Am 17.12.23 war es soweit. Unternehmen, die in der Regel 50 bis 249 Beschäftigte haben, müssen eine interne Meldestelle eingerichtet haben. Doch nicht nur die Meldestelle mit den Meldekanälen und der Meldestellen-Beauftragte müssen klar sein. Haben Sie auch an die notwendigen Dokumente für den Datenschutz gedacht?
Vertraulichkeitsverpflichtung
Geht eine Meldung bei der Meldestelle ein, so wird der Meldestellen-Beauftragte in der Regel mit sensiblen Daten in Berührung kommen. Der Meldestellen-Beauftragte muss daher entsprechend des HinSchG auf die Vertraulichkeit verpflichtet werden.
Informationen über die Nutzung des internen Meldeverfahrens für Beschäftigte
Der Beschäftigungsgeber muss seine Beschäftigten über die Nutzung und die damit einhergehende Datenverarbeitung informieren. Inhaltlich müssen hier die Vorgaben nach der DSGVO (Art.13 DSGVO) beachtet werden.
Informationen über verfügbare externe Meldestellen für Beschäftigte
Der Hinweisgebende kann sich als Alternative zur internen Meldestelle auch an eine externe Meldestelle wenden. Hierfür muss der Beschäftigungsgeber Informationen über externe Meldestellen zur Verfügung stellen.
Informationen gegenüber Betroffenen, deren Daten die Meldung betreffen
Nicht zu vergessen sind die Informationspflichten gegenüber den betroffenen Personen, deren personenbezogene Daten aufgrund der Meldung ebenfalls verarbeitet werden (Art. 14 DSGVO). Hier besteht eine Informationspflicht innerhalb eines Monats. Eine Ausnahme der Informationspflicht nach Art. 14 DSGV besteht jedoch dann, wenn durch die Information beispielsweise die Untersuchung des Vorwurfs oder die Beweisführung erschwert würde, oder wenn Informationen offenbart würden, die ihrem Wesen nach geheim gehalten werden müssen, beispielsweise wegen berechtigter Interessen von Dritten.
Aufnahme der Verarbeitungsvorgänge in das Verarbeitungsverzeichnis
Ebenso muss beachtet werden, dass die Datenverarbeitungsvorgänge im Hinblick auf die Meldestelle in das Verarbeitungsverzeichnis aufgenommen werden müssen.
Durchführung einer Datenschutz-Folgenabschätzung (DSFA)
Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) sieht bei einer Meldung von Missständen zudem ein hohes Risiko für die Rechte und Freiheiten von natürlichen Personen, sodass eine Datenschutz-Folgenabschätzung (DSFA) empfohlen wird.
Sie haben weitere Fragen? Gerne helfen wir Ihnen bei der Erstellung der Dokumente.
