Datenschutz und Daten­sicher­­heit wird bei uns gross geschrieben

Datenschutz und Whistleblowing

Der Schutz und die Vertraulichkeit der Daten spielt für Hinweisgeber (Whistleblower) und Unternehmen eine wichtige Rolle. Auch die Abgabe anonymer Hinweise spielt für Hinweisgeber eine wichtige Rolle. Wie hängen Datenschutz und Hinweisgeberschutz zusammen? Können anonyme Hinweise abgegeben werden? Und wie können Hinweisgebersysteme die Vertraulichkeit von Informationen schützen? Wir haben die wichtigsten Informationen auf einen Blick.

Anonyme Hinweise

Nach dem im Gesetzgebungsverfahren zum Hinweisgeberschutzgesetz gefundenen Kompromiss müssen anonyme Hinweise nicht mehr bearbeitet werden, sie sollen aber bearbeitet werden. Damit soll unter anderem verhindert werden, dass Meldestellen durch anonyme missbräuchliche Verwendung überlaufen werden und damit in Bußgeldfallen gedrängt werden. Nicht missbräuchliche anonyme Meldungen sollten aber schon aus eigenem Interesse sorgfältig bearbeitet werden, da es darum geht den Missstand im Unternehmen schnellstmöglich abzustellen und externe Meldungen oder die Offenlegung des Missstandes zu verhindern.

Sie sind bereits überzeugt vom Hinweisgeberportal?
Dann sichern Sie sich jetzt das für Ihr Unter­nehmen passende Paket!

Datenschutz und Whistleblowing

In Hinweisen werden regelmäßig die personenbezogenen Daten vom Hinweisgeber selber enthalten sein (sofern er nicht anonym meldet), als auch von dem Beschuldigten und ggfs. weiteren Personen wie z.B. Zeugen, sodass das BDSG und die DSGVO Anwendung finden. Eine Herausforderung für jedes Unternehmen ist die Einhaltung der Vorschriften des BDSG und der DSGVO.

Vertraulichkeit
Ein datenschutzrechtlicher Grundsatz ist die Vertraulichkeit der Daten. Dieses ist auch im § 8 Hinweisgeberschutzgesetz aufgenommen worden. Danach haben Meldestellen die Vertraulichkeit der Identität der hinweisgebenden Person zu wahren. Diese darf nur für die zur Entgegennahme von Meldungen zuständigen Stelle bekanntgegeben werden oder ausnahmsweise nach § 9 HinSchG bei offensichtlichem Missbrauch des Systems, grob fahrlässigen Falschmeldungen, im Rahmen von Strafverfahren auf Verlangen der Strafverfolgungsbehörden oder aufgrund behördlicher oder gerichtlicher Anordnung in Verwaltungsverfahren oder bei gerichtlicher Entscheidung.

Informationspflichten und Betroffenenrechte
Zusätzlich fordert die DSGVO die Betroffenen über die sie betreffende Datenverarbeitungen und deren Umfang in Kenntnis zu setzen. Das würde bedeuten, dass Unternehmen dazu verpflichtet wären, Beschuldigte über den Eingang von Whistleblowing-Meldungen über sie zu informieren. Das Problem: Beschuldigte würden dann auch den Namen des Hinweisgebers erfahren. Dem entgegen steht allerdings das Vertraulichkeitsgebot des § 8 HinSchG. Die Identität darf nur gegenüber den Personen weitergegeben werden, die für Entgegennahme von Meldungen bzw. Ergreifen von Folgemaßnahmen zuständig sind.​ Außerdem würde es die Ermittlungen gegebenenfalls verhindern. Nach Art. 14 Abs. 5 lit. b) DSGVO besteht die Informationspflicht aber dann nicht, wenn durch eine Information die Verwirklichung der Verarbeitungsziele unmöglich gemacht oder ernsthaft beeinträchtigt wird. Wenn also durch eine Offenlegung der Identität des Hinweisgebers bzw. schon das Vorliegen einer Meldung die notwendigen Ermittlungen verhindert oder zumindest ernstlich erschwert werden würden, könnte man daraus schließen, dass die Offenlegung der Identität des Hinweisgebers hier ausscheide und seine Vertraulichkeit zu wahren wäre. Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat hierzu 2018 in ihrer „Orientierungshilfe zu Whistleblowing-Hotlines vom 14.11.2018“ allerdings betont, dass ein etwaiges Zurückhalten der Information nur solange zulässig ist, wie das Risiko besteht, dass bei Unterrichtung des Beschuldigten die Untersuchung gefährdet wäre. Sobald aber dieser Aufschubgrund entfällt, müsse die Information nachgeholt werden, so dass demnach ein absoluter Schutz der Vertraulichkeit des Hinweisgebers bislang so nicht zu erreichen ist. Nach der Ausnahmeregelung des Art. 14 Abs. 5 lit. c) DSGVO i.V.m. § 29 Absatz 1 S. 1 BDSG muss der Beschuldigte dann nicht informiert werden, wenn dadurch Informationen offenbart würden, die ihrem Wesen nach geheim gehalten werden müssen, insbesondere wegen überwiegenden berechtigten Interessen eines Dritten. Außerdem haben Betroffene einen Auskunftsanspruch nach Art.15 DSGVO bezüglich der zu Ihnen verarbeiteten Daten. Der Beschuldigte hätte damit die Möglichkeit herauszufinden, dass eine Meldung abgegeben wurde und wer der Hinweisgeber ist. Das Auskunftsrecht besteht nach § 29 Abs. 1 S. 2 BDSG hingegen nicht, wenn dadurch Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen geheim gehalten werden müssen, insbesondere wegen überwiegender berechtigter Interessen eines Dritten. Mindestens für den Zeitraum der Aufklärung muss der Beschuldigte also nicht informiert werden oder Auskunft erteilt. Danach findet eine Interessenabwägung statt unter Einbeziehung aller Umstände. Aufgrund dieser Unsicherheit wünschen sich trotz vieler Schutzmaßnahmen des Hinweisgeberschutzgesetzes viele Hinweisgeber weiterhin die Möglichkeit anonyme Meldungen abzugeben. Hinweisgebersysteme wie das Hinweisgeberportal bieten dafür eine praktikable Lösung.

Technische und organisatorische Maßnahmen

Bei der Umsetzung eines Hinweisgebersystems müssen die Grundsätze Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO) gewährleistet werden. Bei Betrieb eines Online-Meldeformulars oder der Entgegennahme von Meldungen per E-Mail muss die erforderliche Ende-zu-Ende-Verschlüsselung gewährleistet sein bzw. ermöglicht werden. Auch hierfür bieten Hinweisgebersysteme wie das Hinweisgeberportal der Bundesanzeiger Verlag GmbH eine sichere Lösung.

In nur 3 Schritten zu Ihren Meldekanälen
1.
Sie beauftragen uns online.

Wählen Sie einfach nach Größe Ihres Unternehmens oder Ihrer Kommune.

2.
Wir richten alles ein.

Mit Ihrem Logo und Ihren individuellen Angaben, zum Beispiel für Impressum und Datenschutz.

3.
Fertig!

Sie können das Hinweis­geber­portal und alle Meldekanäle nutzen. 7 bis 10 Werktage nach Ihrer Freigabe.

Sicherheit und Zertifizierung

Das Hinweisgebersystem erfüllt sämtliche Sicherheits- und Zertifizierungsmerkmale, um die Vertraulichkeit im Meldeprozess bei Missständen jederzeit zu gewährleisten:

  • Die Anforderungen an den Datenschutz sowie an das Hinweisgeberschutzgesetz sind erfüllt
  • EQS Group, die Standorte der Softwareentwicklung und Rechenzentren sind ISO 27001 zertifiziert
  • Alle eingehenden Meldungen werden verschlüsselt in ISO 27001 zertifizierten Hochsicherheitsrechenzentren gespeichert (Datenresidenz liegt nur in Deutschland)
  • Die Daten liegen jederzeit ausschließlich in verschlüsselter Form vor (in Transit und während der Speicherung)
  • Fallbasierte Verschlüsselung und Sicherheitsarchitektur verhindern den Datenzugriff einer dritten Partei
  • Die DSGVO-Konformität ist durch ein externes Audit nach ISAE 3000 bescheinigt
  • Regelmäßige Penetrationstests mit einem externen Sicherheitsaudit schließen Sicherheitslücken der EQS Integrity Line aus
  • IP-Adressen werden niemals im System gespeichert, um die Anonymität zu gewährleisten
  • Schutz der Systeme vor unerwünschten Angriffen durch modernste Firewalls und IP-Restriktionen

Hinweisgeber erfüllen gesellschaftlich sowie unternehmerisch eine wichtige Aufgabe und sollten in ihrer Tätigkeit durch Hindernisse wie die DSGVO nicht aufgehalten oder gar abgeschreckt werden. Mit der Nutzung des Hinweisgeberportals sorgen Sie dafür, dass Meldungen weiterhin anonym und trotzdem gesetzeskonform übertragen und bearbeitet werden können.

Die häufigsten Fragen rund um das Thema Datensicherheit

Wie wird sichergestellt, dass weder der Anbieter (die Bundesanzeiger Verlag GmbH), noch sonstige Dritte Zugriff auf die Daten im Hinweisgeberportal haben?
Findet eine IP-Verschlüsselung statt?
Wird beim Upload von Dateien im Rahmen einer Hinweismeldung bereits ein Viren-Scan durchgeführt?
Ist Ihr Unternehmen nach ISO27001 zertifiziert?
Welche Verschlüsselungstechnologie kommt zum Einsatz?

Sie sind bereits überzeugt vom Hinweisgeberportal?
Dann sichern Sie sich jetzt das für Ihr Unter­nehmen passende Paket!