- 02.04.24
- Lesedauer: 5 Minuten
Datenschutzrechtliche Prüfung von HinweigebersystemenUnverzichtbar! Doch warum eigentlich und was beinhaltet eine solche Prüfung?
Das Juli 2023 in Kraft getretene Hinweisgeberschutzgesetz (HinSchG) verpflichtet zahlreiche Unternehmen zur Einrichtung eines internen Hinweisgebersystems. Und wie bei neuen Verpflichtungen üblich, bietet der Markt bereits zahlreiche Angebote, mit denen Unternehmen die Vorgaben des Gesetzes erfüllen können. Bei der Auswahl prüfen Unternehmen hinsichtlich Preis-Leistung, Nutzerfreundlichkeit, Kompatibilität mit bestehenden Systemen u.v.m. Hinweisgebersysteme verarbeiten personenbezogene Daten und sollten deshalb vor ihrer Einführung einer umfassenden datenschutzrechtlichen Prüfung unterzogen werden.
Der Schutz personenbezogener Daten ist in der heutigen digitalen Welt von größter Bedeutung. Sobald ein Hinweisgebersystem einmal eingeführt worden ist, werden in diesem personenbezogene Daten erhoben, verarbeitet und gespeichert. Um die Vertraulichkeit und Integrität dieser sensiblen Informationen zu gewährleisten, müssen Unternehmen sicherstellen, dass sie den geltenden Datenschutzgesetzen, insbesondere der Datenschutzgrundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG), entsprechen.
Davon, dass diese Rechtssicherheit besteht, kann nicht bei allen Software-Anbietern automatisch ausgegangen werden, da es natürlich auch auf die individuellen Voraussetzungen der Unternehmen ankommt. Um die mitunter empfindlichen Strafen für Datenschutzverstöße von vornherein zu vermeiden, empfiehlt es sich, Ihren Datenschutzbeauftragten direkt bei der Einführung mit ins Boot zu holen und die zur Auswahl stehenden Systeme prüfen zu lassen.
Eine datenschutzrechtliche Prüfung besteht aus verschiedenen Schritten. Nach der Durchführung einer Schwellenwertanalyse wird geschaut, ob bereits eine Datenschutzfolgenabschätzung des Softwareherstellers vorliegt, und wenn nicht, ob eine solche in Ihrem Fall überhaupt erforderlich ist, oder ob allein ein umfassender Prüfbericht erstellt werden soll. Wird eine Datenschutzfolgenabschätzung als notwendig erachtet oder eine bereits vorhandene Datenschutzfolgenabschätzung gegengeprüft, so werden auch diese Ergebnisse in einem Prüfbericht thematisiert.
Die Schwellenwertanalyse
In der Schwellwertanalyse wird zunächst überprüft, ob die Form einer Datenverarbeitung grundsätzlich einem hohen Risiko unterliegt, Art 35 DSGVO. Die Schwellwertanalyse ist im Kern eine Risikoanalyse, die feststellt, ob eine Datenschutzfolgeabschätzung (DSFA) notwendig ist. Das mögliche Risiko wird durch die Beurteilung der Eintrittswahrscheinlichkeit und der Ermittlung der Schwere des möglichen Schadens eines Ereignisses festgelegt. Bei der Implementierung einer neuen Technologie in Form einer Hinweisgeberplattform in einem Unternehmen kann stets davon ausgegangen werden, dass hinweisgebende Mitarbeitende beispielsweise mit empfindlichen, möglicherweise sogar existenzgefährdenden Repressalien zu rechnen hätten, würden den falschen Personen die Inhalte ihrer Hinweise bekannt, weil die neu eingesetzte Technologie lückenhaft ist, beispielsweise weil sie kein ausreichendes Rechte-Rollen-Konzept beinhaltet oder technische und organisatorische Maßnahmen nicht ordnungsgemäß umgesetzt werden.
Bei solch einem hohen Risiko ist stets eine DSFA durchzuführen.
Die Datenschutzfolgenabschätzung
Sobald von einer Software ein hohes Risiko für Rechte und Freiheiten natürlicher Personen zu erwarten ist, müssen Unternehmen bei ihrer Einführung eine Risikoabschätzung der Datenverarbeitung vornehmen. Die DSFA dient dazu, Datenschutzrisiken zu identifizieren, zu bewerten und geeignete Maßnahmen zur Risikominderung zu entwickeln. Sie wird meist vom Datenschutzbeauftragten erstellt und ist dementsprechend häufig Teil der datenschutzrechtlichen Prüfung. Sollte bereits eine Datenschutzfolgenabschätzung für das gewählte Hinweisgebersystem auf Seiten des Software-Diensteanbieters existieren, muss natürlich keine zweite erstellt werden. In diesem Fall sollte der Prüfende jedoch diese ausführlich prüfen und ggf. notwendige Ergänzungen oder Änderungen aufnehmen.
Der Prüfbericht
Der Prüfbericht fasst die datenschutzrechtliche Prüfung für Ihr Unternehmen zusammen und zeigt auf, welche Maßnahmen bereits umgesetzt worden sind, sich noch in der Umsetzung befinden und an welchen Stellen noch Bedarf besteht, nachzubessern. Im Folgenden stellen wir Ihnen ein paar der wichtigsten Punkte vor, die von unseren Prüfberichten abgebildet werden.
Gesetzeskonformität
Ganz grundsätzlich wird geprüft, ob alle relevanten Gesetzesvorgaben erfüllt werden. Das betrifft einerseits alle einschlägigen Normen der DSGVO, des BDSG und regelmäßig des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), andererseits aber auch die Vorgaben des HinSchG. Es sind besonders die Paragrafen, die sich mit der Verarbeitung personenbezogener Daten, dem Vertraulichkeitsgebot und den Aufgaben interner und externer Meldestellen beschäftigen, von Relevanz.
Rechte-Rolle-Konzept
Im Hinweisgebersystem können hochrelevante und empfindliche Daten empfangen werden, daher ist es essenziell, mit einem durchdachten Rechte-Rolle-Konzept zu verhindern, dass der Empfänger des Hinweises leicht einem Interessenkonflikt gegenüberstehen könnte. So versteht sich von selbst, dass es unglücklich ist, wenn beispielsweise ein Mitarbeiter über Missstände in der Abteilung berichtet und seine Abteilungsleiterin für den Empfang der Hinweise zuständig ist. Optimal lässt sich dieses Problem durch technische Maßnahmen wie Verschlüsselungsmechanismen, Pseudonymisierung und durch eine externe Ombudsstelle lösen.
Reaktionsmechanismen
Gerade im Bereich Datenschutz gibt es enge Fristen, die Unternehmen unbedingt einhalten müssen. Beispielsweise hat ein Unternehmen, sobald es intern Kenntnis von einem Daten-Leak erhält, nach Art. 33 DSGVO 72 Stunden Zeit, um die Datenverletzung bzw. -panne der zuständigen Aufsichtsbehörde zu melden und muss die betroffene Person sogar unverzüglich über die Verletzung ihrer Rechte unterrichten, Art 34 DSGVO. Diese Zeit ist schneller verstrichen als es so manchem Unternehmen lieb ist. Um im Fall der Fälle so schnell und effizient wie möglich handeln zu können, ist es essenziell, die Reaktionsmechanismen von vornherein auch technisch sauber umzusetzen und klar zu definieren, bei welcher Person welche Verantwortlichkeiten liegen.
Auftragsverarbeitungsvertrag
Wie immer, wenn Daten verarbeitet werden, ist ein Auftragsverarbeitungsvertrag (AVV) zwingend erforderlich. Der Anbieter der Softwarelösung muss gewährleisten, dass alle Daten, auf die seine Software zugreifen kann, DSGVO-konform geschützt sind. Das beinhaltet z. B., dass eine sichere Firewall existiert oder dass der Software-Anbieter Daten nicht wissentlich weitergibt. In der Regel sind diese Vorgaben für die meisten Unternehmen selbstverständlich, dennoch ist es wichtig, auch Selbstverständlichkeiten vertraglich zu fixieren. Ob der AVV den datenschutzrechtlichen Anforderungen an die Verarbeitung genügt, wird ebenfalls geprüft und im Prüfbericht erläutert.
Umsetzung technischer und organisatorischer Maßnahmen (TOMs)
Natürlich muss nicht nur der Software-Anbieter, sondern auch das Unternehmen selbst geeignete technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO ergreifen. Das sind beispielsweise Zugangsbeschränkungen oder die Nutzung sicherer Passwörter. Diese Maßnahmen gehören in den meisten Unternehmen zum Standard und sollten keine Herausforderung darstellen.
Und dann?
Nach Abschluss der datenschutzrechtlichen Prüfung steht idealerweise das Ergebnis „Insgesamt handelt es sich um eine datenschutzrechtlich angemessene Umsetzung der Vorgaben gemäß EU-RL 2019/1937, DSGVO, des BDSG und des Hinweisgeberschutzgesetzes.“ Das ist aus datenschutzrechtlicher Sicht der Startschuss zum Rollout für die gewählte Lösung. Schwieriger wird es, wenn der Prüfende Bedenken anmeldet. Wenn möglich, sollten Unternehmen umgehend Maßnahmen ergreifen, um die angemerkten Missstände zu beseitigen. Dies könnte die Anpassung der Systemarchitektur, die Implementierung zusätzlicher Sicherheitsmaßnahmen oder die Überarbeitung der Datenschutzrichtlinien und -verfahren umfassen. Besondere Aufmerksamkeit sollte hierbei auf technischen und organisatorischen Maßnahmen liegen. Die Zusammenarbeit mit Datenschutzexperten kann Unternehmen helfen, die datenschutzrechtlichen Bedenken einzuschätzen und Risiken zu minimieren, ohne das Kosten-Nutzen-Verhältnis aus den Augen zu verlieren.
Um zu verhindern, dass die datenschutzrechtliche Prüfung zu spät erfolgt und zu unerwünschten Ergebnissen führt, sollte der Datenschutzbeauftragte oder Berater idealerweise bereits zu Beginn des Auswahlprozesses einbezogen werden. Diese Sicherheit bietet unser Hinweisgebersystem, das von Rechtsanwälten und Juristen mit Datenschutz-Expertise in enger Zusammenarbeit mit IT-Spezialisten entwickelt wurde.
Bei Interesse buchen Sie gerne einen unverbindlichen Demo-Termin. Aber auch wenn Sie bereits ein Hinweisgebersystem etabliert oder ausgewählt haben, sind wir für Sie da und können die datenschutzrechtliche Prüfung übernehmen.