FAQ Hinweisgeberschutzgesetz

1. An wen richtet sich das Hinweisgeberschutzgesetz?

Das HinSchG regelt den Schutz aller natürlichen Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit oder im Vorfeld einer beruflichen Tätigkeit Informationen über Verstöße erlangt haben und diese an die nach dem HinSchG vorgesehenen Meldestellen melden oder offenlegen (§ 1 Abs. 1 HinSchG). Außerdem werden Personen geschützt, die Gegenstand einer solchen Meldung, oder sonst von ihr betroffen sind, also z.B. als Zeugen oder Mitwisser genannt werden (§ 1 Abs. 2 HinSchG). Es legt sowohl Unternehmen als auch Behörden bestimmte Pflichten auf (s. dazu 3.).

2. Welche Verstöße können nach dem Hinweisgeberschutzgesetz gemeldet werden?

Eine Liste mit Verstößen, die nach dem HinSchG gemeldet werden können, findet sich in § 2 HinSchG. Beispiele sind Verstöße, die strafbewehrt sind, Verstöße, die bußgeldbewehrt sind, soweit die verletzte Vorschrift dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient und Verstöße gegen eine Reihe von Rechtsvorschriften des EU-, Bundes- und Landesrechts, wie z. B. solche zu Umweltschutz, Verkehrssicherheit, Produktsicherheit, Datenschutz oder Kartellrecht.

3. Welche Pflichten legt das Hinweisgeberschutzgesetz öffentlichen und nichtöffentlichen Stellen auf?

Die wichtigste Pflicht nach dem HinSchG ist die Einrichtung einer internen Meldestelle gemäß § 12 Abs. 1 HinSchG. Sie betrifft alle Beschäftigungsgeber, die in der Regel mindestens 50 Beschäftigte haben. Für Gemeinden und Gemeindeverbände und solche Beschäftigungsgeber, die im Eigentum oder unter der Kontrolle von Gemeinden und Gemeindeverbänden stehen, richtet sich die Pflicht zur Einrichtung und zum Betrieb interner Meldestellen nach dem Landesrecht. In Baden-Württemberg ist der Erlass eines „Gesetz über die Einrichtung und den Betrieb interner Meldestellen auf kommunaler Ebene“ beabsichtigt, aber noch nicht erfolgt. Abweichend von § 12 Abs. 1 HinSchG müssen die nicht in § 12 Abs. 3 HinSchG genannten privaten Beschäftigungsgeber mit in der Regel 50 bis 249 Beschäftigten nach § 42 Abs. 1 HinSchG ihre internen Meldestellen erst ab dem 17. Dezember 2023 einrichten. Weiterhin sind – unabhängig von der Anzahl der Beschäftigten – Repressalien, auch die Androhung und der Versuch, gegen hinweisgebende Personen nach § 36 Abs. 1 HinSchG verboten. Auch können externe Meldestellen von den betroffenen Beschäftigungsgebern Auskünfte verlangen, soweit dies zur Überprüfung der Stichhaltigkeit der Meldung erforderlich ist (§ 29 Abs. 1 Satz 1 HinSchG).

4. Nach welcher Rechtsgrundlage darf eine interne Meldestelle die personenbezogenen Daten der Meldenden und der in den Meldungen genannten Personen verarbeiten?

Zumindest eine mit Mitarbeitenden des Beschäftigungsgebers besetzte interne Meldestelle ist kein Verantwortlicher im datenschutzrechtlichen Sinne nach Art. 4 Nr. 7 DS-GVO. Sie ist vielmehr Teil des Beschäftigungsgebers, dem die von ihr vorgenommenen Datenverarbeitungen zugerechnet werden, und der für diese damit eine Rechtsgrundlage nach Art. 6 Abs. 1 Satz 1 DS-GVO benötigt. Gemäß Art. 6 Abs. 1 Satz 1 Buchstabe c DS-GVO dürfen personenbezogene Daten verarbeitet werden, wenn dies zur Erfüllung einer rechtlichen Pflicht erforderlich ist. Diese Norm setzt voraus, dass das Unionsrecht oder das Recht der Mitgliedsstaaten eine Vorschrift enthält, die zu der Datenverarbeitung verpflichtet (s. Art. 6 Abs. 3 DS-GVO). Die Pflicht zur Errichtung interner Meldestellen folgt aus § 12 HinSchG (s. Frage 3). Die Datenverarbeitung dieser Meldestellen ist in § 10 HinSchG geregelt. Danach sind die Meldestellen befugt, personenbezogene Daten zu verarbeiten, soweit dies zur Erfüllung ihrer in den §§ 13 und 24 HinSchG bezeichneten Aufgaben erforderlich ist. Nach § 13 HinSchG betreiben die internen Meldestellen Meldekanäle nach § 16 HinSchG, führen das Verfahren nach § 17 HinSchG und ergreifen Folgemaßnahmen nach § 18 HinSchG. Außerdem halten sie für Beschäftigte klare und leicht zugängliche Informationen über externe Meldeverfahren gemäß Unterabschnitt 3 HinSchG und einschlägige Meldeverfahren von Organen, Einrichtungen oder sonstigen Stellen der Europäischen Union bereit. Damit kann die Verarbeitung der personenbezogenen Daten durch die internen Meldestellen im zur Erfüllung ihrer Aufgaben erforderlichen Rahmen auf Art. 6 Abs. 1 Satz 1 Buchstabe c DS-GVO i.V.m. §§ 10 und 12 HinSchG gestützt werden.

Sieht man von externen Dritten betriebene interne Meldestellen als eigene (Mit-)Verantwortliche für die Datenverarbeitung an, verarbeiten diese die personenbezogenen Daten zur Erfüllung ihrer Pflichten nach §§ 16 bis 18 HinSchG. Die Rechtsgrundlage ist damit Art. 6 Abs. 1 Satz 1 Buchstabe c DS-GVO i.V.m. §§ 10 und 16 bis 18 HinSchG.

Sollen die im Meldeverfahren erhobenen Daten von dem Beschäftigungsgeber zu anderen Zwecken genutzt werden, z.B. um bei einer stichhaltigen Meldung weitere Untersuchungen durchzuführen oder arbeitsrechtliche Schritte gegen die eines Verstoßes überführten Personen zu ergreifen, braucht es hierfür eine Grundlage außerhalb des HinSchG. Die hierfür erforderliche Weitergabe der personenbezogenen Daten des Hinweisgebers und der übrigen in der Meldung genannten Personen von der internen Meldestelle an die zuständige Stelle innerhalb des Beschäftigungsgebers richtet sich nach Art. 6 Abs. 1 Satz 1 Buchstabe c DS-GVO und §§ 10, 12, 13, 18 Nr. 4 Buchstabe a und 9 Abs. 3 und 4 Nr. 2 HinSchG. Als Rechtsgrundlage für eine Weiterverarbeitung im Betracht kommt z.B. Art. 6 Abs. 1 Satz 1 Buchstabe b DS-GVO, welcher Datenverarbeitungen erlaubt, die zur Durchführung des mit der betroffenen Person geschlossenen Arbeitsvertrags erforderlich sind. Nach § 26 Abs. 1 Satz 2 Bundesdatenschutzgesetz (BDSG) dürfen personenbezogene Daten von Beschäftigten zur Aufklärung von Straftaten verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind. § 15 Abs. 1 Satz 1 Landesdatenschutzgesetz Baden-Württemberg (LDSG) gestattet öffentlichen Stellen des Landes Baden-Württemberg die Verarbeitung der personenbezogenen Daten von Beschäftigten, soweit dies zur Eingehung, Durchführung, Beendigung oder Abwicklung des jeweiligen Dienst- oder Arbeitsverhältnisses oder zur Durchführung innerdienstlich planerischer, organisatorischer, personeller, sozialer oder haushalts- und kostenrechnerischer Maßnahmen, insbesondere zu Zwecken der Personalplanung und des Personaleinsatzes, erforderlich oder in einer Rechtsvorschrift, einem Tarifvertrag oder einer Dienst- oder Betriebsvereinbarung (Kollektivvereinbarung) vorgesehen ist.

5. Nach welcher Rechtsgrundlage darf eine interne Meldestelle besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DS-GVO verarbeiten?

Art. 9 Abs. 1 DS-GVO verbietet die Verarbeitung der dort aufgeführten besonderen Kategorien personenbezogener Daten. Daher muss für diese Daten nicht nur eine Rechtsgrundlage für die Verarbeitung nach Art. 6 Abs. 1 DS-GVO, sondern zusätzlich eine Ausnahme von dem Verbot des Art. 9 Abs. 1 DS-GVO vorliegen. Nach Art. 9 Abs. 2 Buchstabe g DS-GVO gilt eine Ausnahme von dem Verbot, wenn die Verarbeitung auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich. Nach § 10 Satz 2 HinSchG ist die Verarbeitung besonderer Kategorien personenbezogener Daten durch eine Meldestelle abweichend von Art. 9 Abs. 1 DS-GVO zulässig, wenn dies zur Erfüllung ihrer Aufgaben erforderlich ist. Angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person sieht § 10 Satz 3 HinSchG vor, er verweist auf § 22 Abs. 2 BDSG. Zwar ist aktuell ungeklärt, ob § 22 BDSG und die übrigen Regelungen des HinSchG, wie die Vertraulichkeit der Meldungen und Regelungen zu Löschungen, den Anforderungen an „angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person“ entsprechen, dies steht der Anwendung der Norm bis zur Klärung der Frage jedoch nicht entgegen.

6. Welche Voraussetzungen muss eine interne Meldestelle nach § 12 HinSchG erfüllen?

Eine interne Meldestelle kann eine bei dem jeweiligen Beschäftigungsgeber oder bei der jeweiligen Organisationseinheit beschäftigte Person, eine aus mehreren beschäftigten Personen bestehende Arbeitseinheit oder ein mit den Aufgaben einer internen Meldestelle betrauter Dritter sein (§ 14 Abs. 1 Satz 1 HinSchG). Mehrere private Beschäftigungsgeber mit in der Regel 50 bis 249 Beschäftigten können für die Entgegennahme von Meldungen und für die weiteren nach diesem Gesetz vorgesehenen Maßnahmen eine gemeinsame Stelle einrichten und betreiben (§ 14 Abs. 2 Satz 1 HinSchG).

Die mit den Aufgaben einer internen Meldestelle betrauten Personen müssen unabhängig sein. Wenn sie neben der Aufgabe der internen Meldestelle andere Aufgaben wahrnehmen, darf dies nicht zu Interessenkonflikten führen (§ 15 Abs. 1 HinSchG). Die Personen müssen zudem über die entsprechende Fachkunde verfügen (§ 15 Abs. 2 HinSchG). Sie müssen über Funktion, Kompetenzen und Unabhängigkeit der Meldestelle Bescheid wissen und den sachlichen Anwendungsbereich des Hinweisgeberschutzes und das Vertraulichkeitsgebot kennen. Welche juristischen und sonstigen Kenntnisse sie zur Einordnung der Meldungen und der Prüfung auf Stichhaltigkeit benötigen, hängt wesentlich davon ab, mit welcher Art von Verstößen bei dem Beschäftigungsgeber zu rechnen ist.

7. Braucht es einen Auftragsverarbeitungsvertrag oder eine Vereinbarung zur gemeinsamen Verantwortung, wenn ein externer Dritter mit dem Betrieb der internen Meldestelle beauftragt werden soll?

Das HinSchG selbst trifft zu dieser Frage keine Aussage, sodass sich deren Beantwortung nach den allgemeinen Grundsätzen richtet. Ein Auftragsverarbeitungsvertrag gemäß Art. 28 Abs. 3 DS-GVO setzt dabei voraus, dass eine Auftragsverarbeitung vorliegt. Gemäß Art. 4 Nr. 8 DS-GVO ist Auftragsverarbeiter eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Kennzeichnend für einen Auftragsverarbeiter ist die Weisungsabhängigkeit vom Verantwortlichen, der allein über die wesentlichen Zwecke und Mittel der Datenverarbeitung bestimmt. Da § 15 Abs. 1 Satz 1 HinSchG die Unabhängigkeit der internen Meldestelle vorsieht (s. unter Frage 6), ist eine Ausgestaltung als weisungsgebundener und der Kontrolle des Beschäftigungsgebers unterliegender Auftragsverarbeiter nur schwer denkbar. Außerdem ließen sich die Kontrollbefugnisse des Auftraggebers (vgl. Art. 28 Abs. 3 Unterabs. 1 Satz 2 Buchstabe h DS-GVO) nur schlecht mit der Pflicht der internen Meldestelle zur Wahrung der Vertraulichkeit der Meldungen vereinbaren. Nichtsdestotrotz geht die Gesetzesbegründung zum HinSchG davon aus, dass eine Beauftragung externer Dritter in Form der Auftragsverarbeitung zulässig ist (BT-Drs. 372/22, S. 88). Dies dürfte allerdings nur Fälle betreffen, in denen der Dritte nicht sämtliche Aufgaben der externen Meldestelle gemäß §§ 17 und 18 HinSchG übernimmt, sondern der oder den bei dem Beschäftigungsgeber für den Betrieb der internen Meldestelle zuständigen Person oder Personen lediglich zuarbeitet, z.B. indem er die Hinweise entgegennimmt und nicht in den Anwendungsbereich des HinSchG fallende aussortiert. Soll hingegen auch die inhaltliche Prüfung der Meldungen und das weitere Verfahren ausgelagert werden, wäre dies keine Auftragsverarbeitung.

Eine gemeinsame Verantwortlichkeit gemäß Art. 26 Abs. 1 DS-GVO liegt vor, wenn die Verantwortlichen gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden. Dies dürfte zwischen Beschäftigungsgeber und dem externen Betreiber der internen Meldestelle in der Regel der Fall sein, wenn man den externen Betreiber der internen Meldestelle überhaupt als Dritten im Sinne des Datenschutzrechts ansieht. Hierfür spricht die Gesetzesbegründung, die davon ausgeht, dass externe Dritte, die mit dem Betrieb der Meldestelle beauftragt werden, dadurch nicht zum Teil der verantwortlichen Stelle werden (BT-Drs. 372/22, S. 88).

8. Wie sieht es aus, wenn mehrere Beschäftigungsgeber gemeinsam eine interne Meldestelle betreiben?

Eine Auftragsverarbeitung liegt im Verhältnis der Beschäftigungsgeber untereinander nicht vor. Wir gehen aktuell davon aus, dass für den organisatorischen Betrieb der Meldestelle eine gemeinsame Verantwortlichkeit der die Meldestelle betreibenden Beschäftigungsgeber gemäß Art. 26 DS-GVO besteht. Eine entsprechende Vereinbarung ist abzuschließen. Die Bearbeitung der konkreten Meldung der oder des Beschäftigten wäre wiederum in der Verantwortlichkeit des jeweiligen Beschäftigungsgebers, zumindest wenn es sich um organisatorisch nicht miteinander verbundene Hinweisgeber, wie Unternehmen eines Konzerns, handelt, die kein gemeinsames, von dem konkreten Beschäftigungsgeber unabhängiges, Interesse an der Aufklärung der gemeldeten Verstöße haben. Letztlich ist die Frage, ob und für welche Verarbeitungsschritte genau bei dem gemeinsamen Betrieb einer internen Meldestelle durch mehrere Hinweisgeber eine gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO vorliegt, ungeklärt. Das HinSchG äußert sich hierzu ebenso wenig wie die durch das HinSchG umgesetzte Richtlinie (EU) 2019/1937.

9. Kann eine behördliche oder betriebliche Datenschutzbeauftragte bzw. ein behördlicher oder betrieblicher Datenschutzbeauftragter interne Meldestelle im Sinne von § 12 HinSchG sein?

Nach § 15 Abs. 1 Satz 2 HinSchG dürfen mit den Aufgaben einer internen Meldestelle betraute Personen neben ihrer Tätigkeit für die interne Meldestelle andere Aufgaben und Pflichten wahrnehmen. Nach Satz 3 ist dabei sicherzustellen, dass derartige Aufgaben und Pflichten nicht zu Interessenskonflikten führen. Erwägungsgrund 56 der durch das Hinweisgeberschutzgesetz umgesetzten Richtlinie (EU) 2019/1937 nennt als mögliche interne Meldestellen in kleineren Unternehmen Mitarbeiterinnen oder Mitarbeiter mit einer Doppelfunktion, Leiterinnen oder Leiter der Complianceabteilung, Integritätsbeauftragte, Rechts- oder Datenschutzbeauftragte oder Auditverantwortliche. Dies zeigt die Bandbreite der möglichen Umsetzung der Verpflichtung, die ausweislich der Gesetzesbegründung nicht durch das HinSchG eingeschränkt werden soll, solange die gesetzlichen Vorgaben insbesondere in Bezug auf die Unabhängigkeit und Vertraulichkeit eingehalten werden (BT-Drs. 372/22, S. 87). Art. 38 Abs. 6 DS-GVO gestattet, dass der Datenschutzbeauftragte andere Aufgaben und Pflichten wahrnehmen kann, wenn sichergestellt ist, dass diese nicht zu einem Interessenkonflikt führen.

Gleichzeitig ist zu sehen, dass eine solche Doppelfunktion – ohne zusätzliche Maßnahmen seitens des Verantwortlichen – einen grundsätzlichen Interessenkonflikt darstellen würde: So können einerseits Meldungen bei der Meldestelle die oder den Datenschutzbeauftragten selbst oder einen Vorgang betreffen, bei dem diese/r bereits involviert war. Andererseits unterfallen auch die mit der Meldestelle einhergehenden Datenverarbeitungen – insbesondere die Folgemaßnahmen in eigener Zuständigkeit nach § 18 HinSchG – nach Art. 39 Abs. 1 Buchstabe b DS-GVO der Kontrolle der/des Datenschutzbeauftragten. Mit Urteil vom 6. Juni 2023, Az. 9 AZR 383/19, hat das BAG eine generelle Unvereinbarkeit bei den Funktionen von Betriebsratsvorsitzenden und Datenschutzbeauftragten angenommen. Inwieweit diese Rechtsprechung, welche sicherlich hohe Hürden für die Wahrnehmung anderer Aufgaben und Pflichten durch die/den Datenschutzbeauftragte/n aufstellt, auch auf andere Funktionen übertragbar ist, bleibt offen. So ist nach der zu Grunde liegenden EuGH-Rechtsprechung für die Frage eines konkreten Interessenkonfliktes die Organisationsstruktur des Verantwortlichen, einschließlich interner Vorschriften, maßgeblich (vgl. EuGH, Urteil vom 09.02.2023, Az. C 453/21, Rz. 46). Hierbei ist eine Einzelfallbetrachtung geboten, auch abhängig von der Größe der verantwortlichen Stelle (vgl. ErwG 56 der Richtlinie (EU) 2019/1937). Dementsprechend ist es nicht von vornherein ausgeschlossen, dass im Einzelfall eine Doppelfunktion Datenschutzbeauftragte/r und Meldestelle zulässig ist. Hierbei zu berücksichtigende Mindestvoraussetzungen für die Vermeidung eines Interessenkonfliktes wären geeignete Vertretungsregelungen auf beiden Seiten (so erlaubt § 14 HinSchG – und damit anders als die Funktion des Betriebsratsvorsitzenden – eine arbeitsteilige Organisationsstruktur), klare Zuständigkeiten und Rollentrennungen (organisatorisch und sachlich, z.B. bei Aktenführung und Archivierung) sowie eine lückenlose Prozessdokumentation.

Zu berücksichtigen ist auch, dass die Kombination der Funktionen der/des Datenschutzbeauftragten und der internen Meldestelle nicht dazu führen darf, dass die damit betraute Person aus Zeitgründen nicht in der Lage ist, beide Funktionen ordnungsgemäß auszufüllen.

Soll die/der Datenschutzbeauftragte die Aufgabe der internen Meldestelle übernehmen, muss er oder sie, wie jeder andere, die notwendige Sachkunde nachweisen. Soweit sich die Sachkunde auf die Einhaltung des Datenschutzes und der Vertraulichkeit bezieht, kann hierbei auf bereits zur Vorbereitung auf bzw. während der Tätigkeit als Datenschutzbeauftragte/r erworbene Sachkunde zurückgegriffen werden.

10. Wie sind Meldungen zu dokumentieren?

Wie eingehende Meldungen zu dokumentieren sind, ist in § 11 HinSchG geregelt. Generell sind bei der Dokumentation der Meldungen die datenschutzrechtlichen Anforderungen, insbesondere Art. 5 DS-GVO, zu beachten. Hiernach müssen die verarbeiteten personenbezogenen Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“, Art. 5 Abs. 1 Buchstabe c DS-GVO); sie müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein und es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“, Art. 5 Abs. 1 Buchstabe d DS-GVO). Diese Grundsätze sind z.B. bei der Anfertigung von Protokollen über mündliche Meldungen zu beachten. Für die Speicherung bzw. Aufbewahrung der Dokumentation gilt Art. 5 Abs. 1 Buchstabe f DS-GVO, wonach personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“). Damit muss durch technische und organisatorische Maßnahmen sichergestellt werden, dass nur die mit deren Bearbeitung betrauten Personen Zugriff auf die Dokumentation der Meldungen haben und diese zur Kenntnis nehmen und bearbeiten können. Zu diesen Maßnahmen s. unter Frage 17.

11. Müssen bzw. dürfen auch anonyme Meldungen verarbeitet werden?

Nach § 16 Abs. 1 Satz 4 HinSchG sollte eine interne Meldestelle auch anonym eingehende Meldungen bearbeiten. Es besteht nach § 16 Abs. 1 Satz 5 HinSchG allerdings keine Verpflichtung, die Meldekanäle so zu gestalten, dass sie die Abgabe anonymer Meldungen ermöglichen. Wird der Meldekanal so ausgestaltet, dass die Abgabe anonymer Meldungen ermöglicht wird, gehört deren Bearbeitung auch zu den nach § 10 HinSchG erlaubten Datenverarbeitungen und ist Teil der Aufgaben der Meldestelle. Allerdings ist zu beachten, dass das HinSchG keine Pflicht zur Bearbeitung anonymer Meldungen normiert, sodass insofern Zweifel bestehen, ob die Datenverarbeitung im Rahmen einer rechtlichen Pflicht im Sinne von Art. 6 Abs. 1 Satz 1 Buchstabe c DS-GVO erfolgt, s. unter Frage 4. Jedoch dürfte die Bearbeitung von anonymen Meldungen im öffentlichen Interesse liegen, da dadurch ggf. die Unterbindung und verwaltungsbehördliche oder strafrechtliche Ahndung von Rechtsverstößen ermöglicht wird. Dann würde es sich bei der Bearbeitung der anonymen Meldungen um eine dem Verantwortlichen nach Art. 6 Abs. 1 Satz 1 Buchstabe e DS-GVO im öffentlichen Interesse übertragene Aufgabe handeln. Dann würde die Datenverarbeitung insoweit auf Art. 6 Abs. 1 Satz 1 Buchstabe e DS-GVO i.V.m. §§ 10 und 16 Abs. 1 Satz 4 HinSchG beruhen.

12. Wie ist die Vertraulichkeit der hinweisgebenden Personen und der in den Meldungen genannten Personen sicherzustellen?

Nach § 8 Abs. 1 Satz 1 HinSchG haben die Meldestellen die Vertraulichkeit der Identität der hinweisgebenden Person, sofern die gemeldeten Informationen Verstöße betreffen, die in den Anwendungsbereich dieses Gesetzes fallen, oder die hinweisgebende Person zum Zeitpunkt der Meldung hinreichenden Grund zu der Annahme hatte, dass dies der Fall sei, der Personen, die Gegenstand einer Meldung sind, und der sonstigen in der Meldung genannten Personen zu wahren. Die Identität der genannten Personen darf nach § 8 Abs. 1 Satz 2 HinSchG ausschließlich den Personen, die für die Entgegennahme von Meldungen oder für das Ergreifen von Folgemaßnahmen zuständig sind, sowie den sie bei der Erfüllung dieser Aufgaben unterstützenden Personen bekannt werden. Dies deckt sich mit allgemeinen datenschutzrechtlichen Anforderungen, nach denen personenbezogene Daten ebenfalls nur an die Personen weitergegeben werden dürfen, die sie zur Erledigung ihrer Aufgaben, und damit zum Erreichen des Verarbeitungszwecks, benötigen. Gemäß Art. 5 Abs. 1 Satz 1 Buchstabe c DS-GOV muss die Verarbeitung personenbezogener Daten auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“).

Ausnahmen von der Verpflichtung zur Vertraulichkeit finden sich in § 9 HinSchG. Hiernach wird die Identität einer hinweisgebenden Person, die vorsätzlich oder grob fahrlässig unrichtige Informationen über Verstöße meldet, nach § 9 Abs. 1 HinSchG nicht geschützt. § 9 Abs. 2 HinSchG regelt die Fälle, in denen Informationen über die Identität einer hinweisgebenden Person oder über sonstige Umstände, die Rückschlüsse auf die Identität dieser Person erlauben, auch ohne deren Zustimmung weitergegeben werden dürfen. Die Datenübermittlungen beruhen dabei auf einer gesetzlichen Pflicht nach Art. 6 Abs. 1 Satz 1 Buchstabe c DS-GVO, wenn ein Verlangen der Strafverfolgungsbehörden, eine Anordnung im Verwaltungsverfahren oder eine gerichtliche Entscheidung vorliegt. Hier ergibt sich die gesetzliche Pflicht aus der Grundlage für das behördliche Verlangen oder für die gerichtliche Entscheidung im Strafprozessrecht oder sonstigen Gesetzen. Der internen Meldestelle wird durch § 9 Abs. 2 HinSchG kein Ermessensspielraum eröffnet, ob sie dem Ersuchen nachkommt (BT-Drs. 20/2443, S. 75). Allerdings ist bei behördlichen Auskunftsersuchen ggf. zu prüfen, ob es für sie eine geeignete Rechtsgrundlage gibt und die Voraussetzungen der betreffenden Norm nicht offensichtlich nicht vorliegen. Ein weiterer Grund zur Weitergabe der Identität ist die Erfüllung der Aufgaben der Bundesanstalt für Finanzdienstleistungsaufsicht und des Bundeskartellamts nach Art. 6 Abs. 1 Satz 1 Buchstabe e DS-GVO. Außerdem darf die Identität der hinweisgebenden Person nach § 9 Abs. 3 HinSchG gegenüber beliebigen Empfängern offengelegt werden, wenn die Weitergabe für Folgemaßnahmen erforderlich ist und die hinweisgebende Person zuvor in Textform in die Weitergabe eingewilligt hat. § 9 Abs. 3 Satz 3 HinSchG verweist hinsichtlich der erforderlichen Freiwilligkeit der Einwilligung auf § 26 Abs. 2 BDSG. Hiernach sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen.

Die Identität von Personen, die Gegenstand einer Meldung sind, und von sonstigen in der Meldung genannten Personen darf unter den Voraussetzungen des § 9 Abs. 4 HinSchG weitergegeben werden. Hierbei erfolgen die dort genannten Datenverarbeitungen entweder aufgrund der Einwilligung der betroffenen Person nach Art. 6 Abs. 1 Satz 1 DS-GVO, wobei diese freiwillig und informiert sein muss, aufgrund einer gesetzlichen Pflicht nach Art. 6 Abs. 1 Satz 1 Buchstabe c DS-GVO zur Erfüllung der Pflicht der internen Meldestelle zum Ergreifen von Folgemaßnahmen nach § 17 Abs. 1 Nr. 6 HinschG und § 18 HinSchG oder zur Erfüllung der Aufgaben der Bundesanstalt für Finanzdienstleistungsaufsicht und des Bundeskartellamts nach Art. 6 Abs. 1 Satz 1 Buchstabe e DS-GVO.

13. Müssen die in Hinweisen genannten Personen gemäß Art. 14 DS-GVO über die Verarbeitung ihrer personenbezogenen Daten informiert werden?

Nach Art. 14 DS-GVO müssen betroffene Personen informiert werden, wenn ihre personenbezogenen Daten auf andere Weise als bei ihnen erhoben werden. Die in einer Meldung genannten personenbezogenen Daten werden mit deren Eingang erhoben, sodass grundsätzlich eine Pflicht zur Erteilung der in Art. 14 Abs. 1 und 2 DS-GVO genannten Informationen an die betroffenen Personen besteht. Das HinSchG sieht keine Regelungen zur Einschränkung der Pflicht zur Information nach Art. 14 DS-GVO vor. Allerdings normiert Art. 14 Abs. 5 DS-GVO Fälle, in denen die Absätze 1 bis 4 des Art. 14 DS-GVO keine Anwendung finden. So besteht keine Pflicht zur Benachrichtigung der betroffenen Personen, wenn diese voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt (Art. 14 Abs. 5 Buchstabe b DS-GVO). Damit müssen die betroffenen Personen nicht benachrichtigt werden, wenn und solange dadurch die Aufklärung des Sachverhalts und die nach § 18 Nr. 1 und 4 HinSchG zu treffenden Untersuchungen ernsthaft beeinträchtigt würden, z.B. aufgrund von drohenden Verdunklungsmaßnahmen der beschuldigten Person oder Personen.

Nach § 14 Abs. 2 Buchstabe f DS-GVO ist auch mitzuteilen, aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls ob sie aus öffentlich zugänglichen Quellen stammen. Damit wäre nach dieser Vorschrift auch die Identität der meldenden Person offenzulegen. Allerdings besteht nach § 29 Abs. 1 Satz 1 BDSG keine Pflicht zur Information der betroffenen Person, soweit durch ihre Erfüllung Informationen offenbart würden, die ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen. Für öffentliche Stellen des Landes Baden-Württemberg gilt § 8 Abs. 1 Nummer 4 LDSG. Danach besteht keine Pflicht zur Information der betroffenen Person, soweit und solange die Daten oder die Tatsache der Verarbeitung nach einer Rechtsvorschrift oder zum Schutze der betroffenen Person oder der Rechte und Freiheiten anderer Personen geheim gehalten werden müssen. Inwieweit die Identität der hinweisgebenden Person wegen überwiegenden berechtigten Interessen bzw. nach einer Rechtvorschrift geheim gehalten werden muss, richtet sich nach den Wertungen des HinSchG. Über die Identität des Hinweisgebers muss und darf damit nur dann nach Art. 14 Abs. 2 Buchstabe f DS-GVO informiert werden, wenn dem nicht der Schutz der Vertraulichkeit entgegensteht. Insoweit kann auf die Ausführungen unter Frage 12 verwiesen werden.

14. Unterfallen Meldungen nach dem Hinweisgeberschutzgesetz dem Auskunftsanspruch der in ihnen genannten Personen gemäß Art. 15 Abs. 1 und 3 DS-GVO?

Nach Art. 15 Abs. 1 DS-GVO ist der anspruchstellenden Person über jede Verarbeitung ihrer personenbezogenen Daten Auskunft zu erteilen. Datenverarbeitungen im Zusammenhang mit dem HinSchG sind hiervon nicht generell ausgeschlossen. Wird sie in der Meldung genannt, handelt es sich bei dieser Tatsache um ein personenbezogenes Datum der anspruchstellenden Person. Nach Art. 15 Abs. 1 Buchstabe g DS-GVO ist grundsätzlich auch über die Herkunft der nicht bei der betroffenen Person selbst erhobenen personenbezogenen Daten Auskunft zu geben, worunter auch die Identität des Hinweisgebers fällt. Allerdings besteht das Auskunftsrecht nach Art. 15 DS-GVO gemäß § 29 Abs. 1 Satz 2 BDSG nicht, soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen. Öffentlichen Stellen des Landes Baden-Württemberg gibt § 9 Abs. 1 Satz 1 LDSG i.V.m. § 8 Abs. 1 Nr. 4 LDSG ein Recht, die Auskunftserteilung abzulehnen, wenn die Daten oder die Tatsache der Verarbeitung nach einer Rechtsvorschrift oder zum Schutze der betroffenen Person oder der Rechte und Freiheiten anderer Personen geheim gehalten werden müssen. Damit muss keine Auskunft erteilt werden, soweit dem die Interessen, Rechte und Freiheiten anderer Personen oder gesetzliche Geheimhaltungspflichten entgegenstehen. Insbesondere muss die Identität der hinweisgebenden Person oder einer in der Meldung z.B. als Zeuge oder Beschuldigter genannten Person auf ein Auskunftsersuchen hin nicht offenbart werden, soweit dies nach dem HinSchG unzulässig wäre, s. dazu unter Frage 12. Hierbei kann sich die Frage stellen, wie insbesondere die Voraussetzungen des § 9 Abs. 1 HinSchG, also, dass die Meldung vorsätzlich oder grob fahrlässig unrichtig erfolgt ist, nachzuweisen ist. Hier ist nach allgemeinen Grundsätzen derjenige für eine Tatsache darlegungs- und beweisbelastet, dem sie zugutekommt. Dies ist für die Tatsache, dass die Identität des Hinweisgebers vom HinSchG geschützt wird, der Beschäftigungsgeber, der als Verantwortlicher den Anspruch auf Auskunftserteilung unter Hinweis auf diesen Schutz einschränken möchte. Dieser, bzw. die interne Meldestelle, kann auch, anders als die anspruchstellende Person, Informationen von der hinweisgebenden Person einholen, mit denen der Vorwurf einer grob fahrlässig oder vorsätzlich falschen Meldung ggf. widerlegt werden kann.

Zumindest hinsichtlich des Rechts auf eine Kopie der eigenen personenbezogenen Daten, z.B. den in der Meldung enthaltenen, nach Art. 15 Abs. 3 DS-GVO gilt, dass es nach Art. 15 Abs. 4 DS-GVO Rechte und Freiheiten anderer Personen nicht beeinträchtigen darf. Damit ist ggf. eine Abwägung mit den Rechten der verantwortlichen Stelle und anderer Personen erforderlich. Hieraus ergibt sich jedoch nichts anderes als nach § 29 Abs. 1 Satz 2 BDSG, sodass auf die obigen Ausführungen verwiesen werden kann.

Organisatorisch stellt sich das Problem, dass der Beschäftigungsgeber als für die Datenverarbeitung der internen Meldestelle nach Art. 4 Nr. 7 DS-GVO zumindest Mitverantwortlicher und Gegner eines Auskunftsanspruchs über die zur Auskunftserteilung notwendigen Informationen häufig selbst nicht verfügt. Solange kein Fall des § 9 HinSchG vorliegt, darf die Identität der hinweisgebenden Person und der in Meldungen genannten Personen nur denjenigen, die für die Entgegennahme von Meldungen oder für das Ergreifen von Folgemaßnahmen zuständig sind, sowie den sie bei der Erfüllung dieser Aufgaben unterstützenden Personen bekannt werden. Damit ist der Beschäftigungsgeber darauf angewiesen, dass die interne Meldestelle prüft, ob sie personenbezogene Daten eines Anspruchstellers verarbeitet und ob und inwieweit das Vertraulichkeitsgebot der Auskunftserteilung entgegensteht. Die interne Meldestelle sollte stets in die Beantwortung von Auskunftsersuchen einbezogen werden, um irrtümlich unvollständige Auskünfte zu vermeiden. Das Auskunftsersuchen wäre damit an die interne Meldestelle weiterzuleiten und von ihr in Bezug auf ihren Zuständigkeitsbereich ggf. eigenständig zu beantworten.

15. Wie lange müssen bzw. dürfen Meldungen nach dem Hinweisgeberschutzgesetz aufbewahrt werden?

Gemäß § 11 Abs. 5 HinSchG wird die Dokumentation einer Meldung nach dem HinSchG drei Jahre nach Abschluss des Verfahrens gelöscht. Sie kann jedoch länger aufbewahrt werden, um die Anforderungen nach dem HinSchG oder nach anderen Rechtsvorschriften zu erfüllen, solange dies erforderlich und verhältnismäßig ist. Das Verbot von gegen die hinweisgebende Person gerichteten Repressalien nach § 36 Abs. 1 HinSchG bietet keinen Grund, eine Meldung länger als drei Jahre aufzubewahren. Gemäß § 36 Abs. 2 HinSchG wird vermutet, dass eine Benachteiligung einer hinweisgebenden Person im Zusammenhang mit ihrer beruflichen Tätigkeit eine Repressalie für deren Meldung oder Offenlegung ist. Der Beschäftigungsgeber muss beweisen, dass die Benachteiligung auf hinreichend gerechtfertigten Gründen basierte oder dass sie nicht auf der Meldung oder Offenlegung beruhte. Dieser Beweis wird zumindest erleichtert, wenn der Beschäftigungsgeber dabei auf die Dokumentation über die Meldung und dass durchgeführte Verfahren zurückgreifen kann. Allerdings dürfte der Beweis auch ohne den Rückgriff auf die Dokumentation des Meldeverfahrens möglich sein, indem die Gründe der benachteiligenden Maßnahme, wie z.B. einer Abmahnung oder Kündigung, dargelegt und nachgewiesen werden. Zudem ist zu berücksichtigen, dass bei einer erst Jahre nach der Meldung und Abschluss des Meldeverfahrens erfolgenden Maßnahme ein Zusammenhang mit der Meldung unwahrscheinlich ist. Dies ist bei den Anforderungen an den nach § 36 Abs. 2 Satz 2 HinSchG zu führenden Gegenbeweis zu berücksichtigen.

16. Ist beim Einrichten einer internen Meldestelle eine Datenschutz-Folgenabschätzung durchzuführen?

Wann eine Datenschutz-Folgenabschätzung durchzuführen ist, richtet sich nach Art. 35 DS-GVO. Nach Art. 35 Abs. 1 DS-GVO ist sie verpflichtend, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Art. 35 Abs. 3 DS-GVO nennt Fälle, in denen die Voraussetzungen des Abs. 1 erfüllt sind, nämlich die systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen; umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DS-GVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DS-GVO oder systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche. Von einer internen Meldestelle können je nach den Umständen des Einzelfalls umfangreich Daten über Straftaten, nämlich gemeldete Verstöße gegen Strafnormen, verarbeitet werden. Weiterhin erstellt die Aufsichtsbehörde nach Art. 35 Abs. 4 Satz 1 DS-GVO eine Liste der Verarbeitungsvorgänge, für die gemäß Art. 35 Abs. 1 DS-GVO eine Datenschutz-Folgenabschätzung durchzuführen ist. Auf der vom Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg erstellten Liste, abrufbar unter https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/05/Liste-von-Verarbeitungsvorg%C3%A4ngen-nach-Art.-35-Abs.-4-DS-GVO-LfDI-BW.pdf, wird auch die Verarbeitung von umfangreichen Angaben über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit derart eingesetzt werden können, dass sich Rechtsfolgen für die Betroffenen ergeben oder diese in andere Weise erheblich beeinträchtigen, genannt. Dies dürfte auf interne Meldestellen in der Regel zutreffen, da die Meldungen das Verhalten von Beschäftigten betreffen werden und ggf. arbeits-, beamten-, straf- und zivilrechtliche Folgen für die beschuldigten Personen haben können.

Vor dem Hintergrund, dass im Zusammenhang mit einem Verfahren zur Meldung von Missständen sensible Daten verarbeitet werden, deren Bekanntwerden gravierende Folgen für die Reputation, die gesellschaftliche Stellung und die weitere Berufstätigkeit der betroffenen Personen hat, nimmt die Datenschutzkonferenz an, dass eine Datenschutz-Folgenabschätzung stets erforderlich ist (Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines, 14. November 2018, S. 12, abrufbar unter https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/11/OH-Whistleblowing-Hotlines-Stand-14_11_2018.pdf#page=12). Damit ist eine Datenschutz-Folgenabschätzung zumindest dann durchzuführen, wenn sich aus den getroffenen technischen und organisatorischen Sicherheitsmaßnahmen und sonstigen Umständen im konkreten Fall keine erhebliche Reduzierung des mit einer internen Meldestelle gewöhnlich verbundenen Risiko ergibt.

17. Welche datenschutzrechtlichen Pflichten bestehen noch im Zusammenhang mit der Einrichtung einer internen Meldestelle?

Nach Art. 13 DS-GVO sind die Personen, die sich an die interne Meldestelle wenden, darüber zu informieren, wie ihre personenbezogenen Daten verarbeitet werden. Da die in Art. 13 DS-GVO genannten Informationen bereits bei Erhebung der Daten mitgeteilt werden müssen, müssen entsprechende Datenschutzhinweise erstellt werden, die gemeinsam mit dem Hinweis auf die Existenz und die Kontaktdaten der internen Meldestelle betriebs- bzw. behördenintern zu veröffentlichen sind.

Weiterhin müssen die Datenverarbeitungen im Zusammenhang mit dem Betrieb der internen Meldestelle in das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DS-GVO aufgenommen werden.

Bei der Einrichtung der internen Meldestellen und der Meldekanäle müssen auch die notwendigen technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DS-GVO getroffen werden. So muss ein Zugriff unbefugter Personen auf Meldungen und sonstige Daten der internen Meldestelle durch ein Zugriffsberechtigungskonzept mit Durchsetzung, z.B. über Passwortsicherungen mit einer Passwortrichtlinie, und Kontrolle durch die Protokollierung von Zugriffen ausgeschlossen werden. Generell sollten Whistleblowing-Hotlines wie die interne Meldestelle außerhalb der Personalverwaltung organisiert und betrieben werden. Es wäre ggf. eine Ende-zu-Ende-Verschlüsselung anzubieten, um so vertrauliche personenbezogene Daten übermitteln zu können. Außerdem sind bei der Einbeziehung der Software und technischen Lösungen dritter Anbieter in die Einrichtung der Meldekanäle die Anforderungen des Art. 28 DS-GVO zu beachten. Insbesondere dürfen nur Anbieter ausgewählt werden, die hinreichende Garantien für eine datenschutzkonforme Verarbeitung und den Schutz der betroffenen Personen bieten. Außerdem muss ein Auftragsverarbeitungsvertrag geschlossen werden.

Der betriebliche oder behördliche Datenschutzbeauftragte muss nach Art. 38 DS-GVO auch bei Meldesystemen ordnungsgemäß und frühzeitig in alle Fragen, die den Schutz personenbezogener Daten betreffen, eingebunden werden.