Datenschutz-Folgenabschätzung bei internen Meldestellen: Notwendigkeit und Schwellenwertanalyse
Das Hinweisgeberschutzgesetz vom 2. Juli 2023 verlangt von Unternehmen und öffentlichen Institutionen die Einrichtung interner Meldestellen. Dies wirft datenschutzrechtliche Fragen auf, da über diese Stelle personenbezogene Daten gemeldet werden können. Ist die Meldung nicht anonym, unterliegt sie der Datenschutzgrundverordnung (DSGVO).
Die Frage, ob hier eine Datenschutz-Folgenabschätzung nach Art. 35 Abs. 1 DSGVO notwendig ist, steht im Raum. Eine Schwellenwertanalyse wird durchgeführt:
- Regelbeispiele der „Muss-Liste“ nach Art. 35 Abs. 4 DSGVO greifen nicht.
- Art. 35 Abs. 3 DSGVO (lit. b) betrifft nicht "umfangreiche" Verarbeitung.
- Kriterien des Arbeitspapiers 248 des Europäischen Datenschutzausschusses werden erfüllt, was auf ein hohes Risiko für Rechte und Freiheiten hinweist.
Angesichts der möglichen sensitiven Inhalte der Meldungen und der potenziellen Folgen für Betroffene ist eine Datenschutz-Folgenabschätzung empfehlenswert