Die DSK-OH Whistleblowing-Hotlines (November 2018) regelt den Datenschutz bei firmeninternen Hinweisgebersystemen. Seit 2023 gilt zudem das Hinweisgeberschutzgesetz (HinSchG).
Rechtsgrundlage: Je nach Branche kann die Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) sein - etwa bei Finanzdienstleistern nach KWG oder WpHG, die zur Einrichtung eines Hinweisgebersystems verpflichtet sind. Für freiwillige Systeme kommt Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Aufdeckung von Missständen) in Betracht. Art. 6 Abs. 1 lit. b (Vertrag) ist nach der DSK nicht anwendbar.
Anonyme Hinweise: Die DSK empfiehlt, anonyme Hinweise zu ermöglichen, aber Maßnahmen gegen Missbrauch vorzusehen.
Rechte der beschuldigten Person: Beschuldigte Personen haben grundsätzlich ein Recht auf Information (Art. 14 DSGVO). Die Information kann aufgeschoben werden, solange die Untersuchung dadurch gefährdet würde (Paragraph 33 BDSG). Nach Abschluss der Untersuchung ist jedoch zu informieren.
Strenge Zweckbindung: Die Meldungen dürfen nur für die festgelegten Kategorien von Verstößen verwendet werden.
Löschpflicht: Daten sind zu löschen, sobald die Untersuchung abgeschlossen ist und kein Bedarf mehr besteht. Das HinSchG sieht eine Dokumentationspflicht von 3 Jahren nach Abschluss des Verfahrens vor.
Externe Betreiber: Wird das Hinweisgebersystem von einem externen Dienstleister betrieben, ist ein AV-Vertrag nach Art. 28 DSGVO erforderlich.
DSFA: Eine Datenschutz-Folgenabschätzung kann erforderlich sein, insbesondere bei umfangreichen Systemen mit Verarbeitung besonderer Datenkategorien.
Betriebsrat: Die Einführung eines Hinweisgebersystems unterliegt der Mitbestimmung des Betriebsrats.