jede Meldung von Beschäftigten an den Beschäftigungsgeber eine Information mit personenbezogenen Daten – oft genug sensibler Natur – dar. Die dem Hinweisgebersystem angeschlossene Meldestelle unterliegt also in ihren Tätigkeiten und Prozessen den jeweils einschlägigen datenschutzrechtlichen Vorgaben.
- Datensparsamkeitsgebot
Der Beschäftigungsgeber hat im Rahmen des Gebots zur Datenvermeidung und Datensparsamkeit stets zu prüfen (und in einer Verfahrensbeschreibung zu dokumentieren), ob die konkrete Ausgestaltung des Systems und der Meldestelle (nebst hinterlegter Prozesse zur Bearbeitung von Meldungen) dem Gebot der Erforderlichkeit entsprechen. Dies betrifft die Frage, ob die Meldestelle möglicherweise in zu großem Umfang Daten einholt und/oder im Rahmen der Informationsweitergabe zu viele weitere Personen miteinbezieht. Die Meldestelle muss außerdem spezifische und angemessene Maßnahmen zur Wahrung der Interessen der betroffenen Personen vorsehen. Dies ergibt sich unmittelbar aus dem Hinweisgeberschutzgesetz selbst.
- Vertraulichkeitsgebot
Hinzu tritt das wesentliche Kernelement der Vertraulichkeit. Diese muss für hinweisgebende Personen, für diejenigen Personen, die Gegenstand der Meldungen sind, sowie in Bezug auf sonstige in den Meldungen genannte Personen, wie etwa Beteiligte oder unbeteiligte Dritte gewährleistet sein.
Es bestehen unterschiedliche Grade des Gebots zur Vertraulichkeitsgewährleistung. An erster Stelle steht der Informationsschutz der hinweisgebenden Person. Die Organisation der Meldestelle muss aus diesem Grunde sicherstellen, dass die hier tätigen Personen auf die Vertraulichkeit verpflichtet sowie jederzeit im Hinweisgeberschutzgesetz geschult und auf aktuellem Stand sind.
Im nächsten Teil geht es um die Erforderlichkeit der Durchführung einer Datenschutz-Folgenabschätzung, Dokumentations- und Aufbewahrungspflichten und dem Berechtigungs- und Zugriffskonzept.