Datenschutz-Compliance und Vertraulichkeit nach dem Hinweisgeberschutzgesetz (HinSchG)
Grundlagen zum Vertraulichkeitsgebot im Hinweisgeberschutzgesetz
Ein Kernelement des Hinweisgeberschutzgesetzes (HinSchG) ist das sogenannte Vertraulichkeitsgebot. Es dient dazu, die Identität von Hinweisgebern sowie anderen von einer Meldung betroffenen Personen umfassend zu schützen. Ziel dieser Regelung ist es, potenzielle Hinweisgeber zur Meldung von Missständen zu ermutigen und mögliche negative Konsequenzen durch eine Bekanntgabe ihrer Identität zu verhindern.
Das Vertraulichkeitsgebot gilt nicht ausschließlich für die direkte Identifikation einer Person, wie etwa Vor- und Nachname, sondern ebenso für sämtliche indirekten Hinweise, die Rückschlüsse auf die Identität der Betroffenen zulassen könnten. Wichtig dabei ist, dass dieses Gebot unabhängig von der Zuständigkeit der jeweiligen Meldestelle gilt, wie es in § 8 Abs. 2 HinSchG festgelegt ist.
Welche Personen werden vom Vertraulichkeitsgebot geschützt?
Das HinSchG schützt grundsätzlich drei Gruppen von Personen:
-
Hinweisgeber, also diejenigen, die Meldungen über Missstände oder Verstöße machen.
-
Beschuldigte Personen, gegen die sich die Meldung richtet, also solche, denen Fehlverhalten vorgeworfen wird.
-
Dritte Personen, die in einer Meldung erwähnt werden, beispielsweise Kollegen, Führungskräfte oder Zeugen.
Voraussetzungen der Anwendbarkeit des Vertraulichkeitsgebots
Das Vertraulichkeitsgebot gemäß § 8 HinSchG gilt nur, wenn das Hinweisgeberschutzgesetz auch tatsächlich anwendbar ist. Voraussetzung dafür ist, dass:
-
ein Unternehmen oder eine Behörde unter die Vorgaben des HinSchG fällt (in der Regel ab 50 Beschäftigten oder Unternehmen der Finanz- und Versicherungsbranche unabhängig von der Größe),
-
und es sich um Verstöße handelt, die ausdrücklich im sachlichen Anwendungsbereich des Gesetzes definiert sind (etwa strafbewehrte oder bußgeldbewehrte Verstöße sowie weitere klar definierte Rechtsverletzungen nach § 2 HinSchG).
Wann gilt das Vertraulichkeitsgebot nicht? – Ausnahmen im Überblick
Das Vertraulichkeitsgebot gilt nicht uneingeschränkt. § 9 HinSchG definiert klare Ausnahmen, unter welchen Umständen Informationen über die Identität geschützter Personen weitergegeben werden dürfen. Hierbei differenziert das Gesetz zwischen:
-
Personen, deren Identität geschützt werden soll (Hinweisgeber, beschuldigte Personen und sonstige betroffene Dritte – Zeugen),
-
sowie den konkreten Anlässen und Zwecken einer Informationsweitergabe.
Spannungsfeld zwischen Datenschutz (DSGVO) und Hinweisgeberschutz
Das Vertraulichkeitsgebot erzeugt in der Praxis ein Spannungsfeld mit den datenschutzrechtlichen Informations- und Auskunftspflichten nach der DSGVO und dem Bundesdatenschutzgesetz (BDSG). Datenschutzrechtlich gibt es grundsätzlich eine Pflicht, betroffene Personen zu informieren und ihnen Auskunft zu erteilen. Diese Pflichten sind jedoch begrenzt, um das Vertraulichkeitsgebot nicht auszuhebeln.
Datenschutzrechtliche Einschränkungen der Informationspflichten
Gemäß Art. 14 Abs. 5 Buchst. c und Art. 23 Abs. 1 Buchst. i DSGVO, in Verbindung mit § 29 Abs. 1 Satz 1 BDSG und §§ 8 und 9 HinSchG, entfällt die datenschutzrechtliche Informationspflicht, wenn sie das Vertraulichkeitsgebot verletzen würde. So müssen etwa Informationen, die ihrer Natur nach geheim bleiben müssen, nicht offengelegt werden.
Auch besteht keine Informationspflicht, wenn die Informationserteilung die Aufklärung des Sachverhalts gefährden könnte, beispielsweise durch drohende Manipulationen seitens beschuldigter Personen.
Datenschutzrechtliche Auskunftsrechte der Betroffenen
Ähnlich sind die datenschutzrechtlichen Auskunftsrechte nach Art. 15 DSGVO begrenzt, wenn durch die Auskunft Identitäten offenbart würden, deren Geheimhaltung gesetzlich vorgeschrieben ist. Dabei ist es jedoch wichtig, immer genau zu prüfen, ob das Vertraulichkeitsgebot tatsächlich gilt und ob keine Ausnahme besteht.
Praktische Umsetzung der Vertraulichkeitspflichten im Unternehmen
Um sowohl die datenschutzrechtlichen als auch die hinweisgeberschutzrechtlichen Anforderungen zu erfüllen, sollten Unternehmen die Regelungen des HinSchG fest in ihre Datenschutz-Compliance-Strukturen integrieren. Besonders wichtig ist hierbei:
-
Einbindung der Meldestelle in Prozesse der datenschutzrechtlichen Informations- und Auskunftserteilung.
-
Detaillierte Dokumentation, insbesondere in Fällen, in denen die Identität des Hinweisgebers nicht offengelegt wird, um Verstöße gegen das HinSchG zu vermeiden. Verstöße gegen das Vertraulichkeitsgebot sind bußgeldbewehrt.
Besondere Sorgfalt bei Einwilligung im Beschäftigungsverhältnis
Im Beschäftigungskontext ist eine Einwilligung zur Offenlegung der Identität besonders sorgfältig zu prüfen. Aufgrund des Abhängigkeitsverhältnisses sind hier die speziellen Anforderungen des § 26 Abs. 2 BDSG zu beachten. Die Freiwilligkeit der Einwilligung muss besonders kritisch bewertet werden.
FAQ: Datenschutz-Compliance & Vertraulichkeit nach dem HinSchG
Was bedeutet das Vertraulichkeitsgebot nach dem HinSchG konkret?
Das Vertraulichkeitsgebot (§ 8 HinSchG) schützt die Identität von Hinweisgebern, beschuldigten Personen und weiteren Betroffenen. Geschützt sind nicht nur Namen, sondern alle Informationen, aus denen sich die Identität indirekt ableiten lässt.
Für wen gilt das HinSchG – ab wann braucht mein Unternehmen eine Meldestelle?
Grundsätzlich für Unternehmen ab 50 Beschäftigten sowie bestimmte regulierte Branchen (z. B. Finanz-/Versicherungswesen) unabhängig von der Größe. Zudem muss die Meldung den sachlichen Anwendungsbereich (§ 2 HinSchG) betreffen (u. a. straf- oder bußgeldbewehrte Verstöße).
Gibt es Ausnahmen vom Vertraulichkeitsgebot?
Ja. § 9 HinSchG regelt Ausnahmen, etwa wenn die Offenlegung gesetzlich vorgeschrieben ist oder zur Durchsetzung von Verteidigungs-/Anhörungsrechten erforderlich wird. Jede Weitergabe muss zweckgebunden und eng begründet sein.
Wie passt das Vertraulichkeitsgebot zur DSGVO?
Das HinSchG beschränkt Informations- und Auskunftspflichten: Nach Art. 14 Abs. 5 lit. c, Art. 23 Abs. 1 lit. i DSGVO i. V. m. § 29 Abs. 1 S. 1 BDSG sowie §§ 8, 9 HinSchG entfällt eine Information/Auskunft, wenn dadurch die Vertraulichkeit oder die Sachverhaltsaufklärung gefährdet würde.
Darf ein Beschuldigter Auskunft nach Art. 15 DSGVO verlangen?
Grundsätzlich ja – aber das Auskunftsrecht ist eingeschränkt, wenn dadurch geschützte Identitäten offenbart oder Ermittlungen vereitelt würden. Das muss einzelfallbezogen geprüft und dokumentiert werden.
Welche Daten dürfen/müssen Meldestellen preisgeben?
Nur erforderliche Informationen und keine identifizierenden Details, sofern keine gesetzliche Ausnahme greift. Identitäten dürfen nicht offengelegt werden, solange kein zulässiger Offenlegungsgrund besteht.
Welche Bußgelder drohen bei Verstößen gegen die Vertraulichkeit?
Verstöße gegen das Vertraulichkeitsgebot sind bußgeldbewehrt. Zusätzlich drohen DSGVO-Sanktionen, wenn Datenschutzpflichten verletzt werden. Saubere Prozesse, Rollen, Protokolle sind daher zentral.
Wie setze ich Vertraulichkeit & Datenschutz praktisch um?
-
Meldestelle in Datenschutz-Prozesse integrieren (Info/Auskunft mit HinSchG-Prüfschritt).
-
Need-to-know-Prinzip, strenge Rollen-/Rechtekonzepte, Protokollierung.
-
Verfahrensdokumentation inkl. Begründungen für Nicht-Offenlegung.
-
Schulungen für Meldestelle/HR/Compliance/IT.
-
Drittanbieter-Tools auf DSGVO/HinSchG-Konformität prüfen (AVV, TOM).
Ist eine Einwilligung zur Identitätsoffenlegung im Arbeitsverhältnis möglich?
Nur ausnahmsweise: Nach § 26 Abs. 2 BDSG ist die Freiwilligkeit besonders kritisch zu prüfen. In der Praxis sind Einwilligungen wegen des Abhängigkeitsverhältnisses oft nicht belastbar – bevorzugt werden gesetzliche Erlaubnistatbestände oder Anonymisierung.
„Externe vs. interne“ Meldestelle – was ist besser für die Vertraulichkeit?
Beides ist zulässig. Entscheidend sind klare Prozesse, technische/organisatorische Maßnahmen, unabhängige Bearbeitung und sichere Kanäle. Viele Unternehmen nutzen interne Stellen plus externe Ombudsperson als „Vier-Augen-Modell“.
Hinweis: Wir unterstützen Sie bei Einrichtung und Audit von Hinweisgebersystemen, Schnittstellen zu DSGVO/BDSG, Policy-Design, Schulungen und forensischer Fallbearbeitung – diskret und rechtssicher.
Kontaktieren Sie uns – Frankfurt am Main und bundesweit
- Rechtsanwältin und Fachanwältin für Strafrecht Dr. Caroline Jacob
- Rechtsanwalt und Fachanwalt für Strafrecht Frank M. Peter
- Rechtsanwalt Dr. Sven Henseler, Diplom-Finanzwirt (FH)
- Als Of Counsel Prof. Dr. Frank Peter Schuster
- Als Kooperationspartner Steuerberater und ehemaliger Steuerfahnder Frank Wehrheim
Unsere Rechtsanwaltskanzlei arbeitet seit über 25 Jahren in Frankfurt am Main mit erfahrenen Anwälten.
Telefon: 069 710 33 330
E-Mail: kanzlei@dr-buchert.de
Benötigen Sie eine Rechtsberatung?
Wir beraten und vertreten Privatpersonen und Unternehmen in Ermittlungsverfahren und Strafverfahren bundesweit und vor allen Gerichten. Profitieren Sie von unserer langjährigen Erfahrung und unserer Kompetenz in Sachen Strafverteidigung.