Datenschutz-Folgenabschätzung (DSFA) erforderlich!

Die EU-Whistleblower-Richtlinie wurde am 2. Juli 2023 mit den Hinweisgeberschutzgesetz (HinSchG) in nationales Recht umgesetzt.

Das Hinweisgeberschutzgesetz (HinSchG), auch als Whistleblower-Gesetz bekannt, soll Hinweisgeber vor Repressalien schützen, wenn sie schwerwiegende Verstöße gegen das öffentliche Auftragswesen, den Verbraucherschutz, den Datenschutz, den Umweltschutz, Steuerbetrug usw. melden.

Die Meldung solcher Verstöße setzt die Verarbeitung nicht nur personenbezogener Daten des Hinweisgebers, sondern auch der Person voraus, die die Verstöße begangen hat (die “betroffene Person”). Da viele Bereiche dem Strafrecht unterliegen, bedeutet dies, dass auch Daten über die betroffene Person verarbeitet werden, die sich auf Straftaten beziehen.

Infolgedessen muss eine Organisation, welche Daten nach dem Hinweisgeberschutzgesetz verarbeitet, auch eine Datenschutz-Folgenabschätzung (DSFA) durchführen, um der DSGVO gerecht zu werden.

 

Fazit:

Es ist zu erwarten das im Zusammenhang mit dem Hinweisgeberschutzgesetz auch besonders sensible, dem Artikel 9 DS-GVO unterfallende Informationen verarbeitet werden. Damit liegt es auf der Hand, dass bei Nutzung eines Meldesystems und durch die damit im Zusammenhang stehende Datenverarbeitung große Risiken für die betroffenen Personen zu erwarten sind.

Vor diesem Hintergrund sind Unternehmen verpflichtet vor Einrichtung eines Hinweisgebersystems eine Datenschutzfolgenabschätzung (DSFA) gem. DS-GVO Art. 35 durchzuführen.