DSGVO und Hinweisgebermeldungen: Was Sie wissen müssen #
Jede Hinweisgebermeldung enthält personenbezogene Daten. Die hinweisgebende Person gibt möglicherweise ihren Namen an. Die Meldung nennt wahrscheinlich die Person, der Fehlverhalten vorgeworfen wird. Die Handlungen der bearbeitenden Person werden protokolliert. All das sind personenbezogene Daten im Sinne der DSGVO.
Daraus entsteht das Spannungsfeld, mit dem Compliance-Verantwortliche täglich zu tun haben: Die Hinweisgeberrichtlinie (2019/1937) verlangt, Meldungen zu erheben und aufzubewahren, die DSGVO verlangt eine Rechtsgrundlage, Datenminimierung und Löschung, sobald die Daten nicht mehr benötigt werden.
Hier zeigen wir, wie die beiden Rahmenwerke zusammenspielen — und was das in der Praxis bedeutet.
Welche personenbezogenen Daten enthält eine Hinweisgebermeldung? #
Mehr, als man denkt:
| Daten | Quelle | DSGVO-Kategorie |
|---|---|---|
| Name der hinweisgebenden Person (falls angegeben) | Freiwillig | Personenbezogene Daten |
| Kontaktdaten (falls angegeben) | Freiwillig | Personenbezogene Daten |
| Name der beschuldigten Person | Meldungsinhalt | Personenbezogene Daten (Dritte) |
| Details zum mutmaßlichen Fehlverhalten | Meldungsinhalt | Können besondere Kategorien (Art. 9) oder Daten über strafrechtliche Verurteilungen/Straftaten (Art. 10) enthalten |
| Hochgeladene Dateien (Dokumente, Fotos) | Hinweisgebende Person | Können Metadaten enthalten (GPS, Autor, Zeitstempel) |
| Aktionen und Notizen der bearbeitenden Person | Fallmanagement | Personenbezogene Daten (Bearbeiter:in) |
| Zeitstempel und Audit-Protokoll | System | Personenbezogene Daten |
Beschreibt eine Meldung Belästigung, Diskriminierung oder Gesundheitsthemen, kann sie besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO enthalten — das löst strengere Verarbeitungsbedingungen aus. Meldungen mit strafrechtlichem Bezug fallen unter Art. 10 (strafrechtliche Verurteilungen und Straftaten), der eigene Beschränkungen vorsieht.
Was ist die Rechtsgrundlage der Verarbeitung? #
Sie benötigen eine Rechtsgrundlage nach Art. 6 DSGVO, um personenbezogene Daten in Hinweisgebermeldungen zu verarbeiten. Die am häufigsten genutzten Grundlagen:
Art. 6 Abs. 1 lit. c — Rechtliche Verpflichtung #
Dies ist die primäre Grundlage. Die EU-Richtlinie 2019/1937 und ihre nationalen Umsetzungen begründen eine rechtliche Verpflichtung, einen Meldekanal zu betreiben. Die Verarbeitung personenbezogener Daten ist zur Erfüllung dieser Verpflichtung erforderlich.
Dazu gehören:
- Annahme der Meldung
- Sichere Speicherung
- Ermittlung der Vorwürfe
- Kommunikation mit der hinweisgebenden Person
- Führung eines Audit-Protokolls
Art. 6 Abs. 1 lit. f — Berechtigtes Interesse #
Manche Organisationen nutzen das berechtigte Interesse als sekundäre Grundlage, insbesondere für Verarbeitungen über die Mindestanforderungen der Richtlinie hinaus (z. B. interne Auswertung, Trendberichte). Erforderlich sind eine Interessenabwägung (LIA) und ein Abwägungstest.
Art. 6 Abs. 1 lit. e — Öffentliches Interesse (öffentlicher Sektor) #
Öffentliche Stellen können sich auf das öffentliche Interesse stützen, insbesondere wenn das nationale Recht die Verarbeitung zum Schutz von Hinweisgeber:innen ausdrücklich zulässt.
Und die Einwilligung? #
Stützen Sie sich nicht auf eine Einwilligung. Das Machtgefälle zwischen Arbeitgeber und Hinweisgeber:in bedeutet, dass eine Einwilligung nicht freiwillig gegeben sein dürfte (Erwägungsgrund 43 DSGVO). Eine hinweisgebende Person kann nicht sinnvoll zustimmen, wenn ihr Arbeitsplatz vom Ausgang abhängen könnte. Nutzen Sie stattdessen die rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c).
Anonyme Meldungen und die DSGVO #
Das ist die Frage, die Compliance-Verantwortliche am häufigsten stellen: Gilt die DSGVO, wenn eine Meldung wirklich anonym ist?
Wenn die hinweisgebende Person nicht identifizierbar ist: DSGVO gilt für sie nicht #
Die DSGVO gilt für personenbezogene Daten einer identifizierten oder identifizierbaren Person (Art. 4 Abs. 1). Reicht eine hinweisgebende Person eine Meldung ohne Name, E-Mail oder sonstige identifizierende Daten ein — und protokolliert das System weder IP-Adresse noch andere Kennungen — ist der Meldungsinhalt im Hinblick auf die hinweisgebende Person kein personenbezogenes Datum.
Allerdings:
- Die beschuldigte Person in der Meldung ist weiterhin identifizierbar. Die DSGVO gilt für deren Daten in vollem Umfang.
- Enthält der Meldungsinhalt Details, aus denen sich die Identität der hinweisgebenden Person mittelbar ableiten lässt („Ich bin die einzige Frau im dritten Stock"), kann es weiterhin personenbezogenes Datum sein.
Was „anonym" technisch erfordert #
Damit Anonymität einer DSGVO-Prüfung standhält, muss Ihr Melde-Tool:
- Keine IP-Adressen protokollieren. Jegliches IP-Logging macht die hinweisgebende Person pseudonym, nicht anonym.
- Kein Konto oder keine E-Mail verlangen. Authentifiziert sich die hinweisgebende Person, ist sie identifizierbar.
- Dateimetadaten entfernen. Hochgeladene Fotos und Dokumente enthalten EXIF-Daten (GPS-Koordinaten, Autorenname, Geräteinfos), die die hinweisgebende Person identifizieren können.
- Keine Analyse- oder Tracking-Cookies im Meldeportal einsetzen.
Tut Ihr Tool eines davon, erheben Sie pseudonyme, nicht anonyme Daten — und die DSGVO gilt vollständig.
Datenminimierung (Art. 5 Abs. 1 lit. c) #
Die Richtlinie verlangt einen Meldekanal. Sie verlangt nicht, mehr Daten zu erheben als nötig.
In der Praxis:
- Die Identität der hinweisgebenden Person muss optional sein. Die Einreichung ohne Name oder Kontaktdaten muss möglich sein.
- Eingabeformulare sollten nur das Nötige erfassen. Beschreibung des Fehlverhaltens, Kategorie und optionale Belege. Abteilung, Personalnummer oder andere Kennungen dürfen nur erhoben werden, wenn die hinweisgebende Person sie freiwillig angibt.
- Notizen der bearbeitenden Person sollten ermittlungsrelevant sein. Protokollieren Sie keine überflüssigen persönlichen Details über hinweisgebende oder beschuldigte Personen.
Rechte der beschuldigten Person #
Hier wird es komplex. Die in einer Hinweisgebermeldung beschuldigte Person hat DSGVO-Rechte — einschließlich des Rechts auf Information (Art. 14), auf Auskunft (Art. 15) und auf Löschung (Art. 17).
Die Ausübung dieser Rechte darf jedoch die Vertraulichkeit der hinweisgebenden Person nicht gefährden (Art. 16 der Richtlinie).
Recht auf Information (Art. 14) #
Nach der DSGVO müssen Sie Personen informieren, wenn Sie deren Daten verarbeiten. Art. 16 Abs. 1 der Richtlinie verlangt jedoch den Schutz der Identität der hinweisgebenden Person. Die Lösung:
- Sie können die beschuldigte Person informieren, dass eine Meldung vorliegt — aber nur, wenn dies die hinweisgebende Person nicht identifiziert.
- Der Zeitpunkt ist entscheidend. Viele Mitgliedstaaten erlauben die Verzögerung der Benachrichtigung, solange sie die Ermittlung gefährden würde. Das HinSchG schränkt die Offenlegung während der Ermittlung ausdrücklich ein.
- Nationale Datenschutzbehörden akzeptieren in der Regel, dass die Vertraulichkeitspflichten der Richtlinie die sofortige Benachrichtigungspflicht überlagern.
Auskunftsrecht (Art. 15) #
Die beschuldigte Person kann Auskunft über die zu ihr gespeicherten Daten verlangen. Sie müssen Auskunft erteilen — aber Informationen schwärzen, die die hinweisgebende Person identifizieren. Dazu gehört der Name, ebenso aber Kontextangaben, die die Identität mittelbar preisgeben.
Recht auf Löschung (Art. 17) #
Die beschuldigte Person kann keine Löschung einer Meldung verlangen, die Teil einer laufenden Ermittlung ist oder aufgrund gesetzlicher Pflichten aufbewahrt werden muss. Art. 17 Abs. 3 lit. b und e DSGVO sehen Ausnahmen für rechtliche Pflichten und Rechtsansprüche vor.
Aufbewahrungsfristen #
Die Richtlinie (Art. 18) verlangt die Führung von Aufzeichnungen über Meldungen. Die DSGVO (Art. 5 Abs. 1 lit. e) verlangt, dass personenbezogene Daten nicht länger als nötig gespeichert werden.
Wie lange sollten Meldungen aufbewahrt werden? #
Die Richtlinie schreibt keine konkrete Aufbewahrungsfrist vor. Nationale Umsetzungen variieren:
| Land | Aufbewahrungsfrist | Quelle |
|---|---|---|
| Frankreich | 5 Jahre nach Fallabschluss | Decret 2022-1284 |
| Italien | 5 Jahre ab Meldedatum | D.Lgs. 24/2023, Art. 14 |
| Deutschland | 3 Jahre nach Fallabschluss (außer laufende Verfahren) | § 11 HinSchG |
| Spanien | Nicht konkretisiert (allgemeine DSGVO-Minimierung gilt) | Ley 2/2023 |
Best Practice #
- Konfigurierbare Aufbewahrungsfrist (z. B. 12, 24, 36 oder 60 Monate nach Fallabschluss).
- Automatische Löschung abgeschlossener Fälle nach Ablauf der Frist.
- Manuelle Löschung durch Admins für Fälle, bei denen die Aufbewahrung nicht mehr nötig ist.
- Dokumentieren Sie Ihre Aufbewahrungsrichtlinie und seien Sie bereit, sie gegenüber Aufsichtsbehörden zu begründen.
Internationale Datenübermittlung #
Hinweisgeberdaten müssen in der EU bleiben, sofern kein gültiger Übermittlungsmechanismus nach Kapitel V DSGVO besteht.
Das ist bei der Auswahl des Tools relevant:
- EU-gehostete Plattformen (Daten in Deutschland, Frankreich, Niederlanden etc.): kein Übermittlungsproblem.
- US-gehostete Plattformen oder Plattformen mit US-Cloud-Anbietern (AWS US, Azure US, Google Cloud US): erfordern Standardvertragsklauseln (SCCs) oder das EU-US Data Privacy Framework — beides wurde rechtlich angegriffen.
Der einfachste Weg: eine Plattform wählen, die alle Daten in der EU hostet. Damit entfällt die Übermittlungsfrage.
Datenschutz-Folgenabschätzung (DSFA) #
Art. 35 DSGVO verlangt eine DSFA, wenn eine Verarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat".
Hinweisgebermeldungen erfüllen dies wahrscheinlich, weil:
- Sensible Vorwürfe gegen identifizierte Personen erhoben werden
- Meldungen besondere Kategorien (Art. 9) enthalten können
- Ein inhärentes Machtgefälle zwischen hinweisgebender Person und Organisation besteht
- Brüche der Vertraulichkeit zu Repressalien führen können
Die meisten Datenschutzbehörden empfehlen, vor Einführung eines Hinweisgebersystems eine DSFA durchzuführen.
Was Ihr Melde-Tool leisten muss #
Auf Basis der oben genannten DSGVO-Anforderungen sollte Ihre Hinweisgebersoftware:
| Anforderung | Warum |
|---|---|
| Optionale Identität der hinweisgebenden Person | Datenminimierung (Art. 5 Abs. 1 lit. c) |
| Kein IP-Logging | Wahrt Anonymität, vermeidet pseudonyme Daten |
| Entfernung von Dateimetadaten | Verhindert versehentliche Identifizierung über EXIF/GPS |
| Verschlüsselte Speicherung | Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f) |
| Konfigurierbare Aufbewahrungsfristen | Speicherbegrenzung (Art. 5 Abs. 1 lit. e) |
| Automatische Löschung abgelaufener Fälle | Durchsetzung der Speicherbegrenzung |
| Rollenbasierte Zugriffskontrolle | Vertraulichkeit (Art. 16 der Richtlinie) |
| Unveränderliches Audit-Protokoll | Rechenschaftspflicht (Art. 5 Abs. 2) |
| EU-Datenhaltung | Vermeidet internationale Übermittlungsfragen (Kapitel V) |
| Datenschutzhinweis auf dem Meldeformular | Transparenz (Art. 13/14) |
Wie EthicsPortal mit der DSGVO umgeht #
EthicsPortal wurde von Anfang an sowohl an der Richtlinie als auch an der DSGVO ausgerichtet:
- Rechtsgrundlage: Die Verarbeitung stützt sich auf eine rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) — Umsetzung der EU-Richtlinie 2019/1937.
- Anonymität als Standard: Kein IP-Logging, keine Konten, kein Tracking. Dateimetadaten (EXIF, GPS, Autor) werden automatisch entfernt.
- Datenminimierung: Name und Kontakt der hinweisgebenden Person sind optionale Felder. Es werden nur unverzichtbare Daten erhoben.
- Verschlüsselte Speicherung: Alle Meldebeschreibungen, Namen, Kontaktdaten und Nachrichten sind in der Datenbank verschlüsselt.
- Konfigurierbare Aufbewahrung: Organisationen legen ihre Aufbewahrungsfrist selbst fest (12, 24, 36 oder 60 Monate). Abgelaufene abgeschlossene Fälle werden automatisch gelöscht.
- EU-Hosting für zentrale Meldedaten: Meldungsinhalte und Anhänge werden auf Hetzner-Servern in Nürnberg gespeichert. Begrenzte Verarbeitungen für Marketing-Website und Admin-Oberflächen sind über die veröffentlichte Unterauftragsverarbeiterliste und die Schutzmaßnahmen im AVV abgedeckt.
- Zugriffskontrollen: Nur Admins und zugeordnete Bearbeiter:innen sehen Meldungen. Namen von Bearbeiter:innen werden Hinweisgeber:innen nie offengelegt.
- Audit-Protokoll: Unveränderliche Aufzeichnung jeder Aktion für Rechenschaft und behördliche Prüfung.
- AVV verfügbar: Auftragsverarbeitungsvertrag nach Art. 28 DSGVO für alle Kund:innen verfügbar.
Die vollständige artikelweise Compliance-Analyse finden Sie auf unserer Compliance-Seite.
Zuletzt aktualisiert: