Schlagwort: Löschpflichten

Betroffenenrechte im Meldeverfahren

Betroffenenrechte im Meldeverfahren

Hinweisgeberschutz versus Datenschutz: Einschränkungen der Betroffenenrechte im Meldeverfahren

Kernidee des neuen Hinweisgeberverfahrens in der internen Meldestelle ist die Wahrung der Vertraulichkeit. Die Identität der hinweisgebenden Person und der Person, über die eine Meldung gemacht wird, sollen nur der Meldestelle bekannt werden. Dieses Prinzip kollidiert an einigen Stellen mit den Leitlinien des Datenschutzes. Denn grundsätzlich ist die Erhebung und Speicherung von personenbezogenen Daten ohne Wissen des Betroffenen nur unter hohen Anforderungen rechtmäßig. Deshalb müssen die Prozesse in der internen Meldestelle datenschutzrechtlich genau geprüft werden.

 

Datenschutzfolgeabschätzung bei Einrichtung der internen Meldestelle

In der internen Meldestelle kommen zahlreiche personenbezogene Daten zusammen, beispielsweise über den Hinweisgeber, aber auch über Personen im Unternehmen und entsprechende Sachverhalte. Im Sinne der Vertraulichkeit müssen diese Daten besonders geschützt werden. Die Verarbeitung beruht auf der Rechtsgrundlage des § 10 HinSchG. Hier wird ausdrücklich erlaubt, dass auch besondere Kategorien personenbezogener Daten verarbeitet werden, also solche, die Auskunft geben etwa über Geschlecht, Religionszugehörigkeit, Gesundheit oder politischer Gesinnung. Allerdings sind dann spezifische und angemessene Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzunehmen. Der Verweis auf § 22 Abs. 2 S. 2 BDSG bedeutet, dass entsprechende technische und organisatorische Maßnahmen den Schutz der personenbezogenen Daten gewährleisten müssen. Die hohen Risiken für die Betroffenen, deren personenbezogene Daten verarbeitet werden, müssen also entsprechend berücksichtigt werden bei der Gestaltung des Meldeprozesses. Die Risiken sollten erkannt, bewertet und bestenfalls eingedämmt werden.

Hierfür ist eine Datenschutzfolgeabschätzung im Vorfeld ratsam, um spätere Bußgelder zu vermeiden. Um die Betroffenenrechte im Meldeverfahren sicherzustellen, raten die Aufsichtsbehörden ebenfalls dazu, bei der Einrichtung einer internen Meldestelle eine DSFA nach Art. 35 DSGVO durchzuführen.

 

Betroffenenrechte: Informationspflicht, Auskunftsanspruch, Anspruch auf Löschung

Grundsätzlich gewährt die DSGVO dem Betroffenen Ansprüche auf Information darüber, dass seine personenbezogenen Daten verarbeitet werden (Art. 14 Abs. 1 DSGVO), eine Auskunft über die Herkunft der Daten (Art. 15 I lit g) DSGVO) und einen Anspruch auf die Löschung der Daten (Art. 17 Abs. 1 DSGVO). Diese Ansprüche werden im Meldeverfahren teilweise zugunsten des Hinweisgeberschutzes ausgehebelt.

 

Informationspflicht Art. 14 Abs. 1 DSGVO

Geht bei der internen Meldestelle ein Hinweis ein, in dem personenbezogene Daten eines Beschäftigten an die Meldestelle weitergegeben werden, müsste der Betreiber der Meldestelle dies an den betroffenen Beschäftigten melden, gem. Art. 14 Abs. 1 DSGVO. Das würde aber dem Vertraulichkeitsgebot des § 8 HinSchG widersprechen. Zudem könnte es auch unmöglich machen, dass die Meldung ordentlich bearbeitet werden kann, da der Betroffene womöglich Beweise vernichtet oder auf andere Weise die Aufklärung des Vorfalles verhindert.  Deshalb erlaubt Art. 14 Abs. 5 lit b) DSGVO eine Ausnahme: Die Information, dass seine personenbezogenen Daten verarbeitet werden, kann dem Beschäftigten vorenthalten werden, wenn sie „voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt“. Solange also zu befürchten ist, dass die Meldung nicht zielführend bearbeiten werden könnte, muss der Betroffene nicht informiert werden. Wenn dieser Grund aber wegfällt, greift wieder die Aufklärungspflicht aus der DSGVO. Beispielsweise, weil der Beschäftigungsgeber mit dem Betroffenen über die Vorwürfe gesprochen hat.

 

Auskunftsanspruch aus Art. 15 Abs. 1 lit g) DSGVO

Werden personenbezogene Daten verarbeitet, die nicht beim Betroffenen erhoben wurden, so kann der Betroffene Auskunft über die Herkunft der Daten verlangen. Er hat grundsätzlich das Recht, zu wissen, woher die Daten über ihn stammen. Die Offenlegung würde aber den Hinweisgeber entlarven und damit dem Prinzip der Vertraulichkeit im Hinweisgeberschutzgesetz zuwiderlaufen. Dieser Interessenskonflikt wird über § 29 Abs. 1 S.2 BDSG aufgelöst, der die Auskunftspflicht ausnahmsweise ablehnt, wenn eine Rechtsvorschrift dem entgegensteht wegen überwiegenden Interessen Dritter. Eine solche Rechtsvorschrift findet sich in § 8 HinSchG, der die Vertraulichkeit der hinweisgebenden Person höher gewichtet als den Auskunftsanspruch des Betroffenen. Andernfalls wäre der Hinweisgeber immer in Gefahr, dass seine Identität preisgegeben wird, wenn er eine Meldung macht, bei denen Personen eines Betriebes benannt werden.

 

Anspruch auf die Löschung der Daten Art. 17 Abs. 1 DSGVO

Der Betroffene kann seinen Anspruch auf Löschung seiner personenbezogenen Daten in der Meldestelle nicht durchsetzen, solange eine Verarbeitung seiner Daten noch stattfindet. Dies ergibt sich aus Art. 17 Abs. 1 a) DSGVO. Alle Informationen über das Meldeverfahren, und damit auch die von der Meldung betroffenen personenbezogenen Daten, müssen darüber hinaus 3 Jahre aufbewahrt werden (vgl. § 11 Ab. 5 HinSchG). Solange läuft der Anspruch des Betroffenen auf Löschung ins Leere.

 

Rechtsanwalt Robert Harzewski

Löschflicht für jedes Datum

Löschflicht für jedes Datum

Im Regelfall werden Unterlagen (z. B. Aufträge, Auftragsbestätigungen, Lieferscheine, Frachtbriefe oder Rechnungen) gemäß der Aufbewahrungspflichten nach Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 147 AO einheitlich abgespeichert. Hiernach ist die weitere Speicherung der Unterlagen rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, welcher der Verantwortliche unterliegt.

Vor dem Oberlandesgericht Dresden (Urteil vom 14.12.2021, Az.: 4 U 1278/21) war nun die spannende Frage zu beantworten, ob nicht rechtmäßig erhobenen Daten im Rahmen der gesetzlichen Aufbewahrungspflichten weiter gespeichert werden können oder gelöscht werden müssen. Müssen also bei der Löschpflicht nur das entsprechende Dokument oder jedes einzelne darin enthaltene Datum betrachtet werden?

Nach Auffassung des Gerichts kommt es bei der Betrachtung der Löschpflicht nicht auf ein Dokument als Gesamtheit aller darin enthaltenen Daten, sondern auf jedes einzelne Datum an. Daher lassen sich nicht rechtmäßig erhobene Daten nicht über die Aufbewahrungspflichten rechtfertigen. Im Umkehrschluss ist somit für jedes in einem Dokument enthaltene Datum eine Rechtsgrundlage für die Speicherung zu prüfen.

Unabhängig von der gesetzlichen Aufbewahrungspflicht müssten so zum Beispiel der Name, die Anschrift und das Geburtsdatum, also Daten, mit denen eine eindeutige Identifikation möglich ist, gelöscht werden.

Nach Auffassung des Gerichts seien Datenbestände so zu organisieren, dass nur auf die aufzeichnungspflichtigen - und aufbewahrungspflichtigen Daten zugegriffen werden kann. Dies kann z. B. durch geeignete Zugriffsbeschränkungen oder „digitales Schwärzen“ der zu schützenden Information erfolgen. Auf der geschäftlichen Korrespondenz können die Daten, die eine Identifizierung seiner Person erlauben, geschwärzt werden.

Die Entscheidung dürfte das ein oder andere Löschkonzept auf den Kopf stellen. In der Regel werden Löschfristen bislang anhand von Dokumenten und deren Aufbewahrungspflichten gebildet. Die Betrachtung jedes einzelnen Datums könnte einen nicht unerheblichen Mehraufwand bedeuten.

 

Rechtsanwalt Robert Harzewski