[DSGVO-NL] 2. DSAnpUG-EU und damit Änderung des aktuellen BDSG auch vom Bundesrat beschlossen

Ismaning, 06. November 2023

Hallo ,

In einem Monat ist Nikolaus. Das hat nun mal gar nichts mit dem Datenschutz zu tun. Aber 11 Tage nach Nikolaus müssen auch Unternehmen die zwischen 50 und 249 Beschäftigten haben, eine Meldestelle nach § 12 Hinweisgebberschutzgesetz eingerichtet haben, größere Unternehmen und Unternehmen aus manchen Brachen auch bereits zum 01. Dezember 2023.Und das HinSchG (wie das Hinweisgeberschutzgesetz abgekürzt heißt) hat auch einiges mit dem Datenschutz zu tun.

Wenn in Ihrem Unternehmen in der Regel maximal 49 Beschäftigte sind, müssen Sie diese E-Mail nicht weiterlesen, den in diesem Newsletter geht es wirklich nur um das Hinweisgeberschutzgesetz und den Datenschutz.

Inhalt:

Was ist das Hinweisgeberschutzgesetz
Was hat das Hinweisgeberschutzgesetz mit dem Datenschutz zu tun?
Einige Regelungen zur internen Meldestelle nach § 12 HinSchG
Was bedeutet das Hinweisgeberschutzgesetz für Ihr Unternehmen
Werbung: Meine Dienstleistungen zum Hinweisgeberschutzgesetz
Fußnoten

Ich denke das reicht für heute und wünsche Ihnen nun eine anregende Lektüre.

Viele Grüße,

Werner Hülsmann

P.S.: Wenn Sie diesen Newsletter weiterempfehlen wollen, reichen Sie bitte diesen Link weiter: https://dsgvo.expert/NEWSL

1. Was ist das Hinweisgeberschutzgesetz

Das Hinweisgeberschutzgesetz (kurz: HinSchG, lang: Gesetz für einen besseren Schutz hinweisgebender Personen) ist als Artikel 1 des „Gesetz für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ vom 31. Mai 2023 am 02. Juni 2023 im BGBl. 140/2023[1] veröffentlicht worden. Die Artikel 2 bis 9 dieses Gesetzes mit dem ziemlich langen Titel ändern bereits bestehende Gesetze wie das Arbeitsschutzgesetz, das Finanzdienstleistungsaufsichtsgesetz oder das Geldwäschegesetz. Artikel 10 regelt, dass Inkraftreten des Gesetzes – mit Ausnahme von Art. 1 § 41 am 02. Juli 2023. Der Art. 1 § 41 enthält eine Regelung zur Verordnungsermächtigung, die bereits am 03. Juni 2023 in Kraft getreten ist.

Der Zweck des Hinweisgeberschutzgesetzes ist in § 1 HinSchG[2] geregelt:
"(1) Dieses Gesetz regelt den Schutz von natürlichen Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit oder im Vorfeld einer beruflichen Tätigkeit Informationen über Verstöße erlangt haben und diese an die nach diesem Gesetz vorgesehenen Meldestellen melden oder offenlegen (hinweisgebende Personen).
(2) Darüber hinaus werden Personen geschützt, die Gegenstand einer Meldung oder Offenlegung sind, sowie sonstige Personen, die von einer Meldung oder Offenlegung betroffen sind."

Nach § 12 Abs. 1 HinSchG[3] i.V.m. Abs. 2 muss jeder "Beschäftigungsgeber" (das sind im weiteren Sinne Arbeitgeber:innen, vgl. die Begriffsbestimmung in § 3 Abs. 9 HinSchG[4]) mit in der Regel mindestens 50 Beschäftigten (vgl. die Begriffsbestimmung in § 3 Abs. 8 HinSchG[4]) eine interne Meldestelle einreichten. Für Beschäftigungsgeber mit nicht mehr als 249 Beschäftigten ist durch die Übergangsregelung aus § 42 Abs 1 HinSchG[5] die Pflicht zur Errichtung einer Meldestelle vom 02. Juli 2023 auf den 17 Dezember 2023 verschoben worden.

Bei gewissen Branchen (vgl. § 12 Abs. 3 HinSchG[3] ist die interne Meldestelle zum Einen unabhängig von der Anzahl der Beschäftigten und zum Anderen in jedem Fall zum 02. Juli 2023 einzurichten.

Gemäß § 12 Abs. 4 HinSchG[3] hat der Beschäftigungsgeber der internen Meldestelle alle Befugnisse zu erteilen, die diese benötigt um „ihre Aufgaben wahrzunehmen, insbesondere, um Meldungen zu prüfen und Folgemaßnahmen zu ergreifen“.

Auch wenn das Nichteinrichten einer Meldestelle gemäß § 40 Abs. 2 Ziff. 2 HinSchG[6] bußgeldbewehrt ist, erreicht Sie diese Informaion doch noch rechtzeitig. Den die Übergangsregelung aus § 42 Abs 2 HinSchG[5] sorgt dafür, dass Verstöße gegen diese Pflicht, die vor dem 01. Dezember 2023 begangen werden, nicht geahndet werden.

2. Was hat das Hinweisgeberschutzgesetz mit dem Datenschutz zu tun?

Beim Hinweisgeberschutzgesetz sind insbesondere drei Aspekte im Zusammenhang mit dem Datenschutz zu sehen:

Das Hinweisgeberschutzgesetz bezieht sich auch auf Meldungen oder Offenlegungen von Datenschutzverstößen, insbesondere von Verstößen gegen die DSGVO sowie die Umsetzungsgesetze der EU-Privacy-Richtlinie (und künftig nach deren noch nicht absehbaren Gültigwerden auch auf Verstöße gegen die EU-ePirivacyVO). Somit können betroffene Personen oder hinweisgebene Personen sich bei Datenschutzverstößen nicht nur an die Datenschutzbeauftragten und Datenschutz-Aufsichtsbehörden wenden sondern auch an die internen und externen Meldestellen.
Das Hinweisgeberschutzgesetz enthält selbst datenschutzrechtliche Regelungen über den Umgang mit personenbezogenen Daten von hinweisgebenden Personen, von Personen, die Gegenstand einer Meldung oder Offenlegung sind, sowie von sonstigen Personen, die von einer Meldung oder Offenlegung betroffen sind. Diese Regelungen sind zwingend einzuhalten. Das Verfahren "Betrieb einer Meldestelle nach § 12 HinSchG" ist im Verzeichnis von Verarbeitungstätigkeiten aufzunehmen
Die bei allen Unternehmen ab 50 Beschäftigten einzurichtende interne Meldestelle (s.o.) kann beim Datenschutzmanagement (soweit vorhanden) oder bei der:dem betrieblichen Datenschutzbeauftragten angesiedelt werden. Dabei ist es unerheblich ob die:der Datenschutzbeauftragte ein:e eigene:r Beschäftigte:r oder ein:e externe:r Dienstleister:in ist.

3. Einige Regelungen zur internen Meldestelle nach § 12 HinSchG

Im folgenden führe ich nur zwei wichtige Regelungen auf. Dies zum einen um diese E-Mail nicht zu sehr aufzublähen und zum anderen weil nur fachkundige Personen mit dem Betrieb der Meldestelle beauftragt werden dürfen und diese Personen im Rahmen Ihres Fachkundeerwerbs sich ausführlich mit allen Regelungen für die internen Meldestellen auseinandersetzen müssen.

§ 14 Organisationsformen interner Meldestellen[7]

In § 14 Abs. 1 Satz 1 HinSchG ist ausdrücklich geregelt, dass

ein:e Beschäftigte:r,
eine aus mehreren beschäftigten Personen bestehende Arbeitseinheit (z.B. Abteilung) oder
ein:e Dritte:r

mit den Aufgaben der internen Meldestelle betraut werden kann.

§ 14 Abs. 1 Satz 2 HinSchG stellt klar, dass auch bei der Beauftragung einer:eines Dritten der Beschäftigungsgeber verpflichtet ist „selbst geeignete Maßnahmen zu ergreifen, um einen etwaigen Verstoß abzustellen.“ Absatz 2 regelt, dass mehrere „private Beschäftigungsgeber mit in der Regel 50 bis 249 Beschäftigten“ eine gemeinsame interne Meldestelle betreiben können. Dabei verbleiben aber die „ Pflicht Maßnahmen zu ergreifen, um den Verstoß abzustellen, und die Pflicht zur Rückmeldung an die hinweisgebende Person“ bei dem jeweiligen Beschäftigungsgeber.

§ 15 Unabhängige Tätigkeit; notwendige Fachkunde

Die Regelungen aus § 15 HinSchG[8] sind in vergleichbarer Form bereits aus den Regelungen zu den betrieblichen Datenschutzbeauftragten bekannt:
„(1) Die mit den Aufgaben einer internen Meldestelle beauftragten Personen sind bei der Ausübung ihrer Tätigkeit unabhängig. Sie dürfen neben ihrer Tätigkeit für die interne Meldestelle andere Aufgaben und Pflichten wahrnehmen. Es ist dabei sicherzustellen, dass derartige Aufgaben und Pflichten nicht zu Interessenkonflikten führen.
(2) Beschäftigungsgeber tragen dafür Sorge, dass die mit den Aufgaben einer internen Meldestelle beauftragten Personen über die notwendige Fachkunde verfügen. (…)“

Aus den diesen beiden Regelungen ergibt sich aus meiner Sicht, dass die interne Meldestelle bei der:dem Datenschutzbeauftragten oder bei Datenschutzmanagement gut angesiedelt ist. Sowohl das Datenschutzmanagment als auch die Datenschutzbeauftragten sind in der unabhängigen Anwendung ihrer Fachkunde geübt.

4. Was bedeutet das Hinweisgeberschutzgesetz für Ihr Unternehmen

Wenn Ihr Unternehmen zu den Beschäftigungsgebern gehört, die eine interne Meldestelle einrichten müssen, muss sich Ihr unternehmen überlegen, ob es

eine:n einzelne:n Mitarbeiter:in,
einen Arbeitsbereich (z.B eine Abteilung oder eine Arbeitsgruppe wie das Datenschutzmanagement) oder
eine:n externe Dienstleister:in

mit dem Betrieb der Meldestelle beauftragen will. In den ersten beiden Fällen muss Ihr Unternehmen dafür sorgen, dass die Person/en zeitnah die erforderliche Fachkunde erhalten.

5. Werbung: Meine Dienstleistungen zum Hinweisgeberschutzgesetz

Unabhängig davon, für welche Variante des Meldestellenbetriebs sich Ihr Unternehmen entscheidet, bitte ich Ihnen meine Unterstützung an. So kann ich der/den gewählten Person/en in einer Fachkunde-Schulung (gerne auch online) die nach § 15 erforderliche Fachkunde vermitteln. Falls Sie sich hierfür interessieren, schjreiben eine kurze E-Mail an hinschg@datenschutzwissen.de mit dem Betreff "Angebot für eine Fachkundeschulung zum HinSchG" und geben Sie dabei die Anzahl der zu schuldenden Personen an oder schauen Sie auf https://datenschutzwissen.de/wp/hinschg-fachkundeschulung-zum-betrieb-der-internen-meldestelle/ .

Falls Ihr Unternehmen einen externen Dienstleister mit dem Betrieb der internen Meldestelle beauftragen möchte, kann ich diese Dienstleistung - nach gesonderter Vereinbarung - für Ihr Unternehmen erbringen. Schreiben Sie hierzu einfach eine kurze E-Mail an hinschg@datenschutzwissen.de mit dem Betreff: "Angebot für Einrichtung und Betrieb einer HinSchG-Meldestelle" und geben Sie dabei die Anzahl der Beschäftigten in Ihrem Unternehmen an.

Für Rückfragen stehe ich gerne zur Verfügung.

6. Fußnoten:

[1] https://www.recht.bund.de/bgbl/1/2023/140/VO.html?nn=55638 – BGBl. 140/2023 direkt als PDF-Datei: https://www.recht.bund.de/bgbl/1/2023/140/regelungstext.pdf?__blob=publicationFile&v=2
[2] https://www.gesetze-im-internet.de/hinschg/__1.html
[3] https://www.gesetze-im-internet.de/hinschg/__12.html
[4] https://www.gesetze-im-internet.de/hinschg/__3.html
[5] https://www.gesetze-im-internet.de/hinschg/__42.html
[6] https://www.gesetze-im-internet.de/hinschg/__40.html
[7] https://www.gesetze-im-internet.de/hinschg/__14.html
[8] https://www.gesetze-im-internet.de/hinschg/__15.html

_________________________________________________
Um Ihre Newsletter-Einstellungen zu ändern oder Ihre Daten zu berichtigen, bitte hier klicken. - Um Ihre Daten zu Auskunftszwecken gemäß Art. 15 der EU-Datenschutz-Grundverordnung (DSGVO) oder zum Zwecke der Datenübertragbarkeit gemäß Art. 20 DSGVO herunterzuladen, bitte hier klicken - Sollten Sie Ihre Einwilligung widerrufen und sich wieder abmelden wollen, dann bitte hier klicken - Die Datenschutzerklärung finden Sie hier


-----------------------------------------------

Meine  Infoseite  zur Europäischen Datenschutz-
grundverordnung (DSGVO): 
-----------------------------------------------

-- 

Datenschutzwissen.de - Dipl. Inform. Werner Hülsmann
- Datenschutzgutachter - Datenschutzexperte -

* Münchener Str. 101 - Gebäude 1 / 1. OG -  D-85737 Ismaning
  FAX.: 089 / 51 30 569-8  
* Pappelhof 12 - D-14478 Potsdam
Mobil: 0177 / 28 28 681 
E-Mail: wh@datenschutzwissen.de - http://www.datenschutzwissen.de