Hinweisgeberschutzgesetz und seine Auswirkungen auf die Notwendigkeit zur Benennung von Datenschutzbeauftragten
In Deutschland unterliegen die Datenschutzbestimmungen nicht nur der Europäischen Datenschutz-Grundverordnung (EU-DSGVO), sondern auch dem 2018 neugefassten Bundesdatenschutzgesetz (BDSG). Mit der Einführung des neuen Hinweisgeberschutzgesetzes wird nun ein entscheidender Unterschied in Bezug auf die Pflicht zur Benennung eines Datenschutzbeauftragten deutlich: Unternehmen, die zuvor nicht dazu verpflichtet waren, müssen nun einen Datenschutzbeauftragten beauftragen.
Verpflichtung zur Bestellung eines Datenschutzbeauftragten nach DSGVO und BDSG
Nach dem Bundesdatenschutzgesetz (BDSG) müssen Unternehmen bekanntermaßen einen Datenschutzbeauftragten benennen, wenn in der Regel mindestens 20 Personen regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (siehe §38 BDSG). Die Datenschutz-Grundverordnung (DSGVO) legt den Fokus hingegen hauptsächlich auf die Kerntätigkeit eines Unternehmens. Das bedeutet, dass ein Datenschutzbeauftragter z.B. dann erforderlich ist, wenn die Verarbeitung personenbezogener Daten eine umfangreiche, regelmäßige und systematische Überwachung der betroffenen Personen erfordert oder umfangreich andere besondere Kategorien personenbezogener Daten verarbeitet werden (siehe Art. 37 Abs. 1 lit. b) und c) DSGVO).
Es gibt jedoch eine zusätzliche und entscheidende Anforderung gemäß BDSG:
Wenn der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen durchführt, die einer Datenschutz-Folgenabschätzung gemäß Artikel 35 der DSGVO unterliegen, ist laut §38 BDSG unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen die Benennung eines Datenschutzbeauftragten erforderlich.
Das sind die Fakten bezüglich der Bestellung eines Datenschutzbeauftragten. Nun kommen wir zum Hinweisgeberschutzgesetz.
Meldestelle nach Hinweisgeberschutzgesetz (HinSchG)
Am 2. Juli 2023 trat das deutsche Hinweisgeberschutzgesetz (HinSchG) in Kraft. Unternehmen mit mehr als 250 Beschäftigten müssen seither sichere Meldekanäle für Hinweisgeber bereitstellen. Ab Ende des Jahres gilt diese Pflicht auch für Unternehmen ab 50 Beschäftigten.
Die Hinweise, die bei der Meldestelle eingehen, können besondere Kategorien personenbezogener Daten enthalten. Und genau diese Tatsache hat direkte Auswirkungen auf die Notwendigkeit zur Bestellung von Datenschutzbeauftragten (s.o.).
Was sagt die Datenschutzaufsichtsbehörde dazu?
Um eindeutig zu klären, ob die Verarbeitung solcher Kategorien personenbezogener Daten für eine Meldestelle aus dem Hinweisgeberschutzgesetz als Kerntätigkeit angesehen werden kann und damit die Bestellung eines Datenschutzbeauftragen erfordert, haben wir die Bayerische Datenschutzaufsichtsbehörde (LDA Bayern) kontaktiert, um diese Fragestellung zu klären.
Frage: „Bei entsprechenden Meldungen an eine solche Stelle kann es oft dazu kommen, dass besondere Kategorien personenbezogener Daten in einer Meldung an die Meldestelle gegeben werden. Ist die Verarbeitung von solchen Kategorien für eine Meldestelle als Kerntätigkeit zu sehen, so dass für eine Meldestelle eine Pflicht zur Bestellung eines Datenschutzbeauftragten besteht?“
Die Antwort der Behörde war eindeutig, sehr interessant und NICHT bezogen auf die Kerntätigkeit:
BayLDA: „Ob die Verarbeitungen als eine solche von Ihnen beschriebene Kerntätigkeit zu behandeln sind, kann dahinstehen, da es sich bei der Verarbeitung in jedem Fall um eine solche handelt, die eine Datenschutz-Folgenabschätzung erfordert, sodass bereits durch § 38 Abs. 1 BDSG eine Benennpflicht entsteht.
Wir weisen in diesem Zusammenhang auf die DSK-Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines vom 14.11.2018 hin (Kapitel E9):
"Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch (Datenschutz-Folgenabschätzung nach Art. 35 Abs. 1 DS-GVO).“
Die Datenschutzaufsichtsbehörden haben in ihrer Orientierungshilfe zu Whistleblowing-Hotlines vom 14.11.2018 (Kapitel E9) deutlich gemacht, dass Verfahren zur Meldung von Missständen aufgrund des hohen Risikos für die Rechte und Freiheiten natürlicher Personen einer Datenschutz-Folgenabschätzung unterliegen.
Bedeutet konkret:
Unabhängig davon, ob es sich um eine Kerntätigkeit handelt, erfordert die Verarbeitung aufgrund der Datenschutz-Folgenabschätzung gemäß § 38 Abs. 1 BDSG eine Benennung eines Datenschutzbeauftragten.
Einrichtung einer Meldestelle = risikobehafteter Prozess vorhanden
Ab Dezember 2023 sind Unternehmen mit 50 Mitarbeitern, selbst wenn nur drei davon mit personenbezogenen Daten arbeiten, damit dazu verpflichtet, einen Datenschutzbeauftragten zu bestellen.
Welche Unternehmen sind von den Änderungen besonders betroffen?
Die oben genannten Tatsachen haben für deutsche Unternehmen, die den Pflichten des Hinweisgeberschutzgesetzes und des BDSG unterliegen, große Auswirkungen – es muss ein Datenschutzbeauftragter benannt werden.
Besonders betroffen sind Unternehmen, die mit einem relativ kleinen Anteil kaufmännischer Mitarbeiter eine hohe Anzahl an gewerblichen Mitarbeitern steuern. Ein Beispiel dafür wäre ein Unternehmen mit nur 5 Mitarbeitern im Büro, die personenbezogene Daten verarbeiten, und 45 Mitarbeitern in der Produktion. Dieses Unternehmen ist zukünftig dazu verpflichtet, ein Hinweisgebersystem einzuführen und gleichzeitig einen Datenschutzbeauftragten zu bestellen.
Beispiele finden sich in zahlreichen Branchen wie:
- Einzelhandel: Supermärkte, Kaufhäuser und andere Einzelhandelsunternehmen haben oft eine umfangreiche Belegschaft von Verkaufspersonal und Lagermitarbeitern, während die kaufmännischen Mitarbeiter wie Filialleiter, Einkäufer und Buchhalter eine kleinere Gruppe darstellen.
- Hotel- und Gastgewerbe: Hotels, Restaurants und andere Betriebe des Gastgewerbes haben eine Vielzahl von gewerblichen Mitarbeitern wie Kellner, Köche, Reinigungskräfte und Empfangspersonal, während die kaufmännischen Mitarbeiter wie Hotelmanager und Vertriebsmitarbeiter in geringerer Anzahl vertreten sind.
- Produktionsunternehmen: In verschiedenen Produktionsunternehmen, sei es in der Elektronik-, Textil- oder Möbelbranche, kann es eine große Anzahl von gewerblichen Mitarbeitern in der Fertigung und Montage geben, während die kaufmännischen Mitarbeiter wie Produktionsleiter, Qualitätsmanager und Logistikkoordinatoren eine kleinere Gruppe bilden.
- Automobilindustrie: Zulieferer haben oft eine große Anzahl von Produktionsmitarbeitern, während die kaufmännischen Mitarbeiter wie Ingenieure, Vertriebs- und Marketingteams eine vergleichsweise kleinere Gruppe bilden.
- Bauwirtschaft: Baufirmen beschäftigen in der Regel eine beträchtliche Anzahl von Arbeitern auf Baustellen, während die kaufmännischen Mitarbeiter, wie Projektmanager und Bauingenieure, eher in geringerer Anzahl vertreten sind.
- Lebensmittelindustrie: Unternehmen in der Lebensmittelverarbeitung oder Lebensmittelproduktion haben oft eine umfangreiche Produktionsinfrastruktur und beschäftigen viele Arbeiter in der Produktion, während die kaufmännischen Mitarbeiter, wie Qualitätskontrolleure und Produktentwickler, in kleinerer Anzahl tätig sind.
- Logistik- und Lagerindustrie: Unternehmen, die sich auf Logistik und Lagerung spezialisieren, haben in der Regel eine große Anzahl von Mitarbeitern in den Lager- und Versandabteilungen, während die Verwaltungs- und Vertriebsmitarbeiter eine kleinere Gruppe bilden.
Und viele mehr…
FAZIT
Ein Hinweisgebersystem erhöht die Notwendigkeit zur Benennung eines Datenschutzbeauftragten
- Unternehmen mit mehr als 50 Mitarbeitern sind ab Dezember 2023 dazu verpflichtet, ein Hinweisgebersystem bzw. eine Meldestelle einzuführen.
- Verfahren zur Meldung von Missständen unterliegen einer Datenschutz-Folgenabschätzung aufgrund des hohen Risikos für die Rechte und Freiheiten natürlicher Personen.
- Gemäß BDSG besteht die Verpflichtung zur Bestellung eines Datenschutzbeauftragten aufgrund der Datenschutz-Folgenabschätzung.
- Unternehmen, die mit einem relativ kleinen Anteil an Büromitarbeitern eine hohe Anzahl an gewerblichen Mitarbeitern steuern, sind besonders betroffen.
- Unternehmen müssen erforderlichen Schritte unternehmen, um sowohl ein wirksames Hinweisgebersystem als auch eine angemessene Datenschutzstruktur zu etablieren.
Es ist ratsam, sich frühzeitig mit den Anforderungen vertraut zu machen. Wir stehen Ihnen gerne zur Verfügung, um Sie bei Fragen zu unterstützen.
Unterstützung bei der Implementierung eines Hinweisgebersystems
Sollten Sie Unterstützung bei der Einführung oder Auswahl eines DSGVO-konformen Hinweisgebersystems (oder generell Tools bei welchen personenbezogene Daten verarbeitet werden) Unterstützung benötigen, stehen wir Ihnen ebenfalls gerne zur Verfügung.
Empfehlung: Eine im Mittelstand gern genutze und DSGVO-konforme Lösung ist beispielsweise das Hinweisgebersystem whistlebox. Whistlebox ist ein digitales Hinweisgebersystem, mit der Hinweise anonym und einfach abgegeben und verwaltet werden können. Sie setzt die Anforderungen der EU-Whistleblower-Richtlinie sicher und dabei kostengünstig um.
Mirko Tasch
Datenschutzexperte und Geschäftsführer ituso GmbH
Wir unterstützen Unternehmen aller Branchen und Größen, sowie einzelne Abteilungen bei der Bewältigung aller Datenschutzanforderungen. Eine effektive Umsetzung des Datenschutzes unsere Kernkompetenz. Schonen Sie Ihre Ressourcen für Ihre Kernaufgaben.
Kontaktieren Sie uns gerne!
