Eine interne Meldestelle kann gemäß § 14 Abs. 1 HinSchG durch die Bestellung einer bei dem jeweiligen Beschäftigungsgeber tätigen Person, einer Gruppe von Personen oder durch einen Dritten eingerichtet werden. Die Aufgaben einer internen Meldestelle können somit von einer internen Arbeitskraft oder einer externen Stelle wahrgenommen werden. Wird ein Dritter mit den Aufgaben der internen Meldestelle betraut, bleibt der beauftragende Beschäftigungsgeber dennoch verpflichtet, eigenverantwortlich angemessene Maßnahmen zu ergreifen, um eventuelle Verstöße zu beheben (§ 14 Abs. 1 Satz 2 HinSchG).
Aber wie sieht es eigentlich mit der datenschutzrechtlichen Verantwortlichkeit aus?
Je nach Ausgestaltung ist es möglich, die eigene datenschutzrechtliche Verantwortlichkeit für die Verarbeitung der personenbezogenen Daten in der Meldestelle auf den Dritten auszulagern. Bei der Beauftragung sollte daher auch die Verantwortlichkeit der internen Meldestelle mitgedacht werden, Art. 4 Nr. 8 Datenschutz-Grundverordnung (DSGVO).
Problem der Auftragsverarbeitung
Viele Verträge zur Auslagerung einer Meldestelle sehen eine Auftragsverarbeitung vor. Bei der Auftragsverarbeitung werden die personenbezogenen Daten im Auftrag und nur auf dokumentierte Weisung des Verantwortlichen verarbeitet. Fraglich ist, wie sich die gesetzlich geforderte Unabhängigkeit der internen Meldestelle mit dem Wesen einer Auftragsverarbeitung vereinbaren lässt. In jedem Fall bleibt in dieser Konstellation der beauftragende Beschäftigungsgeber für die Einhaltung der datenschutzrechtlichen Vorgaben und deren Nachweis verantwortlich.
Meldestelle als datenschutzrechtlich Verantwortlicher
Für verpflichtete Unternehmen könnte es ein großer Vorteil sein, mit der Auslagerung der internen Meldestelle auch die datenschutzrechtliche Verantwortlichkeit abzugeben. In diesem Fall wird die externe Meldestelle für die im Rahmen des Meldesystems aufkommenden personenbezogenen Daten datenschutzrechtlich verantwortlich, iSd Art. 4 Nr. 7 DSGVO. Der erforderliche Erlaubnistatbestand zur Datenverarbeitung durch die interne Meldestelle ergibt sich aus Art. 6 Abs. 1 1. HS lit. e DSGVO in Verbindung mit § 10 HinSchG. Es ist selbstverständlich, dass die Meldestelle die Grundsätze für die Verarbeitung personenbezogener Daten gemäß Art. 5 DSGVO sicherstellen muss. Insbesondere obliegt es ihr, die gebotenen technischen und organisatorischen Maßnahmen gemäß den Vorschriften von Art. 24 sowie Art. 32 der DSGVO zu gewährleisten.
Fazit
Grundsätzlich kann die ausgelagerte interne Meldestelle nach HinSchG in eigener datenschutzrechtlicher Verantwortung oder im Rahmen einer Auftragsverarbeitung gestaltet sein. Die Auslagerung der Verantwortlichkeit auf die Meldestelle hat jedoch zahlreiche Vorteile. Neben der Sicherstellung geeigneter technischer und organisatorischer Maßnahmen muss die externe Meldestelle dann auch die Informationspflichten (Art. 13 DSGVO) und Datenschutz-Folgenabschätzung (Art. 35 DSGVO) in eigener Verantwortung umsetzten. Dies stellt eine weitere nicht unerhebliche Entlastung für verpflichtete Unternehmen dar. Ein weiterer Vorteil ist, dass das beauftragende Unternehmen nicht selbst Adressat bei Betroffenenanfragen (z.B. einer Auskunft nach Ar.t 15 DSGVO), Beschwerden (Art. 77 DSGVO) oder gar Schadensersatzforderungen (Art. 82 DSGVO) ist.
Weitere Infromationen zu meinen Leistungen finden Sie unter Ihre interne Meldestelle.