Hinweisgeberschutz

Richtline

• Richtlinie (EU) 2019/1937 des Europäischen Parlaments und des Rates vom 23. Oktober 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden

Bundesgesetz

• Gesetz für einen besseren Schutz hinweisgebender Personen (Hinweisgeberschutzgesetz - HinSchG)

Landesgesetz

• Gesetz zur Änderung des Gemeinde- und Landkreiswahlgesetzes und weiterer Rechtsvorschriften vom 24. Juli 2023

Derzeit ist es für die bayerischen staatlichen Hochschulen erforderlich eine interne Meldestelle einzurichten.

Wer ist verpflichtet?

Staatliche Hochschulen mit mindestens 50 Beschäftigten

Was ist zu tun?

• Einrichten von Meldekanälen
• Verfahren zum Umgang mit Meldungen etablieren
• Bennung der Ombudsperson
• Informationsbereitstellung zum Hinweisgebersystem

Verantwortlicher

…

Kontaktdaten des/der Datenschutzbeauftragten

…

Zwecke

Bessere Durchsetzung des Unionsrechts und der Unionspolitik sowie nationalem Recht durch Informationen über Verstöße

Rechtsgrundlagen

Art. 6 Abs. 1 lit. c DSGVO, Art. 9 Abs. 2 j DSGVO, § 10 Hinweisgeberschutzgesetz

Kategorien der personenbezogenen Daten

Kategorien der betroffenen Personen

Kategorien interner Empfänger

Kategorien der externen Empfänger

Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

Derzeit nicht vorgesehen

Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

Das Archivrecht bleibt von den Löschfristen unberührt.

Technische und organisatorische Maßnahmen

Gesetzlich vorgesehen

• Prozessabsicherung durch Einverständnis bei Tonaufzeichnungen, Vorlagen von Protokollen und digitaler Zusammenkunft,

Anregungen

• Möglichkeit von anonymen Meldungen
• Mehraugenprinzip
• Berechtigungsmanagement
• Multi-Faktor-Login

Datenschutzfolgenabschätzung

…

Stellungnahme des behördlichen Datenschutzbeauftragten

...

Verantwortlicher

…

Kontaktdaten des/der Datenschutzbeauftragten

…

Zwecke

Bessere Durchsetzung des Unionsrechts und der Unionspolitik sowie nationalem Recht durch Informationen über Verstöße

Rechtsgrundlagen

Art. 6 Abs. 1 lit. c DSGVO, Art. 9 Abs. 2 j DSGVO, § 10 Hinweisgeberschutzgesetz

Kategorien der personenbezogenen Daten und Herrkunft

Kategorien der betroffenen Personen

Kategorien interner Empfänger

Kategorien der externen Empfänger

Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

Derzeit nicht vorgesehen

Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

Das Archivrecht bleibt von den Löschfristen unberührt.

Betroffenenrechte

Hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten stehen Ihnen als einer betroffenen Person die nachfolgend genannten Rechte gemäß Art. 15 ff. DSGVO zu sofern Sie diese nicht missbräuchlich, offensichtlich unbegründet oder exzessiv geltend machen:

• Sie können Auskunft darüber verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Ist dies der Fall, so haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten sowie auf weitere mit der Verarbeitung zusammenhängende Informationen (Art. 15 DSGVO). Bitte beachten Sie, dass dieses Auskunftsrecht in bestimmten Fällen eingeschränkt oder ausgeschlossen sein kann (vgl. insbesondere Art. 10 BayDSG).
• Für den Fall, dass personenbezogene Daten über Sie nicht (mehr) zutreffend oder unvollständig sind, können Sie eine Berichtigung und gegebenenfalls Vervollständigung dieser Daten verlangen (Art. 16 DSGVO).
• Bei Vorliegen der gesetzlichen Voraussetzungen können Sie die Löschung Ihrer personenbezogenen Daten (Art. 17 DSGVO) oder die Einschränkung der Verarbeitung dieser Daten (Art. 18 DSGVO) verlangen. Das Recht auf Löschung nach Art. 17 Abs. 1 und 2 DSGVO besteht jedoch unter anderem dann nicht, wenn die Verarbeitung personenbezogener Daten erforderlich ist zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt (Art. 17 Abs. 3 Buchst. b DSGVO).
• Aus Gründen, die sich aus Ihrer besonderen Situation ergeben, können Sie der Verarbeitung Sie betreffender personenbezogener Daten durch uns zudem jederzeit widersprechen (Art. 21 DSGVO). Sofern die gesetzlichen Voraussetzungen vorliegen, verarbeiten wir in der Folge Ihre personenbezogenen Daten nicht mehr.
• Wenn Sie in die Verarbeitung eingewilligt haben oder ein Vertrag zur Datenverarbeitung besteht und die Datenverarbeitung mithilfe automatisierter Verfahren durchgeführt wird, steht Ihnen gegebenenfalls ein Recht auf Datenübertragbarkeit zu (Art. 20 DSGVO).
• Liegt eine internationale Übermittlung von personenbezogen Daten ohne Grundlage eines Angemessenheitsbeschlusses der EU-Kommission vor, haben Sie das Recht eine Kopien der vertraglichen Garantien auf Anfrage bei uns erhalten.
• Soweit die Verarbeitung auf Grundlage einer Einwilligung erfolgt, haben Sie das Recht, Ihre Einwilligung jederzeit zu widerrufen. Der Widerruf wirkt erst für die Zukunft; das heißt, durch den Widerruf wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitungen nicht berührt.
• Sie haben das Recht, sich bei einer Aufsichtsbehörde im Sinn des Art. 51 DSGVO über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Zuständige Aufsichtsbehörde für bayerische öffentliche Stellen ist der Bayerische Landesbeauftragte für den Datenschutz, Wagmüllerstraße 18, 80538 München. Neben dem Beschwerderecht können Sie auch einen gerichtlichen Rechtsbehelf einlegen.

Bereitstellungspflicht

Wir dürfen im Rahmen der Pflicht zur Einrichtung interner Meldestellen gemäß § 12 HinSchG personebezogene Daten im Rahmen der Meldung und der Folgemaßnahmen verarbeiten.

Gesetzliche Garantien

Im Abschnitt 4 HinSchG wird u.a. ein eingesetzlicher Schutz für hinweisgebene Personen und weitere geschützte Personen durch ein Verbot von Repressalien und Schadensersatzpflichten geschaffen.

Erklärung zur Barrierefreiheit des Hinweisgebersystems von DPMS

Wir sind bemüht, unserer Hinweisgebersystem im Einklang mit der Bayerische Digitalverordnung (BayDiV) barrierefrei zugänglich zu machen.

Diese Erklärung zur Barrierefreiheit gilt für das das Hinweisgebersystem.

Stand der Vereinbarkeit mit den Anforderungen

Die Lösung ist wegen der folgenden Ausnahmen teilweise mit § 9 BayDiV vereinbar.

Nicht barrierefreie Inhalte

Die nachstehend aufgeführten Inhalte sind aus folgenden Gründen nicht barrierefrei:

• Unverhältnismäßige Belastung

Welche Inhalte nicht barrierefrei sind wird derzeit noch getestet.

Erstellung dieser Erklärung zur Barrierefreiheit

Diese Erklärung wurde zum 2. Juli 2023 erstellt mittels Selbstbewertung.

Die Erklärung wurde zuletzt im Juni 2024 überprüft.

Feedback und Kontaktangaben

Etwaige Mängel in Bezug auf die Einhaltung der Barrierefreiheitsanforderungen können Sie uns mitteilen unter …

Zuständig für die barrierefreie Zugänglichkeit und die Bearbeitung der im Rahmen des Feedback-Mechanismus eingehenden Mitteilungen ist:

…

Durchsetzungsverfahren

Im Rahmen eines Durchsetzungsverfahrens haben Sie die Möglichkeit, bei der Durchsetzungsstelle online einen Antrag auf Prüfung der Einhaltung der Anforderungen an die Barrierefreiheit zu stellen.

Kontaktdaten der Durchsetzungsstelle

Landesamt für Digitalisierung, Breitband und Vermessung
IT-Dienstleistungszentrum des Freistaats Bayern
Durchsetzungs- und Überwachungsstelle für barrierefreie Informationstechnik
St.-Martin-Straße 47
81541 München

E-Mail: bitv@bayern.de
Internet: www.ldbv.bayern.de/digitalisierung/bitv.html

Weitere Angaben

…

Die Ombudsperson ist eine Umschreibung für die Personen, die für die interne Meldestelle deren Aufgaben aus dem HinSchG ausführt.

Nach § 15 HinSchG muss die die Ombudsperson

• unabhängig,
• frei von Interessenkonflikten  und
• fachkundig sein.

Nach dem Erwägungsgrund 56 der dem HinSchG zu Grunde liegenden Richtlinie  EU 2019/1937 sollen für kleinere Organisationen (bezieht sich wahrscheinlich auf Unternehmen bis 250 Beschäftigte) folgende Personen in Frage kommen:

• Leiter der Compliance- oder Personalabteilung
• Integritätsbeauftragter
• Rechts- oder Datenschutzbeauftragter,
• Finanzvorstand
• Auditverantwortlicher
• Vorstandsmitglieder.

Im Hinblick auf die gesetzlichen Anforderungen scheinen nicht immer bei der genannten Personen erfüllt sind. Zudem ist auch Fachrecht etwa Art. 38 Abs. 6 DSGVO zu beachten.

Aus Sicht der Stabsstelle wären insbesondere geeignet:

• Person ohne Leitungsaufgabe aus dem Rechtsamt
• Datenschutzbeauftragte, wenn es eine Stellvertretung gibt
• Innenrevision
• vorhandene Ombudspersonen

In folgenden Konstellationen hat der deutsche Gesetzgeber von Einwilligungen oder Zustimmung gesprochen

• § 9 Ausnahmen vom Vertraulichkeitsgebot
• § 11 Tonaufzeichungen oder Niederschrift (Wortprotokoll) von Meldung oder Zusammenkunft
• § 16 Bild und Tonübertagung bei einer Zusammenkunft

§ 9 Abs. 3 HinSchG verweist für die Freiwilligkeit auf § 26 Abs. 2 BDSG und dessen besonderen Anforderungen an eine datenschutzrechtliche Einwilligungen im Beschäftigtendatenschutz.

Die Richtlinie selbst spricht nicht von Einwilligung sondern nur von einer Zustimmung.

• Art. 16 Vertraulichkeitsgebot
• Art. 18 Tonaufzeichungen oder Niederschriften (Wortprotokolle) der Meldung und der Zusammenkunft

Im Hinblick auf das Recht am eigenen Wort und am eigenen Bild ist jedenfalls zivilrechtlich und im Hinblick auf das Strafrecht ein Einverständnis erforderlich.

Da jedoch die Richtlinie explizit nicht von einer Einwilligung spricht im Hinblick auf Sicherstellung der Datenverarbeitung mehr dafür nicht von einer datenschutzrechtlichen Einwilligung auszugehen. Der jeweilige Teilprozess ist aber durch eine Abfrage des Einverständnisses abzusichern und die Betroffenen sollten den Weg freiwillig wählen.