16-05-2022
Mit Spannung wurde in Fachkreisen der neue Referentenentwurf des Hinweisgeberschutzgesetzes („HinSchG-E“) zur Umsetzung der EU-Whistleblower-Richtlinie (RL (EU) 2019/1937) erwartet. Da mit der Bearbeitung von Compliance-Hinweisen regelmäßig sensible personenbezogene Daten verarbeitet werden, sollten Compliance-Verantwortliche auf die aus Datenschutzsicht relevanten Regelungen besonderes Augenmerk legen.
§ 11 Abs. 5 HinSchG-E sieht nun vor, dass zwei Jahre nach Abschluss eines Verfahrens die Dokumentation der Meldung zu löschen ist. Diese pauschale Vorschrift wirft aus Datenschutzsicht Fragen auf. Einerseits kann es bspw. bei offensichtlich falschen Verdächtigungen geboten sein, solche Meldungen früher zu löschen. Andererseits ist unklar, ob die gesamte Dokumentation gelöscht werden muss, oder sich die Vorschrift zur Wahrung der Vertraulichkeit von Hinweisgebern und weiteren betroffenen Personen nur auf deren personenbezogene Daten beziehen soll. Zwar hat der Gesetzgeber in seiner Begründung zu § 11 Abs. 5 HinSchG-E die Kriterien der Erforderlichkeit und Verhältnismäßigkeit im Zusammenhang mit der Aufbewahrung von Meldungen erkannt, gibt diesen jedoch bislang keinen ausreichenden Raum.