DSGVO-Löschpflicht gegen Dokumentationspflicht nach Hinweisgebergesetz
Eine voreilige Löschung vor dem endgültigen Abschluss des Meldefalles, etwa nach der Empfehlung der DSK nach Ablauf von 2 Monaten ab Abschluss der Ermittlungen (im Ergebnis also wohl dem Schlussreport), erscheint nicht angebracht, da durch spätere Erkenntnisse oder Nachmeldungen Informationslücken bestünden, die oftmals nicht wieder aufgefüllt werden können oder dürfen. Dies stünde dem Ziel inhaltlich gerechter Ergebnisse entgegen. Eine Ausnahme bildet Art. 17 Abs. 3 lit. e) DSGVO, der einen Beweismittelverlust bei der Verfolgung eigener Rechtsansprüche sowie bei der Verteidigung gegen Rechtsansprüche Dritter verhindern will.
Einen Ausweg bietet auch hier die von der DSGVO eröffnete Möglichkeit der Anonymisierung oder Pseudonymisierung, um die gewonnenen Erkenntnisse im Rahmen der unternehmensweiten Compliance zu verwerten und künftige Verstöße zu verhindern. Die „Entpersonalisierung“ des Vorgangs durch Anonymisierung oder Pseudonymisierung verhindert die Löschpflicht und ermöglicht damit einen Erkenntnisgewinn und eine Erkenntnisverarbeitung im betrieblichen Informations- und Compliance-Management.
Datenschutz-Folgenabschätzung
Vor Einführung eines Meldekanals ist zwingend eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen. Meldungen über mutmaßliche Rechtsverstöße haben erhebliche Auswirkungen auf die betroffenen Personen, die Hinweisgeber selbst sowie etwaige Dritte. Damit besteht ein besonderes Risiko für die Rechte und Freiheiten der betroffenen Personen.
Fehlt die Datenschutz-Folgenabschätzung, so führt dies zu einer Sanktionierung im Wege des Bußgeldverfahrens. Die italienische Datenschutzbehörde hat ein entsprechendes Bußgeld gegen einen Flughafenbetreiber und den Dienstleister eines Meldekanals verhängt. Der Betreiber hatte außerdem verabsäumt, für das Verfahren geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO zu implementieren und dabei insbesondere keine geeigneten Verschlüsselungsmechanismen für den Transport und die Speicherung der Meldungen bereitgestellt. Beanstandet wurde ferner, dass die Authentizität der Website des Meldekanals durch den Hinweisgeber nicht überprüft werden konnte und die Meldedaten in der Datenbank des Meldesystems unverschlüsselt gespeichert worden waren. Angesichts der hohen Sensibilität der Daten und der erheblichen Risiken, die sich aus ihrem Missbrauch ergeben könnten, wäre hier nach Auffassung der Bußgeldbehörde ein höher Verschlüsselungsmechanismus erforderlich gewesen.
Wichtig war in diesem Zusammenhang vor allem Art. 16 Abs. 2 der EU-Richtlinie iVm. Art. 14 Abs. 5 lit. c) DSGVO, wonach im Rahmen der Unterrichtungspflicht gegenüber der zu unterrichtenden Person keine Daten zur Identität des Hinweisgebers und zum Sachverhalt offengelegt werden dürfen.