Kategorie: Beschäftigtendatenschutz

am 27. Juli 2023

internal reporting office

am 10. Juli 2023

The most important steps for implementation in your company.

Soon you will have to provide your employees with an internal reporting office in accordance with the Whistleblower Protection Act. For companies with 250 employees, the internal reporting office is already mandatory from July 2, 2023. Before implementing a reporting system, you will need to make decisions about some important issues.

What happens in Vegas, stays in Vegas!

The internal reporting office according to the Whistleblower Protection Act is intended to provide your employees with a confidential way to report violations of laws or EU standards within the company. In this way, an internal reporting office that makes your employees feel taken seriously ensures that complaints do not reach the public. In this way, the internal reporting office can prevent reputational damage.

How to implement an internal reporting office according to the Whistleblower Protection Act

To set up an internal reporting office in accordance with the Whistleblower Protection Act in your company, you need to be clear about the following questions:

1. How do you implement the internal reporting office in your company?
2. With which personnel do you staff and operate the internal reporting office?
3. Can the internal reporting office be set up outside the company in accordance with the Whistleblower Protection Act?

1.How do you implement the internal reporting office according to the Whistleblower Protection Act in your company?

The Whistleblower Protection Act requires you to offer reporting channels allowing your employees to communicate information. These reporting channels of an internal reporting office should enable your employees to contact the internal reporting office in accordance with the Whistleblower Protection Act verbally or in text form and, if desired, also in person. It is important that employees can approach the internal reporting office confidentially, or even anonymously if they wish. For this reason, the reporting channels of the internal reporting office must be created in such a way that only the employees entrusted with operating the internal reporting office have access to the reports. A corresponding software solution can create the necessary conditions here. I will be happy to advise you on the implementation of a data protection-compliant solution for setting up an internal reporting office in accordance with the Whistleblower Protection Act.
The law leaves it up to you to set up your internal reporting office in accordance with the Whistleblower Protection Act within the company, or to have it carried out by a third party. Several companies can also jointly operate an internal reporting office in accordance with the Whistleblower Protection Act.

2.With which personnel do you staff and operate the internal reporting office in accordance with the Whistleblower Protection Act?

The internal reporting office under the Whistleblower Protection Act should be able to process legal challenges from many legal areas, such as criminal law, labor law, data protection, consumer protection, etc. The internal reporting office should also be able to handle information from other legal areas. As an entrepreneur, you can assign your own personnel to supervise the internal reporting office. Two requirements must be met: The person must be competent and able to perform the activity in the internal reporting office independently. As the entrepreneur, you are responsible for the expertise and must allow for further training and education within the required framework. Independent requires that the person who operates your internal reporting office in accordance with the Whistleblower Protection Act can make decisions without the influence of company management and colleagues. There must not be any conflicts of interest. If you have a suitable person in your company, the assignment of the internal reporting office according to the Whistleblower Protection Act will lead to an adjustment of the labour contract. This requires approval of he person in question.
Alternatively, you can also use external personnel to operate your internal whistleblower protection office, for example law firms or suitable service providers.

3.Can the internal whistleblower protection act reporting office also be set up outside the company?

Setting up an internal reporting office in accordance with the Whistleblower Protection Act can be challenging within your company. In particular, the internal reporting office ties up capacities that you urgently need for the operation of your company. For this reason, the Whistleblower Protection Act also offers the option of outsourcing the internal reporting office. In this case, a third party is responsible for the technical, organizational and content-related processing of the internal reporting office in accordance with the Whistleblower Protection Act.
I can offer you a corresponding all-in-one solution for your internal reporting office according to the Whistleblower Protection Act. As a lawyer, I am familiar with various legal topics and bound to secrecy. You can find my offer here.

interne Meldestelle nach Hinweisgeberschutzgesetz

am 26. Juni 2023

Die wichtigsten Schritte zur Umsetzung in Ihrem Unternehmen

Schon bald müssen Sie in Ihrem Unternehmen Ihren Beschäftigten eine interne Meldestelle nach dem Hinweisgeberschutzgesetz zur Verfügung stellen. Ab 250 Beschäftigten ist die interne Meldestelle bereits ab dem 2. Juli 2023 verpflichtend. Dabei müssen Sie über einige wichtige Punkte Entscheidungen treffen.

What happens in Vegas, stays in Vegas!

Die interne Meldestelle nach Hinweisgeberschutzgesetz soll Ihren Beschäftigten eine vertrauliche Möglichkeit bieten, Verstöße gegen Compliance-Regeln, Gesetze oder EU-Normen innerhalb des Unternehmens zu melden. Damit sorgt eine interne Meldestelle, bei der sich Ihre Beschäftigten ernst genommen fühlen, dafür, dass die Beschwerden nicht an die Öffentlichkeit gelangen. So lassen sich durch die interne Meldestelle Reputationsschäden vermeiden.
Schritte zur Umsetzung einer internen Meldestelle nach Hinweisgeberschutzgesetz

Für die Einrichtung der internen Meldestelle nach Hinweisgeberschutzgesetz in Ihrem Unternehmen müssen Sie sich Klarheit verschaffen über folgende Fragen:

1. Wie setzen Sie die interne Meldestelle im Unternehmen um?
2. Mit welchem Personal besetzen und betreiben Sie die interne Meldestelle?
3. Kann die interne Meldestelle nach Hinweisgeberschutzgesetz auch außerhalb des Unternehmens eingerichtet werden?

1.Wie setzen Sie die interne Meldestelle nach Hinweisgeberschutzgesetz im Unternehmen um?

Das Hinweisgeberschutzgesetz verlangt von Ihnen, dass Sie Meldekanäle anbieten, über die Ihre Beschäftigten Hinweise kommunizieren können. Diese Meldekanäle einer internen Meldestelle sollen Ihren Beschäftigten ermöglichen, mündlich oder in Textform und, wenn gewünscht, auch im persönlich, Kontakt mit der internen Meldestelle nach Hinweisgeberschutzgesetz aufzunehmen. Wichtig ist dabei, dass die Beschäftigten an die interne Meldestelle vertraulich herantreten können, nach Wunsch auch anonym. Deshalb müssen die Meldekanäle der internen Meldestelle so geschaffen werden, dass nur die mit dem Betrieb der internen Meldestelle betrauten Mitarbeiter Zugriff auf die Meldungen haben. Eine entsprechende Software-Lösung kann hier die erforderlichen Voraussetzungen schaffen. Bei der Umsetzung einer datenschutzkonformen Lösung für die Einrichtung einer internen Meldestelle nach Hinweisgeberschutzgesetz berate ich Sie gerne.
Das Gesetz stellt Ihnen frei, Ihre interne Meldestelle nach Hinweisgeberschutzgesetz im Unternehmen einzurichten, oder aber durch einen Dritten durchführen zu lassen. Mehrere Unternehmen können auch gemeinsam eine interne Meldestelle nach Hinweisgeberschutzgesetz betreiben.

2.Mit welchem Personal besetzen und betreiben Sie die interne Meldestelle nach Hinweisgeberschutzgesetz?

Die interne Meldestelle nach Hinweisgeberschutzgesetz sollte in der Lage sein, Hinweise aus vielen juristischen Themengebieten zu bearbeiten, beispielsweise Strafrecht, Arbeitsrecht, Datenschutz, Verbraucherschutz etc. Als Unternehmer können Sie eigenes Personal mit der Betreuung der internen Meldestelle beauftragen. Zwei Voraussetzungen sind dabei zu beachten: Die Person muss fachkundig sein und die Tätigkeit in der internen Meldestelle unabhängig ausüben können. Für die Fachkunde sind Sie als Unternehmer verantwortlich und müssen im erforderlichen Rahmen Fort- und Weiterbildungen ermöglichen. Unabhängig bedeutet, dass die Person, die Ihre interne Meldestelle nach Hinweisgeberschutzgesetz betreibt, ohne Einflussnahme der Unternehmensleitung und der Kollegen entscheiden kann. Dabei darf es nicht zu Interessenskonflikten kommen. Haben Sie eine geeignete Person in Ihrem Unternehmen, so muss die Beauftragung mit der internen Meldestelle nach Hinweisgeberschutzgesetz personalseitig durch eine Vertragsänderung oder -ergänzung erfolgen. Dies setzt eine Zustimmung voraus, eine Übertragung der Aufgabe ist nicht ausgeschlossen.
Alternativ dazu können Sie auch externes Personal einsetzen, um Ihre interne Meldestelle nach Hinweisgeberschutzgesetz zu betreiben, beispielsweise Anwaltskanzleien oder geeignete Dienstleister.

3.Kann die interne Meldestelle nach Hinweisgeberschutzgesetz auch außerhalb des Unternehmens eingerichtet werden?

Die Einrichtung einer internen Meldestelle nach Hinweisgeberschutzgesetz kann innerhalb Ihres Unternehmens herausfordernd sein. Insbesondere bindet die interne Meldestelle Kapazitäten, die Sie für den Betrieb Ihres Unternehmens dringend benötigen. Deshalb bietet das Hinweisgeberschutzgesetz auch die Möglichkeit an, die interne Meldestelle auszulagern. Dann liegt die technische, organisatorische und inhaltliche Bearbeitung der internen Meldestelle nach Hinweisgeberschutzgesetz bei einem Dritten.

Eine entsprechende All-in-One-Lösung für Ihre interne Meldestelle nach Hinweisgeberschutzgesetz kann ich Ihnen anbieten. Als Rechtsanwalt bin ich mit verschiedenen rechtlichen Themengebieten vertraut und zur Verschwiegenheit verpflichtet. Hier finden Sie mein Angebot.

Hinweisgeberschutzgesetz

am 8. Juni 2023

in Allgemein, Beschäftigtendatenschutz

Mit dem neuen Hinweisgeberschutzgesetz (HinSchG) gibt es nun die gesetzliche Pflicht zum Einrichten einer internen Meldestelle für Unternehmen mit über 50 Beschäftigten. Bereits ab dem 02.07.2023 müssen Unternehmen mit 250 oder mehr Beschäftigten die gesetzlich erforderlichen „internen Meldestellen“ und die damit zusammenhängenden Meldekanäle eingerichtet haben. Verstöße gegen die wesentlichen Vorgaben des HinSchG können als Ordnungswidrigkeiten mit einer Geldbuße geahndet werden können.

Ziel des Hinweisgeberschutzgesetzes

Das Hinweisgeberschutzgesetz zielt darauf ab, den bisher unzureichenden Schutz von Hinweisgebern zu verbessern und die EU-Whistleblower-Richtlinie (Richtlinie (EU) 2019/1937) in nationales Recht umzusetzen. Es soll sowohl den Schutz von Hinweisgebern als auch von Personen, die von einer Meldung betroffen sind, stärken und sicherstellen, dass ihnen keine Nachteile gemäß den Bestimmungen dieses Gesetzes drohen.
Bisher gab es in Deutschland kein umfassendes und einheitliches System zum Schutz von Hinweisgebern. In der Vergangenheit wurden Hinweisgeber daher immer wieder benachteiligt.
Zu melden sind künftig zum Beispiel Verstöße gegen Strafvorschriften und bußgeldbewährte Verstöße gegen den Arbeitsschutz, Gesundheitsschutz, das Mindestlohngesetz oder Vorgaben des Arbeitnehmerüberlassungsgesetzes.

Meldestellen

Nach § 12 HinSchG haben Unternehmen dafür zu sorgen, dass bei ihnen mindestens eine Stelle für interne Meldungen eingerichtet ist und betrieben wird, an die sich Beschäftigte wenden können (interne Meldestelle).

interen und externe Meldestellen

Hinweisgeber haben dabei die Möglichkeit, sich entweder an eine "interne Meldestelle" im Unternehmen oder an eine "externe Meldestelle" bei den Behörden zu wenden. Gemäß § 16 des Hinweisgeberschutzgesetzes müssen die Meldekanäle so gestaltet sein, dass nur die dafür zuständigen Personen und diejenigen, die bei der Bearbeitung der Meldungen unterstützen, Zugriff auf die eingehenden Meldungen haben. Unberechtigte Personen dürfen daher keinen Zugriff auf die Identität des Hinweisgebers oder den Inhalt des Hinweises erhalten.
Interne Meldekanäle müssen es zudem ermöglichen, Meldungen sowohl mündlich als auch schriftlich abzugeben. Mündliche Meldungen können telefonisch oder über andere sprachbasierte Kommunikationsmittel erfolgen. Auf Anfrage des Hinweisgebers muss innerhalb angemessener Zeit ein persönliches Treffen mit einer für die Entgegennahme der Meldung zuständigen Person der internen Meldestelle ermöglicht werden.

Unabhängige Tätigkeit; notwendige Fachkunde

Gemäß § 15 des Hinweisgeberschutzgesetzes müssen die Personen, die mit den Aufgaben einer internen Meldestelle betraut sind, unabhängig bei der Ausübung ihrer Tätigkeit sein. Sie dürfen neben ihrer Tätigkeit für die interne Meldestelle auch andere Aufgaben und Pflichten haben. Es muss jedoch sichergestellt werden, dass solche Aufgaben und Pflichten keine Interessenkonflikte verursachen.
Darüber hinaus ist das Unternehmen verpflichtet, sicherzustellen, dass die mit den Aufgaben einer internen Meldestelle betrauten Personen über die erforderliche Fachkompetenz verfügen.

Zeitplan für die Umsetzung

weniger als 50 Mitarbeitende: keine Verpflichtung für interne Meldestelle
zwischen 50 und 249 Mitarbeitenden: eine interne Meldestelle ab 17.12.2023
mehr als 250 Mitarbeitende: eine interne Meldestelle ab 02.07.2023

Hinweisgeberschutzgesetz und der Datenschutz

Das neue Gesetz bringt auch Berührungspunkte mit dem Datenschutz mit sich:

Nach § 2 Abs. 1 Nr. p) HinSchG müssen künftig auch Verstöße gegen den Datenschutz gemeldet werden.
Nach § 10 HinSchG sind die Meldestellen befugt, personenbezogene Daten und sogar besondere Kategorien von Daten zu verarbeiten, soweit dies zur Erfüllung ihrer in den §§ 13 und 24 HinSchG bezeichneten Aufgaben erforderlich ist.
Bei der Geltendmachung von Auskünften nach Art. 15 DSGVO sind ggfls. Informationen wie die Identität einer hinweisgebenden Person geheim zu halten.
Da nach Auffassung der DSK die Meldung von Missständen ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt, bedarf es im Einzelfall einer Datenschutz-Folgenabschätzung (DSFA).

Neue Regelungen im Beschäftigten-Datenschutz

am 1. Juni 2023

Nach einem Urteil des Europäischen Gerichtshofs (EuGH) vom 30.03.2023 (Az. C-34/21) muss der deutsche Gesetzgeber den Beschäftigten-Datenschutz auf neue Füße stellen.

§ 26 BDSG nicht weiter anwendbar

Nachdem deutsche Arbeitgeber bisher den Umgang mit personenbezogenen Daten ihrer Mitarbeiter aus § 26 BDSG ableiteten, hat der EUGH dem einen Riegel vorgeschoben. Anhand der Parallelvorschrift des § 23 HDSIG bestimmte das Gericht sinngemäß, dass wenn § 26 BDSG etwas regelt, was gegen die DSGVO verstößt, § 26 BDSG nicht anwendbar ist.

Neue Regelungen im Beschäftigten-Datenschutz

Bis zum Herbst soll für ein neues Beschäftigtendatenschutzgesetz ein Entwurf erarbeitet werden. Ein Thema dabei wird die Vollüberwachung der Mitarbeiter sein, die immer wieder für Diskussionen sorgt, wenn sie etwa zur Sicherheit der Beschäftigten, Vereinfachung der Logistik oder Kontrolle von Ruhezeiten hilfreich erscheint. Hierzu stellt ein Eckpunktepapier aus dem Arbeitsministerium bereits klar, dass Arbeitgeber keine lückenlosen Bewegungs- und Leistungsprofile zur Bewertung von Beschäftigten erstellen dürfen. Daneben soll auch eine Lösung gefunden werden zu der manchmal doch nicht ganz so „freiwilligen“ Einwilligung der Arbeitnehmer zur Nutzung ihrer Daten, beispielsweise Fotos auf der Firmenhomepage. Wir dürfen also gespannt sein.

Praxistipp:

Bis zur Umsetzung eines neuen Beschäftigtendatenschutzgesetzes sollte die in den Datenschutzhinweisen für die Beschäftigten verwendete Rechtsgrundlage des § 26 BDSG durch Art. 6 Abs. 1 lit. b DSGVO ersetzt werden. Die Aufsichtsbehörde in Hamburg empfiehlt, dies nicht zu überstürzen, sondern die Positionierungen der Datenschutzkonferenz des Bundes und der Länder und ggfs. der Gerichte abzuwarten. (Pressemitteilung vom 03.04.2023)

3G am Arbeitsplatz

am 19. November 2021

Änderung des Infektionsschutzgesetzes

Nach der Zustimmung des Bundesrates gilt ab kommenden Mittwoch 3G am Arbeitsplatz. Mit der Änderung des Infektionsschutzgesetzes (§ 28 IfSG) müssen Arbeitgeber und Beschäftigte beim Betreten ihrer Arbeitsstätte entweder einen Impf- oder Genesenennachweis oder einen Testnachweis mit sich führen. Es ist mithin eine effiziente betriebliche Zutrittskontrolle erforderlich, die eine lückenlose Umsetzung der Nachweispflicht zum Status geimpft, genesen oder getestet sicherstellt.

Konkret heißt es in § 28 Abs. 3 IfSG (neu): Arbeitgeber […] sind verpflichtet, die Einhaltung der Verpflichtungen [..] durch Nachweiskontrollen täglich zu überwachen und regelmäßig zu dokumentieren. Alle Arbeitgeber und jeder Beschäftigte […] sind verpflichtet, einen entsprechenden Nachweis auf Verlangen vorzulegen.

Dies bedeutet, dass die Nachweise selbst bei den Betroffenen verbleiben und nicht etwa vom Arbeitgeber aufzubewahren sind.

Umfang der Dokumentation

Zur Ausgestaltung der konkreten Dokumentation für 3G am Arbeitsplatz informiert das Bundesministerium für Arbeit und Soziales, dass es dem Grundsatz der Datenminimierung entsprechend ausreicht, am jeweiligen Kontrolltag den Vor- und Zunamen der Beschäftigten auf einer Liste "abzuhaken", wenn der jeweilige Nachweis durch den Beschäftigten erbracht worden ist.

Bei Beschäftigten, welche geimpft oder genesen sind, ist dagegen keine tägliche Dokumentation erforderlich. Hier genügt eine einmalige Erfassung, wobei bei Genesenen zusätzlich das Enddatum des Genesenenstatus zu dokumentieren ist.

Dokumentation von	Vor- und Nachname	Status (geeimpft, getestet oder genesen)	Datum der Vorlage	Gültigkeitsdauer
Geimpfte	x	x	x
Genesene	x	x	x	x
Getestet	x	x	x

Die erhobenen personenbezogenen Daten sind spätestens sechs Monate nach Ihrer Erhebung zu löschen.

Neben der datensparsamen Dokumentation ist darauf zu achten, dass eine Kenntnisnahme der erfassten Daten durch Kolleginnen und Kollegen ausgeschlossen ist. Verwenden Sie daher in keinem Fall offene Listen.

Die neue Regelung finden Sie in der Drucksache.

Die FAQs zu 3G am Arbeitsplatz des Bundesministeriums für Arbeit und Soziales finden Sie hier.

Alte Rechtslage

Arbeitgeberinnen und Arbeitgeber durften vor der Neuregelung zu 3G am Arbeitsplatz das Datum „Impfstatus“ ihrer Beschäftigten
ohne eine ausdrückliche gesetzliche Ermächtigung grundsätzlich nicht verarbeiten – auch nicht im Rahmen der COVID-19-Pandemie. Dies war nur in bestimmten Einzelfällen wie zum Beispiel im Gesundheitsbereich, bei Kindertageseinrichtungen oder im Fall von Lohnersatz nach dem Infektionsschutzgesetz möglich.

Weitere Informationen finden Sie hierzu im Beschluss der DSK vom 19.10.2021.

Datenschutzverstöße von Beschäftigten

am 27. Januar 2021

in Beschäftigtendatenschutz, Urteile

Das Landgericht Bonn (Urteil vom 11.11.2020, Aktenzeichen: 29 OWi 1/20) hat sich neben der Bußgeldzumessung auch zu Datenschutzverstößen geäußert, welche von Beschäftigten verursacht wurden.

Nur der Verletzungserfolg ist entscheidend

Hierzu führt es aus, dass Gegenstand der Sanktionierung für einen Datenschutzverstoß nicht die dafür ursächlichen Handlungen bestimmter natürlicher Personen ist. Es kommt mithin nur auf den Erfolg des Datenschutzverstoßes an. Im entsprechenden Bußgeldbescheid wurde daher nicht näher beschrieben, welche natürlichen Personen im Unternehmen der Betroffenen durch welche Handlungen den Datenschutzverstoß begangen haben.

Hintergrund Datenschutzverstöße von Beschäftigten

Nach dem deutschen Ordnungswidrigkeitenrecht gibt es keine unmittelbare Haftung von Unternehmen. Geldbußen setzen stets ein schuldhaftes Fehlverhalten einer vertretungsberechtigten Person, wie z.B. einem Geschäftsführer oder Vorstand, voraus. Das Verhalten irgendeines Mitarbeiters des Unternehmens reicht nach deutschem Recht daher nicht aus, um eine Bußgeld zu bekommen. Vielmehr kommt es auf das Fehlverhalten ganz bestimmter Personen in Führungs- oder Aufsichtspositionen an.

Deutsche Regeln stehen europäischen Haftungskonzept entgegen

Hierzu stellt das Gericht nun folgendes fest: Die deutschen Regelungen sind nicht mit dem europäischen Haftungskonzept in Einklang zu bringen. Für eine Einschränkung der Haftung durch Beschränkung auf individuelles Fehlverhalten von Leitungspersonen gem. § 30 OWiG ist daher kein Raum.

Auffassung der DSK

Auch nach Auffassung der DSK sollen Unternehmen dabei im Rahmen von Art. 83 DSGVO für Datenschutzverstöße ihrer Beschäftigten haften, wenn diese im konkreten Fall nicht im Exzess gehandelt haben. Nach der Entschließung der DSK soll für die Zuordnung der Verantwortlichkeit weder die Kenntnis der Geschäftsführung von dem konkreten Verstoß, noch eine Verletzung der Aufsichtspflicht erforderlich sein. Daher kann dem Verantwortlichen nicht nur jeder Datenschutzverstoß eines gesetzlichen Vertreters oder einer Leitungsperson, sondern der eines jeden Beschäftigten zugerechnet werden.