Ist beim Einrichten einer internen Meldestelle eine Datenschutz-Folgenabschätzung durchzuführen ?

Wann eine Datenschutz-Folgenabschätzung durchzuführen ist, richtet sich nach Art. 35 DS-GVO. Nach Art. 35 Abs. 1 DS-GVO ist sie verpflichtend, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Art. 35 Abs. 3 DS-GVO nennt Fälle, in denen die Voraussetzungen des Abs. 1 erfüllt sind, nämlich die systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen; umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DS-GVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DS-GVO oder systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche. Von einer internen Meldestelle können je nach den Umständen des Einzelfalls umfangreich Daten über Straftaten, nämlich gemeldete Verstöße gegen Strafnormen, verarbeitet werden. Weiterhin erstellt die Aufsichtsbehörde nach Art. 35 Abs. 4 Satz 1 DS-GVO eine Liste der Verarbeitungsvorgänge, für die gemäß Art. 35 Abs. 1 DS-GVO eine Datenschutz-Folgenabschätzung durchzuführen ist.

Auf der vom Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg erstellten Liste, abrufbar unter https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/05/Liste-von-Verarbeitungsvorg%C3%A4ngen-nach-Art.-35-Abs.-4-DS-GVO-LfDI-BW.pdf, wird auch die Verarbeitung von umfangreichen Angaben über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit derart eingesetzt werden können, dass sich Rechtsfolgen für die Betroffenen ergeben oder diese in andere Weise erheblich beeinträchtigen, genannt. Dies dürfte auf interne Meldestellen in der Regel zutreffen, da die Meldungen das Verhalten von Beschäftigten betreffen werden und ggf. arbeits-, beamten-, straf- und zivilrechtliche Folgen für die beschuldigten Personen haben können.

Vor dem Hintergrund, dass im Zusammenhang mit einem Verfahren zur Meldung von Missständen sensible Daten verarbeitet werden, deren Bekanntwerden gravierende Folgen für die Reputation, die gesellschaftliche Stellung und die weitere Berufstätigkeit der betroffenen Personen hat, nimmt die Datenschutzkonferenz an, dass eine Datenschutz-Folgenabschätzung stets erforderlich ist (Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines, 14. November 2018, S. 12, abrufbar unter https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/11/OH-Whistleblowing-Hotlines-Stand-14_11_2018.pdf#page=12). Damit ist eine Datenschutz-Folgenabschätzung zumindest dann durchzuführen, wenn sich aus den getroffenen technischen und organisatorischen Sicherheitsmaßnahmen und sonstigen Umständen im konkreten Fall keine erhebliche Reduzierung des mit einer internen Meldestelle gewöhnlich verbundenen Risiko ergibt.