Für zahlreiche Unternehmen bedeutet das Hinweisgeberschutzgesetz (HinSchG) nicht nur eine Pflicht zur Implementierung einer effizienten internen Meldestelle, sondern auch die Einhaltung weiterer dazugehörigen Vorgaben, wie die Berücksichtigung des Datenschutzes. Welche Punkte dabei beachtet werden müssen, haben wir in einer Checkliste für Sie zusammengefasst.
Unternehmen mit in der Regel mindestens 250 Beschäftigten müssen die Vorgaben nach dem HinSchG bereits seit dem 2. Juli 2023 umgesetzt haben, für Unternehmen mit in der Regel 50 bis 249 Beschäftigten seit dem 17. Dezember 2023. Unternehmen oder öffentliche Stellen, die nach dem Hinweisgeberschutzgesetz (HinSchG) eine interne Meldestelle einrichten müssen, können diese entweder selbst implementieren und betreiben oder auch an einen Dritten übertragen.
Hinweisgebersystem und der Datenschutz
Die Einrichtung einer Meldestelle, unterstützt durch Systeme wie beispielsweise Whistlebox, ist unkompliziert und in wenigen Minuten realisierbar. Dabei müssen bei der Implementierung und Verwaltung im Unternehmen weitere essentielle Aspekte – insbesondere die Datenschutzkonformität -berücksichtigt werden.
Warum wird Datenschutzkonformität groß geschrieben?
Im Hinweisgebersystem werden personenbezogene Daten verarbeitet. Bei der Einrichtung und Durchführung des internen Meldeverfahrens sind deshalb alle rechtlichen Bedingungen des Datenschutzes einzuhalten. Alle personenbezogenen Daten (Hinweisgeber als auch etwaiger beschuldigter Personen), müssen im Einklang mit der EU-Datenschutzgrundverordnung sowie dem Bundesdatenschutzgesetz verarbeitet werden. Hier kommt unsere Checkliste ins Spiel.
Checkliste Meldestelle: 6 wichtige Punkte zur Datenschutzkonformität
Nachfolgend finden Sie eine Checkliste mit den wichtigsten Punkten, die Sie bei der Einrichtung und Verwaltung einer internen Meldestelle nach den Richtlinien des Hinweisgeberschutzgesetzes berücksichtigen müssen:
1. Informationspflichten nach Art. 13 DSGVO
Die Einhaltung der Informationspflichten ist ein wichtiger Aspekt bei der Einrichtung interner Meldestellen im Rahmen des Hinweisgeberschutzgesetzes. Verantwortliche, d.h. diejenigen, die persönliche Daten verarbeiten, sind verpflichtet, Personen, deren Daten verarbeitet werden, transparent und umfassend zu informieren.
Ein zentraler Bestandteil dieser Informationspflichten ist dessen Bereitstellung in einer klaren, verständlichen und leicht zugänglichen Form. Diese sollte auf Ihrer Webseite prominent platziert werden, um sicherzustellen, dass Hinweisgeber und andere betroffene Personen über die Datenverarbeitung umfassend informiert werden.
2. Einbindung in das Verzeichnis der Verarbeitungstätigkeiten
Alle Prozesse, in denen personenbezogene Daten verarbeitet werden, sind im Verzeichnis der Verarbeitungstätigkeiten zu führen. Erweitern Sie das Verzeichnis um Ihren internen Meldekanal.
3. Durchführung einer Datenschutz-Folgenabschätzung
Eine Datenschutz-Folgenabschätzung hilft dabei, Risiken bei der Verarbeitung personenbezogener Daten zu identifizieren und präventive Maßnahmen zu ergreifen, um diese zu minimieren. Sie ist erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
Verfahren zur Meldung von Missständen unterliegen einer Datenschutz-Folgenabschätzung aufgrund des hohen Risikos für die Rechte und Freiheiten natürlicher Personen. Es muss folglich zwingend eine Datenschutz-Folgenabschätzung durchgeführt werden.
WICHTIG!
Wenn eine Datenschutz-Folgeabschätzung durchgeführt werden muss, muss lt. BDSG ein Datenschutzbeauftrager beteiligt werden. Dies bedeutet, dass ein Datenschutzbeauftragter benannt werden muss, wenn noch niemand benannt wurde
4. Implementierung technischer und organisatorischer Maßnahmen
Sorgen Sie dafür, dass bei der Einrichtung und Verwaltung der Meldestelle die Datensicherheit gewährleistet ist und geeignete technische und organisatorische Maßnahmen ergriffen werden.
5. Löschkonzept erstellen
Die Festlegung klarer Aufbewahrungs- und Löschfristen ist entscheidend für die Einhaltung der Datenschutzvorschriften. Diese Fristen gewährleisten, dass persönliche Daten nicht länger als nötig aufbewahrt und rechtzeitig gelöscht werden.
Die Aufzeichnungen müssen 3 Jahre nach Abschluss des Verfahrens gelöscht werden, außer in Ausnahmefällen, in denen die Anforderungen nach dem HinSchG oder nach anderen Rechtsvorschriften länger erfüllt werden müssen.
6. Notwendigkeit eines Auftragsdatenverarbeitungsvertrags (AVV)
Wenn externe Anbieter als interne Meldestellen beauftragt werden, ist der Abschluss eines Auftragsverarbeitungsvertrags erforderlich. Dieser Vertrag regelt die Verantwortlichkeiten und sorgt für rechtliche Sicherheit.
Die Implementierung einer internen Meldestelle gemäß dem Hinweisgeberschutzgesetz stellt Unternehmen vor Herausforderungen. Eine sorgfältige Planung und Vorbereitung sind unerlässlich. Diese Checkliste soll Ihnen dabei helfen, die Anforderungen effektiv zu meistern. Für weitere Informationen und Unterstützung stehen wir Ihnen jederzeit zur Verfügung.