Braucht es einen Auftragsverarbeitungsvertrag oder eine Vereinbarung zur gemeinsamen Verantwortung, wenn ein externer Dritter mit dem Betrieb der internen Meldestelle beauftragt werden soll ?

Das HinSchG selbst trifft zu dieser Frage keine Aussage, sodass sich deren Beantwortung nach den allgemeinen Grundsätzen richtet. Ein Auftragsverarbeitungsvertrag gemäß Art. 28 Abs. 3 DS-GVO setzt dabei voraus, dass eine Auftragsverarbeitung vorliegt. Gemäß Art. 4 Nr. 8 DS-GVO ist Auftragsverarbeiter eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Kennzeichnend für einen Auftragsverarbeiter ist die Weisungsabhängigkeit vom Verantwortlichen, der allein über die wesentlichen Zwecke und Mittel der Datenverarbeitung bestimmt. Da § 15 Abs. 1 Satz 1 HinSchG die Unabhängigkeit der internen Meldestelle vorsieht (s. unter Frage 6), ist eine Ausgestaltung als weisungsgebundener und der Kontrolle des Beschäftigungsgebers unterliegender Auftragsverarbeiter nur schwer denkbar. Außerdem ließen sich die Kontrollbefugnisse des Auftraggebers (vgl. Art. 28 Abs. 3 Unterabs. 1 Satz 2 Buchstabe h DS-GVO) nur schlecht mit der Pflicht der internen Meldestelle zur Wahrung der Vertraulichkeit der Meldungen vereinbaren. Nichtsdestotrotz geht die Gesetzesbegründung zum HinSchG davon aus, dass eine Beauftragung externer Dritter in Form der Auftragsverarbeitung zulässig ist (BT-Drs. 372/22, S. 88). Dies dürfte allerdings nur Fälle betreffen, in denen der Dritte nicht sämtliche Aufgaben der externen Meldestelle gemäß §§ 17 und 18 HinSchG übernimmt, sondern der oder den bei dem Beschäftigungsgeber für den Betrieb der internen Meldestelle zuständigen Person oder Personen lediglich zuarbeitet, z.B. indem er die Hinweise entgegennimmt und nicht in den Anwendungsbereich des HinSchG fallende aussortiert. Soll hingegen auch die inhaltliche Prüfung der Meldungen und das weitere Verfahren ausgelagert werden, wäre dies keine Auftragsverarbeitung.

Eine gemeinsame Verantwortlichkeit gemäß Art. 26 Abs. 1 DS-GVO liegt vor, wenn die Verantwortlichen gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden. Dies dürfte zwischen Beschäftigungsgeber und dem externen Betreiber der internen Meldestelle in der Regel der Fall sein, wenn man den externen Betreiber der internen Meldestelle überhaupt als Dritten im Sinne des Datenschutzrechts ansieht. Hierfür spricht die Gesetzesbegründung, die davon ausgeht, dass externe Dritte, die mit dem Betrieb der Meldestelle beauftragt werden, dadurch nicht zum Teil der verantwortlichen Stelle werden (BT-Drs. 372/22, S. 88).