- Datenschutz-Folgenabschätzung
Beschäftigungsgeber sind verpflichtet, vor der Inbetriebnahme des Hinweisgebersystems zu prüfen, ob eine Datenschutz-Folgenabschätzung im Sinne von Art. 35 DSGVO durchzuführen ist. Teilweise wird vertreten, es bestünde regelmäßig ein hohes Risiko für die Rechte und Freiheiten derjenigen Personen, die selbst melden oder den Gegenstand von Meldungen bilden, zumal es Ausnahmetatbestände von den Grundsätzen der Vertraulichkeit respektive Anonymität gebe. Auf EU-Ebene werden dementsprechend bereits Bußgelder für vor der Inbetriebnahme eines Hinweisgebersystems nicht vorgenommene Datenschutz-Folgenabschätzungen verhängt.
- Dokumentations- und Aufbewahrungspflicht
Die eingehenden Meldungen unterliegen der Dokumentationspflicht und sind – unter Wahrung der Vertraulichkeit – regelmäßig 3 Jahre nach dem jeweiligen Verfahrensabschluss zu löschen. Nur in Ausnahmefällen, bspw. Bei einschlägigen neuen Hinweisen in gleicher oder ähnlicher Sache, dürfen die Meldungen aufbewahrt werden und müssen nicht gelöscht werden. Ausnahmen könnten z.B. die Klärung erforderlicher weiterer rechtlicher Schritte wie etwa Disziplinarverfahren oder die Einleitung von Strafverfahren sein.
- Berechtigungs- und Zugriffskonzept
In dem – ohnehin obligatorischen – Datenschutzkonzept sollte auch der Zugriff auf Meldestelledaten geregelt werden. Es sollte u.a. die erteilten Berechtigungen zur Verarbeitung und zum Zugriff auf die Meldedaten und Festlegungen zu Protokollierungs- und Verschlüsselungsmaßnahmen enthalten.
Teil eines solchen Konzepts müssen im Übrigen auch Festlegungen über das Aufbewahrungs- und Lösch-Management sein.
Im dritten und letzten Teil geht es um die Einschränkung der DSGVO-Informationsrechte, die gemeinsamen oder externen Meldestellen und um die Personen, die mit der Meldestelle betraut werden.