Gestern hatte ich ja mal damit angefangen, typische Fragestellungen im Zusammenhang mit dem Hinweisgeberschutzgesetz (HinSchG) darzustellen. Jetzt ist mir eingefallen, dass diese Auflistung ohne die folgenden Punkte aus meiner Sicht nicht vollständig ist. Und die sind schon irgendwie heikel. Dieser Beitrag ist insofern nicht als Handlungsempfehlung sondern als Meinungsäußerung zu verstehen.
Wohl herrschende Meinung ist, dass eine Datenschutzfolgenabschätzung für den Betrieb einer internen Meldestelle erforderlich ist (z.B. ZD 2022).
Die übrigen Personen gehen wohl davon aus, dass keine Datenschutzfolgenabschätzung erforderlich ist, diese aber auf jeden Fall zu empfehlen sei (https://www.datenschutz-notizen.de/notwendigkeit-einer-datenschutz-folgenabschaetzung-bei-einfuehrung-einer-internen-meldestelle-0244086/). Ich muss zugeben, dass ich dieser Auffassung folge, wobei ich das jetzt nur aus der Sicht als Einzel-Anwaltskanzlei sehe. Wesentlich ist, dass man als interne Meldestelle informationen bekommt, die rechtliche Implikationen auslösen können, wie z.B. Bußgelder. Wenn das für sich genommen schon ausreichen würde, um ein hohes Risiko zu begründen, dann wäre letztlich fast jeder Anwalt verpflichtet eine Datenschutzfolgenabschätzung durchzuführen (in der DSK-Positivliste werden übrigens nur "große Anwaltsoizitäten" erwähnt).
Würde man das für Einzelanwälte anders beurteilen, hätte das auch die widersinnige Folge, dass man als Einzelanwalt verpflichtet wäre, nach § 38 Abs. 2 BDSG einen Datenschutzbeauftragten zu benennen. Unabhängig davon, dass diese Regelung vermutlich gegen die DSGVO verstößt, die die DSFA m.E. abschließend regelt, wird eine Bestellpflicht für Einzelanwälte nun wirklich nicht gefordert oder gemacht.
Die Durchführungspflicht zu einer Datenschutzfolgenabschätzung könnte aber auf das Vorliegen der Kriterien des Arbeitspapiers 248 des Europäischen Datenschutzausschusses (https://ec.europa.eu/newsroo m/article29/item-detail.cfm?item_id=611236) gestützt werden. Zweifel bleiben vom Ergebnis her aber bestehen.
Ich würde daher eine DSFA durchführen, eine Verpflichtung hierzu aber verneinen, um die für Einzelanwälte nun wirklich nicht angebrachten Benennungspflicht eines Datenschutzbeauftragten vermeiden zu können. Die Durchführung der DSFA alleine schadet sicher nicht.
Das Ergebnis lässt sich im Übrigen auch auf den Erwägungsgrund 91 der DSGVO stützen.
Zu Ohren gekommen ist mir auch schon, dass Manche meinen, für Anwälte würden Interessenkonflikte bestehen, wenn sie eine interne Meldestelle betreiben würden. Das Rechtsanwälte, ebenso wie Datenschutzbeauftragte, als (externe) interne Meldestelle in Betracht kommen, wird weder im Gesetz (§ 15 HinSchG), noch in der mir bekannten Literatur grundsätzlich in Frage gestellt (z.B. ZD 5/2023 Seite IX). Ein Konflikt könnte für Rechtsanwälte jedenfalls dann bestehen, wenn sie in den Verfahren die gemeldet werden, auch als Verteidiger involviert sind. Ich bin jedenfalls bei keinen Unternehmen als Meldestelle benannt, bei dem ich gleichzeitig als Anwalt tätig bin. Für diesen Fall halte ich einen Interessenkonflikt jedenfalls nicht für möglich.
Für die Frage, was für eine datenschutzrechtliche Vereinbarung mit der (externen) internen Meldestelle zu treffen ist, hört man sehr unterschiedliche Positionen. Diese schwanken zwischen Auftragsvereinbarung, Vereinbarung zur Gemeinsame Verantwortung oder eine kombinierte Vereinbarung mit Auftragsvereinbarung und gemeinsamer Verantwortung. Bei der Entscheidung ist zu berücksichtigen, was im Einzelfall konkret übernommen wird.
Spätestens dann, wenn die Meldestellen auch die internen Ermittlungen übermimmt, bestehen Zweifel an der typischen Weisungsgebundenheit, wie es im Rahmen eines AV-Vertrags der identifizierende Aspekt ist. Sofern dies nicht eindeutig der Fall ist, scheint mir ein AV-Vertrag eine gute Basis zu sein, die später ggf. erweitert werden kann.
