Verantwortlichkeit im Hinweisgebersystem – Wer ist für den Datenschutz verantwortlich?

19. März 2025

Allgemein

Einleitung

Mit dem Hinweisgeberschutzgesetz (HinSchG) müssen Unternehmen, Behörden und Organisationen ein sicheres Hinweisgebersystem bereitstellen. Neben der technischen Umsetzung ist die datenschutzrechtliche Verantwortlichkeit ein zentrales Thema. Wer ist für den Datenschutz verantwortlich, wenn ein externer Vertrauensanwalt oder eine Ombudsstelle die Hinweise entgegennimmt? Welche Anforderungen gelten für die Datenschutzerklärung? Dieser Beitrag erklärt, worauf es ankommt.

Was bedeutet „Verantwortliche Stelle“ im Datenschutz?

Nach Art. 4 Nr. 7 Datenschutz-Grundverordnung (DS-GVO) ist Verantwortlicher die Stelle, die allein oder gemeinsam über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Dies ist entscheidend für die Einhaltung der DS-GVO, insbesondere für Informationspflichten, Betroffenenrechte und Datensicherheit.

Externe Ombudsstelle oder internes System – Wer ist verantwortlich?

Viele Unternehmen setzen externe Vertrauensanwälte oder Ombudsstellen ein, um die Vertraulichkeit der Hinweisgeber zu gewährleisten. Dabei stellt sich die Frage, ob diese als Auftragsverarbeiter, eigenständige Verantwortliche oder gemeinsam mit dem Unternehmen verantwortlich sind.

Eigenständige Verantwortlichkeit der Ombudsstelle

Eine Ombudsstelle oder ein externer Vertrauensanwalt ist eigenständiger Verantwortlicher, wenn er:

  • die Hinweise eigenständig entgegennimmt und prüft
  • selbst entscheidet, ob und in welchem Umfang eine Meldung weitergeleitet wird
  • eine eigene Kommunikation mit Hinweisgebern führt

In diesem Fall liegt keine Auftragsverarbeitung nach Art. 28 DS-GVO vor, sondern eine eigenständige Verarbeitung personenbezogener Daten durch den Vertrauensanwalt.

Gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO

Eine gemeinsame Verantwortlichkeit besteht nur, wenn Unternehmen und Ombudsstelle gemeinsam über die Zwecke und Mittel der Verarbeitung entscheiden. Dies setzt eine Vereinbarung nach Art. 26 DS-GVO voraus. Da Vertrauensanwälte unabhängig arbeiten und keine Weisungen des Unternehmens unterliegen, besteht in der Regel keine gemeinsame Verantwortlichkeit.

Datenschutzerklärung für Hinweisgebersysteme

Bei einem Hinweisgebersystem mit einer externen Ombudsstelle müssen die Verantwortlichkeiten klar in der Datenschutzerklärung benannt werden. Diese sollte enthalten:

  • Die vollständigen Kontaktdaten beider Verantwortlicher
  • Eine transparente Abgrenzung der Verantwortungsbereiche
  • Die Rechtsgrundlagen der Verarbeitung (Art. 6 Abs. 1 lit. c DS-GVO i.V.m. § 10 HinSchG für gesetzliche Meldepflichten, Art. 6 Abs. 1 lit. f DS-GVO für berechtigtes Interesse an Compliance)
  • Hinweise auf mögliche Einschränkungen von Betroffenenrechten gemäß § 8 HinSchG

Speicherung und Löschung der Daten

Nach § 11 Abs. 5 HinSchG müssen Dokumentationen spätestens drei Jahre nach Abschluss des Verfahrens gelöscht werden, es sei denn, eine längere Aufbewahrung ist erforderlich und verhältnismäßig. Dies kann beispielsweise der Fall sein, wenn noch rechtliche Verfahren laufen oder gesetzliche Nachweispflichten bestehen.

Datenschutzrechtliche Pflichten für Unternehmen und Ombudsstellen

Beide Verantwortliche müssen unabhängig voneinander:

  • die Informationspflichten nach Art. 13, 14 DS-GVO erfüllen
  • technische und organisatorische Maßnahmen zum Schutz der Daten umsetzen (Art. 32 DS-GVO)
  • Betroffenenrechte bearbeiten
  • Datenschutzverletzungen gemäß Art. 33, 34 DS-GVO melden

Fazit

Die datenschutzrechtliche Verantwortlichkeit im Hinweisgebersystem muss klar definiert sein. Externe Ombudsstellen oder Vertrauensanwälte sind in der Regel eigenständige Verantwortliche und müssen in der Datenschutzerklärung entsprechend benannt werden. Unternehmen sollten dies frühzeitig berücksichtigen, um Datenschutzverstöße zu vermeiden.

Wenn Sie ein sicheres Hinweisgebersystem mit externer Ombudsstelle benötigen, informieren Sie sich über unser Angebot als Vertrauensanwälte und unsere Whitelabel-Lösung unter sicher-hinweisen.de.

FAQ: Verantwortlichkeit im Hinweisgebersystem

Verantwortlich sind:

  • Das Unternehmen für die Bearbeitung und Nachverfolgung der Meldungen
  • Der Vertrauensanwalt oder die Ombudsstelle für die Entgegennahme und Erstprüfung

Beide sind eigenständige Verantwortliche und nicht gemeinsam verantwortlich.

Ja. Da sie eigenständig personenbezogene Daten verarbeitet, muss sie mit vollständigen Kontaktdaten aufgeführt werden.

  • Art. 6 Abs. 1 lit. c DS-GVO i.V.m. § 10 HinSchG für gesetzliche Meldepflichten
  • Art. 6 Abs. 1 lit. f DS-GVO für berechtigtes Interesse an Compliance

Betroffene können Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung verlangen. Einschränkungen sind möglich, wenn die Vertraulichkeit des Hinweisgebers oder laufende Ermittlungen gefährdet würden (§ 8 HinSchG).

Die Dokumentation wird spätestens drei Jahre nach Abschluss des Verfahrens gelöscht (§ 11 Abs. 5 HinSchG). Eine längere Aufbewahrung ist möglich, wenn sie erforderlich und verhältnismäßig ist.

Verantwortliche müssen geeignete Maßnahmen nach Art. 32 DS-GVO treffen, z. B. verschlüsselte Übertragung, Zugriffskontrollen und sichere Speicherung.

Ja, für Unternehmen mit mehr als 50 Beschäftigten und für den öffentlichen Sektor (§ 12 HinSchG).

Das Unternehmen kann eine externe Meldestelle, z. B. eine Ombudsstelle oder einen Vertrauensanwalt, einsetzen.

Wenn Sie ein datenschutzkonformes Hinweisgebersystem benötigen, bieten wir unter sicher-hinweisen.de eine Whitelabel-Lösung und unsere Leistungen als Vertrauensanwälte an.