HinweisgeberInnenschutzgesetz (HSCHG): Datenschutz
Welche datenschutzrechtlichen Bestimmungen sind zu beachten?
Lesedauer: 10 Minuten
Überblick
Das HinweisgeberInnenschutzgesetz (HSchG) verpflichtet Unternehmen zur Einrichtung interner Meldekanäle, damit Hinweisgeber vertraulich mögliche Verstöße melden können.
Dieses Informationsblatt gibt einen Überblick über die einschlägigen datenschutzrechtlichen Bestimmungen. Für allgemeine Informationen zu den Rechten und Pflichten aus dem HSchG siehe HinweisgeberInnenschutzgesetz - Umsetzung der EU-Whistleblowing-Richtlinie.
Rechtmäßigkeit der Datenverarbeitung:
“Schlicht” personenbezogene Daten:
Die Verarbeitung der in Hinweisen enthaltenen personenbezogenen Daten ist für die im HSchG ausgewiesenen Zwecke zulässig (rechtliche Grundlage Art. 6 Abs 1 lit c DSGVO). Die Zwecke sind es, in Lebensbereichen von besonderem öffentlichen Interesse die Bereitschaft zu rechtmäßigem Verhalten zu bestärken, indem Hinweisen auf Rechtsverletzungen einfache Verfahren mit vorhersehbaren Abläufen zur Verfügung stehen. Dabei sind Hinweisgeber und Personen in ihrem Umkreis auch vor persönlichen Nachteilen zu schützen und unbegründete oder ungerechtfertigte Verdächtigungen zu verhindern.
Die Zulässigkeit der Verarbeitung personenbezogener Daten umfasst die mit einem Hinweis in Zusammenhang stehende Verarbeitung personenbezogener Daten der:
- Hinweisgeber,
- vom Hinweis betroffenen Personen,
- Personen, die Hinweisgeber unterstützen,
- Personen, die von nachteiligen Folgen aus dem Hinweis (z.B. Vergeltungsmaßnahmen) betroffen sein können und
- von Folgemaßnahmen (ab der Abgabe und infolge eines Hinweises ergriffene Maßnahme) betroffenen oder involvierten Personen.
Die Verarbeitung muss:
- im öffentlichen Interesse liegen, Rechtsverletzungen zu verhindern oder zu ahnden und zu diesem Zweck Hinweise zu geben und ihre Stichhaltigkeit zu überprüfen (Zweckbindung) und
- auf Daten eingeschränkt werden, die zur Feststellung und Ahndung einer Rechtsverletzung benötigt werden (Datenminimierung).
Hinweisgeber dürfen Daten, die für ihren Hinweis benötigt werden, verarbeiten.
Ebenso sind interne und externe Meldestellen und Behörden (insoweit die Daten für weitere Ermittlungen oder die Einleitung eines Verfahrens benötigt werden) zur Verarbeitung von Daten ermächtigt, die durch einen Hinweis angefallen sind.
Außerhalb des Geltungsbereichs des HSchG (z.B. bei der freiwilligen Bereitstellung interner Meldestellen), könnten berechtigte Interessen des Unternehmens argumentiert werden (Art. 6 Abs 1 lit f DSGVO).
Besondere Kategorien personenbezogener Daten („sensible“ Daten) und strafrechtlich relevante Daten:
Die Verarbeitung sensibler Daten ist zulässig, wenn (Art. 9 Abs. 2 lit g DSGVO)
- die Verarbeitung zur Erreichung der Zwecke unbedingt erforderlich ist und
- das öffentliche Interesse an der Verarbeitung zur Erreichung der Zwecke erheblich ist und
- wirksame Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Personen getroffen werden.
Nach diesem Schema dürfen auch personenbezogene Daten über gerichtlich oder verwaltungsbehördlich strafbare Handlungen oder Unterlassungen (z.B. Verdacht der Begehung von Straftaten) sowie über strafrechtliche Verurteilungen oder vorbeugende Maßnahmen (Art. 10 DSGVO) verarbeitet werden. Die Verarbeitung solcher Daten ist schriftlich zu dokumentieren. Diese strafrechtlich relevanten Daten dürfen nach Rechtskraft der Entscheidung über die Straftat in einem Verfahren, in dem diese Daten verarbeitet wurden, nur im unbedingt erforderlichen Ausmaß verfügbar gehalten werden und sind möglichst ohne Aufbereitung zu speichern.
Weitergabe personenbezogener Daten:
Interne Stellen des öffentlichen Sektors und externe Stellen dürfen Hinweise und personenbezogene Daten einschließlich
- Namen, Geschlecht, frühere Namen, Staatsangehörigkeit, Geburtsdatum, Geburtsort und Wohnanschrift,
- Namen der Eltern und Aliasdaten sowie ein Lichtbild eines Menschen einer Behörde oder Stelle
zur weiteren Ermittlung oder Einleitung eines Verfahrens an eine Behörde oder externe Stelle übermitteln.
Rollenzuordnung
Verantwortlicher
Die für die Datenverarbeitung Verantwortlichen (Art. 4 Z 7 DSGVO) sind:
- Hinweisgeber hinsichtlich personenbezogener Daten, von denen sie wissen, dass sie über das zur Weiterverfolgung des Hinweises Erforderliche hinausgehen,
- der Rechtsträger, dem die interne Stelle angehört,
- der Rechtsträger, dem die externe Stelle angehört, und
- die Behörden, die infolge eines Hinweises an sie übermittelte Daten verarbeiten.
Wenn Verantwortliche gemeinsam ein Hinweisgebersystem betreiben, sind sie gemeinsam Verantwortliche (Art. 4 Z 7 iVm Art. 26 DSGVO).
Beispiel: In einem Konzern wird ein Hinweisgeber-Meldesystem für alle Konzernunternehmen eingeführt. Die Konzernunternehmen sind gemeinsam für die Verarbeitung der Daten aus dem Meldesystem verantwortlich und haben hierfür auch eine Vereinbarung (Art. 26 DSGVO) abzuschließen.
Bei internationalen Konzernen mit Niederlassungen außerhalb des EWR sind die Grundsätze der internationalen Datenübermittlung einzuhalten.
Unternehmen, juristische Personen des öffentlichen Sektors, die für die internen Stellen des öffentlichen Sektors jeweils zuständigen Organe, mit den Aufgaben der internen Stelle beauftragte Stellen sowie der oder die jeweils für die Einrichtung der externen Stellen zuständige Bundesminister oder Bundesministerin sind ermächtigt, Hinweisgebersysteme nach dem HSchG einzurichten. Sie sind für die Einrichtung der Hinweisgebersysteme Verantwortliche (Art. 4 Z 7 DSGVO).
Auftragsverarbeiter
Wird ein Hinweisgeber-Meldesystem durch ein Tool von externer Seite betrieben (z.B. als Software as a Service), muss eine Auftragsverarbeitervereinbarung (Art. 28 DSGVO) abgeschlossen werden. Die Verpflichtungen der Verantwortlichen zum Schutz von Hinweisgeber gelten auch für Auftragsverarbeiter.
Betroffenenrechte
Solange und soweit es zum Schutz der Hinweisgeber und diese unterstützenden Personen bzw. Personen, die z.B. Vergeltungsmaßnahmen befürchten müssen, und von Folgemaßnahmen betroffene oder involvierte Personen erforderlich ist, finden
- insbesondere für die Dauer der Durchführung eines verwaltungsbehördlichen oder gerichtlichen Verfahrens oder eines Ermittlungsverfahrens nach der Strafprozessordnung,
- für von einem Hinweis betroffene Personen
nachfolgende Betroffenenrechte keine Anwendung:
- Recht auf Information (§ 43 DSG, Art. 13 und 14 DSGVO),
- Recht auf Auskunft (§ 1 Abs. 3 Z 1 und § 44 DSG, Art. 15 DSGVO),
- Recht auf Berichtigung (§ 1 Abs. 3 Z 2 und § 45 DSG, Art. 16 DSGVO),
- Recht auf Löschung (§ 1 Abs. 3 Z 2 und § 45 DSG, Art. 17 DSGVO),
- Recht auf Einschränkung der Verarbeitung (§ 45 DSG, Art. 18 DSGVO),
- Widerspruchsrecht (Art. 21 DSGVO) sowie
- Recht auf Benachrichtigung von einer Verletzung des Schutzes personenbezogener Daten (§ 56 DSG und Art. 34 DSGVO).
Beispiel: Keine Anwendung der Betroffenenrechte bei Maßnahmen zur Unterbindung von Versuchen der Verhinderung von Hinweisen oder von Vergeltungs- oder sonstigen Folgemaßnahmen aufgrund von Hinweisen.
Unter diesen Voraussetzungen heißt das z.B., dass gegenüber einer von einem Hinweis betroffenen Person Information und Auskunftserteilung zum Hinweis nicht erfolgen darf.
Werden freiwillig interne Meldesysteme für Meldungen außerhalb des Geltungsbereichs des HSchG eingerichtet, kommen die Ausnahmebestimmungen für Betroffenenrechte nicht zur Anwendung, sondern sind die allgemeinen datenschutzrechtlichen Vorschriften einzuhalten. Außerdem ist in diesen Fällen uU eine Zustimmung des Betriebsrats (§ 96a Abs 1 ArbVG) notwendig.
Aufbewahrungsfristen
Personenbezogene Daten, die für die Bearbeitung eines Hinweises nicht benötigt werden, dürfen nicht erhoben werden bzw. sind unverzüglich zu löschen, falls sie unbeabsichtigt erhoben wurden. Für Daten, die für die Bearbeitung eines Hinweises benötigt werden, gelten folgende Fristen:
Aufbewahrungspflicht
Ansonsten sind die personenbezogenen Daten ab ihrer letztmaligen Verarbeitung oder Übermittlung fünf Jahre und darüber hinaus so lange aufzubewahren, als es zur Durchführung bereits eingeleiteter Verfahren erforderlich ist. Nach Entfall der Aufbewahrungspflicht sind personenbezogene Daten zu löschen.
Protokolldaten
Tatsächlich durchgeführte Verarbeitungsvorgänge (z.B. Änderungen, Abfragen und Übermittlungen) sind zu protokollieren. Diese Protokollierungsdaten sind ab ihrer letztmaligen Verarbeitung oder Übermittlung bis drei Jahre nach Entfall der Aufbewahrungspflicht (s. oben) aufzubewahren.
Verarbeitungsverzeichnis
Verarbeitungsvorgänge aus dem HSchG sind im internen Verarbeitungsverzeichnis aufzunehmen.
Beispiel:
- Name der Datenverarbeitung: Internes Hinweisgeber-Meldesystem
- Zwecke der Datenverarbeitung: Rechtsverletzungen zu verhindern, zu ahnden und zu diesem Zweck Hinweise zu geben und ihre Stichhaltigkeit zu überprüfen
- Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten: Hinweisgeber und deren personenbezogene Daten, personenbezogene Daten vom Hinweis betroffener Personen
- Kategorien von Empfängern: Strafverfolgungs-, Verwaltungsbehörden, Betriebsrat, Auftragsverarbeiter (z.B. Anbieter verwendeter Software-Meldetools)
- Löschfristen: 5 Jahre ab letztmaliger Verwendung/ bis zur Abwicklung eines Verfahrens, Protokolldaten nach 3 Jahren ab Wegfall der Aufbewahrungspflicht
- allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen
Datenschutz-Folgenabschätzung
Eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) ist für die im Gesetz genannten Datenverarbeitungen nicht erforderlich, da diese [siehe ab Seite 23 des Ausschussberichts] bereits mit dem Erlass des HSchG abstrakt durchgeführt wurde (Art. 35 Abs 10 DSGVO).
Außerhalb des Anwendungsbereichs des HSchG (z.B. bei freiwilliger Bereitstellung interner Meldestellen) muss allerdings eine Datenschutz-Folgenabschätzung durchgeführt werden.
Datensicherheit
Die Technik und die Mittel der Kommunikation mit potenziellen Hinweisgeber sind nicht explizit vorgegeben. Die Systeme müssen jedenfalls technisch und organisatorisch geeignet sein die Sicherheitsvorgaben der DSGVO zu erfüllen.
Interne-Hinweisgeber-Meldestellen
Die internen Stellen sind mit den zur Erfüllung ihrer Aufgaben notwendigen finanziellen und personellen Mitteln auszustatten. Sie sind so sicher zu planen, einzurichten und zu betreiben, dass die Vertraulichkeit der Identität der Hinweisgeber und Dritter, die in der Meldung erwähnt werden, gewahrt bleibt.
Mitarbeiter, die mit einem Hinweis verbundene klassifizierte Informationen entgegennehmen, auswerten oder weiterleiten, müssen im Umgang mit klassifizierten Informationen unterwiesen sein und sich einer Sicherheitsprüfung unterzogen haben, wenn die Informationen als „VERTRAULICH“, „GEHEIM“ oder „STRENG GEHEIM“ klassifiziert wurden (gemäß §§ 55 bis 55b Sicherheitspolizeigesetz oder einer Verlässlichkeitsprüfung gemäß §§ 23 und 24 Militärbefugnisgesetz).
Externe Hinweisgeber-Meldestellen
Externe Hinweisgeber-Meldestellen sind ebenfalls mit den notwendigen personellen und finanziellen Mitteln auszustatten. Die Anzahl der Mitarbeiter:innen und die Sachausstattung sind entsprechend den Erfahrungen mit dem Arbeitsaufwand anzupassen. Die mit den Aufgaben betrauten Personen müssen für diese Aufgaben persönlich und fachlich geeignet und nachweislich im Umgang mit Hinweisen speziell geschult sein. Mitarbeiter, die mit einem Hinweis verbundene klassifizierte Informationen entgegennehmen, auswerten oder weiterleiten, müssen im Umgang mit klassifizierten Informationen unterwiesen sein und sich einer Sicherheitsprüfung unterzogen haben, wenn die Informationen als „VERTRAULICH“, „GEHEIM“ oder „STRENG GEHEIM“ klassifiziert wurden (§§ 3 und 6 der Informationssicherheitsverordnung).
Hinweisgebersysteme müssen den Schutz der Identität von Hinweisgeber sowie der von einem Hinweis betroffenen Personen und die Vertraulichkeit, den Datenschutz und die Verwendung standardisierter, dem Stand der Technik entsprechender Soft- und Hardware für Hinweisgebersysteme gewährleisten.
Dokumentation von schriftlichen Hinweisen:
Interne und externe Stellen haben alle eingehenden Hinweise zu dokumentieren. Der Eingang schriftlicher Hinweise ist unverzüglich, spätestens jedoch nach sieben Kalendertagen schriftlich an die im Hinweis genannte Postanschrift, E-Mail- oder sonstige elektronische Adresse oder ein eingerichtetes Hinweisgebersystem zu bestätigen, es sei denn, die Hinweisgeber haben sich ausdrücklich dagegen ausgesprochen oder die interne oder externe Stelle hat Grund zu der Annahme, dass die Bestätigung des Eingangs einer schriftlichen Meldung den Schutz der Identität der Hinweisgeber beeinträchtigen würde.
Dokumentation von nicht schriftlichen Hinweisen:
Werden Hinweise nicht schriftlich oder sonstig nachweisbar eingebracht, sind interne und externe Stellen berechtigt, den mündlich gegebenen Hinweis zu dokumentieren, wenn die Hinweisgeber dazu ihre Einwilligung gegeben haben:
- durch Tonaufzeichnung des Gesprächs (Abrufbarkeit für die Dauer der Überprüfung der Stichhaltigkeit des Hinweises und zu Beweiszwecken in einem nachfolgenden verwaltungsbehördlichen oder gerichtlichen Verfahren) oder
- durch vollständige und genaue Transkription des Gesprächs.
Haben Hinweisgeber die Identität offengelegt, können diese die Transkription des Gesprächs prüfen, berichtigen und per Unterschrift bestätigen.
Hinweis: Eine Bestätigung des Transkripts empfiehlt sich auch zu Beweissicherungszwecken.
Durch einen Widerruf der Einwilligung wird die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitungen und Übermittlungen nicht berührt.
Aufbewahrung von Hinweisen, Dokumentationen und Aufzeichnungen
Interne und externe Stellen müssen die Aufzeichnungen in einem vertraulichen und sicheren System speichern, den Zugang dazu protokollieren und beschränken. Die darin gespeicherten Daten sind nur für die Mitarbeiter zugänglich, die den Zugriff auf die Daten zur Bearbeitung des Hinweises benötigen.
Datenschutzerklärung
Informationspflichten (Art. 13 oder 14 DSGVO) sind unter gewissen Umständen nicht anwendbar (s. oben „Betroffenenrechte“). Dennoch sind nicht nur Unternehmen klare Informationen über die Möglichkeit und das Verfahren für Hinweise zu geben.
Beispiel: Ein Unternehmen führt ein internes Meldewesen ein und informiert allgemein über die Möglichkeit und das Verfahren für die Abgabe und Bearbeitung von Hinweisen mittels Aushang und auf der Webseite des Unternehmens. Ein abgegebener Hinweis enthält den Namen und weitere personenbezogene Daten eines Mitarbeiters im Unternehmen. Dieser Mitarbeiter ist nicht konkret über die Verarbeitung seiner konkreten Daten durch die Bearbeitung des Hinweises zu informieren.
Die datenschutzrechtlichen Informationen über die Einführung von Meldestellen können in einer allgemeinen Datenschutzerklärung in allgemein zugänglicher Form (z.B. über Aushang oder die Webseite) zur Verfügung gestellt werden.
Achtung: Es handelt sich nicht um die sonst übliche Datenschutzerklärung. In diesem Fall dürfen das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruchsrecht sowie Benachrichtigung bei Datenschutzverletzungen im Rahmen des gesetzlichen Anwendungsbereichs des HSchG ja nicht ausgewiesen werden (s. oben „Betroffenenrechte“). Empfehlenswert ist daher ein eigenständig gestaltetes Kapitel für „Meldungen von Hinweisen“ oÄ.
Externe Hinweisgeber-Meldestellen haben auf Websites in verständlicher Sprache und leicht erkennbar zu erläutern:
- die Voraussetzungen für den Schutz von Hinweisgeber;
- den rechtmäßigen Umgang mit klassifizierten Informationen;
- das Verfahren der Behandlung von Hinweisen;
- Informationen über die Vertraulichkeit und die Verarbeitung personenbezogener Daten (die Grundsätze der Datenverarbeitung sowie der Einschränkung der Rechte der von einem Hinweis betroffenen Person auf Information und Auskunftserteilung);
- die Angabe, ob Telefongespräche aufgezeichnet werden;
- mögliche Folgemaßnahmen;
- den Schutz von Hinweisgeber vor Vergeltungsmaßnahmen und den Rechtsschutz;
- Voraussetzungen für den Entfall der Haftung für die Verletzung von Geheimhaltungsverpflichtungen;
- die Kontaktdaten der externen und weiterer Stellen zur vertraulichen Beratung von Hinweisgeber sowie für Hinweise an Organe, Einrichtungen oder sonstige Stellen der Europäischen Union.
Stand: 01.04.2024