Am 2. Juli 2023 trat das neue Hinweisgeberschutzgesetz in Kraft. Danach sind betroffene Unternehmen sowie öffentliche und kirchliche Stellen unter bestimmten Voraussetzungen dazu verpflichtet, eine interne Meldestelle bereitzustellen. Diese gesetzliche Verpflichtung zieht auch datenschutzrechtliche Konsequenzen nach sich, denn über diese interne Meldestelle kann der Hinweisgeber personenbezogene Daten – potentiell sogar strafbares Verhalten – des Beschuldigten (= datenschutzrechtlich Betroffener) melden. Ist die Meldung also nicht anonym erfolgt, ist damit oftmals eine Verarbeitung personenbezogener Daten (z. B. hinweisgebende Person; im Hinweis benannte Person/en; sonstige an der Bearbeitung involvierte Personen) verbunden und folglich der sachliche Anwendungsbereich der Datenschutzgrundverordnung eröffnet.

Datenschutz-Folgenabschätzung erforderlich?

Da die Verarbeitung sensibler personenbezogener Daten in Rede steht, stellt sich die Frage, ob vor der Einführung einer internen Meldestelle eine Datenschutz-Folgenabschätzung nach Art. 35 Abs. 1 DSGVO durch den Verantwortlichen durchzuführen ist. Nach dem Wortlaut der Verordnung ist eine Datenschutz-Folgenabschätzung vor der erstmaligen Verarbeitung personenbezogener Daten durchzuführen, wenn die Verarbeitung von personenbezogenen Daten voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Schwellenwertanalyse

Zur Beurteilung, ob diese Voraussetzungen erfüllt sind, wird eine sog. Schwellenwertanalyse durchgeführt:

Die genannten Regelbeispiele in der durch die zuständigen Aufsichtsbehörden festgesetzten „Muss-Liste“ sind nicht einschlägig (vgl. Art. 35 Abs. 4 DSGVO).

Ferner sind die Anwendungsfälle des Art. 35 Abs. 3 DSGVO nicht gegeben. Zwar könnte man auf den ersten Blick annehmen, dass Abs. 3 lit. b auf den vorliegenden Fall passt, doch kommt man bei genauerer Prüfung zu einem anderen Ergebnis. Darin heißt es:

„(3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:

[…] b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogener Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10“

Letztendlich liegt keine „umfangreiche“ Verarbeitung in diesem Sinne vor (vgl. Erwägungsgrund 75 der Datenschutzgrundverordnung), da sich die Meldungen über das interne Meldesystem lediglich auf Einzelpersonen bzw. kleine Personengruppen beziehen und damit aufgrund der Größe sowie der Tätigkeiten der Organisation mit einer überschaubaren Anzahl an Meldungen mit personenbezogenen Daten im Sinne des Art. 9 DSGVO zu rechnen ist.

Die Durchführungspflicht einer Datenschutz-Folgenabschätzung kann letztendlich auf das Vorliegen der Kriterien des Arbeitspapiers 248 des Europäischen Datenschutzausschusses gestützt werden, welche bei nahezu jeder Datenverarbeitung im Zusammenhang mit der internen Meldung erfüllt sind und damit insgesamt, insbesondere auch unter Berücksichtigung der Auffassung der DSK in der „Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines: Firmeninterne Warnsysteme und Beschäftigtendatenschutz“, ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen gemäß Art. 35 Abs. 1 DSGVO angezeigt ist. Darin heißt es, dass ein Verfahren zur Meldung von Missständen wegen des besonders hohen Risikos für die Rechte und Freiheiten natürlicher Personen einer Datenschutz-Folgenabschätzung unterliegt.

Fazit

Aufgrund der potentiell sensiblen Inhalte der Meldungen von Verstößen der Beschuldigten, welche gegebenenfalls sogar strafrechtliche Relevanz haben und empfindliche Folgen für den Betroffenen nach sich ziehen können, ist die Durchführung einer Datenschutz-Folgenabschätzung damit jedenfalls anzuraten.