Interessenskonflikte bei internen Meldestellen nach dem HinSchG

Data Privacy von Chantal Nußbaum

Zwei Männer laufen mit Zielen gegeneinander

Mit dem Hinweisgeberschutzgesetz soll es hinweisgebenden Personen einfacher gemacht werden, Verstöße gegen das Unionsrecht zu melden und vor negativen Auswirkungen durch die abgegebene Meldung zu schützen.

Unternehmen können eine interne Meldestelle errichten und die Aufgaben der Stelle  einer Person übertragen, die bereits eine andere Funktion im Unternehmen einnimmt. Diese kann beispielsweise die Leitung der Compliance-Abteilung, Personalabteilung oder Datenschutzbeauftragte sein.

Hinsichtlich des Aufgabenspektrums und den Voraussetzungen an eine interne Meldestelle, kann es jedoch unter Umständen zu Interessenskonflikten aufgrund einer Doppelfunktion kommen. Daher ist im Vorhinein zu prüfen, welche Personen mit der Entgegennahme und Bearbeitung von Meldungen betraut werden und ob Interessenskonflikte auftreten können. Alternativ kann durch die Fremdvergabe an einen externen Dienstleister diese Problematik ausgeschlossen werden.

Die Aufgaben interner und externer Datenschutzbeauftragten richten sich nach Art. 39 Abs 1. DS-GVO.

Zu diesen Aufgaben gehören unter anderem die Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen. Ferner die Überwachung der Einhaltung der DS-GVO, anderer Datenschutzvorschriften der Union bzw. der Mitgliedsstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen. Ebenso gehört Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 zu den Aufgaben von Datenschutzbeauftragten.

Nach Art. 38 Abs. 6 DS-GVO ist es Datenschutzbeauftragten erlaubt, auch andere Aufgaben und Pflichten wahrzunehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenskonflikt führen.

Sowohl aus den Aufgaben eines internen Datenschutzbeauftragten als auch aus den Aufgaben neben der eigentlichen Datenschutztätigkeit können sich bei interner Vergabe Interessenskonflikte ergeben.

Beispiele für Interessenskonflikte

  • Meldungen und Hinweise können unter Umständen auch datenschutzrechtlichen Bezug aufweisen und mit den Aufgaben eines Datenschutzbeauftragten kollidieren (Unterrichtung, Beratung und Überwachung des Verantwortlichen).
  • Falls bei der Meldestelle Datenschutzverstöße eingehen, dürften Datenschutzbeauftragte in ihrer Funktion als interne Meldestelle den Datenschutzverstoß nicht untersuchen. Sie müssten als Meldestelle eine Untersuchung einleiten, wodurch unter Umständen in die Rechte und Freiheiten der betroffenen Personen eingegriffen wird.
  • Mit der Doppelfunktion müssen interne Datenschutzbeauftragte ihre Datenschutz-Aufgaben in Ausübung ihrer Tätigkeit als interne Meldestelle kontrollieren. Dabei kann es zu einem Interessenskonflikt kommen, wenn sie sich selbst überwachen müssen.
  • Haben Datenschutzbeauftragte neben ihrer Datenschutztätigkeit noch weitere Aufgaben und erhalten aus diesem Bereich Meldungen, entsteht womöglich Befangenheit, diese zu bearbeiten.
  • Nach Art. 38 Abs. 5 DS-GVO unterliegen Datenschutzbeauftragte der Geheimhaltung und Vertraulichkeit. Diese Grundsätze gelten ebenfalls für die Meldestelle nach dem HinSchG. Es ist jedoch nicht ausgeschlossen, dass eine Meldestelle von ihrem Vertraulichkeitsgebot abweichen muss, was zu einem Konflikt führen kann.
        

Unsere Empfehlung
Informieren Sie sich über mögliche Risiken und prüfen mögliche Interessenskonflikte, die bei der Besetzung einer internen Meldestelle auftreten können. Achten Sie darauf, dass die interne Meldestelle nicht nur durch interne Datenschutzbeauftragte besetzt, sondern eine weitere qualifizierte Person aus einem anderen Bereich hinzugezogen wird. Hier müssen Zuständigkeiten und Aufgaben klar definiert werden.

Wägen Sie ab, ob eine externe Meldestelle für Sie möglicherweise sinnvoller ist. Hier wird die Meldestelle durch neutrale, unternehmensunabhängige Personen geführt. Interessenskonflikte aufgrund von Befangenheit entstehen hier nicht. Eingehende Meldungen werden auf Plausibilität geprüft und entsprechende Folgemaßnahmen eingeleitet. Eine hinweisgebende Person wird dadurch stärker geschützt, da keine unternehmensinterne Person Rückschlüsse zu einer möglichen Identität der hinweisgebenden Person ziehen kann.

Mit unserer Dienstleistung zur externen Meldestelle können wir Ihnen eine verlässliche und interessenskonfliktlose Lösung bieten.

Kommen Sie gerne auf uns zu, wenn Sie Fragen zum Hinweisgeberschutzgesetz (HinSchG) oder zu der Einführung einer Meldestelle nach dem HinSchG haben.

Kontaktieren Sie uns

Sie sind Ihrer digitalen Souveränität bereits einen großen Schritt näher gekommen.

Wir freuen uns auf Ihr Interesse und Ihre Fragen.

Was ist die Summe aus 6 und 7?
Diese Anfrage ist für Sie unverbindlich und keine Zahlungsmittel sind notwendig.
eteslogo4

Autoren

Markus Espenhain

Unser Geschäfts­führer und Gründer ist für die Strategie und den Kontakt zu Kunden & Partnern verantwortlich. Im Blog stellt er Ihnen neue Partnerschaften und Unternehmens-News vor.

Markus Espenhain Portrait

Ioannis Dimas

Datenschutz und Informationssicherheit sind seine Herzensangelegenheit. Er berät Unternehmen zu diesen Themen und kann viel dazu berichten.

Ioannis Dimas Portrait

Chantal Nußbaum

In den Bereichen Datenschutz und Informationssicherheit liegt ihr Schwerpunkt. Durch Fortbildungen ist sie immer auf dem neusten Stand der Gesetze.

Christian Gleich

Sein Schwerpunkt liegt in dem Kontakt zu Kunden. Durch seine tägliche Arbeit mit unserem gesamten Produktportfolio landen Neuigkeiten immer zuerst bei ihm.