- Einschränkung der DSGVO-Informationsrechte
Informations- und Auskunftsrechte im Sinne der Art. 13 ff. DSGVO werden durch § 8 Hinweisgeberschutzgesetz mit dem dort geregelten Vertraulichkeitsgebot eingeschränkt, da ansonsten nach Hinweisgeberschutzgesetz eigentlich geheimhaltungsbedürftige Informationen kraft datenschutzrechtlicher Vorgaben wiederum mitgeteilt werden müssten. So wird bspw. in erster Linie der Hinweisgeber selbst naturgemäß vor seiner Offenlegung geschützt. (Bei vorsätzlicher oder grob fahrlässiger Unrichtigkeit der vom Hinweisgeber gemeldeten Verstöße verhält sich das anders.) Die Abgrenzung wird im Zweifel durch fachkundige Personen vorzunehmen sein. Es muss jedoch sichergestellt werden, dass datenschutzrechtliche Auskunftsansprüche den Hinweisgeberschutz nicht unterlaufen dürfen. Hierbei handelt sich um komplexe Abwägungsfragen, die – nicht zuletzt mit Blick auf mögliche hieraus folgende Streitfälle – von den mit der Meldestelle betrauten Fachpersonen sorgfältig zu dokumentieren sind.
- Gemeinsame oder externe Meldestellen
Betreiben mehrere Verantwortliche eine gemeinsame Meldestelle – etwa auf Konzernebene – und/ oder werden externe Fachpersonen mit den Aufgaben einer solchen (internen oder externen) Meldestelle betraut, kann es erforderlich werden, je nach Konstellation datenschutzrechtliche Verträge abzuschließen. Zu denken ist hier insbesondere an eine Vereinbarung über die gemeinsame Verantwortlichkeit in Sinne von Art. 26 DSGVO oder über die Auftragsverarbeitung im Sinne von Art. 28 Abs. 2 DSGVO.
- Wer darf im Meldemanagement eingesetzt werden?
Die mit den Aufgaben der Meldestelle betrauten Personen müssen über die notwendige Fachkunde verfügen und bei der Ausübung ihrer Tätigkeit unabhängig sein. In der Gesetzesbegründung werden hier exemplarisch die Leitungsorgane für die Bereiche Compliance, HR und Finance genannt, des Weiteren die Datenschutzbeauftragten. Bei Einsetzung eines Datenschutzbeauftragten ist jedoch zur Vermeidung von Interessenkonflikten administrativ-organisatorisch sicherzustellen, dass Datenschutzbeauftragte nicht selbst über die Zwecke und den Einsatz bestimmter Mittel im Meldeprozess entscheiden und/ oder Situationen auftreten können, in denen Datenschutzbeauftragte ihre eigenen Maßnahmen und Funktionen kontrollieren müssten.
Ein Interessenkonflikt kann auch bestehen, wenn Fachberater wie bspw. Rechtsanwälte, Steuerberater oder Wirtschaftsprüfer, die vom Beschäftigungsgeber regelmäßig mit seiner fachlichen Betreuung (und ggfls. Vertretung) betraut werden, eingesetzt werden. Für diese Fälle bedarf es einer vertraglichen Abgrenzung der Aufgaben im zugrundeliegenden Mandatsvertrag (Vertrauensanwalt), einer personellen Aufspaltung innerhalb der betreuenden Kanzlei/ Gesellschaft sowie der zugehörigen besonderen Vertraulichkeits- und Geheimhaltungspflichten, dies jeweils mit Schutzwirkung für die potenziellen Hinweisgeber. Wird all dies berücksichtigt, können bspw. auch externe Anwälte als Ombudspersonen mit der Einrichtung und dem Betreiben der internen Meldestelle beauftragt werden.